MBAM 2.0 – Présentation

Cet article donnera un aperçu rapide du produit afin de mieux comprendre son fonctionnement et les bénéfices qu’il peut apporter.

Présentation

MBAM est disponible au travers de ‘Microsoft Desktop Optimization Pack (MDOP)’ pour les clients ayant souscris la ‘Software Assurance
La version 2.0 SP1 introduit le support de Windows 8.1, Windows Servers 2012 R2 et SCCM 2012 R2.

D’autres changements sont également à noter. Retrouvez l’ensemble des informations sur la page dédiée.

MBAM va permettre à l’entreprise de rationaliser la gestion de Bitlocker. L’implémentation et l’administration de l’encryption des machines seront ainsi beaucoup plus faciles, notamment grâce à la centralisation de clé de Recovery dans une base SQL. Les rapports de conformité permettront de vérifier l’état d’encryption du parc .Le déploiement des paramètres d’encryption via GPO fourniront une granularité suffisante pour répondre aux différents besoin de chiffrement.

Grâce au portail Self Service les utilisateurs pourront redémarrer eux-mêmes leur machine en cas de perte de code PIN par exemple, réduisant ainsi le nombre d’appels au Support IT.

Architecture

En termes d’architecture, plusieurs scénarios sont envisageables allant du plus simple au plus complexe.

La topologie de déploiement peut se faire en mode Stand-alone ou intégrée avec Microsoft System Center Configuration Manager 2007 ou 2012.

Les communications clients/serveurs et serveurs/serveurs peuvent se faire via HTTP ou HTTPS.

HTTPS s’utilise avec un certificat, soit auto-signé ou géré via une autorité de certification.

L’infrastructure MBAM comporte 5 rôles :

  • Administration and Monitoring Server
  • Self-Service Portal
  • Recovery Database
  • Compliance and Audit Database
  • Compliance and Audit Reports
  • La fonctionnalité Policy Template permettra de gérer les paramètres d’encryption au travers de GPO. Celle-ci peut s’installer sur une poste dédié par exemple. Les fichiers admx/adml peuvent aussi s’installer directement sur un contrôleur de domaine, si les GPO sont administrées depuis celui-ci.

    Une architecture type se compose généralement de 2 serveurs et permet de supporter 200.000 clients.
    MBAM_Architecture

    NB : les architectures mono-serveur ne sont à utiliser qu’à des fins de tests.

    Paramétrage et administration des clients

    Les paramètres des GPO MBAM vont permettrent de définir les règles d’encryption et leur interaction avec les différentes catégories de disques:

  • Operating System drive
  • Fixed drive
  • Removable drive
  • MBAM_GPO

    D’autres paramètres s’appliqueront de façon globale (url des serveurs d’administration et reporting, type de chiffrement…)

    L’agent MBAM peut quant à lui se déployer de différentes manières (script,GPO,SCCM…). En plus d’un déploiement silencieux , il est possible de lancer l’encryption dès la fin de l’installation.

    L’utilisation d’une puce TPM est fortement recommandée afin de garantir un niveau de sécurité élevé.

    On peut également y ajouter un code PIN au démarrage.

    A partir de Windows 8, il est possible de chiffrer sans TPM à l’aide d’un mot de passe. Le niveau de complexité de celui-ci est ajustable par GPO.

    Dans le cas d’utilisation du TPM celui-ci doit être au préalable allumé et activé (enabled/activated) dans le BIOS.Si celui-ci n’est pas activé, MBAM le fera automatiquement et sans reboot (depuis la version 2.0).

    Cette opération peut s’automatiser également via une séquence de tache SCCM. Pour les PC DELL, on pourra utiliser l’outil CCTK (DELL Client Configuration Toolkit) pour réaliser ces opérations.

    Quelques points supplémentaires sont à prendre en compte pour pouvoir démarrer le chiffrement, comme par exemple la présence de l’alimentation secteur ou l’absence de média dans le lecteur de CDROM.

    Conclusion

    MBAM est une solution relativement simple à mettre en œuvre, plutôt robuste et fiable, répondant aux principaux besoin de chiffrement pour l’entreprise.

    Des nouveaux articles seront prochainement disponibles pour décrire la mise en œuvre des différents types d’infrastructures ainsi que les méthodes de déploiements, notamment avec Configuration Manager 2012.

    Please follow and like us:

    Comments

    1. By Florian

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

    Social media & sharing icons powered by UltimatelySocial