Teil 23d: MBAM Clients verwalten

MBAM Clients verwalten – Schritte:

  • Intervalle für das MDOPBitLockerManagement in Testumgebungen anpassen
  • BitLocker-Wiederherstellung durchführen
    • Option 1: Der Benutzer kann die MBAM SelfService-Webseite aufrufen
    • Option 2: Der Benutzer ruft den Helpdesk an
  • MBAM Reporting
  • TPM-Verwaltung
  • PIN ändern

Intervalle für das MDOPBitLockerManagement in Testumgebungen anpassen

Weil die Intervalle für die Client Wakeup Frequency (90 Minuten) und Status Reporting Frequency (720 Minuten) lang sind, möchte ich für die ersten Tests diese Zeiten verkürzen, damit es was zu sehen gibt. Dazu sind 3 Einträge in der Registry am MBAM Client notwending.

  1. Als Administrator an CLIENT004 anmelden
  2. Eingabeaufforderung (Administrator) starten
  3. Mit folgendem Befehl den Registrierungs Editor starten
    regedit
  4. Folgende Einträge ändern
    <strong>[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement]</strong>
    "ClientWakeupFrequency"=dword:00000001
    "StatusReportingFrequency"=dword:00000001
  5. Folgenden Eintrag hinzufügen
    <strong>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MBAM]</strong> 
    "NoStartupDelay"=dword:00000001
    
  6. Mit folgendem Befehl den MBAM Agent neu starten
    net stop mbamagent && net start mbamagent
  7. Alle Fenster schließen
  8. CLIENT004 herunterfahren

 BitLocker-Wiederherstellung durchführen

  1. CLIENT004 vom Netz trennen, damit kein BitLocker Network Unlock (Teil 20d) durchgeführt wird
  2. BitLocker-PIN einmal falsch eingeben
  3. Für die BitLocker-Wiederherstellung die ESC-Taste drücken
  4. Die ersten 8 Stellen der Recovery-ID notieren: 163BD258

Option 1: Der Benutzer kann die MBAM SelfService-Webseite aufrufen

  1. Der Benutzer geht zu einem Computer in der Nähe im Unternehmensnetzwerk
  2. Internet Explorer starten
  3. https://mbam.haimann.local aufrufen
  4. Hinweis bestätigen > Fortsetzen
    MBAM_RESTORE-001
  5. BitLocker-Wiederherstellungsschlüssel anfordern
    1. Recovery-ID: 163BD258
    2. Grund: PIN/Passphrase verloren > Schlüssel anfordern
      MBAM_RESTORE-002 Weiterlesen

Teil 23c: MBAM Client mit MDT installieren

MBAM Client mit MDT installieren – Schritte:

  • AutoIt-Script für die Installation erstellen
  • Anwendung zu OSD_Prod hinzufügen
  • Task Sequence anpassen
  • CustomSettings.ini anpassen
  • CLIENT004 aufsetzen und mit BitLocker verschlüsseln

AutoIt-Script für die Installation erstellen

  1. Als Administrator an SERVER02 anmelden
  2. Den Inhalt von D:\Sourcen\MBAM\Installers\2.5 nach D:\Sourcen\Software\Microsoft MBAM kopieren
  3. Die Datei D:\Sourcen\Software\7-Zip\install.au3 nach D:\Sourcen\Software\Microsoft MBAM kopieren
  4. install.au3 doppelklicken und folgendes AutoIt-Script erstellen:
    #cs ----------------------------------------------------------------------------
    
     AutoIt Version: 3.3.10.2
     Author:         Dietmar's Blog | Noch so ein IT-Blog
    
     Script Function:
    	Install Software.
    
    #ce ----------------------------------------------------------------------------
    
    ; Script Start - Add your code below here
    
    If @OSArch = "X86" Then
    	RunWait("x86\MbamClientSetup.exe /q")
    Else
    	RunWait("x64\MbamClientSetup.exe /q")
    EndIf
    
  5. Datei speichern und kompilieren (Teil 14a)
    MBAM_KONF_054

Anwendung zu OSD_Prod hinzufügen

  1. Deployment Workbench starten
  2. Deployment Shares\OSD Prod Share erweitern
  3. Unter Applications den Ordner Microsoft erstellen
  4. Unter Anwendungen\Microsoft folgende Anwendung erstellen:
    1. Publisher: Microsoft
    2. Application Name: MBAM
    3. Version: 2.5
    4. Command line: install.exe
      MBAM_CONF-022 Weiterlesen

Teil 23b: MBAM konfigurieren

MBAM konfigurieren – Schritte:

  • Self-Service Portal konfigurieren
  • Gruppenrichtlinienobjekt (GPO) erstellen und konfigurieren

Als Grundlage für die Konfiguration verwende ich http://technet.microsoft.com/en-us/library/dn645379.aspx

Self-Service Portal konfigurieren

  1. Als Administrator an SERVER02 anmelden
  2. Server Manager > Local Server > Tools > Internet Information Services (IIS) Manager
  3. SERVER02\Sites\Microsoft BitLocker Administration and Monitoring erweitern
  4. SelfService markieren
  5. Im mittleren Bereich Application Settings doppelklicken
    MBAM_CONF-001
  6. Folgende Einstellungen erstellen bzw. anpassen:
    1. CompanyName: Ein einfaches Netzwerk
    2. HelpdeskText_de-de: Kontaktieren Sie den Servicedesk oder Ihre IT-Abteilung
    3. HelpdeskUrl_de-de: http://servicedesk.haimann.local/
      MBAM_CONF-002
  7. IIS-Manager schließen
  8. Im Windows Explorer den Ordner C:\inetpub\Microsoft BitLocker Management Solution\Self Service Website öffnen
  9. Den Ordner de-de und darin die Datei Notice.txt mit folgendem Inhalt erstellen:
    Das ist ein Beispieltext.
    
    Freundliche Grüße
    Ihr IT-Team
  10. Alle Fenster schließen
    MBAM_CONF-003
  11. Im Internet Explorer https://mbam.haimann.local/SelfService aufrufen
    1. Ich habe die Mitteilung gelesen und verstanden aktivieren > Fortsetzen
      MBAM_CONF-004 Weiterlesen