1. Ana Sayfa
  2. Server 2012
  3. BitLocker Sürücü Şifreleme Teknolojisi ve Yönetimi – MBAM Nedir? Nasıl Kurulur? Policy Ayarları – Bölüm 5

BitLocker Sürücü Şifreleme Teknolojisi ve Yönetimi – MBAM Nedir? Nasıl Kurulur? Policy Ayarları – Bölüm 5

Daha önceki makalelerimizde BitLocker sürücü şifreleme özelliğinden bahsetmiş, oluşturulan kurtarma anahtarlarının tutulması için Active Directory ortamına aktarılmasından söz etmiştik. BitLocker kurtarma anahtarlarının daha güvenli tutulabilmesi için geliştirilmiş MBAM ürününün bileşenlerinden ve bileşenler arası ilişkilerden bahsetmiş, MBAM administration Server kurulumunu gerçekleştirmiş ve MBAM ortamında uygulanması gereken politikalara değinmiştik. Bu makalede ise istemciler üzerine kurulacak olan MBAM ajanının test ortamlarında daha kolay ve çabuk yanıt verebilmesi için yapılabilecek bazı registry düzenlemelerini gerçekleştireceğiz.

MBAM İstemci Ajan Konfigürasyonu:

MBAM ürünü istemciler tarafında ajan tabanlı olarak çalışan bir üründür. İstemciler üzerine kurulması gereken ajan yazılımları MBAM kurulum dosyaları içerisinde yer alan MBAMClientSetup veya MBAMClient dosyalarından platforma uygun (x86 / x64) olan sürümün kurulmasıyla aktif hale gelecektir.


Şekil – 1: MBAM İstemci Ajan Kurulumları

Dosya çalıştırıldıktan sonra kullanıcıya lisans anlaşması sağlanacaktır. Lisans anlaşmasının onaylanmasıyla birlikte kurulum gerçekleştirilir.


Şekil – 2: MBAM İstemci Yazılım Anlaşması

İstemci bilgisayar üzerine ajan yüklemesi gerçekleştirildikten sonra servisler yönetim konsolunda BitLocker Management Client Service isimli bir servis eklendiği görülebilir. Bu servisin yeniden başlatılması ile birlikte istemci aldığı konfigürasyon doğrultusunda MBAM servisleri ile iletişime geçecektir.


Şekil – 3:
BitLocker Management Client Service

MBAM servisi her yeniden başlatılmasını takip eden 1-17 dakikalık rastgele belirlenen bir süre içerisinde MBAM sunucusuna ulaşarak politikaları sorgular. Rastgele belirlenen bu sürenin kontrol altına alınabilmesi ve sıfırlanabilmesi için registry üzerinde “HKLM\Software\Microsoft\MBAM” yoluna yeni bir DWORD değeri oluşturulur. Oluşturulan DWORD değerinin ismi NoStartUpDelay olarak tanımlanır ve değeri “1” olarak verilir. Bu sayede servisin yeniden başlatılması ile birlikte istemci yazılımı MBAM sunucusuna ulaşarak iletişime başlayacaktır.


Şekil – 5: MBAM Ajanının Global Ayarları


Şekil – 6: MBAM Ajanının Politika Ayarları

Daha önce oluşturulmuş olan MBAM politikaları istemci yazılımı üzerinde HKLM\Software\Policies\Microsoft\FVE\MDOPBitLockerManagement alanında çeşitli registry değerleri oluşturmaktadır. Politika içerisinde 90 dakika olarak belirlenen Client Wake Up Frequency değeri ile Status Reporting Frequency değerleri buradan manuel olarak değiştirilebilmektedir. Test / Demo ortamlarında bu sürelerin bir kaç dakika seviyesine indirilmesi uygun iken üretim ortamında sırasıyla 90 – 150 veya 90 – 180 dakika seviyesinde tutulması tercih edilebilir.


Şekil – 7: MBAM Ajanının Politika Ayarları

Belirlenmiş olan politika ayarları doğrultusunda istemci yazılımı harekete geçerek MBAM sunucusuna erişmeye çalışacak, eğer erişim sağlayabiliyor ise grafik arayüzü ortaya çıkartarak kullanıcıya bilgisayarına uygulanan politikalar doğrultusunda şifreleme işleminin gerçekleştirilmesi gerektiği uyarısını verecektir. Kullanıcı isterse şifrelemeye başlayabileceği gibi isterse şifreleme işlemini erteleyebilir.


Şekil – 8: MBAM İstemcisinin Şifreleme Başlangıcı

Kullanıcı şifreleme işlemini teknik olarak sonsuza kadar erteleyebilir. Bu işlemi enforce etmenin mevcut sürüm içerisinde bir yolu bulunmamaktadır. Uygulamada bilgisayarlar kullanıcılara verilirken şifrelenip kullanıcıların daha sonraki aşamada PIN belirlemesi bir yöntem olabileceği gibi “Manage-bde” komutları kullanılarak hali hazırda dağıtılmış bilgisayarlar üzerinde şifreleme işlemi uzaktan tetiklenerek MBAM üzerine aktarılabilir.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

Yorum Yap

Yazar Hakkında

İlk ve orta öğrenimini Antalya’da tamamlayan Atıl Gürcan üniversite öğrenimini Manisa Celal Bayar Üniversitesi İİBF İktisat bölümünde tamamlamıştır. Yükseklisans eğitimini Bahçeşehir Üniversitesi Fen Bilimleri Enstitüsünde Bilgi Teknolojileri üzerine yapmaktadır. Üniversite öğrenimi esnasında Microsoft Certified System Engineering eğitimlerini alarak sektöre giriş yapmıştır. 2007 Yılında Netron Technology’de Microsoft sistem eğitimleri vermeye başlamış bunun devamında ise 2010 – 2011 yıllarında Sentim Bilişim Teknolojileri bünyesinde Danışmanlık faaliyetlerinde bulunmuş daha sonra BilgeAdam Kurumsal bünyesinde Microsoft ürünlerinde danışmanlık yapmıştır. Şu anda Microsoft Türkiye'de Modern Workplace alanında TSP olarak çalışmaktadır.

Yorum Yap