MBAM ist ein Akronym und steht ausgeschrieben für Microsoft Bitlocker Administration and Monitoring. Das sind die wichtigsten Fakten.
Für was wird MBAM verwendet?
MBAM von Microsoft wird dafür eingesetzt, um die Datenträgerverschlüsselung Bitlocker und Bitlocker to Go von Microsoft zu überwachen und zu administrieren. Mit Datenträgern sind interne und fest verbaute Festplatten, externe Festplatten und USB-Sticks gemeint, die an einem Client verwendet werden.
Wie es der Name besagt, werden mit Bitlocker verschlüsselte Datenträger in Unternehmen mittels einer Client-Server-Struktur verwaltet. Die Clients übermitteln über eine Webschnittstelle ihren Status, einen Wiederherstellungsschlüssel und ein Wiederherstellungspaket, das für eine Wiederherstellung eines zum Teil defekten Laufwerks verwendet werden kann, an den Server. Das alles wird in den MBAM-Datenbanken gespeichert.
Ein Administrator kann über MBAM recht einfach einen Key bereitstellen, um ein gesperrtes Laufwerk, durch Verlust oder das Vergessen eines Schlüssels, wiederherzustellen.
Wie funktioniert Microsofts MBAM?
Wie es der Name besagt, werden mit Bitlocker verschlüsselte Datenträger in Unternehmen mittels einer Client-Server-Struktur verwaltet. Die Clients übermitteln über eine Webschnittstelle ihren Status und einen Wiederherstellungsschlüssel an den Server. Das alles wird in den MBAM-Datenbanken gespeichert.
Ein Administrator kann über MBAM recht einfach einen Key bereitstellen, um verlorene oder vergessene Schlüssel wiederherzustellen. Zudem ist über das Compliance Reporting unter anderem ersichtlich, wie viele Computer in der Firmenstruktur kompatibel mit unternehmensinternen Verschlüsselungsrichtlinien sind und in welchem Status sich die verschlüsselten Geräte befinden.
Mehr über die Funktionsweise von MBAM wird in folgendem Microsoft-Video erklärt. Das ist zugegebenermaßen nicht mehr ganz frisch, erklärt aber die Funktionsweisen von Microsoft Bitlocker Administration and Monitoring sehr gut.
MBAM: Die Systemanforderungen
Microsoft empfiehlt, den MBAM-Client wie auch den MBAM-Server in der gleichen Betriebssystem-Linie laufen zu lassen – zum Beispiel Windows 10 mit Windows Server 2016.
Die Server-Installation läuft unter anderem auf folgenden Windows-Versionen, jeweils in der 64-Bit-Version:
-
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2008 R2
Der Client funktioniert auf:
-
- Windows 10
- Windows 10 IoT
- Windows 8.1
- Windows 7
… und das jeweils in der 32- und 64-Bit-Variante.
Für Mac-Computer gibt es keine MBAM-Fassung, weder für OS X, noch für macOS.
Die minimalen Systemanforderungen für MBAM-Systeme sind:
-
- 4 GB RAM, 1 GB Speicherplatz, 2,33 GHz Prozessor.
- Microsoft empfiehlt: 8 GB RAM, 2 GB freier Speicher, 2.33 GHZ CPU oder mehr
Download und Lizensierung von MBAM
Das Microsoft Bitlocker Administration and Monitoring gibt es nicht als Standalone-Produkt. MBAM ist ein Bestandteil von MDOP. Das kann über MVLS (Microsoft Volume Licensing) oder das Windows Enterprise Licensing erworben werden.
Alle wichtigen Informationen über das Microsoft Desktop Optimization Pack sind auf der MDOP Information Experience-Webseite zusammengefasst.
Zudem wird MBAM sukzessive in die Intune-Suite und in SCCM (System Center Configuration Manager) integriert. Wie gut das funktioniert, berichten wir in unserer “Angeschaut”-Rubrik. Hier haben wir unter anderem folgende Beiträge veröffentlicht:
MBAM: Versionen, Hotfixes und Support
Microsoft veröffentlichte in den letzten Jahren einige MBAM-Versionen. Die aktuellste ist MBAM 2.5.x.. Das erschien unter anderem als SP1 HF05, September 2017 Servicing Release, July 2018 Servicing Release und als MBAM 2.5 May 2019 Servicing Release. Letzteres dient beispielsweise dazu, dass MBAM unter Windows 10 Version 1903 lauffähig bleibt. Hierbei gab es allerdings unter anderem Probleme bei der Übertragung der Recovery Keys an die Datenbank.
Unsere Übersicht der MBAM-Versionen zeigt auf, wann welcher relevante Release erschienen ist. Hier wird auch erklärt, wie man herausfindet, welche MBAM-Fassung auf dem Server bzw. Client installiert ist.
Im Juli 2019 endete der Mainstream-Support für MBAM. Eigentlich wollte Microsoft den Extended Support bis 2024 laufen zu lassen. Doch der Konzern aus Redmond entschloss sich, den Support-Zeitraum für MBAM zu verlängern.
Tipps zum Microsoft Bitlocker Administration and Monitoring
In unseren Blog veröffentlichen wir regelmäßig Ratgeber rund ums Thema MBAM. Zum einen, weil der Betrieb von MBAM einiges Aufmerksamkeit erfordert. Zum Beispiel müssen MBAM-Updates korrekt eingespielt und die Clients nach dem Update getestet werden.
Oder es gilt, die Gruppenrichtlinien mit PowerShell auf dem Client zu überprüfen, die Recovery- und Compliance-Datenbanken zu verschlüsseln und das SQL-Berechtigungsproblem im MBAM 2.5 July 2018 Servicing Release zu lösen.
Test-Automatisierung mit dem MBAM TAP
Läuft MBAM korrekt? Wie steht es um die Dienste auf dem Server oder um die Zertifikate? Das sind Fragen, die ein Administrator theoretisch schnell beantworten kann. Doch in großen Unternehmen fressen derlei kurzen Aufgaben unterm Strich viel Zeit. Deswegen ist es ratsam, eine Testautomatisierung mit MBAM aufzubauen. Dies gelingt sehr gut mit unserem kostenlosen Tool MBAM Test Automation Package (MBAM TAP).
Mit dem MBAM TAP lassen sich MBAM-Reports mit Hilfe des Task-Scheduler erstellen. Das Ergebnis sind automatisiert generierte Berichte, welche unter anderem Fehler oder Warnungen aufzeigen. Mit dem MBAM TAP lassen sich auch Sicherheitsprobleme mit TPM-Chipsätzen finden. Seit der Veröffentlichung von MBAM TAP 2.0 geschieht das alles 20% schneller als in den vorherigen Fassungen.
Bilder: Pixabay, FB Pro / Mockdrop.io