İlginizi Çekebilir
Exploit Nedir?
  1. Ana Sayfa
  2. Üretici Teknolojileri
  3. MBAM (Microsoft Bitlocker Administration and Monitoring) Nasıl Kurulur?

MBAM (Microsoft Bitlocker Administration and Monitoring) Nasıl Kurulur?

Bu yazımızda Bitlocker & MBAM evliliğinin ne anlama geldiğini, bu beraberliğin nasıl kurulacağını anlatacağız. Bitlocker, sabit sürücünüzde bulunan dataların çevrimdışından gelecek ataklara karşı koruyan, belirlediğiniz sürücü ya da kaldırılabilir aygıtlarınız korunması için şifreleme özelliği vardır.

Bitlocker bu şifreleme işlemini güçlü bir şekilde ve birden fazla metod ile yapar. Örneğin, önemli datalarınızın bulunduğu bir disk ya da kaldırılabilir aygıt çalındığında; bu disk farklı bir bilgisayara takılıp çalıştırılmak istendiğinde o kullanıcı en üst düzeye sahip yönetici haklarına sahip olsa bile, Bitlocker engeliyle karşılaşacaktır.

Bitlocker ‘ın önerilen güvenlik düzeyinde kullanılması için TPM (Trusted Platform Module) adı verilen bir mikroçipin kullanılması gerekmektedir. Bu mikroçip, bilgisayarınızın anakartında bulunur. Tüm şifreleme işlemler ve buna ait bilgiler bu mikroçip üzerinde tutulur.

MBAM (Microsoft Bitlocker Administration and Monitoring) ise, organizasyonunuzda bulunan bilgisayarların şifreleme bilgilerini, şifreleme durumlarını, kurtarma işlemlerinin yapılabildiği kısacası Bitlocker ve ona ait işlemlerin merkezi yerden yapılabilmesini, yönetilebilmesini sağlayan bir araçtır.


Resim-1

MBAM, MDOP (Microsoft Desktop Optimization Pack) ile beraber gelir ve bununla beraber envater vb. çekebilme adına diğer araçları da kendi içerisinde barındırır. MBAM ‘da MDOP içerisinde kurulabilen bir uygulamadır.

MBAM kurulumu için aşağıdaki adımları izleyebilirsiniz.

MBAM kurulumunu Microsoft üç adımda kullanmanızı önerir.

  • Single Server Configuration : Tüm MBAM rollerinin tek sunucu üzerinde kurulduğu senaryodur.
  • Three Server Configuration: Audit, Compliance ve raporlama bileşenleri için bir sunucu. Recovery Database için ikinci bir sunucu. MBAM yönetim ve policy templates için ise ayrı üçüncü bir sunucunun olduğu topolojidir.
  • Five Server Configuration: Tüm rollerin ayrı sunucularda barındırıldığı topoloji tipidir. Genelde Bitlocker ‘ın çok aktif halde kullanıldığı Enterprise ölçeklerdeki organizasyonlar kullanılması tavsiye edilir. Tüm rollerin ayrı sunucularda bulunması, size ekstra performans ve delegasyon sağlayacaktır.

Ayrıca MBAM üzerinde gelen RBAC ile beraber, farklı kullanıcılara MBAM üzerinde yönetimsel farklı izinler ya da haklar tanımlanabilir.

MBAM Kurulumuna başlayacak olursak;

Demo ortamında 4 farklı sunucum var. Bunlar;

  • Windows Server 2008 R2 SP1 – DC,DNS,GC
  • Windows Server 2008 R2 SP1 – MBAM Administration & Policy Template Server
  • Windows Server 2008 R2 SP1 – MBAM Audit & Compliance Reports Server (SQL Server 2008 R2 Enterprise)
  • Windows Server 2008 R2 SP1 – MBAM Recovery Database (SQL Server 2008 R2 Enterprise)

MBAM yapısında SQL Server 2008, 2008 R2 kullanılabilir. Enterprise, Datacenter, Developer versiyon SQL sunucuları kullanılabilir. Standart versiyon, Recovery Database özelliğini destekleyemeyeceği için kullanılması önerilmez.

Kurulum aşamalarında sırasıyla önce SQL sunucuları üzerinde MBAM ‘ı konfigüre etmek gerekecek. Öncelikle IIS ‘ın gerekli bileşenlerini SQL Audit ve Compliance Reports sunucusu üzerine kuruyoruz.


Resim-2

MBAM Administration & Policy Templates ve SQL Audit & Compliance sunucularına bu IIS bileşenlerinin kurulması gerekmektedir. MBAM ‘ın kullanıcılara sunmuş olduğu Self-Help Portal erişimleri, Reporting Portal gibi özellikler için gereklidir.

IIS kurulumları tamamlandıktan sonra, MBAM Audit & Compliance sunucusunu konfigüre edebiliriz. Bunun için, MDOP medyasını sunucuya yerleştirin ve MBAM ‘ı seçin.


Resim-3

Sonrasında ise “Install MBAM Server 1.0” seçin.


