• Guide, Sistemi Operativi
• 21 Agosto 2019

MBAM (Microsoft BitLocker Administration and Monitoring) è un prodotto incluso nel MDOP (Microsoft Desktop Optimization Pack) che permette una gestione avanzata della funzionalità Bitlocker. Consente di automatizzare il processo di crittografia dei volumi e determinare rapidamente lo stato di conformità sui computer client all’interno dell’azienda.

Abbiamo già parlato di Bitlocker e delle relative funzionalità nell’articolo Gestire la crittografia dei dischi con Bitlocker in un ambiente Enterprise .

Per implementare MBAM all’interno della propria organizzazione, è necessaria la configurazione di un’infrastruttura server. Trovate informazioni alla pagina https://docs.microsoft.com/en-us/microsoft-desktop-optimization-pack/mbam-v25/deploying-the-mbam-25-server-infrastructure .

Microsoft ha rilasciato la soluzione integrata direttamente in SCCM Technical Preview 1905 e non sono necessarie attività infrastrutturali lato MBAM. Diverso il discorso per SCCM, dove bisogna configurare il traffico in HTTPS e di conseguenza è richiesta una Certification Authority.

Di seguito i passaggi per l’implementazione della soluzione.

Sulla consolle SCCM selezionate Assets and Compliance -> Overview -> Endpoint Protection -> Bitlocker Management (MBAM):

Figura 1 – Bitlocker Management in SCCM technical preview

Cliccate su “Create Bitlocker Management Control Policy” e successivamente spuntate Client Management e Operating System Drive.

Figura 2 – Bitlocker Management Control Policy

Nel tab Setup selezionate il metodo di encryption dei volumi. Nel mio caso, ho definito solo quelli di Windows 10 non avendo client con versioni OS precedenti.

Figura 3 – Configurazione del metodo di crittografia dei volume

Successivamente abilitate gli MBAM services per far si che le chiavi di ripristino e le informazioni sui volumi vengano salvati in SCCM.

Figura 4 – MBAM Services in SCCM

Nel tab Operating System Drive, se abilitato, si definiscono le impostazioni per la crittografia del volume del sistema operativo.

Figura 5 – Operating System Drive Bitlocker in SCCM

Figura 6 – Summary Bitlocker Policy in SCCM

Figura 7 – Bitlocker Policy Completion in SCCM

Una volta terminata la configurazione, è necessario effettuare il deploy della policy Bitlocker sulla collection interessata.

Figura 8 – Deploy della Bitlocker policy

Figura 9 – Deploy Settings Bitlocker Policy in SCCM

Per verificare lato client la corretta esecuzione della policy Bitlocker, nei log del client SCCM (C:\Windows\CCM\Logs) troverete 2 nuovi file BitlockerManagementHandler e BitlockerManagement_GroupPolicyHandler.

Figura 10 – BitlockerManagementHandler Log in SCCM Client

Tra i programmi installati ci sarà MDOP MBAM che è il tool utilizzato per il sync e la crittografia del volumi.

Figura 11 – Programma MDOP MBAM client

Avendo impostato nella Bitlocker policy la necessità di un PIN all’avvio del sistema operativo, lato client apparirà il seguente wizard per la creazione.

Figura 12 – Bitlocker Wizard su client

Figura 13 – Inserimento del PIN sul wizard Bitlocker

Figura 14 – Crittografia del volume

Terminata la crittografia del volume, possiamo verificare lato log la compliance o meno della policy Bitlocker sul client.

Figura 15 – Bitlocker Management Policy compliance su client

Le chiavi di ripristino e relative informazioni, sono recuperabili direttamente dal DB Sql di SCCM.

Ad esempio, disabilitando il TPM tramite BIOS di un client con Bitlocker, verrà richiesto l’inserimento della chiave di ripristino.

Figura 16 – Richiesta della chiave di ripristino Bitlocker

Con una query SQL, è possibile recuperare la chiave associata al Recover Key ID della macchina.

Figura 17 – SQL Query per recupero chiave di ripristino

Conclusioni

Con l’integrazione dell’infrastruttura MBAM in Configuration Manager, si facilita notevolmente l’implementazione di Bitlocker all’interno di una organizzazione.

Il rilascio della nuova funzionalità dovrebbe avvenire nella prossima versione Current Branch. Per chi volesse testare la soluzione è disponibile il download di System Center Configuration Manager Technical Preview alla pagina: https://www.microsoft.com/it-it/evalcenter/evaluate-system-center-configuration-manager-and-endpoint-protection-technical-preview