Otimização de Desktop

Informações sobre implementação e gerenciamento de PCs e dispositivos corporativos

Como implementar o MBAM em laboratório (Microsoft BitLocker Administration and Monitoring)


imageNo TechEd Brasil 2011 eu apresentei com o Renato El Achkar uma sessão sobre implementação do Bitlocker através do Microsoft BitLocker Administration and Monitoring (MBAM), uma novidade do MDOP 2011 R2 (artigo relacionado).

Esse artigo foi escrito para você que tem interesse em testar essa tecnologia em laboratório, com base nos passos que seguimos para montar o laboratório usado no TechEd Brasil, na seguinte arquitetura:

image

Aproveite para conferir o PPT que usei nessa apresentação:

Lista de material:

  • 1 (um) notebook físico com Windows 7 Enterprise contendo chip TPM versão 1.2 (ou superior) ativado na BIOS
  • 1 (um) Servidor com Windows Server 2008 R2 para infraestrutura básica de Controlador de Domínio (AD, DNS, DHCP), físico ou virtual
  • 1 (um) Servidor com Windows Server 2008 R2 para IIS e SQL, físico ou virtual
  • DVD do MDOP 2011 R2 (disponível para assinantes TechNet ou MSDN, ou clientes com contrato por volume)
  • DVD do SQL 2008 R2 Enterprise: o MBAM requer em uma de suas bases de dados o recurso de Criptografia Transparente de Dados (TDE), disponível nas edições Enterprise ou Datacenter do SQL 2008 R2

Procedimentos:

Servidor de Infraestrutura (DC01): Eu decidi criar uma infraestrutura de AD própria para o MBAM, mas você pode aproveitar algum AD 2003 atual de laboratório (ele não requer extensão do schema). Eu habilitei apenas os papéis de AD, DNS e DHCP nesse servidor. Como uma das características do MBAM é criptografar tanto a base de dados quanto a comunicação entre as partes envolvidas, em ambiente de produção é preciso uma infraestrutura de certificados, o que em laboratório não é mandatório.

Servidor do MBAM (SERVER1): Eu concentrei todos os papéis do MBAM nesse servidor para facilitar o laboratório. Você pode se perguntar: E porque não aproveitar para incluir esses papéis no próprio servidor do AD? Resposta: tecnicamente não é permitido instalar o portal web do MBAM em um controlador de domínio, simples assim.

No SERVER1 habilite o papel de Internet Information Services (IIS) com base nas opções que aparecem no slide 16 da apresentação publicada no início desse artigo. Eu concentrei o gerenciamento das GPOs nesse servidor, portanto eu também habilitei a console de Group Policy Management.

Após isso inicie a instalação do SQL 2008 R2 Enterprise marcando todos os seus papéis, inclusive o Reporting Services com as opções padrão de instalação. Na prática o MBAM não precisa de todos os recursos do SQL, mas em laboratório é bom ter tudo disponível para fazer testes mais avançados, ainda mais se você desejar desenvolver alguma aplicação personalizada para consultar a base de dados do MBAM.

No momento de configurar a conta de serviço do SQL indique uma que você tenha criado para essa finalidade (eu criei uma conta chamada sqluser) e deixe todos os serviços com o “Startup Type” definido como “Automatic” (incluindo o SQL Server Agent).

image

Nas próximas telas inclua as contas que devem ser administradoras do SQL, e escolha a opção padrão do Reporting Services: “Install the native mode default configuration”.

Preparação do SQL 2008 R2:

Antes de prosseguir com a instalação do MBAM, e após o término da instalação do SQL, é preciso preparar o SQL para suportar o processo de criptografia transparente (TDE). Para isso abra o SQL Server Management Studio, coecte-se à instância que você acabou de instalar, clique em “New Query”, execute os seguintes comandos (troque o texto ‘P@ssw0rd’ por uma senha forte de sua preferência) e feche o Management Studio sem salvar nada.

USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD =
‘P@ssw0rd’
GO

Para saber mais sobre TDE (Criptografia Transparente de Dados) consulte http://msdn.microsoft.com/pt-br/library/bb934049.aspx

Instalação do MBAM:

Agora que temos o IIS e SQL instalados e configurados basta executar o setup de instalação do servidor MBAM (arquivo MbamSetup.exe). Faça a instalação com as opções de fábrica, com todos os papéis marcados:

  • Recovery and Hardware Database
  • Compliance and Audit Database
  • Compliance and Audit Reports
  • Administration and Monitoring Server
  • Policy Template

Se você fez o dever de casa corretamente a validação dos pré-requisitos será concluída com sucesso, partindo para a escolha do certificado para criptografar e comunicação (necessário em ambiente de produção).

No meu laboratório eu não usei o certificado, portanto selecione “Do not encrypt network communication” e avance.

image

Para as demais telas mantenha as opções de fábrica, lembrando de especificar a conta de usuário de acesso à base de dados de relatórios, quando solicitado.

Quando for questionado sobre a porta de comunicação do portal web mude a porta padrão (80) para outra, caso exista algum site atual já usando essa porta. Siga o assistente e conclua a instalação.

Ao término do processo você receberá a seguinte tela indicando os próximos passos (são links para a documentação online).

image

Seguindo a ordem listada é recomendado popular os respectivos grupos locais do SERVER1, seguindo as permissões que citei no slide 18 do PPT do TechEd.

Configuração via GPO do cliente MBAM:

Agora você pode abrir no SERVER1 a console de Group Policy Management para criar uma nova GPO de configuração do MBAM.

Use o site http://onlinehelp.microsoft.com/en-us/mdop/hh285629.aspx como referência das possíveis configurações de GPO para o MBAM. Ao menos configure as opções listadas no site http://onlinehelp.microsoft.com/en-us/mdop/hh285640.aspx

No meu laboratório eu criei uma OU para os PCs com Windows 7, e vinculei essa GPO nessa OU.

Implementação do cliente MBAM:

Por ser um arquivo .MSI existem várias formas de implementação. Se você adotar a entrega via GPO é importante fazer a devida configuração para evitar que a versão x86 possa ser oferecida em PCs com Windows 7 x64. Além disso é recomendado ativar um filtro nessa GPO para que apenas PCs com Windows 7 Enterprise (ou Ultimate) recebam essa instalação.

Acompanhe o processo de instalação do agente via GPO através desse video: http://technet.microsoft.com/en-us/windows/hh328532

Para fins de teste basta instalar manualmente o agente no PC com Windows 7 Enterprise, respeitando a arquitetura do Windows (x64 ou x86).

Chegou a hora de testar tudo!

Você fez todo esse procedimento mas ainda não recebeu nenhum alerta no PC com Windows 7 pedindo pela criptografia do HD? Calma… por padrão a interface gráfica pode levar até 90 minutos para aparecer.

Para forçar a aparição do cliente MBAM no PC com Windows 7 logo após o início (ou reinicio) do serviço do MBAM adicione a seguinte chave de registro no Windows 7 e reinicie o serviço “BitLocker Client Management Service”:

Caminho:             HKLM\Software\Microsoft\MBAM
Valor:                 NoStartupDelay
Definido como:    1

Você fez isso mas mesmo assim a interface gráfica não apareceu? Abra o Event Viewer no Windows 7 Enterprise para consultar as mensagens em:

Event Viewer -> Applications and Services Logs -> Microsoft -> Windows -> MBAM

Se você habilitou o filtro por hardware via GPO será preciso acessar o portal do MBAM (http://server1:<porta_que_voce_escolheu&gt;), acessar o painel Hardware, e mudar o status do modelo do PC para compatível, como no exemplo abaixo:

image

Após isso é recomendável que você apague os seguintes valores de registro no PC com Windows 7 para forçar uma nova validação do modelo do hardware (caso contrário pode variar de 24 horas, quando o status está como “Unknown” ou “Supported”, para até 7 dias quando o status está como “Not Supported”).

Caminho:        HKLM\Software\Microsoft\MBAM
Valores:         HWExemptionTimer; HWExemptionType

Recomendo duas importantes fontes de informação sobre o MBAM, atualmente apenas em Inglês:

Documentação off-line sobre o MBAM (inclui escalabilidade e integração com o MDT): http://www.microsoft.com/download/en/details.aspx?id=27555

Como a Microsoft implementou o MBAM na sua rede corporativa: http://www.microsoft.com/download/en/details.aspx?id=27583

Espero que com isso você possa começar seus testes com o MBAM em laboratório!

Uma resposta para “Como implementar o MBAM em laboratório (Microsoft BitLocker Administration and Monitoring)

  1. Pingback: Conheça o Microsoft BitLocker Administration and Monitoring (MBAM) « Otimização de Desktop

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: