Teil 23a: MBAM installieren und Features hinzufügen

MBAM installieren und Features hinzufügen – Schritte:

  • ASP.NET MVC 4 installieren
  • Vorlagedateien für MBAM in den zentralen Speicher kopieren
  • MBAM installieren
  • Compliance, Audit und Recovery Datenbank hinzufügen
  • Reports hinzufügen
  • Administration and Monitoring Website und Self-Service Portal hinzufügen
  • Installation auf CLIENT004 testen

Als Grundlage für die Installation verwende ich http://technet.microsoft.com/en-us/library/dn645379.aspx. In meinem einfachen Netzwerk werde ich die Single-Server Architektur verwenden. Das heißt, dass die Datenbanken, Reports und Webanwendungen auf einem Server liegen. Microsoft hingegen empfiehlt für Produktionsumgebungen die Zwei-Server Architektur. Los geht’s!

ASP.NET MVC 4 installieren

  1. Als Administrator an SERVER02 anmelden
  2. Die Datei D:\Sourcen\MBAM\AspNetMVC4Setup.exe doppelklicken
  3. Dem Setup-Assistenten folgen > Close
    MBAM_INST-001

Vorlagedateien für MBAM in den zentralen Speicher kopieren

  1. Die Datei D:\Sourcen\MBAM\MDOP_ADMX_Templates.exe doppelklicken
  2. Dateien entpacken > Unzip
    MBAM_INST-002
  3. D:\Sourcen\MBAM\MDOP_ADMX_Templates\Microsoft Desktop Optimization Pack\MBAM2.5 erweitern
  4. Folgende Dateien und Ordner nach \\haimann.local\SYSVOL\haimann.local\Policies\PolicyDefinitions kopieren
    1. BitLockerManagement.admx
    2. BitLockerUserManagement.admx
    3. Ordner en-us
      MBAM_INST-003
      MBAM_INST-004 Weiterlesen

Teil 23: Installation von MBAM vorbereiten

Installation von MBAM vorbereiten – Schritte:

  • In DNS einen Alias-Eintrag für mbam.haimann.local erstellen
  • Web Server-Zertifikat für mbam.haimann.local anfordern
  • Benutzer und Gruppen in Active Directory erstellen
  • Service Provider Name (SPN) für HTTP/SERVER02 registrieren
  • Eingeschränkte Delegierung konfigurieren
  • Server-Rollen und Features installieren
  • Sourcen für die Installation vorbereiten

Als Grundlage für die Installationsvorbereitung verwende ich http://technet.microsoft.com/en-us/library/dn645379.aspx.

Wie bekomme ich MDOP (Microsoft Desktop Optimization Pack)? http://go.microsoft.com/fwlink/?LinkId=322049

In DNS einen Alias-Eintrag für mbam.haimann.local erstellen

  1. Als Administrator an SERVER02 anmelden
  2. Server Manager > Local Server > Tools > DNS
  3. SERVER01\Forward Lookup Zones erweitern
  4. haimann.local rechts anklicken und im Kontextmenü New Alias (CNAME)… anklicken
    MBAM_PREP-001
  5. New Resource Record
    1. Alias name: mbam
    2. Fully qualified domain name: mbam.haimann.local.
    3. Fully qualified domain name for target host: server02.haimann.local. > OK
      MBAM_PREP-002
  6. DNS Manager schließen
    MBAM_PREP-003
    MBAM_PREP-004 Weiterlesen

Teil 21a: BitLocker To Go mittels Virtual Smart Card aktivieren

BitLocker To Go mittels Virtual Smart Card aktivieren – Schritte:

  • Gruppenrichtlinien für BitLocker auf Wechseldatenträgern konfigurieren
  • Zertifikatsvorlage für virtuelle Smart Card für BitLocker konfigurieren
  • Auf CLIENT004 Zertifikat für die virtuelle Smart Card anfordern
  • USB-Wechseldatenträger mit BitLocker To Go verschlüsseln

 Gruppenrichtlinien für BitLocker auf Wechseldatenträgern (BitLocker To Go) konfigurieren

Mit den folgenden Einstellungen kann ein Kennwort und/oder eine Smart Card für die Entsperrung eines USB-Laufwerks verwendet werden. Dass es zum Thema passt, werde ich auf meine virtuelle Smart Card auf CLIENT004 (Teil 21) ein weiteres Zertifikat für die BitLocker-Laufwerksverschlüsselung installieren und diese zum Entsperren verwenden. In der Praxis macht das wenig Sinn, weil der USB-Stick nur noch auf genau diesem Rechner entsperrt werden kann (VSC am TPM).

Um Kompatibilität zu erreichen, können die Benutzer firmeneigene und fremde USB-Laufwerke lesen, aber nur auf die eigenen schreiben und auch nur dann, wenn diese mit BitLocker verschlüsselt sind (Provide the unique identifiers for your organization, Teil 6h und Teil 20). Da kann man mit den Einstellungen etwas experimentieren.

Als Grundlage für die Einstellungen verwende ich Best Practices for BitLocker in Windows 7.

  1. Als Administrator an SERVER01 anmelden
  2. Server Manager > Local Server > Tools > Group Policy Management
  3. haimann.local\Group Policy Objects erweitern
  4. Computer Standard Settings rechts anklicken und im Kontextmenü Edit… anklicken
    VIRTUAL_SMARTCARD-060 Weiterlesen