Share via

MBAM: A jak tedy dál?

  • Article

Microsoft BitLocker Administration and Monitoring, zkráceně MBAM. Oblíbené řešení pro správu obnovovacích klíčů pro šifrované disky. Aktuálně ve verzi 2.5 SP1 společně s jednotlivými aktualizaci balíčku MDOP.

Tak přesně tomuto nástroji končí mainstream support v červenci 2019, rozšířená technická podpora pak v červenci 2024.

Šifrování pevných a výměnných disků je určitě důležitou součástí obrany proti off-line útokům na data uložená na pevném disku, ale i na samotný operační systém. A to nejen kvůli GDPR.

Zařízení připojené k lokální Active Directory

Nejjednodušší cestou ke konfiguraci je použití instalační sekvence v SCCM, která se může postarat o vše potřebné hned při instalaci systému. Též lze využít GPO politik, které jsou v doméně k dispozici. A poslední cesta, rozšíření prostředí o MBAM, zůstává podporována právě až do roku 2024.

Obnovovací klíče je tedy možné zálohovat jak do samotné AD, tak právě do MBAM databáze. Alternativním řešením je použití PowerShell skriptu a uložení klíče taktéž do Azure AD. V objektu počítače je možné najít záznamy obnovovacích klíčů ze strany IT. Pro koncové uživatele (a technickou podporu) právě MBAM nabízel možnost je auditovaně vyzvedávat z vlastní databáze. Taktéž nabízel průvodce, který uživatele provedl procesem konfigurace případné dodatečné PIN ochrany především pro přenosné notebooky.

Pro serverové operační systémy lze docílit téhož a to i na virtualizované stroje, kde může krásně zafungovat automatické odemykání po síti, takzvaný Network Unlock. Více o celé problematice najdete v článku BitLocker Management for Enterprises.

Zařízení připojené k Azure AD

S pomocí MDM, například Microsoft Intune, lze řídit konfiguraci BitLocker přes konfigurační politiky (Configuration), které mohou nastavit všechny potřebné vlastnosti ochrany. Navíc lze aktuální status šifrování zjistit pomocí kontroly souladu (Compliance). O její výsledky lze opřít politiky podmíněného přístupu (Conditional Access) a například odmítnout takovým zařízením přístup k Office 365.

Takováto zařízení zálohují svoje obnovovací klíče přímo do Azure AD. Zde je může v přehledu zařízení dohledat jak IT, tak uživatel ve svém profilu v seznamu používaných zařízení.

- Petr Vlk (MVP, KPCS CZ, WUG)

Comments

  • Anonymous
    May 06, 2019
    Aktualizace: Nová alternativa k řešení bude brzy k dispozici. MBAM bude plně integrován do SCCM. Kdo tedy má v prostředí nasazen System Center Configuration Manager v aktuální verzi a integrován jej s MBAM, tak má budoucnost stále otevřenu.