Anasayfa » MBAM Deep Dive – MBAM Stand Alone Mimarisi Nasıl Kurulur? – Bölüm2

Makaleyi Paylaş

Windows Server

MBAM Deep Dive – MBAM Stand Alone Mimarisi Nasıl Kurulur? – Bölüm2

Makalemin ilk bölümünde mimari ve kurulum gereksinimlerinden bahsetmiştim, ikinci bölümünde ise Stand-alone mimari için kurulumu göstermiştim. Bu bölümde ise kurulum sonrasında gerekli olan GPO şablonların kopyalanması, düzenlemesi ve agent dağıtımını anlatacağım.

Öncelikle kurulum sonrasında yönetim için ihtiyaç duyduğumuz şablonu aşağıdaki linkten indirebiliriz

Microsoft Desktop Optimization Pack Group Policy Administrative Templates

https://www.microsoft.com/en-us/download/details.aspx?id=41183

Sponsor

clip_image002

Klasör içerisindeki MBAM 2.5SP1 klasörünün içeriğini kopyalayın ve MBAM yönetimini yapacağınız sunucu içerisinde veya DC tarafında GPO için central store var ise oraya kopyalamalıyız

Yerel bilgisayar için içeriği

Group Policy template (.admx) içeriğini %systemroot%\policyDefinitions dizinine

Group Policy language file (.adml) içeriğini ise %systemroot%\policyDefinitions\[MUIculture]

Dizinine yapıştırıyoruz. Yani aslında şablon ve dil dosyalarını ayırmak için ama zaten dosya içeriğini direkt olarak policyDefinitios dizinine yapıştırabilirsiniz çünkü dil dosyası da otomatik aynı klasöre kopyalanır. Zaten tüm dilleri kopyalamanıza gerek yoktur, İngilizce yeterlidir.

Eğer DC de merkezi saklama alanı yapılandırmanız var ise bu durumda dosya içeriğini aşağıdaki dizine kopyalayın

%systemroot%\sysvol\domain\policies\PolicyDefinitions

Örneğin benim yolum aşağıdaki gibi;

C:\Windows\SYSVOL\sysvol\cozumpark.local\Policies\PolicyDefinitions

clip_image004

Şimdi yeni veya test için kullanabileceğimiz bir OU üzerinde yeni bir GPO oluşturuyoruz.

clip_image006

İsmi MBAM Policy olsun

Oluşturduğumuz policy üzerine sağ tıklıyoruz ve edit diyerek açılan ekrandan aşağıdaki yolu buluyoruz

Computer configuration > Policies > Administrative Templates > Windows Components > MDOP MBAM (BitLocker Management)

clip_image007

İlk olarak istemci yönetimini yapıyoruz

Computer Configuration > Policies >Administrative Templates > Windows Components > MDOP MBAM (BitLocker Management) > Client Management.

clip_image009

Client Management klasörü içerisindeki ilkeler aşağıdaki gibidir;

clip_image011

MBAM servisi için aşağıdaki gibi bilgileri tanımlıyoruz;

clip_image013

MBAM Recovery and Hardware service Endpoint;

http://dc1.cozumpark.local/MBAMRecoveryAndHardwareService/CoreService.svc

MBAM Status reporting service Endpoint

http://dc1.cozumpark.local/MBAMComplianceStatusService/StatusReportingService.svc

Bu ayarlar istemcilerin MBAM servislerini bulması için yeterlidir.

Şimdi ise geriye sürücü ayarlarını tamamlamak kalıyor. Burada 3 farklı sürücü şablonu için ayarlar yer almaktadır;

Fixed Drive Group Policy definitions

Operating System Drive Group Policy definitions

Removable Drive Group Policy definitions

Benim ilk senaryom çıkarılabilir aygıtlar için olacaktır.  (Removable Drive)

Control use of Bitlocker on removable drives

clip_image015

Bu policy sayesinde kullanıcıların çıkarılabilir aygıtları Bitlocker ile şifrelemesine izin veriyoruz. Ek olarak isterseniz şifrelemeyi durdurma veya decrypt etmeleri içinde ikinci kutucuğu işaretleyebilirsiniz. Eğer sadece şifreleme yapmalarını istiyorsanız ilk kutucuk işaretli olmalıdır.

Deny write access to removable drives not protected by BitLocker

Bu policy aktif olarak kullanmıyor, ancak bazı şirket senaryolarında gerekebilir. Bu policy enabled edilmesi durumunda kullanıcılar sadece şifreli olan çıkarılabilir aygıtlara yazabilirler, aksi halde diğer aygıtları sadece okuyabilirler.

clip_image017

Configure use of password for removable data drives

Eğer kullanıcılar kendi cihazlarını şifrelerken kullandıkları şifre politikasına müdahale etmek istiyorsanız bu ilkeyi kullanabilirsiniz. Aksi halde aşağıda da görebileceğiniz gibi son kullanıcı tarafından atanacak bir şifre ile süreç tamamlanacaktır.

 clip_image019

 

clip_image021

 

Choose how BitLocker-protected removable drives can be recovered

Bitlocker kurtarma anahtarının nasıl saklanacağını ayarladığımız bu policy sayesinde son kullanıcıların verilerini şifreledikten sonra kullandıkları Password, sakladıkları kurtarma anahtarı ve benzeri gereksinimler olmadan şifrelenmiş olan verilerine tekrar ulaşabilirler. Örneğin kurtarma anahtarını AD üzerinde saklarsanız daha sonra AD üzerinden bu anahtarı edinebilirsiniz. Biz MBAM kullanacağımız için bu policy bizim için gerekli bir policy değildir, çünkü Bitlocker yapacak tüm makinelerde agent yüklü olması gereklidir.

Son durum aşağıdaki gibidir;

clip_image023

Son olarak MBAM agent dağıtımını gerçekleştiriyor olmamız gerekli. MBAM kurulum dosyası içerisinde bulunan “MbamCLientSetup.exe” dosyasının istemci makinelere dağıtmanız gereklidir.

clip_image025

 

Bunun SCCM ile yapabilirsiniz,  Windows imajlarınızı hazırlarken agent kurulumunu yapabilirsiniz

https://technet.microsoft.com/en-us/library/dn645336.aspx

Veya komut seti ile yükleyebilirsiniz

MBAMClientSetup.exe /acceptEula=Yes

Exe içeriğini MSI olarak çıkarabilir

MBAMClientSetup.exe /extract <path to extract MSI> /acceptEula=Yes

Daha sonra bu MSI içeriğini kullanıcı katılımı olmadan yükleyebilirsiniz.

msiexec /i <path to extracted MSI> /qb ALLUSERS=1 REBOOT=ReallySuppress

 

Makalemin sonuna geldim, umarım faydalı bir makale olmuştur.

 

 Kaynaklar

https://support.microsoft.com/en-us/kb/3046555

https://technet.microsoft.com/en-us/library/dn645338%28v=vs.85%29.aspx

Makaleyi Paylaş

2002 yılından beri aktif olarak bilişim sektöründe çalışmaktayım. Bu süreç içerisinde özellikle profesyonel olarak Microsoft teknolojileri üzerinde çalıştım. Profesyonel kariyerim içerisinde eğitmenlik, danışmanlık ve yöneticilik yaptım. Özellikle danışmanlık ve eğitmenlik tecrübelerimden kaynaklı pek çok farklı firmanın alt yapısının kurulum, yönetimi ve bakımında bulundum. Aynı zamanda ÇözümPark Bilişim Portalı nın Kurucusu olarak portal üzerinde aktif olarak rol almaktayım.

Cevap bırakın