Gestione Bitlocker con MBAM in System Center Configuration Manager Technical Preview
MBAM (Microsoft BitLocker Administration and Monitoring) è un prodotto incluso nel MDOP (Microsoft Desktop Optimization Pack) che permette una gestione avanzata della funzionalità Bitlocker. Consente di automatizzare il processo di crittografia dei volumi e determinare rapidamente lo stato di conformità sui computer client all’interno dell’azienda.
Abbiamo già parlato di Bitlocker e delle relative funzionalità nell’articolo Gestire la crittografia dei dischi con Bitlocker in un ambiente Enterprise .
Per implementare MBAM all’interno della propria organizzazione, è necessaria la configurazione di un’infrastruttura server. Trovate informazioni alla pagina https://docs.microsoft.com/en-us/microsoft-desktop-optimization-pack/mbam-v25/deploying-the-mbam-25-server-infrastructure .
Microsoft ha rilasciato la soluzione integrata direttamente in SCCM Technical Preview 1905 e non sono necessarie attività infrastrutturali lato MBAM. Diverso il discorso per SCCM, dove bisogna configurare il traffico in HTTPS e di conseguenza è richiesta una Certification Authority.
Di seguito i passaggi per l’implementazione della soluzione.
Sulla consolle SCCM selezionate Assets and Compliance -> Overview -> Endpoint Protection -> Bitlocker Management (MBAM):
Figura 1 – Bitlocker Management in SCCM technical preview
Cliccate su “Create Bitlocker Management Control Policy” e successivamente spuntate Client Management e Operating System Drive.
Figura 2 – Bitlocker Management Control Policy
Nel tab Setup selezionate il metodo di encryption dei volumi. Nel mio caso, ho definito solo quelli di Windows 10 non avendo client con versioni OS precedenti.
Figura 3 – Configurazione del metodo di crittografia dei volume
Successivamente abilitate gli MBAM services per far si che le chiavi di ripristino e le informazioni sui volumi vengano salvati in SCCM.
Figura 4 – MBAM Services in SCCM
Nel tab Operating System Drive, se abilitato, si definiscono le impostazioni per la crittografia del volume del sistema operativo.
Figura 5 – Operating System Drive Bitlocker in SCCM
Figura 6 – Summary Bitlocker Policy in SCCM
Figura 7 – Bitlocker Policy Completion in SCCM
Una volta terminata la configurazione, è necessario effettuare il deploy della policy Bitlocker sulla collection interessata.
Figura 8 – Deploy della Bitlocker policy
Figura 9 – Deploy Settings Bitlocker Policy in SCCM
Per verificare lato client la corretta esecuzione della policy Bitlocker, nei log del client SCCM (C:\Windows\CCM\Logs) troverete 2 nuovi file BitlockerManagementHandler e BitlockerManagement_GroupPolicyHandler.
Figura 10 – BitlockerManagementHandler Log in SCCM Client
Tra i programmi installati ci sarà MDOP MBAM che è il tool utilizzato per il sync e la crittografia del volumi.
Figura 11 – Programma MDOP MBAM client
Avendo impostato nella Bitlocker policy la necessità di un PIN all’avvio del sistema operativo, lato client apparirà il seguente wizard per la creazione.
Figura 12 – Bitlocker Wizard su client
Figura 13 – Inserimento del PIN sul wizard Bitlocker
Figura 14 – Crittografia del volume
Terminata la crittografia del volume, possiamo verificare lato log la compliance o meno della policy Bitlocker sul client.
Figura 15 – Bitlocker Management Policy compliance su client
Le chiavi di ripristino e relative informazioni, sono recuperabili direttamente dal DB Sql di SCCM.
Ad esempio, disabilitando il TPM tramite BIOS di un client con Bitlocker, verrà richiesto l’inserimento della chiave di ripristino.
Figura 16 – Richiesta della chiave di ripristino Bitlocker
Con una query SQL, è possibile recuperare la chiave associata al Recover Key ID della macchina.
1 2 3 4 5 6 7 8 9 |
SELECT [Id] ,[LastUpdateTime] ,[VolumeId] ,[RecoveryKeyId] ,[RecoveryKey] ,[RecoveryKeyPackage] ,[Disclosed] FROM [DatabaseSCCM].[dbo].[RecoveryAndHardwareCore_Keys] WHERE RecoveryKeyID = ‘Recovery Key ID’ |
Figura 17 – SQL Query per recupero chiave di ripristino
Conclusioni
Con l’integrazione dell’infrastruttura MBAM in Configuration Manager, si facilita notevolmente l’implementazione di Bitlocker all’interno di una organizzazione.
Il rilascio della nuova funzionalità dovrebbe avvenire nella prossima versione Current Branch. Per chi volesse testare la soluzione è disponibile il download di System Center Configuration Manager Technical Preview alla pagina: https://www.microsoft.com/it-it/evalcenter/evaluate-system-center-configuration-manager-and-endpoint-protection-technical-preview