von Redaktion IT-A…
Lesezeit
1 Minute
Einführung in MBAM
BitLocker stellt unter Windows 10 einen interessanten Schutz für Clients bereit. Allerdings finden viele Administratoren die zentrale Verwaltung der Verschlüsselung nicht gerade ideal gelöst. Microsoft bietet über das Desktop Optimization Pack für Unternehmen mit Wartungsvertrag das Tool "Microsoft BitLocker Administration and Monitoring" (MBAM) an. Unser Tipp gibt eine kurze Einführung.
Mit MBAM verwalten Sie zentral die mit BitLocker verschlüsselten Rechner im Netzwerk und erstellen Berichte zur Nutzung. Bestandteil des MBAM ist ein MBAM-Server, den Sie über die MDOPCD installieren. Die Clients verbinden sich mit dem Server zur zentralen Verwaltung von BitLocker und dem Erstellen von Berichten oder der Wiederherstellung von Daten. Dazu ist ein Agent auf den verwalteten Clients notwendig. Den Client können Sie entweder manuell, über den System Center Configuration Manager (SCCM) oder mit Gruppenrichtlinien installieren. Windows 10 wird ab MBAM 2.5 SP1 unterstützt.
Der Client ist der zentrale Bereich von MBAM. Er setzt auf den Clientcomputern die Einstellungen um, die Sie in den Gruppenrichtlinien für MBAM festgelegt haben. Administratoren können Einstellungen ändern oder die Verschlüsselung einschränken. Ebenfalls dabei ist eine Webkonsole, mit der Anwender ihre eigenen Kennwörter ändern oder einen Wiederherstellungsvorgang starten können, wenn der eigene verschlüsselte Computer nicht mehr startet. MBAM unterstützt zu diesem Zweck ein rollenbasiertes Verwaltungsmodell.
MBAM kann dazu selbst Wiederherstellungsschlüssel für BitLocker erstellen und zuweisen. Die Daten kann das Tool in SQL-Datenbanken speichern. Ohne MBAM liegen die Daten direkt in der Active-Directory-Datenbank. Anwender oder Supportmitarbeiter benötigen also mit MBAM keinen Zugriff auf die AD-Datenbank mehr, wenn Daten wiederhergestellt werden sollen. Bestandteil des MBAM-Servers sind Vorlagen für Gruppenrichtlinien, mit denen Sie MBAM-Clients verwalten. Haben Sie den Server installiert, rufen Sie die Webkonsole auf, indem Sie den Namen des Servers und den Port eingeben.
Nach der Installation des MBAM-Servers müssen Sie noch die Benutzer in die entsprechenden lokalen Gruppen auf dem Server aufnehmen, um ihnen Zugriff auf das Webportal zu gewähren. Die Gruppenrichtlinieneinstellungen von MBAM finden Sie über "Computerkonfiguration/ Richtlinien / Administrative Vorlagen / Windows-Komponenten / MDOP MBAM (BitLocker Management)". Damit diese auch auf den Domänencontrollern zur Verfügung stehen, installieren Sie auf diesen nur die Komponente "Policy Template von MBAM".
ln
Der Client ist der zentrale Bereich von MBAM. Er setzt auf den Clientcomputern die Einstellungen um, die Sie in den Gruppenrichtlinien für MBAM festgelegt haben. Administratoren können Einstellungen ändern oder die Verschlüsselung einschränken. Ebenfalls dabei ist eine Webkonsole, mit der Anwender ihre eigenen Kennwörter ändern oder einen Wiederherstellungsvorgang starten können, wenn der eigene verschlüsselte Computer nicht mehr startet. MBAM unterstützt zu diesem Zweck ein rollenbasiertes Verwaltungsmodell.
MBAM kann dazu selbst Wiederherstellungsschlüssel für BitLocker erstellen und zuweisen. Die Daten kann das Tool in SQL-Datenbanken speichern. Ohne MBAM liegen die Daten direkt in der Active-Directory-Datenbank. Anwender oder Supportmitarbeiter benötigen also mit MBAM keinen Zugriff auf die AD-Datenbank mehr, wenn Daten wiederhergestellt werden sollen. Bestandteil des MBAM-Servers sind Vorlagen für Gruppenrichtlinien, mit denen Sie MBAM-Clients verwalten. Haben Sie den Server installiert, rufen Sie die Webkonsole auf, indem Sie den Namen des Servers und den Port eingeben.
Nach der Installation des MBAM-Servers müssen Sie noch die Benutzer in die entsprechenden lokalen Gruppen auf dem Server aufnehmen, um ihnen Zugriff auf das Webportal zu gewähren. Die Gruppenrichtlinieneinstellungen von MBAM finden Sie über "Computerkonfiguration/ Richtlinien / Administrative Vorlagen / Windows-Komponenten / MDOP MBAM (BitLocker Management)". Damit diese auch auf den Domänencontrollern zur Verfügung stehen, installieren Sie auf diesen nur die Komponente "Policy Template von MBAM".
ln
