Otimização de Desktop

Informações sobre implementação e gerenciamento de PCs e dispositivos corporativos

Experimentando o MBAM 2.0 (gerenciamento da criptografia BitLocker)


O recurso de criptografia de disco BitLocker está disponível em algumas edições corporativas do Windows desde o Windows Vista.

Tão importante quanto ter um recurso nativo de criptografia no próprio Windows é poder contar com um sistema de gerenciamento, fundamental em ambiente corporativos.

É aí que entra o Microsoft BitLocker Administration and Monitoring (MBAM), parte do Microsoft Desktop Optimization Pack (MDOP) http://j.mp/w7mdop

O MBAM 2.0, além de incluir um portal para suporte/relatórios, também inclui um portal de atendimento para que o próprio usuário final possa solicitar, se necessário, a chave de recuperação de acesso ao disco criptografado.

Com base nas instruções desse artigo você será capaz de montar um rápido laboratório para testar esse produto, em ambiente virtual.

Lista de Material:

  1. Uma máquina virtual com Windows 8.x Enterprise (se for Windows 7 Enterprise requer máquina física com chip TPM habilitado na BIOS/Firmware)
  2. Uma máquina virtual com um controlador de domínio e DHCP. No meu caso estou usando Windows Server 2012 R2, mas pode ser versão anterior, hospedando no eu caso o domínio CONTOSO.COM (pra variar…)
  3. Uma máquina virtual com Windows Server 2012 R2 (pode ser Windows Server 2008 R2 SP1) para instalação do SQL e MBAM. Como referência, no meu laboratório esse máquina chama-se SERVER2.
  4. Arquivo .ISO do MDOP 2013 R2 (disponível para assinantes MSDN/TechNet ou site VLSC para clientes com contrato por volume)
  5. Pacote de instalação do Microsoft SQL Server 2012 SP1 (pode ser SQL 2008 R2 SP1)

Para simplificar os testes eu não habilitarei o recurso de criptografia da base de dados, o que requer edição Enterprise do SQL.

Procedimentos:

Todas essas máquinas devem fazer parte do mesmo domínio, sendo toda a parte da configuração dos serviços realizada no servidor indicado no item 3 da lista acima.

O controlador de domínio, uma vez funcional e com DHCP habilitado para facilitar os testes, não será manipulado.

Instalando o SQL Server:

A partir do SERVER2 (no meu caso) o primeiro passo é habilitar o recurso .NET Framework 3.5.

Se você não tiver conexão com a internet (que é o caso do meu laboratório) você precisa conectar o DVD/ISO de instalação do Windows Server para fornecer os arquivos necessários.

A partir da console do PowerShell, carregada como administrador, execute:

Enable-WindowsOptionalFeature -FeatureName netfx3 -Online -All -LimitAccess -Source D:\sources\sxs

1. instalacao dot net 3

Obs.: A unidade D:\ aponta para o DVD de instalação do Windows Server 2012 R2

Clique na miniatura de cada imagem caso queira vê-la em tamanho original.

Instale

O próximo passo é instalar o SQL Server 2012, basicamente com os seguintes papéis:

  • Database Engine Services
  • Reporting Services – Native
  • Management Tools – Complete

2. sql 2

Durante o assistente da instalação do SQL mude o “Startup Type” do serviço “SQL Server Agent” para “Automatic”.

2. sql 3

Na tela “Database Engine Configuration” especifique o grupo de usuário que pode gerenciar o SQL (BUILTIN\Administrators, no meu caso).

2. sql 4

Proceda com a instalação sem alterar as demais opções sugeridas.

2. sql 5

Instalando o Servidor MBAM:

No mesmo servidor onde instalamos o SQL precisamos habilitar alguns recursos do Windows Server antes de instalar o MBAM propriamente dito.

