Die neue Technical Preview von SCCM ist da. Für unsere Rubrik “Angeschaut” haben wir einen Blick auf das Release 1910 geworfen. Dabei stach uns eine Veränderungen zur vorherigen Fassung besonders ins Auge.
Ein MBAM-Feature mit großen Folgen
Obwohl Microsoft keine Änderungen an MBAM angekündigt hatte, fiel uns nach dem Update auf die SCCM Technical Preview 1910 sofort eine Sache auf: Es trat ein Fehler auf. Die Clients konnten die Policy des SCCM-Servers nicht mehr abrufen bzw. anwenden.
Was ist denn da passiert? Was hat sich im Vergleich zu vorherigen Vorabversionen verändert? Die Lösung: In den Policy-Einstellungen gibt es eine Neuerung. Sie lautet „Allow recovery information to be stored in plain text.”
Die Einstellung fragt ab, ob man die Recovery-Informationen unverschlüsselt in der Datenbank ablegen möchte.
Der Fehler ließ sich ganz einfach beheben: Mit der Erstellung und der Auslieferung einer neuen Policy wurden die Clients aktualisiert. Sie liefen dann so wie erwartet.
Der Hintergrund
Die Recovery-Informationen bestehen aus dem “Recovery Password” und dem “Key Package”.
Das “Recovery Password” ist ein 48-stelliges Passwort. Dieses wird gebraucht, um das Laufwerk zu entschlüsseln, falls der eigentlich Entschlüsselungsschlüssel nicht verfügbar ist. Das verschlüsselte Laufwerk wechselt dann in den sogenannten Wiederherstellungsmodus. Das kann passieren, wenn bspw. ohne entsprechende Vorbereitung TPM-Firmware aktualisiert, ein BIOS-/UEFI-Update durchgeführt wird oder einfach nur Hardware defekt ist.
Das “Key Package” funktioniert nur mit dem dazugehörigen verschlüsselten Laufwerk, da es anhand der Laufwerks-ID an dieses gebunden ist. Nur mit dem “Key Package” und dem “Recovery Password” ist es möglich, Laufwerke, die beschädigt und verschlüsselt sind, wiederherzustellen.
Unsere Empfehlung
Sie sollten immer beide Informationen (“Recovery Password” und “Key Package”) in der Datenbank ablegen.
Um größtmögliche Vertraulichkeit der sehr sensiblen Daten sicherzustellen, sind die relevanten Datenbanken zukünftig zu verschlüsseln. Nur dann sind Ihre Recovery-Informationen auf dem Stand der Technik gespeichert!
Wie geht es weiter?
Microsoft wird voraussichtlich noch weitere Technical Previews von SCCM veröffentlichen. Auch diese werden wir uns anschauen. Wir sind schon sehr gespannt, welche Veränderungen es in Form von Verbesserungen (oder auch Bugs 😉 ) geben wird.
Hinweis: In unserem Beitrag “MBAM, SCCM und Intune: Wir vergleichen die Features” stellen wir den aktuellen Funktionsstand der drei Systeme gegenüber.
Was können wir für Sie tun?
Benötigen Sie Unterstützung bei der MBAM-Migrationen in Richtung SCCM oder Intune? Und das bereits in der Planungsphase? Möchten Sie MBAM aufgrund des verlängerten Support-Zeitraums weiter nutzen, und planen Sie eine Aktualisierung? Unsere Experten helfen Ihnen gerne. Kontaktieren Sie uns!