Önceki makalemizde BitLocker sürücü şifreleme özelliğinin genel kullanımından bahsetmiş ve oluşturulan kurtarma anahtarlarının Active Directory üzerine aktarılması senaryosunda yapılması gerekenlerden bahsetmiştik. Kurtarma anahtarlarının Active Directory üzerine aktarılması işlemi güvenli olmakla birlikte aktarılan kurtarma anahtarının statik olmasından dolayı tercih edilmeyebiliyordu. Bu makalemizde ise Microsoft tarafından BitLocker sürücü şifreleme özelliğine ait kurtarma anahtarlarının güvenli bir Resimde depolanması, dinamik olarak değiştirilmesi ve bu anahtarlara farklı erişim yöntemleri sağlayan MBAM ürünü ile ilgili temel özelliklerden ve bu özelliklerin birbirleriyle etkileşiminden bahsedeceğiz.
Microsoft BitLocker Administration & Monitoring Ürününün Kullanılması
Kurumsal ortamlarda duyulan farklı kişilerin kurtarma verilerine ulaşabilmesi, ortamda yer alan kurtarma şifrelerinin tek kullanımlık olması, bilgisayarların şifreleme oranı ve durumu gibi raporlara duyulan ihtiyaçlar sonucunda ortaya Microsoft BitLocker Administration & Monitoring ürünü kullanımı çıkmaktadır. Bu makalede MBAM 2.0 ürününü oluşturan bileşenleri ve bu bileşenlerin birbirleri ile olan etkileşimini detaylandırmaya çalışacağım.
Resim – 1: MBAM 2.0 Bileşenleri ve Birbirleriyle Etkileşimleri
MBAM ürünü temel olarak bir SQL veritabanı sunucusu ile SQL önünde yer alan bir IIS sunucu rolünden oluşmaktadır. SQL üzerinde “HardwareandRecovery” veritabanı ile “StatusandCompliance” veritabanı; IIS üzerinde ise Hardware and Recovery Core ile Status Reporting and Compliance isimli web servisleri ile /Helpdesk ve /SelfService adresli web siteleri yer almaktadır. Şifrelenecek istemcilerin konfigürasyonu Grup Politikaları ile gerçekleştirilmektedir. Test ortamlarında aynı sunucu üzerine kurulabilecek olan bu bileşenler ve görevlerine göz atacak olursak:
SQL Veritabanı sunucusu: Üzerinde BitLocker sürücü şifreleme ile ilgili verilerin tutulduğu sunucudur. Hardware and Recovery ile Status Reporting and Compliance veritabanlarını üzerinde barındırır. Bu sunucu üzerinde yer alan verilerin boyutundan ziyade kritikliği önemlidir. Örneğin 10.000 bilgisayara ait disklerin şifreleme bilgileri yaklaşık 180 MB alan kaplamaktadır. Ancak bu verilerin her biri oldukça yüksek öneme sahiptir.
RecoveryandHardware Veritabanı: Bu veritabanı üzerinde şifreleme işlemi gerçekleştirilen sürücülere ait olan Recovery Key ID ve Recovery Key bilgileri bulunmaktadır. Drive Recovery ve TPM ile ilgili işlemler bu veritabanı üzerinde yer alan bilgiler ile gerçekleştirilmektedir.
StatusReporting and Compliance Veritabanı: Bu veritabanı üzerinde şifreleme işlemi gerçekleştirilen bilgisayarların disk bazında şifreleme durumları ile ilgili bilgiler ve uyumluluk bilgileri yer almaktadır. MBAM yönetim sitesi üzerinde yer alan raporlar bu veritabanı üzerinde çalışmaktadır.
Recovery and Hardware Web Servisi: İstemci bilgisayarlar üzerine yüklenen ajanlar bu web servisine ulaşarak şifreleme işlemi öncesinde oluşturulan kurtarma anahtar bilgilerini MBAM sunucusuna aktarır. Aynı Resimde bir istemciye ait kurtarma anahtarı ifşa edildiğinde ajanın yeni bir kurtarma anahtarı oluşturmasına ilişkin bilgi de aynı web servisi aracılığıyla sağlanmaktadır.
Status Reporting and Compliance Web Servisi: İstemci bilgisayarlar üzerlerine aldıkları politikalara uyumluluk durumu ile mevcut şifreleme aktiviteleri ile ilgili bilgileri bu web servisi aracılığıyla MBAM ortamına aktarırlar.
Helpdesk Web Sitesi: Günlük operasyonlarda yardım masasının kullanıcılardan gelen kurtarma anahtarı taleplerini karşılamalarını sağlayan ve kurtarma anahtarlarına, TPM sahiplik bilgilerine ve çeşitli raporlara ulaşılabilmesini sğalayan web sitesidir.
SelfService Web Sitesi: MBAM 2.0 ürünü ile birlikte tanıtılan bu web sitesine kullanıcılar kimlik denetimi işleminden geçerek ulaşırlar ve disklerinin kilitlenmesi durumunda kendilerine sağlanan tanımlayıcıyı kullanarak, kilitlenen sürücüleri için gereken kurtarma anahtarına kendileri ulaşabilirler.
Grup İlke Şablonları: MBAM 2.0 kurulumu ile birlikte istenirse central store alanına, istenirse kurulumun gerçekleştirildiği sunucu üzerine MBAM 2.0 özelinde ayarların bulunduğu grup ilke şablonları eklenmektedir. MBAM kurulumu gerçekleştirildikten sonra istemcilerin konfigürasyonu farklı herhangi bir politika ile değil buradan sağlanan ayarlar ile gerçekleştirilmelidir.
MBAM 2.0 Ajanı: Grup ilkeleri ile yapılan konfigürasyonların anlamlı hale gelmesi ve bilgisayarları üzerinde yönetici yetkilerine sahip olmayan kullanıcıların BitLocker sürücü şifreleme özelliğini kullanabilmelerini sağlayan bileşen MBAM 2.0 ajanıdır.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar