System Center Configuration Manager и как с ним бороться

Сначала немного официальной документации:

MBAM 2.5 имеет следующие возможности:

• Позволяет администраторам автоматизировать процесс шифрования томов на клиентских компьютерах на предприятии.
• Позволяет сотрудникам службы безопасности быстро определять состояние соответствия отдельных компьютеров и даже самого предприятия.
• Обеспечивает возможность централизованного управления оборудованием и составления отчетов с помощью Microsoft System Center Configuration Manager.
• Снижает нагрузку на сотрудников службы поддержки, связанную с обработкой запросов пользователей по ПИН-кодам BitLocker и ключам восстановления.
• Позволяет пользователям независимо восстанавливать зашифрованные устройства посредством использования портала самообслуживания.
• Позволяет сотрудникам службы безопасности беспрепятственно осуществлять аудит доступа к данным о ключах восстановления.
• Позволяет пользователям Windows Корпоративная продолжать работу в любом месте с гарантией защиты данных предприятия.

MBAM обеспечивает применение параметров политики шифрования BitLocker, настроенных для предприятия, отслеживает соответствие клиентских компьютеров данным политикам и предоставляет отчеты о состоянии шифрования как корпоративных, так и для личных компьютеров. Кроме того, MBAM позволяет получить доступ к сведениям о ключе восстановления в случае, если пользователь забыл свой ПИН-код или пароль либо если изменилась загрузочная запись или параметры BIOS.

В использовании MBAM для управления BitLocker могут быть заинтересованы следующие группы пользователей:

• администраторы, специалисты по компьютерной безопасности, а также должностные лица, осуществляющие контроль соответствия требованиям и ответственные за предотвращение разглашения конфиденциальных данных без разрешения;
• администраторы, ответственные за безопасность компьютеров в удаленных офисах или дочерних подразделениях;
• администраторы, ответственные за клиентские компьютеры под управлением Windows.

Архитектура сервиса:

В этой статье я расскажу об установке MBAM 2.5 и интеграции с Configuration Manager 2012 R2.

В данной инсталляции будут задействованы три виртуальных сервера: контроллер домена, сайт-сервер ConfigMgr и SQL-сервер, который будет хранить базы MBAM.

На SQL-сервере уже установлены:

• Database engine
• Reporting services (native)
• Management tools complete

и несколько экземпляров для семейства продуктов System Center. Нужно доустановить Analysis services:

Кроме этого, на этом же сервере будет установлена роль MBAM Administration and Monitoring Server, поэтому нам нужно установить IIS и некоторые компоненты Windows Server:

NET Framework 3.5.1 features:

• .NET Framework 3.5.1
• WCF Activation
  • HTTP Activation
  • Non-HTTP Activation

NET Framework 4.5 features

•  WCF Services
  • TCP Activation

Windows Process Activation Service:

• Process Model
• .NET Environment
• Configuration APIs

IIS:

Common HTTP Features:

• Static Content
• Default Document

Application Development:

• ASP.NET
• .NET Extensibility
• ISAPI Extensions
• ISAPI Filters

Security:

• Windows Authentication
• Request Filtering

Кроме этого, нужно установить ASP.NET MVC 4:

После этого создаём учётные записи пользователей и группы для MBAM:

Для пользователя, который будет использоваться пулом приложений для нашего веб-приложения, регистрируем SPN:

Setspn -S HTTP/sql.firma.com FIRMA\MBAM_HD_AppPool

Затем проверяем, зарегистрирован ли SPN:

Setspn -L FIRMA\MBAM_HD_AppPool

После регистрации SPN для этой учётной записи появляется дополнительная вкладка делигирования. Активируем опцию Trust this user for delegation to any service (Kerberos only):

На сервере ConfigMgr открываем <CMInstallLocation>\Inboxes\clifiles.src\hinv\ и добавляем информацию в файл Configuration.mof:

Создаём .mof-файл:

Открываем клиентские настройки по умолчанию, раздел Hardware Inventory — Set Classes, импортируем информацию из .mof-файла и активируем новые классы:

На сервере Configuration Manager монтируем образ с Microsoft Desktop Optimization Pack 2014 R2 и запускаем установку сервера MBAM:

Запускаем мастер конфигурации и выбираем интеграцию с Configuration Manager:

Указываем сервер баз данных с отчётами и завершаем установку:

После завершения интеграции в Configuration Manager появляются Configuration Item и Configuration Baseline, которые назначаются на автоматически созданную коллекцию MBAM Supported Computers:

Для чего это сделано, будет понятно в конце статьи.

Коллеция MBAM Supported Computers — это динамическая коллекция на основании запроса, который нам нужно подредактировать, поскольку в моей лабе используются только виртуальные компьютеры, т.е. они должны попадать под выборку и нам нужно удалить ограничения для виртуальных компьютеров:

Перед установкой баз данных и веб-приложения нужно подготовить SQL-сервер. Пользователя MBAM_HD_AppPool добавляем в локальные администраторы и даём соответствующие права на SQL-сервер:

Монтируем тот же образ Microsoft Desktop Optimization Pack 2014 R2, запускаем установку сервера MBAM под учётной записью MBAM_HD_AppPool и после установки запускаем конфигуратор:

SQL-сервер будет хранить базы данных MBAM, веб-приложение для управления ключами BitLocker и отчётом Recovery Audit Report (это единственный отчёт из веб-приложения; остальные отчёты доступны из консоли SCCM после интеграции), и портал самообслуживания для пользователя:

Указываем FQDN сервера баз данных и учётные записи, которые мы создавали выше:

Указываем учётные записи для работы с отчётами:

Задаём учётные записи и место хранение файлов веб-приложения:

Результат:

Переходим к контроллеру домена. Скачиваем Microsoft Desktop Optimization Pack Group Policy Administrative Templates и распаковываем. Нам нужны два файла .admx и два файла .adml:

.admx-файлы копируем в %systemroot%\policyDefinitions, .adml — в папку с соответствующей языковой версией:

Создаём OU с тестовыми компьютерами. У меня используются Windows 8.1 и Windows 10, которая, напомню, находится в стадии тестирования и официально не поддерживается Configuration Manager:

И создаём групповую политику для этого OU (внимание, не меняйте другие групповые политики, которые относятся к BitLocker Drive Encryption, иначе MBAM не будет корректно работать):

Добавляем http(s)://<servername>:<port>/MBAMRecoveryAndHardwareService/CoreService.svc для MBAM Recovery service и отключаем MBAM Status reporting service, поскольку у нас включена интеграция MBAM и SCCM:

Включаем политику шифрования системного диска и работу Bitlocker без Trusted Platform Module:

Конфигурируем настройки пароля для системного диска:

Задаём количество дней, в течение которых пользователь может отложить применение политик MBAM для системного диска:

Задаём настройки работы Bitlocker для внешних дисков:

Переходим к установке клиента MBAM. Чтобы не устанавливать клиента вручную, создаём приложение из файла .msi:

Распространяем приложение:

Чтобы не ждать автозапуска клиентской части MBAM, запускаем MBAMClientUI.exe из C:\Program Files\Microsoft\MDOP MBAM:

Сообщение об ошибке мы получаем из-за того, что на виртуальной машине нет TMP. Чтобы зашифровать системный диск, воспользуемся апплетом в Панели управления:

Сохраняем ключ восстановления:

И начинаем шифрование диска:

Для получения ключа восстановления нужно знать первые восемь цифр ID:

Открываем веб-приложение и делаем запрос на восстановление ключа:

Вводим полученный ключ, нажимаем Enter и получаем доступ к операционной системе:

Управление TPM:

В Microsoft Bitlocker Administration and Monitoring есть только один отчёт Recovery Audit Report:

Остальные отчёты находятся в Configuration Manager, которые заполняются данными после проверки на соответствие параметрам, заданным в базовом параметре конфигурации Bitlocker Protection: