Active Directory Merkezi Yönetim ile Bitlocker Disk Şifreleme (Microsoft BitLocker Administration and Monitoring MBAM) – MBAM Sunucu rolleri kurulumu ve kurulum sonrası kontrol

 

İçerik: MBAM Sunucu rolleri kurulumu ve kurulum sonrası kontrol

Makalemizin 3 bölümü ile karşınızdayız. İlk iki bölümde temel olarak MBAM nedir? Neler sağlar? Kurulum gereksinimleri nedir ? Kurulum için gerekli altyapının sağlanması ( SQL ve sunucu rollerinin kurulumu vb ) konusunda paylaşımlarda bulunmuştum. Bu bölümde ise MBAM tek sunucu üzerine kurulumunun nasıl yapıldığından bahsedeceğim.

Yine önceki makalelerimde belirttiğim gibi tek, üç veya beş sunucu üzerine kurulum yapma şansına sahibiz. Ben makale yazmak adına demo ortamını tek sunucu üzerinde kuruduğum için tek sunucu modelini anlatıyor olacağım. Ancak 3 sunucu modeli içinde detaylı bilgiler veriyor olacağım.

Kuruluma geçelim.

MDOP paketi içerisindeki yükleme dosyasını kullanıyoruz.

image001

 

image002

 

Start sonrası sözleşmeyi kabul ediyorum.

image003

Tek sunucu yüklemesi olacağı için bütün kutucuklar işaretli bir şekilde devam ediyorum. Hatırlarsanız bu detayları MBAM mimari yapısında anlatmıştım.

Bir sonraki bölümde MBAM sunucu rolleri için ( seçtiğiniz ) sistem gereksinimleri kontrol edilmektedir.

image004

Örneğin benim yüklememde yukarıdaki gibi bir sorun ile karşılaştım.

Çözüm olarak SQL Server Yönetim konsolunu açıyorum ve aşağıdaki komutu “master” veri tabanı için çalıştırıyorum

CREATE MASTER KEY ENCRYPTION BY PASSWORD = ‘Password1!’

image005

Şimdi sistem gereksinimlerini yeniden kontrol ettiriyorum.

image006

 

Sorun yok  devam ediyoruz.

image007

MBAM istemci, sunucu ve yine sunucu, sunucu arasındaki tüm trafiği şifrelemek ister. Bu güvenlik noktasında sizin için bir ihtiyaç ise eğer bu durumda bir sertifika ile bu tüm sunucu – istemci arasındaki trafiği şifreleyebilirsiniz.

Benim bulunduğum ortamdaki network trafiğinde sniff yani dinleme yapılmasını engelleyen sistemler olduğu için ek bir önlem alma ihtiyacı duymuyorum ve bu şekilde ( Do not encrypt network communication ) devam ediyorum.

image008

Benim sunucum üzerinde başka instance olmadığı için direk makine ismi yani varsayılan sql kurulumu ile gelen instance’ ı seçiyorum.

image009

Varsayılan SQL Server kurulumunda SQL Server Agent servisi yani bakım işlerinden ve zamanlanmış görevlerden sorumlu olan servisi başlangıç tipi otomatik olmalı. Bizde bunu ayarlıyor ve devam ediyoruz.

image010

image011

Bir sonraki ekranda ise reporting servis ayarlarını yapmamız isteniyor

image012

Burada bir domain hesabı isteniyor, yetki ise db lere erişecek bir hesap olması. Bu aşamada henüz db olmadığı için aslında eğer ayrı sunucu kurulumu yapıyorsanız hali hazırda bir db olduğu ve buna yetki vermeniz gerektiğini vurgulamak istiyorum. Ancak tek sunucu kurulumu için açılmış bir Domain User hesabı yeterli olacaktır.

image013

Bu bölümde ise monitoring servisi için bir port tanımlamamız gerekiyor. 80 çok kullanılan bir port olduğu için tavsiyem 81 nolu portu kullanmanız veya dns üzerinden bir host name tanımlaması ile beraber 80 nolu portu kullanmanız.

image014

Güncelleştirmeleri almak her zaman için yararlı olacaktır .

image015

Yükleme öncesi son bir özet

image016

Yükleme başladı.

image017

Kurulum tamamlandı ancak kurulumun sorunsuz bir şekilde tamamlandığını kontrol etmeliyiz.

Bunun için tabiki sunucu loglarını kontrol edebiliriz. Ardından program ekle kaldır menüsünde MBAM kurulumunu göreceğiz ve son olarak SQL veri tabanlarında aşağıdaki gibi seçtiğimiz sunucu rolleri yer alıyor olmalı

 

image018

 

Buna ek olarak “Compliance and Audit Reports” rolü için Reporting servisinin düzgün çalışıp çalışmadığını kontrol etmeliyiz. Bunun için Reporting servisinin ana sayfasını açmanız yeterlidir.

Varsayılan olarak reporting servisi https://sunucu-ismi/reports şeklinde ulaşılabilir.

Eğer siz MBAM için gerekli olan SQL Server servisini var olan bir sunucuya yeni bir instance olarak eklemişseniz bu durumda report server için URL aşağıdaki gibi olacaktır.

https://sunucu-ismi/reports_instancename

 

image019

 

Gördüğünüz gibi bu noktada da bizde sıkıntı bulunmuyor. Ancak raporlarında yerinde olduğunu kontrol etmekte fayda var

image020

Evet buraya kadar sorunsuz ilerledik. Şimdi ise Administration and Monitoring sunucusu üzerindeki IIS ayarlarını kontrol edeceğiz. Malum bende hepsi tek bir sunucu olduğu için kontrol işleride kolay oluyor.

IIS altında aşağıdaki gibi 3 virtual directory görmemiz gerekiyor.

 

image021

 

Son olarak bu web servislerinin çalıştığını kontrol edelim.

Sırası ile aşağıdaki adresleri kontrol ediyoruz

Not; benim port numaram 81 olduğu için bilgisayar isminden sonra 81 nolu portu kullanıyorum.

https://<computername>/default.aspx

image022

 

https://<computername>/MBAMAdministrationService/AdministrationService.svc

image023

https://<computername>/MBAMComplianceStatusService/StatusReportingService.svc

image024

https://<computername>/MBAMRecoveryAndHardwareService/CoreService.svc

image025

Evet tüm URL’ ler başarılı bir şekilde açıldı ve bu sayede kurulumu sorunsuz bir şekilde tamamladığımızı görebiliyoruz.

Makalemizin bu bölümünün de sonuna geldik.

Bir sonraki bölümde MBAM yönetimi, policy planlamasını, istemci dağıtımını anlatacağım.

Umarım faydalı bir makale olmuştur.

Bir sonraki makalemizde görüşmek üzere esen kalın.

Kaynak

Microsoft MBAM Administrator’S Guide