MBAM: A jak tedy dál?
Microsoft BitLocker Administration and Monitoring, zkráceně MBAM. Oblíbené řešení pro správu obnovovacích klíčů pro šifrované disky. Aktuálně ve verzi 2.5 SP1 společně s jednotlivými aktualizaci balíčku MDOP.
Tak přesně tomuto nástroji končí mainstream support v červenci 2019, rozšířená technická podpora pak v červenci 2024.
Šifrování pevných a výměnných disků je určitě důležitou součástí obrany proti off-line útokům na data uložená na pevném disku, ale i na samotný operační systém. A to nejen kvůli GDPR.
Zařízení připojené k lokální Active Directory
Nejjednodušší cestou ke konfiguraci je použití instalační sekvence v SCCM, která se může postarat o vše potřebné hned při instalaci systému. Též lze využít GPO politik, které jsou v doméně k dispozici. A poslední cesta, rozšíření prostředí o MBAM, zůstává podporována právě až do roku 2024.
Obnovovací klíče je tedy možné zálohovat jak do samotné AD, tak právě do MBAM databáze. Alternativním řešením je použití PowerShell skriptu a uložení klíče taktéž do Azure AD. V objektu počítače je možné najít záznamy obnovovacích klíčů ze strany IT. Pro koncové uživatele (a technickou podporu) právě MBAM nabízel možnost je auditovaně vyzvedávat z vlastní databáze. Taktéž nabízel průvodce, který uživatele provedl procesem konfigurace případné dodatečné PIN ochrany především pro přenosné notebooky.
Pro serverové operační systémy lze docílit téhož a to i na virtualizované stroje, kde může krásně zafungovat automatické odemykání po síti, takzvaný Network Unlock. Více o celé problematice najdete v článku BitLocker Management for Enterprises.
Zařízení připojené k Azure AD
S pomocí MDM, například Microsoft Intune, lze řídit konfiguraci BitLocker přes konfigurační politiky (Configuration), které mohou nastavit všechny potřebné vlastnosti ochrany. Navíc lze aktuální status šifrování zjistit pomocí kontroly souladu (Compliance). O její výsledky lze opřít politiky podmíněného přístupu (Conditional Access) a například odmítnout takovým zařízením přístup k Office 365.
Takováto zařízení zálohují svoje obnovovací klíče přímo do Azure AD. Zde je může v přehledu zařízení dohledat jak IT, tak uživatel ve svém profilu v seznamu používaných zařízení.