MBAM 2.5 July 2018 Servicing Release: Lösung für das SQL-Berechtigungsproblem

Wie man ein Update der Microsoft BitLocker Administration und Monitoring (MBAM)-Software korrekt installiert, haben wir in unserem Artikel “MBAM-Updates korrekt einspielen: So geht’s” bereits erklärt. Etwas kniffliger wird das mit der aktuell veröffentlichten Version 2.5.1143.0. Lesen Sie, wie wir das Problem gelöst haben.

Update auf der Datenbank? Die Rechte beachten!

Der grundsätzliche Update-Pfad ist mit dem genannten Beitrag beinahe ein Kinderspiel. Mit Hilfe von PowerShell und den entsprechenden MBAM Cmdlets ist dieser Task schnell und einfach erledigt. Wenn man nach dem Prinzip “least privilege” arbeitet und dadurch nicht überall permanent die vollen Rechte hat, wird es mit dem neuen Update KB4340040 (>> Übersicht über die MBAM-Versionen) auf Seiten der Datenbanken interessant.

Da man nicht wie bei den anderen Features,  die Datenbanken löschen und wieder neu anlegen kann (die Daten der Datenbanken sollen schließlich nicht verloren gehen), stößt man unter Umständen auf Probleme,  sofern man nicht mit SYSADMIN-Rechten unterwegs ist.

The SELECT permission was denied…

Führt man mit dem PowerShell Cmdlet Enable-MbamDatabase ein Update der bereits angelegten Datenbanken aus und ist dabei nur im Besitz der Rechte dbcreator und securityadmin, wird dies mit einer Fehlermeldung quittiert.

“The SELECT permission was denied on the object ‘sysdac_instances_internal’, database ‘msdb’, schema ‘dbo’.”

Der Benutzer hat also nicht die notwendigen Rechte, um auf die Systemdatenbank msdb zuzugreifen. Wie oben erwähnt, könnte man natürlich einfach mit SYSADMIN-Rechten der Problematik aus dem Weg gehen. Aber eventuell ist dies nicht immer möglich, weil zum Beispiel die Datenbanken durch ein anderes Team verwaltet werden. Oder da das MBAM-Team die entsprechenden Rechte auf dem SQL-Server nicht gewährt bekommt.

Least Privilege: db_datareader auf msdb

Glücklicherweise sind nicht zwingend SYSADMIN-Rechte notwendig, um das Problem zu lösen. Für das Ausführen des SELECT-Statements genügt es, dem entsprechende Benutzer, unter dem das Update ausgeführt wird, die Rolle db_datareader auf der msdb-Datenbank einzurichten. Schon kann das SELECT während des Updates ausgeführt werden – und die MBAM-Datenbanken sind dann wie gewünscht auf dem neuesten Stand.

Am Ende sollte natürlich alle während des Updates vergebenen Rechte wieder entfernt werden. Das versteht sich beinahe von selbst, ist uns aber trotzdem aus gutem Grund eine Erwähnung wert 😉

Vertrauen ist gut, Kontrolle ist besser…

Funktioniert alles? Führen Sie nach dem Update unser MBAM TAP zur Kontrolle aus. Dann erhalten Sie die Versionsübersicht quasi “Schwarz auf Weiß”.

Bild: Microsoft

Schreibe einen Kommentar