Teil 23d: MBAM Clients verwalten

MBAM Clients verwalten – Schritte:

  • Intervalle für das MDOPBitLockerManagement in Testumgebungen anpassen
  • BitLocker-Wiederherstellung durchführen
    • Option 1: Der Benutzer kann die MBAM SelfService-Webseite aufrufen
    • Option 2: Der Benutzer ruft den Helpdesk an
  • MBAM Reporting
  • TPM-Verwaltung
  • PIN ändern

Intervalle für das MDOPBitLockerManagement in Testumgebungen anpassen

Weil die Intervalle für die Client Wakeup Frequency (90 Minuten) und Status Reporting Frequency (720 Minuten) lang sind, möchte ich für die ersten Tests diese Zeiten verkürzen, damit es was zu sehen gibt. Dazu sind 3 Einträge in der Registry am MBAM Client notwending.

  1. Als Administrator an CLIENT004 anmelden
  2. Eingabeaufforderung (Administrator) starten
  3. Mit folgendem Befehl den Registrierungs Editor starten
    regedit
  4. Folgende Einträge ändern
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement]
    "ClientWakeupFrequency"=dword:00000001
    "StatusReportingFrequency"=dword:00000001
  5. Folgenden Eintrag hinzufügen
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MBAM] 
    "NoStartupDelay"=dword:00000001
    
  6. Mit folgendem Befehl den MBAM Agent neu starten
    net stop mbamagent && net start mbamagent
  7. Alle Fenster schließen
  8. CLIENT004 herunterfahren

 BitLocker-Wiederherstellung durchführen

  1. CLIENT004 vom Netz trennen, damit kein BitLocker Network Unlock (Teil 20d) durchgeführt wird
  2. BitLocker-PIN einmal falsch eingeben
  3. Für die BitLocker-Wiederherstellung die ESC-Taste drücken
  4. Die ersten 8 Stellen der Recovery-ID notieren: 163BD258

Option 1: Der Benutzer kann die MBAM SelfService-Webseite aufrufen

  1. Der Benutzer geht zu einem Computer in der Nähe im Unternehmensnetzwerk
  2. Internet Explorer starten
  3. https://mbam.haimann.local aufrufen
  4. Hinweis bestätigen > Fortsetzen
    MBAM_RESTORE-001
  5. BitLocker-Wiederherstellungsschlüssel anfordern
    1. Recovery-ID: 163BD258
    2. Grund: PIN/Passphrase verloren > Schlüssel anfordern
      MBAM_RESTORE-002
  6. BitLocker-Wiederherstellungsschlüssel auf CLIENT004 eingeben
  7. CLIENT004 wird gestartet

Option 2: Der Benutzer ruft den Helpdesk an

HINWEIS: Mitglieder der Active Directory-Gruppe MBAM Advanced Helpdesk müssen keine Benutzerdomäne und keine Benutzer ID eingeben. Das ist der Unterschied zwischen MBAM Helpdesk und MBAM Advanced Helpdesk!

  1. Ein Helpdesk-Mitarbeiter im Unternehmensnetzwerk startet den Internet Explorer
  2. https://mbam.haimann.local/HelpDesk aufrufen
    MBAM_RESTORE-003
  3. Auf der linken Seite auf Laufwerkswiederherstellung klicken
    1. Benutzerdomäne: HAIMANN
    2. Benutzer-ID: markus
    3. Schlüssel-ID: 163BD258
    4. Grund: Passphrase ist verloren gegangen > Absenden
      MBAM_RESTORE-004
  4. Speichern > Fertig
    MBAM_RESTORE-005
  5. Gespeicherte Datei öffnen und BitLocker-Wiederherstellungsschlüssel dem Benutzer übermitteln
    MBAM_RESTORE-006
  6. BitLocker-Wiederherstellungsschlüssel auf CLIENT004 eingeben
  7. CLIENT004 wird gestartet

Achtung: Nach dem Abruf des Wiederherstellungsschlüssels ändert der MBAM Agent das nummerische Kennwort auf CLIENT004, damit das gebrauchte nicht wiederverwendet werden kann!
MBAM_RESTORE-007

MBAM Reporting

Als Vorraussetzung muss der Benutzer Mitglied der AD-Sicherheitsgruppe MBAM Report Users sein. Markus ist Mitglied der Gruppe MBAM Advanced Helpdesk und MBAM Report Users (Teil 23a).

  1. Als Markus an CLIENT004 anmelden
  2. Internet Explorer starten
  3. https://mabm.haimann.local/HelpDesk aufrufen
  4. Auf der linken Seite auf Berichte klicken
    1. Unternehmenskonformitätsbericht
      MBAM_RESTORE-011
    2. Computerkonformitätsbericht
      1. Gerätebenutzer oder Computername: CLIENT004
        MBAM_RESTORE-010
    3. Überwachungsbericht für die Wiederherstellung
      MBAM_RESTORE-011
  5. Fenster schließen

 TPM-Verwaltung

Die TPM-OwnerInformation wird in der MBAM-Datenbank gespeichert, wenn zum Zeitpunkt der BitLocker-Verschlüsselung der TPM-Chip folgende Eigenschaften besitzt:

  • enabled
  • activated
  • NOT owned
  • Endorsement Key (EK) pair NOT missing

Siehe MBAM fails to take ownership of TPM.

  1. Als Administrator an SERVER02 anmelden
  2. Internet Explorer starten
  3. https://mbam.haimann.local/HelpDesk aufrufen
  4. Auf der linken Seite auf TPM verwalten klicken
    1. Computerdomäne: HAIMANN
    2. Computername: CLIENT004
    3. Benutzerdomäne: HAIMANN
    4. Benutzer-ID: markus
    5. Grund für die Anforderung der TPM-Besitzerkennwortdatei: PIN-Sperrung zurücksetzen > Absenden
      MBAM_RESTORE-012
    6. Datei speichern > D:\Sourcen\CLIENT004.tpm > Fertig
      MBAM_RESTORE-014
    7. Folgende Datei wurde erstellt
      MBAM_RESTORE-015
    8. Wie in Teil 20c beschrieben fortfahren

PIN ändern

Mittels Gruppenrichtlinie habe ich das Standardprogramm zum Verwalten von BitLocker in der Systemsteuerung ausgeblendet, damit ausschließlich das MBAM-Programm verwendet wird (Teil 23b).

  1. Als Markus an CLIENT004 anmelden
  2. Start > Suche: Systemsteuerung > System und Sicherheit > BitLocker-Verschlüsselungsoptionen
    MBAM_PIN-001
  3. Microsoft BitLocker Administration and Monitoring
    1. PIN-Verwaltung
      MBAM_PIN-002
    2. Zurücksetzen der PIN
      1. Neue PIN eingeben: 44332211 > PIN zurücksetzen
        MBAM_PIN-003
    3. Zurücksetzen der PIN abgeschlossen > Schließen
      MBAM_PIN-004
  4. CLIENT004 mit der PIN 44332211 neu starten

CC BY-NC-SA 4.0 Teil 23d: MBAM Clients verwalten von Dietmar Haimann ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.