Teil 23d: MBAM Clients verwalten

MBAM Clients verwalten – Schritte:

  • Intervalle für das MDOPBitLockerManagement in Testumgebungen anpassen
  • BitLocker-Wiederherstellung durchführen
    • Option 1: Der Benutzer kann die MBAM SelfService-Webseite aufrufen
    • Option 2: Der Benutzer ruft den Helpdesk an
  • MBAM Reporting
  • TPM-Verwaltung
  • PIN ändern

Intervalle für das MDOPBitLockerManagement in Testumgebungen anpassen

Weil die Intervalle für die Client Wakeup Frequency (90 Minuten) und Status Reporting Frequency (720 Minuten) lang sind, möchte ich für die ersten Tests diese Zeiten verkürzen, damit es was zu sehen gibt. Dazu sind 3 Einträge in der Registry am MBAM Client notwending.

  1. Als Administrator an CLIENT004 anmelden
  2. Eingabeaufforderung (Administrator) starten
  3. Mit folgendem Befehl den Registrierungs Editor starten
    regedit
  4. Folgende Einträge ändern
    <strong>[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement]</strong>
    "ClientWakeupFrequency"=dword:00000001
    "StatusReportingFrequency"=dword:00000001
  5. Folgenden Eintrag hinzufügen
    <strong>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MBAM]</strong> 
    "NoStartupDelay"=dword:00000001
    
  6. Mit folgendem Befehl den MBAM Agent neu starten
    net stop mbamagent && net start mbamagent
  7. Alle Fenster schließen
  8. CLIENT004 herunterfahren

 BitLocker-Wiederherstellung durchführen

  1. CLIENT004 vom Netz trennen, damit kein BitLocker Network Unlock (Teil 20d) durchgeführt wird
  2. BitLocker-PIN einmal falsch eingeben
  3. Für die BitLocker-Wiederherstellung die ESC-Taste drücken
  4. Die ersten 8 Stellen der Recovery-ID notieren: 163BD258

Option 1: Der Benutzer kann die MBAM SelfService-Webseite aufrufen

  1. Der Benutzer geht zu einem Computer in der Nähe im Unternehmensnetzwerk
  2. Internet Explorer starten
  3. https://mbam.haimann.local aufrufen
  4. Hinweis bestätigen > Fortsetzen
    MBAM_RESTORE-001
  5. BitLocker-Wiederherstellungsschlüssel anfordern
    1. Recovery-ID: 163BD258
    2. Grund: PIN/Passphrase verloren > Schlüssel anfordern
      MBAM_RESTORE-002 Weiterlesen

Teil 23b: MBAM konfigurieren

MBAM konfigurieren – Schritte:

  • Self-Service Portal konfigurieren
  • Gruppenrichtlinienobjekt (GPO) erstellen und konfigurieren

Als Grundlage für die Konfiguration verwende ich http://technet.microsoft.com/en-us/library/dn645379.aspx

Self-Service Portal konfigurieren

  1. Als Administrator an SERVER02 anmelden
  2. Server Manager > Local Server > Tools > Internet Information Services (IIS) Manager
  3. SERVER02\Sites\Microsoft BitLocker Administration and Monitoring erweitern
  4. SelfService markieren
  5. Im mittleren Bereich Application Settings doppelklicken
    MBAM_CONF-001
  6. Folgende Einstellungen erstellen bzw. anpassen:
    1. CompanyName: Ein einfaches Netzwerk
    2. HelpdeskText_de-de: Kontaktieren Sie den Servicedesk oder Ihre IT-Abteilung
    3. HelpdeskUrl_de-de: http://servicedesk.haimann.local/
      MBAM_CONF-002
  7. IIS-Manager schließen
  8. Im Windows Explorer den Ordner C:\inetpub\Microsoft BitLocker Management Solution\Self Service Website öffnen
  9. Den Ordner de-de und darin die Datei Notice.txt mit folgendem Inhalt erstellen:
    Das ist ein Beispieltext.
    
    Freundliche Grüße
    Ihr IT-Team
  10. Alle Fenster schließen
    MBAM_CONF-003
  11. Im Internet Explorer https://mbam.haimann.local/SelfService aufrufen
    1. Ich habe die Mitteilung gelesen und verstanden aktivieren > Fortsetzen
      MBAM_CONF-004 Weiterlesen

Teil 20: BitLocker mit MDT aktivieren

Als Client003 verwende ich mein HP EliteBook 8560p. Am Ende des Windows Deployments soll das Notebook mit BitLocker verschlüsselt sein. Als Grundlage für die Einstellungen verwende ich den Microsoft Technet-Artikel Best Practices for BitLocker in Windows 7. Die größte Herausforderung dabei ist die Aktivierung des TPM-Chips im BIOS ohne Benutzereingaben.

BitLocker mit MDT aktivieren – Schritte:

  • HP Software herunterladen und konfigurieren
  • Active Directory zum Speichern der TPM Ownership-Informationen vorbereiten
  • BitLocker Drive Encryption-Features installieren
  • Gruppenrichtlinien für BitLocker konfigurieren
  • Anwendungen in MDT zur OSD Prod Share hinzufügen
  • Task Sequence konfigurieren
  • CustomSettings.ini anpassen
  • Notebook mit BitLocker aufsetzen

HP Software herunterladen und konfigurieren

  1. Als Administrator an Client003 anmelden
  2. HPQPswd Anwendung (sp61312.exe) von ftp://ftp.hp.com/pub/softpaq/sp61001-61500/sp61312.exe nach C:\Sourcen herunterladen und mit 7-Zip entpacken
  3. BIOS Configuration Utility (sp65619.exe) von http://ftp.hp.com/pub/softpaq/sp65501-66000/sp65619.exe nach C:\Sourcen herunterladen und mit 7-Zip entpacken
    BITLOCKER_PREP-001
  4. In den Ordner C:\Sourcen\sp65619 wechseln
  5. Setup.exe doppelklicken Weiterlesen