Windows Server

Active Directory Merkezi Yönetim ile Bitlocker Disk Şifreleme (Microsoft BitLocker Administration and Monitoring MBAM) – Bölüm 1

İçerik: MBAM Nedir? Neler Sunar? Sistem Gereksinimleri nelerdir?

Şirketler içerisinde bulundukları sektörler için ürettiği çözümler noktasında kendilerini geliştirmekte ve bu alanda uzmanlaşmaktadır. Bilişim, finans, otomotiv, ilaç, hizmet veya aklınıza hangi sektör gelirse gelsin bunların ortak sorunlarından biri çok değerli olan verilerin saklanmasıdır. Bu nedenle pek çok kurumsal şirket veri kaybının ne kadar önemli bir sorun olabileceğini bildiği için yedekleme noktasında çok ciddi yatırımlar yapmaktadır. Yapılan araştırmalarda da şirket verilerini tamamen kaybeden firmaların bu sorun sonrası ortalama yaşam süresinin iki sene olduğunu görüyoruz. Özetle bu verilerin kaybı demek şirketin kaybı demektir.

 

Ancak tek sorun veri kaybı değildir. Öyle sektörler ve şirketler vardır ki verilerinin çalınması o verileri kaybından çok daha ciddi sonuçlar doğuracaktır. Bu nedenle bu şirketler için verilerin yedeklenmesi kadar hatta ondan daha öncelikli verilerin güvenliğide sağlanmak zorundadır.

 

İşte bu noktada pek çok farklı üretici ve teknoloji ile verilerin saklandığını, korunduğunu görebiliyoruz. Verilere ulaşım noktası düşünüldüğü zaman firewall, birden çok faktörlü kimlik doğrulama sistemleri, şifreleme sistemleri ve daha fazlası.

 

Ben ise bu makalemde verilerin sabit disk üzerinde saklanması ve olası bir çalıntı durumunda bu verilerin ele geçirilmesi noktasındaki disk şifreleme tekolojilerinden olan Bitlocker için merkezi bir yönetim aracı MBAM’ I anlatacağım.

 

Malum Bitlocker bilinen bir teknoloji çünkü Windows Vista ile hayatımıza giren bir disk şifreleme teknolojisidir.

 

Bu konuda ÇözümPark Bilişim Portalında hali hazırda yazılmış makaleler bulunmaktadır.

 

BitLocker Drive Encryption without TPM

Windows 7 Bitlocker ile Sürücü Şifreleme

 

Peki, MBAM nedir?

 

Yukarıdaki makalelerde de görebileceğiniz gibi bu araçtan önce disk şifreleme için elle uygulama yapmak zorunda kalıyorduk. Yani şirket laptopları kullanıcı destek servisine geliyor, buradaki uzmanlar arkadaşlar ilgili değişiklikleri yapıp laptop sahiplerine teslim ediyordu, veya laptoplar ile teslim edilmeden önce bu tür standart ayarlar yapılıyordu. Ancak buradaki en önemli iki temel sorun;

 

1 – Elle yapılan her işlemdeki hata payı ve iş kaybı

 

2 – Şifrelerin yönetilmesi için merkezi bir yapının olmaması nedeni ile kaybolan, geç bulunan veya ciddi zaman kaybına yol açan “kurtarma anahtarı” sorunları.

 

Bu sorunların dışında tabiki pek çok bilişim uzmanın başından geçen sorunlar bulunmaktadır.

 

MBAM, aslında indirip kullanabileceğiniz bir araç değil. Çünkü bu araç MDOP içerisinde gelen araçlardan bir tanesidir. Bildiğiniz gibi MDOP ürünü Microsoft tarafından sadece yazılım anlaşması (Software Assurance )olan müşterileri için sunulan bir ürün setidir.

 

Eğer yazılım anlaşması yapan bir Microsoft müşterisi iseniz zaten sizin kurumsal yapınızın ciddi manada oturmuş ve böyle bir araca ihtiyacınızın olduğunu düşünüyorum ( Microsoft firması da aynı şeyi düşünmüş olacak ki bu aracı MDOP ailesine 1 ağustos 2011 tarihindeki MDOP 2011 R2 sürümü ile ekledi ).

 

MBAM bize neler sağlar?

 

Bitlocker sürücü şifreleme için bir yönetim paneli sunmaktadır. Bitlocker Policy leri ile yasal uyum konusunda çözüm üretebilir ve bu uyguladığınız policylerin raporunu alabilirsiniz. Ek olarak kaybolan şifreleme anahtarlarını kurtarma özelliği sunmaktadır.

 

MBAM Mimarisi

 

Temelde 5 bileşenden oluşmaktadır.

 

Konuda çokça bahsi geçen “uyum” kelimesini açıklamak istiyorum.

 

MBAM anlatırken pek çok yerde geçecek olan bu uyum kelimesi gerçekten bu işler ile uğraşmamış insanlar için çok anlamsız kalabilir.

 

Bildiğiniz gibi kurumsal firmalar içerisinde bulunduğu sektöre göre veya şirket için bir takım prosedürlere göre “uyum” kuralları belirlemektedir ( Örneğin bankacılık sektörü için uyum noktasındaki pek çok kuralı BDDK koyar. Ancak ek olarak bankalarda kendi içlerinde bir takım uyum kuralları belirlemektedir). En basit olarak güçlü şifreler kullanmak bir uyum çözümüdür. Verilerin şifrelenmesi, tüm bilişim çalışanlarının loglarının merkezi olarak toplanması, uzak erişim yani SSL VPN ile bağlantıda ekran görüntülerinin kayıt edilmesi, Exchange yöneticilerinin send as veya manage full access permission olarak isimlendirdiğimiz bir başkasının posta kutusuna bağlnaması gibi yönetimsel faaliyetlerinin loglanması ve benzeri pek çok uyum çözümü bulunmaktadır.

 

Administration and Monitoring Server:

 

Yönetim konsolu sayesinde kurumsal uyum noktasında istemci bilgisayarların durumunu kontrol edebilir ve aktivitelerin raporunu çıkarabiliriz. Ek olarak şifreleme anahtarlarının kurtarılmasını sağlar.

 

Compliance and Audit Database:

 

İstemci bilgisayarların loglarını SQL Server üzerinde saklar ve SQL Server Reporting Services (SSRS) desteği ile istemci bilgisayarlarındaki uyum verilerin raporunu sunar.

 

Recovery and Hardware Database:

 

İstemci bilgidayarların donanım ve kurtarma verilerini bir veri tabanında saklayarak ihtiyaç duyulması halinde bizlere sunmaktadır.

 

Compliance and Audit Reports:

 

SQL Server Reporting Services (SSRS) sayesindeManagement Console üzerinden direkt olarak istemci raporlarına ulaşabiliriz.

 

Policy Template:

 

GPO şablonları sayesinde merkezi olarak istemci bilgisayarların disk şifreleme işlemlerini yönetebiliriz.

 

Client Agent;

 

İstemci tarafındaki bir ajan yazılım sayesinde

 

1 – GPO üzerinden disk şifreleme işleminin gerçekleşmesi

2 – Recovery Key yani kurtarma anahtarının işletim sistemi diski, veri diski ve çıkarılabilir diskler için toplanmasını sağlar.

3 – Kurtarma bilgisi ve donanım bilgisinin toplanmasını sağlar.

4 – Uyum verilerinin raporlanması için bu verilerin raporlama sistemine ulaştırılmasını sağlar.

 

Peki şimdi sıra geldi MBAM yüklemesine.

 

MBAM Server için sistem gereksinimleri aşağıdaki gibidir;

 

 

image001

 

 

Gerekli olan sunucu rolleri ve özellikleri ise aşağıdaki gibidir;

 

 

image002

 

 

Bu temel ihtiyaçlar sonrasında ise mimari gereği bize sunulan ek özellikler için ise aşağıdaki temel gereksinimleri yerine getirmeniz gerekmektedir.

 

Compliance and Audit Reports Server

 

Bu sunucu rölü için SQL Server Reporting Services (SSRS) gerekmektedir. (Microsoft SQL Server 2008  R2, Enterprise, Datacenter veya Developer edition ile sağlanan bir SSRS gereklidir.

 

Not; MBAM yüklemesinden önce SSRS yüklü ve çalışıyor olmalıdır. Ek olarak SSRS “native” mode olarak konfigüre edilmiş olmalı, “unconfigured veya “Sharepoint” modunda olmamalıdır.

 

Recovery and Hardware Database Server

 

Bunun için ise Microsoft SQL Server 2008  R2 ( Enterprise, Datacenter veya Developer ) gereklidir.

 

Not; MBAM yüklemesinden önce SQL Servisi yüklü ve çalışıyor olmalıdır.

 

Compliance Status Database Server

 

Bu sunucu rolü içinde bir SQL Server 2008 R2 gereklidir (Standard, Enterprise, Datacenter veya Developer )

 

Not; MBAM yüklemesinden önce SQL yüklü ve çalışıyor olmalıdır.

 

İstemci OS desteği ise aşağıdaki gibidir

 

 

image003

 

 

Ek olarak istemci makinelerde TPM v1.2 chip olmalıdır. ( TPM chip BIOS tan açılmalıdır.)

 

MBAM kurulumu için aşağıdaki rolleri tek bir sunucu veya 5 ayrı sunucuya kurma şansına sahibiz.

 

·         Recovery and Hardware Database

·         Compliance Status Database

·         Compliance and Audit Reports

·         Administration and Monitoring Server

·         Group Policy Templates

 

 

Tek sunucu modelinde tüm bu rolleri tek bir sunucuya yükleyebiliriz. Ancak bu sadece test ortamları için tavsiye edilen bir durum.

 

Üç sunuculu modelde ise DB leri ve report sunucularını tek bir server üzerinde topluyoruz. Yönetim ayrı bir server, GPO Policy ise ayrı bir server oluyor.

 

Beş sunucu modelde ise her bir role ayrı bir sunucu üzerine yükleniyor.

 

Ben makalemde tek bir sunucu üzerinde tüm yüklemeleri gerçekleştireceğim.

 

Ek bir bilgi olarak yükleme sıralamasını da paylaşmak istiyorum. Özellikle 3 veya 5 sunuculu modelde yükleme sırası aşağıdaki gibi olmalıdır.

 

1.  Recovery and Hardware Database

2.  Compliance Status Database

3.  Compliance Audit and Reports

4.  Administration and Monitoring Server

5.  Policy Template

 

Yükleme kısmına geçmeden önce değinmek istediğim bir kaç noktadan bir tanesi High Availability – HA konusudur.

 

Malum büyük şirket yapılarında böyle bir sistemi kullanmak istiyorsanız düşünmeniz gereken pek çok performans ve benzeri duruma ek olarak yüksek erişilebilirlik noktasında da mutlaka bir çözümünüz olmalıdır. Veya isteğe bağlı olarak bunun HA noktasında bir çözüm üretimini istemeyebilirsiniz. Bu tür kararlar genellikle kurumların içerisindeki iş sürekliliği servisleri tarafından belirlenmektedir.

 

Eğer MBAM çalışmaz ise temelde ne tür sorunlar ile karşılaşırsınız?

 

MBAM servisleri çalışmadığında

 

1 – Sürücü şifreleme istemcide başlamaz

2 – Uyum durum bilgisi sunucuya iletilemez

3 – Key Recovery Console çalışmayacağı için insanlar kaybettikleri şifreleri için kurtarma anahtarları alamaz

4 – Raporlama çalışmaz

 

Bu nedenle HA çözümü uygulamak bence gereklidir.

 

Burada önemli iki servis vardır, birincisi veri tabanı, ikincisi ise web servisleridir. Bu nedenle bu iki servisi yüksek erişilebilirlik noktasında dizayn etmeniz gerekmektedir. Makalemin ana konusu olmadığı için bu iki konuda sadece sizlere link veriyorum.

 

SQL için

 

http://technet.microsoft.com/en-us/library/bb522583(SQL.105).aspx

 

Web servisleri için

 

http://technet.microsoft.com/en-us/library/cc753624.aspx

 

Yine yükleme işleminden önce değinmek istediğim bir diğer konuda yönetim rolleridir. Malum şirket yapınız büyüdükçe işler büyür ve bu işleri yönetecek sistemlerin sayısı – karmaşıklığı artar. Durum böyle olunca da pek çok farklı görevde bilişim çalışanı olur.

 

Durum böyle olunca da ortaya delegasyon – yetkilendirme kavramları çıkar. MBAM da bu konuda bize farklı roller sunmaktadır.

 

Temel roller aşağıdaki gibidir.

 

MBAM System Administrators

 

Bu bir local grup olup BitLocker yönetimi ve izleme özelliklerine sahiptir. Bu role Administration ve Monitoring sunucularında görülür.

 

MBAM Hardware Users

 

Bu local group Hardware Capability özelliğini yönetmektedir. Sadece monitoring sunucularında görülür.

 

MBAM Helpdesk Users

 

Bu local group MBAM’ ın Helpdesk özelliklerini yönetir. Bu role Administration ve Monitoring sunucularında görülür.

 

MBAM Report Users

 

Bu local group “Compliance and Audit” raporlarına ulaşmaktadır. Görüldüğü sunucu rolleri ise Administration and Monitoring Server, Compliance and Audit Reports Server, and Compliance Status Database Server’ dır.

 

MBAM Advanced Helpdesk Users

 

Standart Helpdesk özelliklerinin arttrılması ile oluşan bu local group Administration and Monitoring Server rolü üzerinde görülür. Eğer bir kullanıcı hem MBAM Helpdesk Users hemde MBAM Advanced Helpdesk Users üyesi ise , MBAM Advanced Helpdesk Users izinleri MBAM Helpdesk User izinlerini ezerek daha baskın hale gelmektedir.

 

Evet, temel olarak MBAM’ ın ne olduğundan ve sunucu ihtiyaçlarından bahsettik. Makalemin ikinci bölümünde istemci dağıtımı, sunucu kurulumu ile devam edeceğim.

 

Umarım faydalı bir makale olmuştur. Bir sonraki makalemde görüşmek dileği ile esen kalın.

Makalemin ikinci bölümü için aşağıdaki linki kullanabilirsiniz

Active Directory Merkezi Yönetim ile Bitlocker Disk Şifreleme (Microsoft BitLocker Administration and Monitoring MBAM) – Bölüm 2 – ÇözümPark (cozumpark.com)

Hakan Uzuner

2002 yılından beri aktif olarak bilişim sektöründe çalışmaktayım. Bu süreç içerisinde özellikle profesyonel olarak Microsoft teknolojileri üzerinde çalıştım. Profesyonel kariyerim içerisinde eğitmenlik, danışmanlık ve yöneticilik yaptım. Özellikle danışmanlık ve eğitmenlik tecrübelerimden kaynaklı pek çok farklı firmanın alt yapısının kurulum, yönetimi ve bakımında bulundum. Aynı zamanda ÇözümPark Bilişim Portalı nın Kurucusu olarak portal üzerinde aktif olarak rol almaktayım. Profesyonel kariyerime ITSTACK Bilgi Sistemlerinde Profesyonel Hizmetler Direktörü olarak devam etmekteyim.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu