MBAM Deep Dive
Merhaba, bundan önce MBAM hakkında 4 bölümlük bir makale yayınlamıştım, öncelikle bunları okuyabilirsiniz
Bu makalemde ise daha detaylı bir şekilde ürünü inceliyor olacağım.
MBAM, temel anlamda BitLocker ve BitLocker To Go için kurumsal anlamda yönetim kabiliyetleri sunan bir üründür. Temel anlamda yaygınlaştırma – şifreleme, anahtar kurtarma, raporlama ve izleme gibi temel fonksiyonlar sunar.
Temel iki farklı şekilde kurumunuza uygulanabilir
· Stand-alone Topology
· Configuration Manager Integration Topology
Stand-alon Topology
Bu mimaride temel 4 rolümüz vardır. Detayları ise aşağıdaki gibidir;
Database
Recovery Database: İstemcilerden toplanan kurtarma anahtarlarını saklar.
Compliance and Audit Database: İstemcilerin uyum ve durum raporlarını saklar.
Compliance and Audit Reports
Reporting Web Service: Bu servisin görevi yöneticilerin kullandığı Administration and Monitoring Website ile raporların tutulduğu SQL arasındaki iletişimi sağlar.
Reporting Website (Administration and Monitoring Website): IT yöneticilerinin kullandığı yönetim konsoludur.
SQL Server Reporting Services (SSRS): Administration and Monitoring Website üzerinde görüntülediğimiz raporların hazırlanması için kullanılır. Raporlar direkt olarak SSRS üzerinden çekilir.
Self-Service Server
Self-Service Web Service: Bu servis MBAM Client, Administration and Monitoring Website ve Self-Service Portal’ ın Recovery veri tabanı ile iletişim kurmasını sağlar.
Self-Service Website (Self-Service Portal): Son kullanıcıların kendi kurtarma anahtarlarını edinmelerini sağlayan web sitesidir.
Administration and Monitoring Server
Administration and Monitoring Web Service: MBAM client ve diğer MBAM web sitelerinin MBAM veri tabanları ile iletişim kurmasını sağlar. ( 2.5 SP1 de bu servis yoktur, artık istemci ve web siteleri recovery veri tabanı ile direkt iletişim kurabilirler)
Administration and Monitoring Website (also known as the Help Desk: Son kullanıcı desteği veren IT çalışanlarının son kullanıcılara PIN veya şifrelerini vermesi için kullanılır.
Yapının topolojisi ise aşağıdaki gibidir;
Configuration Manager Integration Topology
Bu yapıda ise Stand-alone yapıya göre “Configuration Manager Features” kısmında ek bileşenler bulunmaktadır.
Configuration Manager Features
Configuration Manager Management console: SCCM yönetim konsolu olup raporlama amaçlı kullanılabilir ( MBAM tarafında raporlama için kullanılabildiği gibi SCCM in diğer fonksiyonları için yönetim yapabilirsiniz)
Configuration Manager Reports: Ortamınızdaki bilgisayarlar ve onların durumları hakkında bilgi alabileceğiniz raporlar sunulmaktadır. Stand-alone senaryosunda bulunan uyum raporlarına karşılık gelmektedir.
SQL Server Reporting Services: SCCM konsolu üzerinden raporların görüntülenmesini sağlar.
Aşağıdaki resimde ise SCCM entegrasyonu olan bir topoloji görüyorsunuz.
Öncelikle kurulum için yukarıdaki senaryodan ortamınız için en uyun olanı seçiyoruz. Ben makalemin ilk bölümünde Stand-Alone kurulum gerçekleştireceğim. Aslında gereksinimlerin büyük bölümü ortak ama tabiki SCCM senaryosu için ortamda SCCM olması ve bir takım ek yapılandırmalar gerekli.
MBAM için en önemli bağımlılık ortamınızda en az 1 adet Windows Server 2008 DC olmalıdır. Yani 2003 DC ortamlarında çalışmamaktadır.
MBAM için veri tabanı ve yönetim sunucusu olmak üzere aslında iki temel sunucu gereksinimi vardır. İsterseniz bu iki sunucuyu bir arada kurabilirsiniz. Yani hem veri tabanlarını hem de yönetim konsollarını. Eğer ayrı ayrı kuracaksanız sistem gereksinimleri aşağıdaki gibidir;
MBAM için “Recovery Database” ve “Compliance and Audit Database” olmak üzere iki ayrı veri tabanı gereksinimi vardır ( ek olarak birde raporlama için Reporting services gereklidir), bu veri tabanı “SQL_Latin1_General_CP1_CI_AS” collaction a göre kurulmuş olması gereklidir. Eğer SQL MBAM için ayrıca kurulmayacak ise yani konsolide – ortak bir veri tabanına yazılacak ise bu durumda aşağıdaki role gereksinimleri her veri tabanı için MBAM kuracak kullanıcı için gereklidir.
SQL Server
· dbcreator
· processadmin
SQL Server Reporting Services
· Create Folders
· Publish Reports
Aşağıdaki özelliklerin yüklü olması gereklidir;
SQL Server features:
· Database Engine
· Reporting Services
· Client Tools Connectivity
· Management Tools – Complete
Reporting servis, native mode olarak yapılandırılmalıdır. ( sharepoint mode veya unconfigured olmamalıdır)
Desteklediği SQL sürümleri ise aşağıdaki gibidir;
Yönetim ve izleme için ise Minimum Windows Server 2008 R2 SP1 ve üstü bir Windows sunucu işletim sistemi gereklidir.
CPU olarak 2Ghz, 4 Core, 8GB RAM ve DB hariç 2 GB boş alan yeterlidir. Yani standart bir sanal makinede gayet rahat çalışabilir.
Eğer SCCM ile bütünleşmiş bir kurulum yapacak iseniz minimum Microsoft System Center Configuration Manager 2007 R2 SP1 ve sonrası bir ürün ile entegre olarak çalışabilir.
IIS ve aşağıdaki bileşenler gereklidir.
Common HTTP Features:
• Static Content
• Default Document
Application Development:
• ASP.NET
• .NET Extensibility
• ISAPI Extensions
• ISAPI Filters
Security:
• Windows Authentication
• Request Filtering
Ek olarak
.NET Framework 4.5 Features:
· .NET Framework 4.5
· WCF Activation
o HTTP Activation
o Non-HTTP Activation
o TCP Activation
Windows Process Activation Service:
• Process Model
• .NET Framework Environment 3.5
• Configuration APIs
ve
Yüklü olmalıdır.
Eğer kurulumu yapacak hesap AD üzerinde SPN oluşturma hakkına sahip değil ise Web konsol hizmetini verecek web server için ilişkili application pool kullanıcısı için aşağıdaki gibi SPN kaydını yetkili bir kullanıcı oluşturmalıdır.
Setspn -s http/mbamvirtual cozumpark\mbamapppooluser
Setspn -s http/mbamvirtual.cozumpark.com cozumpark\mbamapppooluser
Mbamvirtual – MBAM yönetim ve izleme konsol sunucu ismidir, mbamapppooluser ise IIS de application pool için tanımlanmış kullanıcı hesabıdır.
İstemci tarafına gelecek olursak Windows 7 makineler için TPM çip ( TPM 1.2 ve sonrası) şart olup Windows 8 ve sonrası için şart değildir. Windows 8 ve sonraki işletim sistemlerinde eğer TPM revocery key’ in MBAM üzerinde tutulmasını istiyorsanız bu durumda TPM auto-provisioning kapalı olmalıdır. Ama MBAM 2.5 SP1 kullanıyorsanız artık bu zorunluluk ortadan kalktı. Ancak yinede GPO ile TPM tarafında “TPM OwnerAuth to Active Directory” ayarlanmamış olmalıdır. TPM çipleri BIOS tan açılmış ve işletim sistemi tarafından resetlenebilir olmalıdır. İşletim sistemi en az iki partition a sahip olmalı ve dosya sistemi NTFS olmalıdır.
Desteklenen işletim sistemleri ise aşağıdaki gibidir;
Peki, MBAM ile sahip olduğunuz sürücüleri nasıl koruyabilirsiniz?
İşletim Sistemi için desteklenen koruma yöntemleri – Operating system volumes
· Trusted Platform Module (TPM)
· TPM + PIN
· TPM + USB key (MBAM yüklemeden önce işletim sistemi sürücüsü şifrelenmiş ise)
· TPM + PIN + USB key (MBAM yüklemeden önce işletim sistemi sürücüsü şifrelenmiş ise)
· Password (Windows To Go aygıtları veya TPM çip olmayan ancak Windows 8 ve üstü işletim sistemleri için)
· Numerical password
· Data recovery agent (DRA)
Veri diskleri için – Fixed data drives
· Password
· Auto-unlock
· Numerical password
· Data recovery agent (DRA)
Çıkarılabilir aygıtlar için – Removable drives
· Password
· Auto-unlock
· Numerical password
· Data recovery agent (DRA)
Client yönetimi için bir gerekli konu ise GPO şablonudur. Öncelikle aşağıdaki adresten bunu indirelim
Microsoft Desktop Optimization Pack Group Policy Administrative Templates
https://www.microsoft.com/en-us/download/details.aspx?id=41183
Klasör içerisindeki MBAM 2.5SP1 klasörünün içeriğini kopyalayın ve MBAM yönetimini yapacağınız sunucu içerisinde veya DC tarafında GPO için central store var ise oraya kopyalamalıyız
Yerel bilgisayar için içeriği
Group Policy template (.admx) içeriğini %systemroot%\policyDefinitions dizinine
Group Policy language file (.adml) içeriğini ise %systemroot%\policyDefinitions\[MUIculture]
Dizinine yapıştırıyoruz. Yani aslında şablon ve dil dosyalarını ayırmak için ama zaten dosya içeriğini direkt olarak policyDefinitios dizinine yapıştırabilirsiniz çünkü dil dosyası da otomatik aynı klasöre kopyalanır. Zaten tüm dilleri kopyalamanıza gerek yoktur, İngilizce yeterlidir.
Eğer DC de merkezi saklama alanı yapılandırmanız var ise bu durumda dosya içeriğini aşağıdaki dizine kopyalayın
%systemroot%\sysvol\domain\policies\PolicyDefinitions
Örneğin benim yolum aşağıdaki gibi;
C:\Windows\SYSVOL\sysvol\cozumpark.local\Policies\PolicyDefinitions
İstemci ayarlarının detaylarına makalemin ilerleyen bölümlerinde devam edeceğim. Şimdi MBAM yaygınlaştırması için gerekli olan bir diğer ihtiyaca gelelim, kullanıcı ve gruplar!
Compliance, Audit Database ve Recovery Database (kullanıcı veya grup)
Bu veri tabanına erişim ve yazma yetkisine sahip bir domain user veya domain grubu gereksinimi vardır. MBAM yapılandırması sırasında “Configure Web Applications” bölümünde bu kullanıcı bilgileri girilmelidir.
Compliance and Audit Database read-only user or group for reports (kullanıcı veya grup)
Sadece raporlama için kullanılacak bir kullanıcı veya grup oluşturuyoruz. Bu bilgiyi de yine yapılandırma sırasında Configure Reports bölümündeki Compliance and Audit Database domain account kısmına yazıyoruz.
Reports read-only domain access group (grup)
Administration and Monitoring web sitesi üzerinde raporlara erişecek domain grubudur.
Compliance and Audit Database domain user account (kullanıcı)
SQL Server Reporting Services instance’ ın Compliance and Audit veri tabanına erişmek için kullanacağı hesap bilgileridir. Kurulum sırasında “Configure Databases” bölümünde yine yukarıda bahsettiğimiz Read-only access domain user or group için tanımladığınız kullanıcı veya bu grubun üyesi bir kullanıcıyı tanımlayabilirsiniz.
Web service application pool domain account (kullanıcı)
Application Pool için kullanılacak bir domain hesabı gereklidir. Yukarıda bahsettiğimiz gibi Configure Databases bölümünde Read/write access domain user or group ile aynı değeri girebiliriz.
MBAM Advanced Helpdesk Users access group (grup)
Administration and Monitoring Website üzerinde tüm kurtarma seçeneklerine erişecek kullanıcıların üyesi olduğu bir grup gereklidir.
MBAM Helpdesk Users access group (grup)
TPM yönetimi ve Disk kurtarma yetkisine sahip kullanıcıların üyesi olacağı bir grup gereklidir.
MBAM Report Users access group (grup)
Raporlama amacı ile bir grup gereklidir.
MBAM Data Migration User Group (grup)
Bu ek olarak kullanılabilecek bir grup olup üyeleri MBAM server üzerinde çalışan MBAM Recovery ve Hardware servise sayesinde MBAM veri tabanına yazma yetkisine sahip kullanıcıları içerir.
Evet, bu bölümde daha çok MBAM mimari yapısından ve gereksinimlerinden bahsettiğim, ikinci bölümde ise kurulum adımlarına geçiyor olacağım.
Kaynaklar
https://technet.microsoft.com/en-us/windows/hh826072.aspx