Microsoft Endpoint Configuration Manager Bitlocker Management

Bu yazıda Configuration Manager ile Bitlocker Management yönetiminin nasıl yapıldığını anlatmaya çalışacağım.

Bu yazı Configuration Manager 2002 sürümüne göre hazırlanmıştır.

İşlemlere Başlamadan Bilinmesi Gerekenler

• Bu işlemi yapabilmeniz için en az Configuration Manager 1910 sürümünün yüklü olması gerekmektedir. Tavsiyem 2002 sürümü ile bu işe başlamanız.
• Sistemi 2002 ya da 1910 yapmanız yeterli değil. Ajan yüklü bilgisayarlarında güncel olmaları gerekmektedir. Ajan versiyonlar son sürüm olmalı.
• 1910 sürümü ile bu işi yapanlar Management Point Rolünün HTTPS olarak çalışması zorunludur. Bunun için aşağıdaki yazımdaki işlemlerden sadece Management Point ile ilgili olan kısmı uygulayabilirsiniz. Bu adımı tamamlamadan ilerlemeyiniz.
  https://www.sertactopal.com/sccm-pki-yapilandirmasi
• 2002 sürümü ile MP rolünün HTTPS olma zorunluluğu kalkmıştır. Sadece MP sunucusun da ki IIS üzerinde bir sertifika almak yeterlidir. Bu yazıda anlatıyor olacağım.
• Bu işlem resmi olarak Microsoft tarafından desteklenen işletim sistemleri olan Windows 10 ve Windows 8.1 işletim sistemleri için desteklenmektedir.
• Bitlocker özelliğinin devreye alınacağı MP rolü olan sunucuya Microsoft ASP.NET MVC 4.0. Yazılımını yüklemeniz gerekmektedir.
• Portal yükleme script’inin sorunsuz çalışabilmesi için işlemi yapacağınız kullanıcının SQL üzerinde de Sysadmin yetkisinde bir kullanıcı olması gerekmektedir.
• Bitlocker işlemi Sanal Makineler üzerinde çalışıyor ancak desteklenmemektedir.
• Bitlocker yapılacak Client bilgisayarlarda TPM 1.2 ya da daha üstü bulunmalıdır.
• TPM 2.0 ve üstü sürümlerde Legacy ve CMS Mode desteklenmemektedir. Bios ayarlarınızın UEFI olması ayrıca CMS özelliğinin de disable olması zorunludur. Secure Boot özelliğinin Enable olması tavsiye edilir.
• Bitlocker olacak bilgisayarda TPM 2.0 ve üstü var ise UEFI Bios ve GPT Disk zorunludur.
  TPM 1.2 var ise Legacy Bios ve MBR disk kullanılabilir. Convert işlemleri için MBR2GPT bu tool kullanılabilir.
• Disk üzerinde en az 2 partition bulunması zorunludur. Bunu kurulumda oluşturulan 350MB’lık partition ve “C” alanı olarak düşünebilirsiniz. Eğer bu 350MB’lık alan yok ise aşağıdaki komutu kullanarak bu alanı oluşturmanız mümkün.
  BdeHdCfg.exe -target default -quiet
  
• Bitlocker RecoveryKey’ler Configuration Manager SQL Veri tabanın da tutulacaktır. Bu kurtarma anahtarı veri tabanında Plain Text olarak ya da Şifreli olarak tutulabiliyor. Şifreli olarak durmasını isterseniz bir sertifika oluşturmak gerekli. Şifre oluşturma adımları aşağıdaki yazıdaki gibidir. Configuration Manager veri tabanı zaten encrypt durumdadır. Yapacağınız bu ekstra işlem sistemin çalışmasını etkilemeyecektir. Ancak büyük ortamlarda veri tabanı performansında %25 e varan performans kayıpları yaşanabilir.
  https://docs.microsoft.com/en-us/mem/configmgr/protect/deploy-use/bitlocker/encrypt-recovery-data

Yukarıdaki yazıları Dikkatlice okuduğumuza göre artık işlemlere başlayabiliriz. İlk olarak eğer kapalı ise Bitlocker Management özelliğini aşağıdaki gibi açık hale getirmemiz gerekli. Turn On yaptıktan sonra konsolu kapatıp açmalısınız.

Sunucu tarafında yapılması gereken ön hazırlıkları yaparak devam edelim.

İlk olarak sertifika işini halledelim. Ortamımızda bulunan sertifika sunucusuna bağlanıyoruz.

Web Server sertifikasına sağ tık Duplicate diyerek devam ediyoruz.

Sertifika ayarları aşağıdaki gibi olmalıdır.

Yıl konusunu size bırakıyorum ben 5 yaptım.

Security sekmesine gelinerek MP Sunucusunun Computer Objesi seçilerek Read, Enroll, hakları verilir.

Son olarak aşağıdaki adımı da kontrol ederek OK e basabiliriz.

Şimdi hazırladığımız sertifikayı publish edeceğiz. Bunun işin aşağıdaki gibi ilerliyoruz.

Son görünüm aşağıdaki gibi olmalıdır.

Sertifika sunucusu ile işimiz bitti.

Şimdi MP sunucumuza geliyoruz. MMC konsoldan Sertifika talep etme işlemini başlatıyoruz.

Sonraki ekranda sunucuyu Hostname ve FQDN isimleri ile ekliyoruz.

İşlem tamam. Şimdi MP üzerindeki IIS üzerine geçerek sertifikamızı gösteriyoruz.

https satırını edit diyerek açıp SSL sertifika bölümünden aldığımız sertifikayı gösteriyoruz.
Doğrulamak için View butona basarak kontrol etmekte fayda.

Devam etmeden önce mutlaka test edin. Aşağıdaki gibi Hostname ve FQDN isimleri ile HTTPS olarak sayfamızın herhangi bir sertifika hatası vermeden açılması gerekli.

Sertifika işi tamam olduğuna göre devam edebiliriz.

Bu noktada yüklemeyi unutanlar Management Point sunucusuna Microsoft ASP.NET MVC 4.0. Yazılımını yüklemeniz gerekmektedir.

Sırada IIS üzerinde Portal oluşturmak için gerekli olan MBAMWebSiteInstaller.ps1 script’ini çalıştırmak var. Öncesinde AD üzerinde 3 adet gurup oluşturmalıyız ve gereken üyelikleri yapmalıyız. Gurup isimleri size kalmış, ben aşağıdaki şekilde oluşturdum.
Her Kullanıcı kendi kurtarma anahtarını kendisi alabilsin isterseniz HelpDeskUsers gurubuna Domain Users gurubunu üye yapabilirsiniz tercih sizin.

BitlockerHelpDeskAdmins    : Help Desk sayfası üzerinden her kullanıcı için Recovery Key almaya yetkili kullanıcılar.

BitlockerHelpDeskUsers    : Self Service sayfası üzerinden sadece kendisi için Recovery Key almaya yetkili kullanıcılar.

BitlockerReportsUsers        : Raporlara bakmaya izinli kullanıcılar.

CM sunucumuzda PowerShell komut istemcisini “Run as Admin” olarak açın ve aşağıdaki komutu kendi ortamınıza göre düzenleyerek
çalıştırın.
İhtiyacınız olan script CM yükleme dizini altında bin\x64 adresindedir.

Örnek Komut:

.\MBAMWebSiteInstaller.ps1 -SqlServerName stcm1.sertactopal.com -SqlDatabaseName CM_ST1 -ReportWebServiceUrl https://stcm1/ReportServer -HelpdeskUsersGroupName “sertactopal\BitlockerHelpDeskUsers” -HelpdeskAdminsGroupName “sertactopal\BitlockerHelpDeskAdmins” -MbamReportUsersGroupName “sertactopal\BitlockerReportsUsers” -SiteInstall Both

Script’in Kullanım Detaylarını incelemek isterseniz: https://docs.microsoft.com/en-us/mem/configmgr/protect/deploy-use/bitlocker/setup-websites

Komutun takibi: mpcontrol.log

Komut başarılı olarak tamamlandıktan sonra IIS üzerinde iki yeni site gelmiş olacak.

Bu sitelere girişin HTTPS olarak zorunlu olması için Require SSL ayarını HelpDesk ve SelfService siteleri içinde ayrı ayrı yapmayı unutmayın.

Bu ayarlarda tamamlandıktan sonra Self Sevice Portal’a erişim sağlayabiliriz. İlk girişte bizleri aşağıdaki gibi bir ekran karşılayacak. Burada kullanıcılara bir bilgilendirme mesajı yayınlayabilir ya da bu ekran gelmeden direk sitenin açılmasını sağlayabilirsiniz.

Yukarıdaki ekranı özelleştirmek için IIS üzerinden SelfSevice sitesinin Application Settings bölümüne giriyoruz.

Display Notice değerini False yaparsanız Notice Ekranı gelmeden direk portal açılır.
Notice ekranı gelsin ama ben orayı özelleştirmek istiyorum diyenler aşağıdaki bağlantı sizler için.
https://docs.microsoft.com/en-us/microsoft-desktop-optimization-pack/mbam-v25/how-to-localize-the-helpdesktext-statement-that-points-users-to-more-self-service-portal-information

Self Service Ekran Görüntüsü:

Help Desk Sayfasının Ekran Görüntüsü

Sayfalarımızın da düzgün olarak çalıştığını gördüğümüze göre artık Bitlocker politikamızı oluşturabiliriz.
Create Policy komutu ile Bitlocker politikamızı belirlemeye başlıyoruz.

Aşağıdaki ekrandan ayar uygulamak istediğiniz kutucukları seçin.
Operating System Drive = İşletim sisteminin yüklü olduğu disk. Genelde “C”
Fixed Drive = “C” dışında bilgisayarda olan diğer diskler.
Removable Drive = Harici HDD, Flash Disk lerinde şifrelenmesini zorlamak isterseniz seçin. İstemeyenlerin seçmesine gerek yok. Ben hepsine değinmek adına seçiyorum.

Aşağıdaki ekranda şifreleme türümüzü belirliyoruz. Bilinmesi gereken başlıklar şu şekilde. Ben default değerler ile devam ediyorum.

• XTS-AES şifreleme algoritması Windows 10 1511’den sonrası için desteklenmektedir.
• USB Flash/HDD disk gibi removable drives’lar için AES-CBC 128 ya da 256 bit seçeneğini kullanmalısınız.
• Herhangi bir ayar yapmadan Bitlocker enable etmek istediğinizde (script vs kullanarak) Default şifreleme algoritması XTS-AES 128-bit olarak gelmektedir.

Bu mimarilerin detaylarına aşağıdaki bağlantıdan erişebilirsiniz.
https://docs.microsoft.com/en-us/windows/client-management/mdm/bitlocker-csp

Bu operasyonun performansa olan etkisini merak edenler için aşağıdaki siteye göz atabilirler.
https://www.isunshare.com/computer/impact-of-bitlocker-encryption-on-performance.html

Aşağıdaki ekranda TPM Only ve TPM and PIN seçenekleri var.
TPM and PIN derseniz kullanıcıların karşısına şifreleme başlamadan önce PIN belirleme ekranı çıkar ve kullanıcı PIN belirlemez ise Bitlocker işlemi başlamaz.
TPM Only derseniz Bitlockler işlemi otomatik olarak başlar, kullanıcıya herhangi bir ekran çıkmaz.

Allow Bitlocker without a compatible TPM seçeneği TPM olmayan bilgisayarların da Bitlocker ile korunabilmesine olanak sağlar. Ayarı Allow şeklinde ayarlamanızı öneririm.
Ancak bu noktada TPM olamayan bilgisayarlarda Bitlocker işlemin başlaması için kullanıcının ekranına bir parola belirleme ekranı çıkacaktır ve burada kullanıcın bir parola yazması zorunludur.
Kullanıcı parola belirlemez ise Bitlocker işlemi başlamaz. Ayrıca bu parola bilgisayar her açıldığında kullanıcıya sorulacaktır.
Örnek ekran görüntülerini aşağıdaki ekliyorum.

TPM varsa = PIN
TPM Yoksa = Password

Yukarıdaki ekranda scroll u aşağı doğru çektiğinizde bazı özelleştirme adımları da var ben onları şu an için ayarlamıyorum.
Sistemin politikayı alır almaz Bitlocker işlemine başlaması için aşağıdaki ayarı 0 gün yapmakta fayda var.

TPM and PIN seçildiğinde kullanıcıların karşısında bir anda belirecek ekran görüntüsü aşağıdaki gibidir.
Bu ekranda kullanıcılar PIN belirleyerek devam etmedikleri sürece Bitlocker işlemi BAŞLAMAZ.
Eğer kullanıcılarınızı bu konuda bilgilendirmezseniz günün sonunda amacınıza ulaşamazsınız.

TPM olmayan bilgisayarlarda kullanıcının karşısına çıkacak görüntü aşağıdaki gibidir.

Sistem her başladığında da aşağıdaki gibi yukarıda belirlenen parolanın girilmesi istenilecek.

C dışındaki Disklerinde şifrelenmesini istiyorsak aşağıdaki gibi politikadan Enable ediyoruz.
İşletim sistemi açıldığında da bu disklerin otomatik açılması kullanım kolaylığı anlamında avantajlı olduğu için Auto-Unlock ayarına izin verebilirsiniz. Diğer ayarları size bırakıyorum.

Aşağıdaki adım size kalmış bir durum. Harici HDD, Flash Disk lerinde şifrelenmesini isteyenler Enable ederek ilerleyebilirler.

Kullanıcıya şifreleme işleminin başlamasını ertelemesine izin vermek isteyenler Exemption ayarından gün belirleyebilirler.

Ve politikamız nihayet hazır.

Deploy ederek aksiyon almaya başlayabiliriz.

Hangi bilgisayarlarda Bitlocker Enable olsun isterseniz bunları bir Device Collection’da toplayın ve politikayı oraya deploy edin.
Sistem aslında Compliance Settings üzerinden bastığımız politikaları gibi çalışıyor. Bastığımız politikada bu şekilde davranacak ver sistemi aşağıda belirlediğimiz aralıklarda kontrol edecek.

Bu noktada tavsiyem TPM li olan bilgisayarlar ile olmayanları ayrı Device Collection’lar da toplayın ve dağıtımı ona göre ilerletin.

İlgili sorgu aşağıdaki gibidir. Sonraki değer değiştirerek kullanabilirsiniz.
0 = TPM yok
1 = TPM var

Hatırlatma: Hardware Inventory’den aşağıdaki verileri toplamayı unutmayın. Ayarı

İşlemler tamamlandı. Kullanıcı tarafında durumu görebileceğimiz yerlere bakalım. İlk olarak Denetim Masasındaki Configuration Manager arabirimi.

Ayrıca sisteme MDOP MBAM yazılımı otomatik olarak yüklenecektir.

Bunların dışında bilgisayarımıza uygulanan GPO’lara da bakarak işlemi teyit edebiliriz.
Local Group Policy = Configuration Manager Tarafından Uygulanan ayarlar.
KeyRecoveryServiceEndPoint anahtarı alanında yazan adres kurtarma anahtarımızın tutulacağı yeri belirtiyor.

RSOP.MSC ve Registry de olanlar da aşağıdaki gibidir.

Client tarafındaki takip log:
BitlockerManagementHandler.log

Sistem bilgisayarın Non-Compliance olduğunu tespit ettiği anda Bitlocker işlemini yapmaya başlayacaktır. “TPM and PIN” seçenlerde aşağıdaki ekran kullanıcıların önüne çıkacaktır.

Ve şifleme işlemi başladı. Close tuşuna basarsanız işlem arkada devam eder sorun yok

İşlem başarılı bir şekilde tamamlandı.

PIN olmadan TPM Only seçenlerdeki durumda aşağıdaki gibi olacaktır. PIN isteme ekranı çıkmadan direk olarak Bitlocker işlemi başlayacak.

Event Viewer sevenleri de unutmadım . Aşağıdaki gibi süreç takip edilebiliyor.

Sistemi yenide başlattığımızda karşımıza PIN ekranı çıkmakta. Bitlocker işlemi başladığındaki belirlediğimiz PIN kodumuzu girerek sistemimizi açabiliyoruz. (TPM and PIN Seçenler için)

Kontrol ve Test Adımları:

Şimdi işlemin sağlamasını yaparak bakalım kurtarma anahtarımız veri tabanında görünüyor mu?

Bitlocker uyguladığımız bilgisayarda aşağıdaki komutu çalıştırın.
Manage-BDE -Protectors -Get C:

SQL Server üzerinde de aşağıdaki sorguyu çalıştırın.
select
*
from dbo.RecoveryAndHardwareCore_Keys

Aşağıdaki görüntüdeki gibi client’dan aldığımız Numerical Password ile veri tabanındaki RecoveryKeyID eşleşiyor.

Şimdi bir de kötü senaryo testi yapalım. PIN unuttuk ya da açılışta PIN kabul etmiyor olsun.
Aşağıdaki boot ekranımız. PIN hatalı mesajını aldık ve bilgisayar açılmıyor. Bu ekranda ESC tuşuna basarak kurtarma adımına geçiyoruz.

Aşağıda gördüğümüz Recovery Key ID yi kullanarak kurtarma anahtarını elde edeceğiz.

Kurtarma anahtarını 2 şekilde elde edebiliriz.

1. Bir IT yetkilisine başvurarak (Help Desk Admin gurubu üyeleri)
   
2. Kendimiz başka bir çalışma arkadaşımızın bilgisayarını kullanarak. (Help Desk Users gurubu üyeleri)
   

İki yöntemi de inceleyelim.

1. Help Desk Admin : IT’de ki arkadaşımızı arayarak bilgisayarımızın açılmadığını ve kurtarma anahtarını da bilmediğimizi söyleyerek yardım istedik. O da bize bir çikolata karşılığında yardımcı olacağını iletti. Çikolatamızı alarak yanına gittik.
   Gitmeden önce Ekrandaki Recovery Key ID yi de ona söylemeyi unutmayın
   Admin arkadaşımız ilk olarak aşağıdaki sayfayı açtı. Bizim ona ilettiğimiz Recovery Key ID’nin ilk 8 hanesi ile bize kurtarma anahtarımızı verdi. Mutlu son
   

   https://stcm1.sertactopal.com/helpdesk/
   

   
   

2. Kendi Başımıza: IT’deki arkadaşımıza çikolata almak istemediniz ve bunu SelfSevice Portal üzerinden halledebileceğinizi hatırladınız. Ancak bilgisayarınız çalışmadığı için bir başka çalışma arkadaşınızı bilgisayarını kullanmanız gerekli ve onun da çikolata istemeyeceğinin bir garantisi yok Bu sorunu aştıktan sonra aşağıdaki siteye girerek kurtarma anahtarınızı elde edebilirsiniz.

   https://stcm1.sertactopal.com/SelfService

   
   

Açılan sayfaya yine Recovery Key ID’nin ilk 8 hanesi gerekli olacak unutmayın.

Sonuç: Kimseye çikolata almak istemiyorsanız kurtarma anahtarınızı kaybetmeyeceğiniz ve yerini unutmayacağınız bir yerde saklayınız.

Yazının altında gelmesini beklediğim ilk sorunun cevabını da vereyim:

Soru: Bilgisayardım da TPM yok, bu durumda Bitlocker yapabilecek miyim?

Cevap: Evet. Hatırlarsanız Politikamızı belirlerken bilgisayarda TPM yoksa da PIN yerine Password kullanarak işlemi yapabilmesine izin vermiştir.
Bu tip makinelerde PIN belirleme ekranı çıkacak ancak orada PIN değil bir Password tanımlaması yapılacak. Bilgisayar boot ettiği esnada da PIN yerine Password girerek sistemi açabileceğiz.

Kısaca;
TPM varsa PIN belirliyoruz.
TPM yoksa Password belirliyoruz.

Soru: Bilgisayarımda TPM chip olup olmadığını ya da sürümünü nereden öğrenebilirim.

Cevap: Çalıştır’a tpm.msc yazmanız yeterli.

BONUS

Recovery Key’lerin AD üzerinde de tutulmasını isteyenler için yazının sonuna ilave bir bölüm eklemek istedim.

DC üzerinde Server Manager’ı açın ve “Bitlocker Drive Encryption” özelliğini ekleyin.

Yeni bir GPO oluşturun ve aşağıdaki ayarları yapın. Daha sonra bu GPO yu Bitlocker uyguladığınız bilgisayarların olduğu OU ya link’leyin.

Bir süre sonra Active Directory üzerindeki Computer Objesi üzerinde Kurtarma anahtarı görünecektir.

Bu işlemi de hızlandırarak elle tetiklemek isteyenler için aşağıdaki komutları kullanabilirler.

manage-bde -protectors -get c:

manage-bde -protectors -adbackup c: -id {B378095C-D929-4711-B30F-63B9057D0E05}

Umarım faydalı olmuştur.

Kaynaklar:

https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-overview-and-requirements-faq

https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-basic-deployment

https://docs.microsoft.com/en-us/mem/configmgr/protect/tech-ref/bitlocker/settings

https://www.isunshare.com/computer/impact-of-bitlocker-encryption-on-performance.html