Resim-4

MBAM ile ilgili en son güncelleştirmeleri almak için aşağıdaki kutucuk seçili kalabilir. Önerilen MBAM konfigürasyonu da budur.


Resim-5

Start diyerek kuruluma başlıyoruz. Kurulum için gerekli bileşenleri seçiyoruz.


Resim-6

Bu sunucu üzerinde Compliance and Audit Database ve bunların raporlamaları tutulacak.


Resim-7

İletişim için kullanmanız önerilen encryption sertifikasını seçiyoruz. Bu sertifika Public CA’dan alınmış ya da IIS üzerinde istenmiş bir Self-Signed Sertifika da olabilir.


Resim-8

MBAM tarafında Administration ve Monitoring için kullanılacak sunucuyu belirtiyorum.


Resim-9

İlgili rapor işi için kullanılacak sunucu ve Database adını belirtip devam ediyoruz.


Resim-10

İlgili bileşen için kullanılacak servis hesap bilgilerini giriyorum.


Resim-11

Microsoft Update ile beraber güncelleştirmeleri kontrol edip etmemesini ayarlıyoruz. Sonradan bu konfigürasyon değiştirilebilir.


Resim-12

Yukarıdaki görselde bulunan iki servis kurulacak sunucu üzerine. Install butonuna tıklayıp devam ediyoruz.


Resim-13

Evet, kurulum tamamlandı. Sırada, Recovery Database sunucusunu konfigüre edeceğiz.

Recovery Database ‘inin tutulacağı diğer SQL sunucusuna geçiyoruz. MBAM medyasını sunucuya yerleştirdikten sonra aynı adımları izleyerek aşağıdaki görselde yer alan kısma kadar geliyoruz.


Resim-14

Buradaki esas farklılık kuracağımız bileşenler. Recovery and Hardware Database kutucuğunu seçip devam ediyoruz.

Gerekli ön hazırlıklar başarılı şekilde tamamlandıysa, bir sonraki sertifika seçim ekranına gelebilirsiniz.


Resim-15

Burada yine yukarıda bahsetmiş olduğum kriterlere sahip bir sertifika alıp, ilgili pencereden seçebilirsiniz.


Resim-16

Bu servisi kullanacak sunucuyu seçiyoruz.


Resim-17

Bu hizmeti sağlayacak olan sunucuyu ve sunucu içerisinde oluşturulacak olan Database adını belirleyip devam ediyoruz.


Resim-18

Microsoft Update hizmetini kullanıp kullanmayacağınız belirliyoruz. Bu özellik sonradan değiştirilebilir.


Resim-19

Hangi servisin kurulacağı bilgisini yukarıdaki pencerede görebilirsiniz. Install butonuna tıklayıp devam ediyoruz.


Resim-20

Kurulum tamamlandıktan sonra, MBAM Administration and Monitoring sunucusunun kurulumuna geçebiliriz.

Tüm Bitlocker işlemlerini merkezi konsol üzerinden yönetmek, rapor almak ve policy template ‘lerini hazırlamak için kullanacağımız MBAM sunucusu için aşağıdaki rolleri seçip “Next” diyoruz.


Resim-21

Güvenli iletişim için kullanılacak sertifikayı listeden seçiyorum.


Resim-22


Resim-23

Raporlama için kullanılacak sunucuyu belirtiyorum. Database adı otomatik olarak gelecektir.

Sonrasında ise, Recovery and Hardware Database için gerekli sunucu bilgilerini giriyoruz.


Resim-24

Ardından raporlama için kullanılacak URL ‘i belirtiyorum. Burada Compliance & Audit Reports sunucunuzun FQDN adresini girebilirsiniz.


Resim-25

Kullanılacak port numarasını, ismi (Opsiyonel) ve kurulum path’i kısımlarını varsayılan bırakarak devam edebilirsiniz.


Resim-26

Kurulacak bileşenleri görüntüledikten sonra, Install butonuna tıklayarak devam edebilirsiniz.


Resim-27

Bu hizmet kurulduktan sonra aşağıdaki görsel üzerinden konfigürasyon yapmaya devam edebilirsiniz. Ancak buraya kadar MBAM kurulumu tamamlandı. Bundan sonraki işlemleri “Next Steps” kısmında görebilirsiniz.


Resim-28

Bundan sonraki yapılması gereken aşamalar;

  • MBAM kullanacak kullanıcı hesaplarını belirlemek / gerekli rollerin atanması
  • Group Policy ayarlarının yapılması
  • MBAM Client uygulamasının Group Policy / SCCM / MDT ile dağıtılması

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

Yorum Yap

Yazar Hakkında

Baran Saygın, İstanbul-Üsküdar doğumludur.Bilge Adam ‘da Sistem ve Platform biriminde Danışman ünvanıyla görev almaktadır. Bundan önce de yine aynı sektörde çeşitli firmalarda görev almış eğitimler vermiş ve projeler gerçekleştirmiştir. Mshowto bünyesinde sizlere yardımcı olmaktan ve bilgilerini paylaşmaktan memnuniyet duymaktadir.

Yorum Yap

Yorumlar (1)

  1. 6 sene önce

    Güzel paylaşımın için teşekkürler Baran