Micro­soft kün­digt Ihr Bit­Lo­cker Manage­ment MBAM ab! Nach der Ein­füh­rung von Micro­soft Bit­Lo­cker gleich­zei­tig mit Win­dows Vis­ta im Jahr 2006 began­nen Kun­den die Win­dows Ver­schlüs­se­lung zu nut­zen. Daher war schnell klar, dass eine Enter­pri­se Ver­schlüs­se­lung auch ein Enter­pri­se Manage­ment benö­tigt. So ent­wi­ckel­te Micro­soft das Pro­dukt Micro­soft Bit­Lo­cker Admi­nis­tra­ti­on and Moni­to­ring 1.0 (MBAM 1.0), das im zwei­ten Halb­jahr 2011 ver­öf­fent­licht wur­de. Im Jahr 2015 wur­de Micro­soft Bit­Lo­cker Admi­nis­tra­ti­on and Moni­to­ring 2.5 SP1 ins Ren­nen geschickt, dies ist nun die letz­te Version.

Kom­plett­ab­kün­di­gung!

Bereits nach 3 Jah­ren kün­digt Micro­soft MBAM kom­plett ab. Nun erhal­ten Kun­den über den Main­stream Sup­port noch bis 7. Sep­tem­ber 2019 Unter­stüt­zung für das Pro­dukt. Jedoch gibt es eine gro­ße Anzahl an Enter­pri­se Kun­den, die mit dem Enter­pri­se Tool Ihre Bit­Lo­cker Schlüs­sel ver­wal­ten und Help-Desk für Benut­zer durch­füh­ren. Hier der Micro­soft Sup­port Link zur Abkün­di­gung durch Microsoft.

MBAM Abkündigung durch Microsoft Support

Was tun?

Micro­soft schreibt zu die­ser Fra­ge in Ihren Docs (sie­he Quel­le):

Enter­pri­ses can use Micro­soft Bit­Lo­cker Admi­nis­tra­ti­on and Moni­to­ring (MBAM) to mana­ge cli­ent com­pu­ters with Bit­Lo­cker that are domain-joi­ned on-pre­mi­ses until main­stream sup­port ends in July 2019 or they can recei­ve exten­ded sup­port until July 2024. Thus, over the next few years, a good stra­te­gy for enter­pri­ses will be to plan and move to cloud-based manage­ment for Bit­Lo­cker. Refer to the PowerS­hell examp­les to see how to store reco­very keys in Azu­re Acti­ve Direc­to­ry (Azu­re AD).

Kurz über­setzt:

Unter­neh­men kön­nen Micro­soft Bit­Lo­cker Admi­nis­tra­ti­on und Moni­to­ring (MBAM) zum ver­wal­ten von domain­ver­bun­de­nen Cli­ent Com­pu­tern mit Bit­Lo­cker in Ihrem Unter­neh­mens­netz­werk nut­zen bis der Main­stream Sup­port mit Juli 2019 endet, oder sie kön­nen Erwei­ter­ten Sup­port bis Juli 2024 erhal­ten (Anmer­kung: kau­fen). Daher ist eine gute Stra­te­gie für Unter­neh­men über die nächs­ten paar Jah­re zu einem Cloud-basier­ten Manage­ment für Bit­Lo­cker zu wech­seln. Mit Hin­weis auf die PowerS­hell Bei­spie­le kann man sehen wir man Reco­very Schlüs­sel in Azu­re Acti­ve Direc­to­ry (Azu­re AD) spei­chern kann.

Die Azu­re Cloud als Schlüsselspeicher?

Der Vor­schlag alle Bit­Lo­cker Schlüs­sel zukünf­tig in der Azu­re Cloud zu spei­chern, mag für klei­ne Unter­neh­men bequem sein, da zukünf­tig die Not­wen­dig­keit für ein eige­nes Bit­Lo­cker Manage­ment Sys­tem entfällt.

Die­ser Inno­va­ti­onschritt wird aber für gro­ße Unter­neh­men kei­ne direk­te Alter­na­ti­ve für den MBAM sein. Spe­zi­ell bei gro­ßen Unter­neh­men wird kei­ne Frei­ga­ben für die Spei­che­rung der sicher­heits­kri­ti­schen Ver­schlüs­se­lungs­schlüs­seln in der Cloud geben. Auch durch die weit­rei­chen­den Zugriffs­mög­li­chen durch den Cloud-Act, der ame­ri­ka­ni­sche Inter­net-Fir­men und IT-Dienst­leis­ter ver­pflich­tet, US-Behör­den auch dann Zugriff auf gespei­cher­te Daten zu gewähr­leis­ten, wenn die Spei­che­rung nicht in den USA erfolgt, sind Ver­schlüs­se­lungs­schlüs­sel beson­ders schützenswert.

Secu­ri­ty First: On-Pre­mi­se Alternativen

Ich emp­feh­le Bit­Lo­cker Kun­den eine genaue Prü­fung der Optio­nen ohne MBAM, da es mit dem Manage­ment Ser­ver von Secu­re Disk for Bit­Lo­cker auch ein On-Pre­mi­se Bit­Lo­cker Manage­ment Sys­te­me gibt, das Schlüs­sel nicht in der Cloud spei­chert. So gibt es kei­ne Gefahr durch den Cloud-Act oder ande­ren Fernzugriffen.

Spe­zi­ell für MBAM Kun­den haben wir ein spe­zi­el­les Migra­ti­ons­an­ge­bot erar­bei­tet. Nut­zen Sie den fol­gen­den Link für mehr Infor­ma­ti­on zu der Ablö­se und zur Migration: