Sicherheitsüberlegungen zu MBAM 2.5
Dieser Artikel enthält Informationen zum Schützen der Microsoft BitLocker Administration and Monitoring (MBAM).
Konfigurieren von MBAM zum Escrow des TPM und Speichern von OwnerAuth-Kennwörtern
Hinweis
Für Windows 10, Version 1607 oder höher, kann nur Windows den Besitz des TPM übernehmen. Windows behält das TPM-Besitzerkennwort nicht bei, wenn es das TPM bereitstellt. Weitere Informationen finden Sie unter TPM-Besitzerkennwort.
Abhängig von seiner Konfiguration sperrt sich das Trusted Platform Module (TPM) in bestimmten Situationen selbst und kann gesperrt bleiben. Beispielsweise, wenn ein Benutzer zu viele falsche Kennwörter eingibt. Während der TPM-Sperre kann BitLocker nicht auf die Verschlüsselungsschlüssel zugreifen, um das Laufwerk zu entsperren oder zu entschlüsseln. Dieser Zustand erfordert, dass der Benutzer seinen BitLocker-Wiederherstellungsschlüssel eingibt, um auf das Betriebssystemlaufwerk zuzugreifen. Um die TPM-Sperre zurückzusetzen, müssen Sie das TPM OwnerAuth-Kennwort angeben.
MBAM kann das TPM OwnerAuth-Kennwort in der MBAM-Datenbank speichern, wenn es besitzer des TPM ist oder wenn es das Kennwort hinterlegt. OwnerAuth-Kennwörter sind dann auf der Verwaltungs- und Überwachungswebsite leicht zugänglich, wenn Sie eine TPM-Sperre wiederherstellen müssen, sodass sie nicht mehr warten müssen, bis die Sperre von selbst aufgelöst wird.
Escrowing TPM OwnerAuth in Windows 8 und höher
Hinweis
Für Windows 10, Version 1607 oder höher, kann nur Windows den Besitz des TPM übernehmen. Windows behält das TPM-Besitzerkennwort nicht bei, wenn es das TPM bereitstellt. Weitere Informationen finden Sie unter TPM-Besitzerkennwort.
In Windows 8 oder höher muss MBAM nicht mehr über das TPM zum Speichern des OwnerAuth-Kennworts verfügen, solange OwnerAuth auf dem lokalen Computer verfügbar ist.
Sie müssen diese Gruppenrichtlinieneinstellungen konfigurieren, um MBAM das Escrow-Konto zu ermöglichen und dann TPM OwnerAuth-Kennwörter zu speichern.
Gruppenrichtlinieneinstellung | Konfiguration |
---|---|
Aktivieren der TPM-Sicherung in Active Directory Domain Services | Deaktiviert oder Nicht konfiguriert |
Konfigurieren der Ebene der TPM-Besitzerautorisierungsinformationen, die für das Betriebssystem verfügbar sind | Delegiert/Keine oder Nicht konfiguriert |
Der Speicherort dieser Gruppenrichtlinieneinstellungen ist Computerkonfiguration>Administrative Vorlagen>System>Trusted Platform Module Services.
Hinweis
Windows entfernt die OwnerAuth lokal, nachdem MBAM sie erfolgreich mit diesen Einstellungen bevollmächtigt hat.
Escrowing TPM OwnerAuth in Windows 7
Unter Windows 7 muss MBAM das TPM besitzen, um tpm OwnerAuth-Informationen in der MBAM-Datenbank automatisch zu verwalten. Wenn MBAM nicht im Besitz des TPM ist, müssen Sie die MBAM Active Directory-Datenimport-Cmdlets (AD) verwenden, um TPM OwnerAuth aus Active Directory in die MBAM-Datenbank zu kopieren.
MbaM Active Directory-Datenimport-Cmdlets
Mit den MBAM Active Directory-Datenimport-Cmdlets können Sie Wiederherstellungsschlüsselpakete und OwnerAuth-Kennwörter abrufen, die in Active Directory gespeichert sind.
Der MBAM 2.5 SP1-Server wird mit vier PowerShell-Cmdlets ausgeliefert, die MBAM-Datenbanken mit den in Active Directory gespeicherten Volumewiederherstellungs- und TPM-Besitzerinformationen vorab auffüllen.
Für Volumewiederherstellungsschlüssel und -pakete:
Read-ADRecoveryInformation
Write-MbamRecoveryInformation
Informationen zum TPM-Besitzer:
Read-ADTpmInformation
Write-MbamTpmInformation
Für das Zuordnen von Benutzern zu Computern:
- Write-MbamComputerUser
Die Read-AD*
Cmdlets lesen Informationen aus Active Directory. Die Write-Mbam*
Cmdlets pushen die Daten in die MBAM-Datenbanken. Ausführliche Informationen zu diesen Cmdlets, einschließlich Syntax, Parametern und Beispielen, finden Sie unter Cmdlet-Referenz für Microsoft BitLocker Administration and Monitoring 2.5.
Erstellen von Benutzer-zu-Computer-Zuordnungen: Die MBAM Active Directory-Datenimport-Cmdlets sammeln Informationen aus Active Directory und fügen die Daten in die MBAM-Datenbank ein. Sie ordnen jedoch keine Benutzer volumes zu. Sie können das Add-ComputerUser.ps1 PowerShell-Skript herunterladen, um Benutzer-zu-Computer-Zuordnungen zu erstellen, die Benutzern den Zugriff auf einen Computer über die Verwaltungs- und Überwachungswebsite oder über das Self-Service-Portal für die Wiederherstellung wiederherstellen können. Das Add-ComputerUser.ps1-Skript sammelt Daten aus dem Attribut Managed By in Active Directory (AD), dem Objektbesitzer in AD oder aus einer benutzerdefinierten CSV-Datei. Das Skript fügt dann die ermittelten Benutzer dem Wiederherstellungsinformationspipelineobjekt hinzu, das an Write-MbamRecoveryInformation übergeben werden muss, um die Daten in die Wiederherstellungsdatenbank einzufügen.
Sie können Hilfe Add-ComputerUser.ps1 angeben, um Hilfe für das Skript zu erhalten, einschließlich Beispielen für die Verwendung der Cmdlets und des Skripts.
Verwenden Sie das PowerShell-Cmdlet Write-MbamComputerUser, um Benutzer-zu-Computer-Zuordnungen nach der Installation des MBAM-Servers zu erstellen. Ähnlich wie beim Add-ComputerUser.ps1 PowerShell-Skript können Sie mit diesem Cmdlet Benutzer angeben, die das Self-Service Portal verwenden können, um TPM OwnerAuth-Informationen oder Volumewiederherstellungskennwörter für den angegebenen Computer abzurufen.
Hinweis
Der MBAM-Agent überschreibt Benutzer-zu-Computer-Zuordnungen, wenn dieser Computer beginnt, berichte an den Server.
Voraussetzungen: Die Read-AD*
Cmdlets können Informationen nur dann aus AD abrufen, wenn sie entweder als Benutzerkonto mit hohen Berechtigungen ausgeführt werden, z. B. als Domänenadministrator oder als Konto in einer benutzerdefinierten Sicherheitsgruppe, die Lesezugriff auf die Informationen gewährt (empfohlen).
Betriebshandbuch zur BitLocker-Laufwerkverschlüsselung: Das Wiederherstellen verschlüsselter Volumes mit ADDS enthält Details zum Erstellen einer benutzerdefinierten Sicherheitsgruppe (oder mehrerer Gruppen) mit Lesezugriff auf die AD-Informationen.
MBAM-Wiederherstellungs- und Hardwarewebdienst-Schreibberechtigungen: Die Write-Mbam*
Cmdlets akzeptieren die URL des MBAM-Wiederherstellungs- und Hardwarediensts, der zum Veröffentlichen der Wiederherstellungs- oder TPM-Informationen verwendet wird. In der Regel kann nur ein Domänencomputerdienstkonto mit dem MBAM-Wiederherstellungs- und Hardwaredienst kommunizieren. In MBAM 2.5 SP1 können Sie den MBAM-Wiederherstellungs- und Hardwaredienst mit einer Sicherheitsgruppe namens DataMigrationAccessGroup konfigurieren. Mitglieder dieser Gruppe können die Überprüfung des Domänencomputerdienstkontos umgehen. Die Write-Mbam*
Cmdlets müssen als Benutzer ausgeführt werden, der zu dieser konfigurierten Gruppe gehört. (Alternativ können die Anmeldeinformationen eines einzelnen Benutzers in der konfigurierten Gruppe mithilfe des Parameters -Credential in den Write-Mbam*
Cmdlets angegeben werden.)
Sie können den MBAM-Wiederherstellungs- und Hardwaredienst mit dem Namen dieser Sicherheitsgruppe auf eine der folgenden Arten konfigurieren:
Geben Sie den Namen der Sicherheitsgruppe (oder einzelperson) im Parameter -DataMigrationAccessGroup des PowerShell-Cmdlets Enable-MbamWebApplication -AgentService an.
Konfigurieren Sie die Gruppe, nachdem Sie den MBAM-Wiederherstellungs- und Hardwaredienst installiert haben. Bearbeiten Sie die web.config-Datei im
<inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\
Ordner.<add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />
wobei
<groupName>
durch die Domäne und den Gruppennamen (oder den einzelnen Benutzer) ersetzt wird, die Sie zum Zulassen der Datenmigration aus Active Directory verwenden.Um diese appSetting zu bearbeiten, verwenden Sie den Konfigurations-Editor im IIS-Manager.
Wenn Sie im folgenden Beispiel den Befehl als Mitglied der Gruppen ADRecoveryInformation und Datenmigrationsbenutzer ausführen, werden die Volumewiederherstellungsinformationen von Computern in der Organisationseinheit WORKSTATIONS in der domäne contoso.com abgerufen. Anschließend werden sie mithilfe des MBAM-Wiederherstellungs- und Hardwarediensts, der auf dem mbam.contoso.com Server ausgeführt wird, in MBAM geschrieben.
Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"
Read-AD*
Cmdlets akzeptieren den Namen oder die IP-Adresse eines Active Directory-Hostservercomputers, um Wiederherstellungs- oder TPM-Informationen abzufragen. Es wird empfohlen, die distinguished names der AD-Container, in denen sich das Computerobjekt befindet, als Wert des SearchBase-Parameters anzugeben. Wenn Computer über mehrere Organisationseinheiten hinweg gespeichert werden, können die Cmdlets Pipelineeingaben akzeptieren, die für jeden Container einmal ausgeführt werden. Der Distinguished Name eines AD-Containers sieht ähnlich wie aus OU=Machines,DC=contoso,DC=com
.
Wenn Sie eine Suche für bestimmte Container ausführen, bietet dies die folgenden Vorteile:
Verringert das Risiko eines Timeouts beim Abfragen eines großen AD-Datasets für Computerobjekte.
OUs, die Rechenzentrumsserver oder andere Klassen von Computern enthalten, für die die Sicherung möglicherweise nicht gewünscht oder erforderlich ist, weglassen.
Eine weitere Möglichkeit besteht darin, das Flag -Recurse mit oder ohne die optionale SearchBase bereitzustellen, um in allen Containern unter der angegebenen SearchBase bzw. der gesamten Domäne nach Computerobjekten zu suchen. Wenn Sie das Flag -Recurse verwenden, können Sie auch den Parameter -MaxPageSize verwenden, um die Menge an lokalem und Remotespeicher zu steuern, die für die Abfrageverwaltung erforderlich ist.
Diese Cmdlets schreiben in die Pipelineobjekte des Typs PsObject. Jede PsObject-Instanz enthält einen einzelnen Volumewiederherstellungsschlüssel oder eine TPM-Besitzerzeichenfolge mit dem zugehörigen Computernamen, dem Zeitstempel und anderen Informationen, die zum Veröffentlichen im MBAM-Datenspeicher erforderlich sind.
Write-Mbam*
Cmdlets** akzeptieren Parameterwerte für Wiederherstellungsinformationen aus der Pipeline nach Eigenschaftsname. Dieses Verhalten ermöglicht es den Write-Mbam*
Cmdlets, die Pipelineausgabe der Read-AD*
Cmdlets zu akzeptieren. Beispiel: Read-ADRecoveryInformation -Server contoso.com -Recurse | Write-MbamRecoveryInformation -RecoveryServiceEndpoint mbam.contoso.com
.
Die Write-Mbam*
Cmdlets enthalten optionale Parameter, die Optionen für Fehlertoleranz, ausführliche Protokollierung und Einstellungen für WhatIf und Confirm bereitstellen.
Die Write-Mbam*
Cmdlets enthalten auch einen optionalen Time-Parameter , dessen Wert ein DateTime-Objekt ist. Dieses Objekt enthält ein Kind-Attribut , das auf Local
, UTC
oder Unspecified
festgelegt werden kann. Wenn der Time-Parameter aus Daten aus Active Directory aufgefüllt wird, wird die Zeit in UTC konvertiert, und dieses Kind-Attribut wird automatisch auf UTC
festgelegt. Beim Auffüllen des Time-Parameters mit einer anderen Quelle, z. B. einer Textdatei, müssen Sie das Kind-Attribut jedoch explizit auf den entsprechenden Wert festlegen.
Hinweis
Die Read-AD*
Cmdlets können die Benutzerkonten, die die Computerbenutzer darstellen, nicht ermitteln. Benutzerkontenzuordnungen sind für Folgendes erforderlich:
Benutzer können Volumekennwörter oder -pakete mithilfe des Self-Service-Portals wiederherstellen.
Benutzer, die sich nicht in der Sicherheitsgruppe "MBAM Advanced Helpdesk Users" befinden, wie während der Installation definiert, werden im Auftrag anderer Benutzer wiederhergestellt.
Konfigurieren von MBAM zum automatischen Entsperren des TPM nach einer Sperre
Sie können MBAM 2.5 SP1 so konfigurieren, dass das TPM automatisch entsperrt wird, wenn es gesperrt ist. Wenn das automatische Zurücksetzen der TPM-Sperre aktiviert ist, kann MBAM erkennen, dass ein Benutzer gesperrt ist, und dann das OwnerAuth-Kennwort aus der MBAM-Datenbank abrufen, um das TPM automatisch für den Benutzer zu entsperren. Automatisches Zurücksetzen der TPM-Sperre ist nur verfügbar, wenn der Wiederherstellungsschlüssel des Betriebssystems für diesen Computer über das Self-Service-Portal oder die Verwaltungs- und Überwachungswebsite abgerufen wurde.
Wichtig
Um die automatische Zurücksetzung der TPM-Sperre zu aktivieren, müssen Sie dieses Feature sowohl auf der Serverseite als auch auf der Clientseite in gruppenrichtlinien konfigurieren.
Um die automatische Zurücksetzung der TPM-Sperre auf clientseitiger Seite zu aktivieren, konfigurieren Sie die Gruppenrichtlinieneinstellung "Konfigurieren der automatischen Zurücksetzung von TPM-Sperren" unter Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM-Clientverwaltung>.
Um die automatische Zurücksetzung der TPM-Sperre auf serverseitiger Seite zu aktivieren, können Sie während des Setups im Konfigurations-Assistenten für den MBAM-Server die Option "Automatisches Zurücksetzen der TPM-Sperre aktivieren" aktivieren.
Sie können die automatische Zurücksetzung der TPM-Sperre auch in PowerShell aktivieren, indem Sie beim Aktivieren der
-TPM
Agent-Dienst-Webkomponente den Schalter "Automatisches Zurücksetzen sperren" angeben.
Nachdem ein Benutzer den BitLocker-Wiederherstellungsschlüssel eingegeben hat, den er über das Self-Service-Portal oder die Verwaltungs- und Überwachungswebsite erhalten hat, ermittelt der MBAM-Agent, ob das TPM gesperrt ist. Wenn sie gesperrt ist, wird versucht, die TPM-Besitzerauthentifizierung für den Computer aus der MBAM-Datenbank abzurufen. Wenn tpm OwnerAuth erfolgreich abgerufen wurde, wird sie verwendet, um das TPM zu entsperren. Durch das Entsperren des TPM ist das TPM voll funktionsfähig, und der Benutzer ist nicht gezwungen, das Wiederherstellungskennwort bei nachfolgenden Neustarts von einer TPM-Sperre einzugeben.
Automatisches Zurücksetzen der TPM-Sperre ist standardmäßig deaktiviert.
Hinweis
Automatisches Zurücksetzen der TPM-Sperre wird nur auf Computern mit TPM-Version 1.2 unterstützt. TPM 2.0 bietet integrierte Funktionen für automatisches Zurücksetzen.
Der Bericht zur Wiederherstellungsüberwachung enthält Ereignisse im Zusammenhang mit der automatischen Zurücksetzung der TPM-Sperre. Wenn vom MBAM-Client eine Anforderung zum Abrufen eines TPM OwnerAuth-Kennworts gestellt wird, wird ein Ereignis protokolliert, um die Wiederherstellung anzugeben. Überwachungseinträge umfassen die folgenden Ereignisse:
Eintrag | Wert |
---|---|
Quelle der Überwachungsanforderung | Entsperren des Agent-TPM |
Schlüsseltyp | TPM-Kennworthash |
Beschreibung des Grunds | TPM-Zurücksetzung |
Sichere Verbindungen mit SQL Server
In MBAM kommuniziert SQL Server mit SQL Server Reporting Services und mit den Webdiensten für die Administration and Monitoring-Website und Self-Service Portal. Es wird empfohlen, die Kommunikation mit SQL Server zu schützen. Weitere Informationen finden Sie unter Verschlüsseln von Verbindungen mit SQL Server.
Weitere Informationen zum Schützen der MBAM-Websites finden Sie unter Planen des Schützens der MBAM-Websites.
Erstellen von Konten und Gruppen
Die bewährte Methode für die Verwaltung von Benutzerkonten besteht darin, globale Domänengruppen zu erstellen und ihnen Benutzerkonten hinzuzufügen. Eine Beschreibung der empfohlenen Konten und Gruppen finden Sie unter Planen von MBAM 2.5-Gruppen und -Konten.
Verwenden von MBAM-Protokolldateien
In diesem Abschnitt werden die MBAM-Server- und MBAM-Clientprotokolldateien beschrieben.
Setupprotokolldateien des MBAM-Servers
Die MBAMServerSetup.exe-Datei generiert die folgenden Protokolldateien im Ordner %temp% des Benutzers während der MBAM-Installation:
Microsoft_BitLocker_Administration_and_Monitoring_<14 numbers>.log
Protokolliert die Aktionen während des MBAM-Setups und der MbaM-Serverfeaturekonfiguration.
Microsoft_BitLocker_Administration_and_Monitoring_<14_numbers>_0_MBAMServer.msi.log
Protokolliert andere Aktionen während der Installation.
MBAM-Serverkonfigurationsprotokolldateien
Applications and Services Logs/Microsoft Windows/MBAM-Setup
Protokolliert alle Fehler, wenn Sie Windows PowerShell-Cmdlets oder den MBAM-Serverkonfigurations-Assistenten verwenden, um die MBAM-Serverfeatures zu konfigurieren.
Setupprotokolldateien des MBAM-Clients
MSI<five random characters>.log
Protokolliert die Aktionen, die während der INSTALLATION des MBAM-Clients ausgeführt wurden.
MBAM-Web Protokolldateien
- Zeigt Aktivitäten aus den Webportalen und -diensten an.
Überprüfen der TDE-Überlegungen zur MBAM-Datenbank
Das in SQL Server verfügbare TDE-Feature (Transparent Data Encryption) ist eine optionale Installation für die Datenbankinstanzen, die die MBAM-Datenbankfeatures hosten.
Mit TDE können Sie eine vollständige Verschlüsselung auf Datenbankebene in Echtzeit durchführen. TDE ist die optimale Wahl für die Massenverschlüsselung, um die Einhaltung gesetzlicher Bestimmungen oder der Datensicherheitsstandards des Unternehmens zu erfüllen. TDE funktioniert auf Dateiebene, die zwei Windows-Features ähnelt: verschlüsselndes Dateisystem (Encrypting File System, EFS) und BitLocker-Laufwerkverschlüsselung. Beide Features verschlüsseln auch Daten auf der Festplatte. TDE ersetzt die Verschlüsselung auf Zellenebene, EFS oder BitLocker nicht.
Wenn TDE für eine Datenbank aktiviert ist, werden alle Sicherungen verschlüsselt. Daher muss besonders darauf geachtet werden, dass das Zertifikat, das zum Schutz des Verschlüsselungsschlüssels der Datenbank verwendet wurde, mit der Datenbanksicherung gesichert und verwaltet wird. Wenn dieses Zertifikat verloren geht, sind die Daten nicht lesbar.
Sichern Sie das Zertifikat mit der Datenbank. Jede Zertifikatsicherung sollte über zwei Dateien verfügen. Beide Dateien sollten archiviert werden. Aus Sicherheitsgründen sollten sie im Idealfall separat von der Datenbanksicherungsdatei gesichert werden. Alternativ können Sie die Verwendung des Features erweiterbare Schlüsselverwaltung (Extensible Key Management, EKM) für die Speicherung und Wartung von Schlüsseln in Betracht ziehen, die für TDE verwendet werden.
Ein Beispiel zum Aktivieren von TDE für MBAM-Datenbankinstanzen finden Sie unter Transparente Datenverschlüsselung (TDE).
Grundlegendes zu allgemeinen Sicherheitsaspekten
Machen Sie sich mit den Sicherheitsrisiken vertraut. Das schwerwiegendste Risiko bei der Verwendung von MBAM besteht darin, dass die Funktionalität durch einen nicht autorisierten Benutzer kompromittiert werden kann. Dieser Benutzer könnte dann die BitLocker-Laufwerkverschlüsselung neu konfigurieren und BitLocker-Verschlüsselungsschlüsseldaten auf MBAM-Clients abrufen. Der Verlust der MBAM-Funktionalität für einen kurzen Zeitraum aufgrund eines Denial-of-Service-Angriffs hat im Allgemeinen keine katastrophalen Auswirkungen.
Schützen Sie Ihre Computer physisch. Es gibt keine Sicherheit ohne physische Sicherheit. Ein Angreifer, der physischen Zugriff auf einen MBAM-Server erhält, kann diesen potenziell verwenden, um die gesamte Clientbasis anzugreifen. Alle potenziellen physischen Angriffe müssen als hohes Risiko betrachtet und entsprechend entschärft werden. MBAM-Server sollten in einem sicheren Serverraum mit kontrolliertem Zugriff gespeichert werden. Schützen Sie diese Computer, wenn Administratoren nicht physisch anwesend sind, indem Sie den Computer vom Betriebssystem sperren lassen oder einen geschützten Bildschirmschoner verwenden.
Wenden Sie die neuesten Sicherheitsupdates auf alle Computer an.
Verwenden Sie sichere Kennwörter oder Passphrasen. Verwenden Sie für alle MBAM-Administratorkonten immer sichere Kennwörter mit mindestens 15 Zeichen. Verwenden Sie niemals leere Kennwörter. Weitere Informationen zu Kennwortkonzepten finden Sie unter Kennwortrichtlinie.