BitLocker Teknolojisi ve Yönetimi - MBAM Agent Konfigürasyonu
MBAM ürünü istemciler tarafında ajan tabanlı olarak çalışan bir üründür. İstemciler üzerine kurulması gereken ajan yazılımları MBAM kurulum dosyaları içerisinde yer alan MbamClientSetup veya MBAMClient dosyalarından platforma uygun (x86 / x64) olan sürümün kurulmasıyla aktif hale gelecektir.
Şekil – 1: MBAM İstemci Ajan Kurulumları
Dosya çalıştırıldıktan sonra kullanıcıya lisans anlaşması sağlanacaktır. Lisans anlaşmasının onaylanmasıyla birlikte kurulum gerçekleştirilir.
Şekil - 2: MBAM İstemci Yazılım Lisans Anlaşması
İstemci bilgisayar üzerine ajan yüklemesi gerçekleştirildikten sonra servisler yönetim konsolunda BitLocker Management Client Service isimli bir servis eklendiği görülebilir. Bu servisin yeniden başlatılması ile birlikte istemci aldığı konfigürasyon doğrultusunda MBAM servisleri ile iletişime geçecektir.
Şekil - 3: BitLocker Management Client Service
MBAM servisi her yeniden başlatılmasını takip eden 1-17 dakikalık rastgele belirlenen bir süre içerisinde MBAM sunucusuna ulaşarak politikaları sorgular. Rastgele belirlenen bu sürenin kontrol altına alınabilmesi ve sıfırlanabilmesi için registry üzerinde “HKLM\Software\Microsoft\MBAM” yoluna yeni bir DWORD değeri oluşturulur. Oluşturulan DWORD değerinin ismi NoStartUpDelay olarak tanımlanır ve değeri “1” olarak verilir. Bu sayede servisin yeniden başlatılması ile birlikte istemci yazılımı MBAM sunucusuna ulaşarak iletişime başlayacaktır.
Şekil – 4: MBAM Ajanının Global Ayarları
Şekil – 5: MBAM Ajanının Politika Ayarları
Daha önce oluşturulmuş olan MBAM politikaları istemci yazılımı üzerinde HKLM\Software\Policies\Microsoft\FVE\MDOPBitLockerManagement alanında çeşitli registry değerleri oluşturmaktadır. Politika içerisinde 90 dakika olarak belirlenen Client Wake Up Frequency değeri ile Status Reporting Frequency değerleri buradan manuel olarak değiştirilebilmektedir. Test / Demo ortamlarında bu sürelerin bir kaç dakika seviyesine indirilmesi uygun iken üretim ortamında sırasıyla 90 – 150 veya 90 – 180 dakika seviyesinde tutulması tercih edilebilir. Bu değerin GPO içerisindeki varsayılanı 720 dakikadır (12 saat) .
Şekil – 6: MBAM Ajanının Politika Ayarları
Belirlenmiş olan politika ayarları doğrultusunda istemci yazılımı harekete geçerek MBAM sunucusuna erişmeye çalışacak, eğer erişim sağlayabiliyor ise grafik arayüzü ortaya çıkartarak kullanıcıya bilgisayarına uygulanan politikalar doğrultusunda şifreleme işleminin gerçekleştirilmesi gerektiği uyarısını verecektir. Kullanıcı isterse şifrelemeye başlayabileceği gibi isterse şifreleme işlemini erteleyebilir.
Şekil – 7: MBAM İstemcisinin Şifreleme Başlangıcı
Kullanıcı şifreleme işlemini teknik olarak sonsuza kadar erteleyebilir. Bu işlemi enforce etmenin mevcut sürüm içerisinde bir yolu bulunmamaktadır. Uygulamada ilgisayarlar kullanıcılara verilirken şifrelenip kullanıcıların daha sonraki aşamada PIN belirlemesi bir yöntem olabileceği gibi “Manage-bde” komutları kullanılarak hali hazırda dağıtılmış bilgisayarlar üzerinde şifreleme işlemi uzaktan tetiklenerek MBAM üzerine aktarılabilir.