Para facilitar eu montei a seguinte sequência de comandos para tornar o processo mais rápido, que devem ser executados na console do PowerShell, como administrador:

Install-WindowsFeature Web-Mgmt-Console
Install-WindowsFeature Web-Server
Install-WindowsFeature Web-Default-Doc
Install-WindowsFeature Web-Static-Content
Install-WindowsFeature Web-ASP-Net
Install-WindowsFeature Web-Net-Ext
Install-WindowsFeature Web-ISAPI-Ext
Install-WindowsFeature Web-ISAPI-Filter
Install-WindowsFeature Web-Windows-Auth
Install-WindowsFeature Web-Filtering
Install-WindowsFeature Net-HTTP-Activation
Install-WindowsFeature Net-non-HTTP-Activ
Install-WindowsFeature WAS
Install-WindowsFeature WAS-NET-Environment
Install-WindowsFeature WAS-Config-APIs
Install-WindowsFeature GPMC

3. pre req mbam

Instale o ASP.NET MVC 2.0 http://go.microsoft.com/fwlink/?LinkId=392270

Conecte o DVD/ISO do MDOP nessa máquina virtual e execute o arquivo MbamSetup.EXE da respectiva pasta de instalação (D:\MBAM\Installers\2.0_SP1\x64), iniciando o processo de instalação.

Note que existe opção de integração com o System Center Configuration Manager (SCCM), mas para simplificar vamos seguir com a opção “Stand-alone”.

4. mbam 14. mbam 24. mbam 3

O alerta na tela de segurança na comunicação aparece por não termos nesse momento, propositalmente, um certificado de criptografia.

4. mbam 4

Defina uma conta/senha a ser usada para acessar os relatórios de conformidade e auditoria (CONTOSO\Administrator no meu caso)

4. mbam 54. mbam 64. mbam 7

Como nesse servidor nós já temos o SQL Reporting Services na porta 80 eu mudei a porta do portal do MBAM para 8080.

4. mbam 84. mbam 94. mbam 10

Pronto! MBAM instalado e pronto para os ajustes finais

Ajustando o portal de Auto Atendimento:

Se o seu ambiente não tiver acesso à internet, como o meu caso, é necessário fazer um pequeno ajusta no portal de auto atendimento para evitar erro de javascript.

Faça o download dos seguintes arquivos, salvando-os em “C:\inetpub\Microsoft BitLocker Management Solution\Self Service Website\Scripts”

5. mbam 1

Abra o “Internet Information Services (IIS) Manager”, expanda o site “Microsoft BitLocker Administration and Monitoring” e clique no subsite “SelfService

No painel à direita abra “Application Settings”

5. mbam 2

Para cada item na seguinte lista dê um duplo clique com o mouse e defina o caminho correto de cada arquivo .JS:

Name: Value:
jQueryPath /SelfService/Scripts/ jQuery-1.7.2.min.js
MicrosoftAjaxPath /SelfService/Scripts/ MicrosoftAjax.js
MicrosoftMvcAjaxPath /SelfService/Scripts/ MicrosoftMvcAjax.js
MicrosoftMvcValidationPath /SelfService/Scripts/ MicrosoftMvcValidation.js

iis

A comunicação será feita pelas portas TCP 80 (Reporting Services) e TCP 8080 (porta que escolhi para os portais do MBAM), portanto você deve abrir essas portas no Firewall desse servidor antes de prosseguir.

Configurando a Diretiva de Grupo (GPO):

Agora que o Servidor MBAM está devidamente instalado nós precisamos criar uma GPO que será aplicada nos PCs que serão gerenciados.

Para facilitar o gerenciamento eu criei previamente uma OU chamada “PCs” no meu domínio, para deixar a GPO do MBAM vinculada apenas nos PCs cujas contas estão nesse container.

Autenticado com um usuário com direito administrativo no domínio, abra a console de “Group Policy Management” no servidor onde o MBAM foi instalado e crie uma GPO na OU onde encontra-se a conta de máquina da sua VM com Windows 8.x. No meu caso a GPO chama-se “MBAM Client Configuration”.

Ao editar essa GPO expanda: “Computer configuration” –> “Policies” –> “Administrative Templates” –> “Windows Components” –> “MDOP MBAM (BitLocker Management)”.

Para o nosso laboratório vamos configurar o mínimo:

Client Management –> Configura MBAM Services –> Enable

Operating System Drive –> Operating system drive encryption settings –> Enable

  • Como vamos testar a criptografia em uma máquina virtual é importante marcar a opção “Allow BitLocker without a compatible TPM (requires a password)”

Removable Drive –> Control Use of BitLocker on removable drives –> Enable

  • Importante se você testar o ambiente com PCs não-virtual, controlando a criptografia em discos removíveis.

Fixed Drive –> Control Use of BitLocker on fixed drives –> Enable

  • Para controlar o acesso a outros volumes fixos protegidos com BitLocker

O resultado final será como indicado nas telas abaixo:

6. GPO 16. GPO 26. GPO 3

Para a relação completa das configurações que você pode fazer através de GPO consulte o artigo http://technet.microsoft.com/pt-br/library/dn186164.aspx

Instalando o Cliente MBAM:

Na máquina virtual com Windows 8.x Enterprise execute o arquivo MBAMClientSetup.EXE do .ISO de instalação do MDOP (D:\MBAM\Installers\2.0SP1\<x64>/< x86>\) incluindo o parâmetro /q para instalação silenciosa:

MBAMClientSetup.exe /q

Considerando que esse PC com Windows 8.x já recebeu a GPO de configuração criada anteriormente (execute o comando GPUPDATE /FORCE para garantir), o esperado é aguardar o próximo ciclo de comunicação para aparecer a interface gráfica do Cliente do MBAM para dar início ao processo de criptografia.

Para acelerar esse processo crie uma chave DWORD chamada NoStartupDelay em HKLM\Software\Microsoft\MBAM com valor 1

Você também pode reduzir o tempo de comunicação entre o Cliente do MBAM e respectivo servidor, mudando para 1 (apenas laboratório) os valores das chaves ClientWakeupFrequency and StatusReportingFrequency em HKLM\Software\Policies\Microsoft\FVE\MDOPBitLockerManagement.

Reinicie o PC (para terminar a instalação do Cliente do MBAM e já reiniciar seu serviço local)

Para verificar que foi executado com sucesso verifique o local onde você criou a chave de registro, que agora deve ter outras chaves adicionais, incluindo a MBAMPolicyEnforced = 1.

Agora em questão de instantes o cliente do MBAM deve aparecer, solicitando o início do processo de criptografia do PC.

7. cliente mbam funcionando

Em caso de máquina Virtual…

…haverá um erro ao clicar no botão “Start”. Para evitar isso feche essa tela e habilite manualmente o BitLocker (abra o Gerenciador de Arquivos, e com o botão direito do mouse sobre o C: escolha a opção “Turn on BitLocker”. Siga o procedimento cadastrando uma senha (Password) ao invés de USB Flash drive.

ligar bitlocker

Para salvar a senha de recuperação escolha a opção “Print the recovery key” para gerar um arquivo .XPS com esse conteúdo e prosseguir com o assistente desmarcando a opção “Run BitLocker system check”.

Reinicie a máquina virtual para testar o acesso.

logon senha

Obs.: Se você usar um PC não-virtual essa etapa não será necessária.

Acessando os portais de atendimento:

Todo o controle de acesso ao MBAM é definido a partir de grupos de segurança que ele criar no servidor onde foi instalado. Se você precisa delegar acesso a outros usuários consulte http://technet.microsoft.com/pt-br/library/dn145061.aspx.

Para evitar que o portal web peça sempre as suas credenciais eu recomendo que você o defina como site Intranet (caso o IE não o detecte automaticamente dessa forma).

7. site intranet

Feito isso basta acessar o endereço http://server2.contoso.com:8080/helpdesk e navegar entre as opções disponíveis (se o seu usuário não tiver acesso reveja a parte de segurança citada anteriormente).

portal helpdesk

Para testar o portal de auto atendimento o endereço é http://server2.contoso.com:8080/selfservice

auto atendimento

Uma forma de testar o processo de recuperação da chave sem ter que reiniciar o PC (ou ligar o disco em outro equipamento) é executando o seguinte comando no Prompt de Comando para conseguir o ID do disco (são os 8 primeiros caracteres do ID que aparece abaixo de “Numerical Password”

manage-bde -protectors c: –get

manage bde

Próximos passos:

Consulte a biblioteca técnica completa do MBAM 2.0 disponível em http://technet.microsoft.com/pt-br/library/dn145068.aspx

Uma resposta para “Experimentando o MBAM 2.0 (gerenciamento da criptografia BitLocker)

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: