Microsoft BitLocker Administration and Monitoring (MBAM) est une nouvelle solution d'entreprise pour provisionner, surveiller et récupérer des clés BitLocker des postes de travail Windows 7 en entreprise. Le tout de manière centralisée.

MBAM est disponible depuis le 27 juillet au sein du pack MDOP 2011 R2 disponible en téléchargement pour les abonnés TechNet, MSDN, Windows Intune (si vous avez souscrit l’option MDOP) et sur le site Microsoft Volume Licensing.

L’objectif de cette série de billets est de détailler pas à pas l’installation d’une plateforme d’évaluation de MBAM 1.0.

Ce premier billet contient des rappels sur BitLocker et son déploiement en entreprise ainsi qu’une explication détaillée de la plateforme de tests qui va être mise en place

Microsoft BitLocker Administration and Monitoring (MBAM) permet :

  • Une gestion centralisée
  • La génération de rapports de conformité du parc (par rapport à BitLocker)
  • La récupération par le helpdek des clés de récupération sur une page Web
  • Le stockage des clés de récupération dans une base chiffrée (SQL Server 2008 R2)

Petite séance de rappel pour ceux qui ne connaitraient pas BitLocker :

BitLocker est une des nouvelles fonctionnalités de sécurité qui est arrivé avec Windows Vista et qui s’est amélioré avec le SP1 de Windows Vista mais aussi avec Windows 7. Cette fonctionnalité est plus particulièrement axée sur la protection des données via le chiffremment avec les technologies BitLocker.

J’avais écrit il y a quelques mois une présentation (support en anglais) sur le sujet :

En complément, voici quelques liens vers des ressources utiles :

BitLocker hardware and software requirements for operating system drives
http://technet.microsoft.com/en-us/library/ee449438(WS.10).aspx#BKMK_HSRequirements

Planning to Deploy Windows 7 BitLocker Drive Encryption
http://technet.microsoft.com/en-us/library/dd875520(WS.10).aspx

BitLocker Drive Encryption Deployment Guide for Windows 7
http://technet.microsoft.com/en-us/library/dd875547(WS.10).aspx?ITPID=secnews

Best Practices for BitLocker in Windows 7
http://technet.microsoft.com/en-us/library/dd875532(WS.10).aspx

Many scripts for Bitlocker :
http://gallery.technet.microsoft.com/ScriptCenter/en-us/site/search?f%5B0%5D.Type=RootCategory&f%5B0%5D.Value=security&f%5B1%5D.Type=ScriptLanguage&f%5B1%5D.Value=VBScript&f%5B1%5D.Text=VBScript

http://code.msdn.microsoft.com/bdedeploy/Release/ProjectReleases.aspx?ReleaseId=32

A voir également : La session Retour d’Expérience sur le déploiement de BitLocker (Arnaud Jumelet en était le speaker) jouée lors des Microsoft TechDays 2011 qui ont eu lieu à Paris Porte Maillot du 8 au 10 février 2011.

http://www.microsoft.com/france/mstechdays/showcase/player.aspx?uuid=191512a4-c210-461b-bfae-1f7292b0d426&parcours=TD11_ENJEUX_SECURITE

Topologies de déploiement de Microsoft BitLocker Administration and Monitoring (MBAM)

MBAM est constitué de 5 grosses briques :

  • Le poste de gestion de l'administrateur MBAM
  • Le serveur d'administration et de supervision
  • La base de données "Recovery and Hardware"
  • La base de données "Compliance Status"
  • La base de données "Compliance and Audit”

Ces briques peuvent être installées séparément ou ensembles et trois topologies sont possibles :

Topologie 1 serveur : l’ensemble des briques est installé sur la même machine. Cette topologie est supportée mais plutôt réservée à des environnement de tests / démonstration / formation ou des environnements dans lequel le parc de machines gérées est limité.

Topologie 3 serveurs : Une station d’administration + Le serveur d’administration et de supervision + un serveur de base de données (qui va hébergé les 3 bases de données)

Topologie 5 serveurs : Une station d’administration + Le serveur d’administration et de supervision + un serveur de base de données dédié par base. Bien entendu, ce type de topologie est réservé à des très gros parcs de machines Windows 7 ayant BitLocker (> 10 000 postes)

Description de la plateforme de tests qui va être installée

================================
DC01R2 joue le rôle DC/DNS et de serveur de PKI
================================

  • 2 processeurs virtuels
  • 512 Mo
  • Windows Server 2008 R2 Entreprise
  • DC du domaine W2K8R2-demo.net

==========================================================
LH04R2 joue le rôle de serveur Microsoft BitLocker Administration and Monitoring (MBAM)
==========================================================

  • 2 processeurs virtuels
  • 2 Go de RAM
  • Windows Server 2008 R2 Entreprise
  • SQL Server 2008 R2 Entreprise
  • IIS 7.5
  • MBAM 1.0 (Topologie MBAM retenue : mono-serveur)
  • Membre du domaine W2K8R2-demo.net

============================
PCMSDAYS joue le rôle de poste Windows 7
============================

  • Dell 820
  • Processeur Core2Duo
  • 3.5 Go de RAM
  • Dispose d’un TPM 1.2
  • Windows 7 Entreprise édition 64bit en US
  • Membre du domaine W2K8R2-demo.net

Prochains articles :

- Stanislas Quastana -