Sicherheitsüberlegungen zu MBAM 2.5

  • Artikel

Dieses Thema enthält die folgenden Informationen zum Sichern von Microsoft BitLocker Administration and Monitoring (MBAM):

Konfigurieren von MBAM zum Schließen des TPM und Speichern von OwnerAuth-Kennwörtern

Hinweis Für Windows 10, Version 1607 oder höher, kann nur Windows das TPM übernehmen. Darüber hinaus behält Windows das TPM-Besitzerkennwort nicht bei, wenn das TPM bereitgestellt wird. Weitere Informationen finden Sie unter TPM-Besitzerkennwort .

Je nach Konfiguration sperrt sich das Trusted Platform Module (TPM) in bestimmten Situationen – z. B. wenn zu viele falsche Kennwörter eingegeben werden – und kann für einen bestimmten Zeitraum gesperrt bleiben. Während der TPM-Sperrung kann BitLocker nicht auf die Verschlüsselungsschlüssel zugreifen, um Entsperrungs- oder Entschlüsselungsvorgänge auszuführen, sodass der Benutzer den BitLocker-Wiederherstellungsschlüssel eingeben muss, um auf das Betriebssystemlaufwerk zuzugreifen. Um die TPM-Sperrung zurückzusetzen, müssen Sie das TPM OwnerAuth-Kennwort angeben.

MBAM kann das TPM OwnerAuth-Kennwort in der MBAM-Datenbank speichern, wenn es das TPM besitzt oder wenn es das Kennwort übergibt. OwnerAuth-Kennwörter sind dann auf der Verwaltungs- und Überwachungswebsite leicht zugänglich, wenn Sie sich aus einer TPM-Sperrung wiederherstellen müssen, sodass Sie nicht allein auf die Auflösung der Sperrung warten müssen.

Escrowing TPM OwnerAuth in Windows 8 und höher

Hinweis Für Windows 10, Version 1607 oder höher, kann nur Windows das TPM übernehmen. In addiiton behält Windows das TPM-Besitzerkennwort nicht bei, wenn das TPM bereitgestellt wird. Weitere Informationen finden Sie unter TPM-Besitzerkennwort .

In Windows 8 oder höher darf MBAM nicht mehr das TPM besitzen, um das OwnerAuth-Kennwort zu speichern, solange das OwnerAuth auf dem lokalen Computer verfügbar ist.

Damit MBAM das Löschen und speichern von TPM OwnerAuth-Kennwörtern aktiviert wird, müssen Sie diese Gruppenrichtlinie-Einstellungen konfigurieren.

Einstellung für Gruppenrichtlinie Konfiguration

Aktivieren der TPM-Sicherung auf Active Directory Domain Services

Deaktiviert oder nicht konfiguriert

Konfigurieren der Ebene der für das Betriebssystem verfügbaren TPM-Besitzerautorisierungsinformationen

Delegiert/Keine oder nicht konfiguriert

Der Speicherort dieser Gruppenrichtlinie-Einstellungen ist ComputerKonfiguration>Administrative Vorlagen>System>Trusted Platform Module Services.

Hinweis Windows entfernt ownerAuth lokal, nachdem MBAM es erfolgreich mit diesen Einstellungen hinterlegt hat.

Escrowing TPM OwnerAuth in Windows 7

In Windows 7 muss MBAM das TPM besitzen, um TPM OwnerAuth-Informationen automatisch in der MBAM-Datenbank zu speichern. Wenn MBAM nicht im Besitz des TPM ist, müssen Sie die DATENimport-Cmdlets von MBAM Active Directory (AD) verwenden, um TPM OwnerAuth aus Active Directory in die MBAM-Datenbank zu kopieren.

Cmdlets für den MBAM-Active Directory-Datenimport

Mit den Cmdlets für den MBAM-Active Directory-Datenimport können Sie Wiederherstellungsschlüsselpakete und OwnerAuth-Kennwörter abrufen, die in Active Directory gespeichert sind.

Der MBAM 2.5 SP1-Server enthält vier PowerShell-Cmdlets, mit denen MBAM-Datenbanken vorab mit den in Active Directory gespeicherten Informationen zu Volumewiederherstellung und TPM-Besitzer aufgefüllt werden.

Für Volumewiederherstellungsschlüssel und -pakete:

  • Read-ADRecoveryInformation

  • Write-MbamRecoveryInformation

Informationen zum TPM-Besitzer:

  • Read-ADTpmInformation

  • Write-MbamTpmInformation

Zum Zuordnen von Benutzern zu Computern:

  • Write-MbamComputerUser

Die Read-AD*-Cmdlets lesen Informationen aus Active Directory. Die Write-Mbam*-Cmdlets übertragen die Daten in die MBAM-Datenbanken. Ausführliche Informationen zu diesen Cmdlets, einschließlich Syntax, Parametern und Beispielen, finden Sie unter Cmdlet Reference for Microsoft Bitlocker Administration and Monitoring 2.5 .

Erstellen von Benutzer-zu-Computer-Zuordnungen: Die Cmdlets für den MBAM-Active Directory-Datenimport sammeln Informationen aus Active Directory und fügen die Daten in die MBAM-Datenbank ein. Benutzer werden jedoch nicht Volumes zugeordnet. Sie können das Add-ComputerUser.ps1 PowerShell-Skript herunterladen, um Benutzer-zu-Computer-Zuordnungen zu erstellen, mit denen Benutzer über die Verwaltungs- und Überwachungswebsite oder über das Self-Service Portal für die Wiederherstellung wieder auf einen Computer zugreifen können. Das Add-ComputerUser.ps1-Skript sammelt Daten aus dem Attribut "Verwaltet von " in Active Directory (AD), dem Objektbesitzer in AD oder aus einer benutzerdefinierten CSV-Datei. Das Skript fügt dann die ermittelten Benutzer dem Wiederherstellungsinformationspipelineobjekt hinzu, das an Write-MbamRecoveryInformation übergeben werden muss, um die Daten in die Wiederherstellungsdatenbank einzufügen.

Laden Sie das Add-ComputerUser.ps1 PowerShell-Skript aus dem Microsoft Download Center herunter.

Sie können Hilfe Add-ComputerUser.ps1 angeben, um Hilfe für das Skript zu erhalten, einschließlich Beispiele für die Verwendung der Cmdlets und des Skripts.

Verwenden Sie das Write-MbamComputerUser PowerShell-Cmdlet, um Benutzer-zu-Computer-Zuordnungen zu erstellen, nachdem Sie den MBAM-Server installiert haben. Ähnlich wie das Add-ComputerUser.ps1 PowerShell-Skript können Sie mit diesem Cmdlet Benutzer angeben, die das Self-Service Portal verwenden können, um TPM OwnerAuth-Informationen oder Volumewiederherstellungskennwörter für den angegebenen Computer abzurufen.

Hinweis Der MBAM-Agent überschreibt Benutzer-zu-Computer-Zuordnungen, wenn dieser Computer mit der Berichterstellung an den Server beginnt.

Voraussetzungen: Die Read-AD*-Cmdlets können Nur Informationen aus AD abrufen, wenn sie entweder als Benutzerkonto mit hoher Berechtigung ausgeführt werden, z. B. ein Domänenadministrator, oder als Konto in einer benutzerdefinierten Sicherheitsgruppe ausgeführt werden, der Lesezugriff auf die Informationen gewährt wurde (empfohlen).

Handbuch zur BitLocker-Laufwerkverschlüsselung: Das Wiederherstellen verschlüsselter Volumes mit AD DS enthält Details zum Erstellen einer benutzerdefinierten Sicherheitsgruppe (oder mehrerer Gruppen) mit Lesezugriff auf die AD-Informationen.

Leseberechtigungen für MBAM-Wiederherstellungs- und Hardwarewebdienst: Die Write-Mbam*-Cmdlets akzeptieren die URL des MBAM-Wiederherstellungs- und Hardwarediensts, der zum Veröffentlichen der Wiederherstellungs- oder TPM-Informationen verwendet wird. In der Regel kann nur ein Domänencomputerdienstkonto mit dem MBAM-Wiederherstellungs- und Hardwaredienst kommunizieren. In MBAM 2.5 SP1 können Sie den MBAM-Wiederherstellungs- und Hardwaredienst mit einer Sicherheitsgruppe namens DataMigrationAccessGroup konfigurieren, deren Mitglieder die Überprüfung des Domänencomputerdienstkontos umgehen dürfen. Die Write-Mbam*-Cmdlets müssen als Benutzer ausgeführt werden, der zu dieser konfigurierten Gruppe gehört. (Alternativ können die Anmeldeinformationen eines einzelnen Benutzers in der konfigurierten Gruppe mithilfe des Parameters "–Credential" in den Write-Mbam*-Cmdlets angegeben werden.)

Sie können den MBAM-Wiederherstellungs- und Hardwaredienst auf eine der folgenden Arten mit dem Namen dieser Sicherheitsgruppe konfigurieren:

  • Geben Sie den Namen der Sicherheitsgruppe (oder der Einzelnen) im Parameter "-DataMigrationAccessGroup" des cmdlets Enable-MbamWebApplication –AgentService Powershell an.

  • Konfigurieren Sie die Gruppe nach der Installation des MBAM-Wiederherstellungs- und Hardwarediensts, indem Sie die web.config Datei im <Ordner "inetpub>\Microsoft Bitlocker-Verwaltungslösung\Wiederherstellungs- und Hardwaredienst\" bearbeiten.

    <add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />

    wobei <groupName> durch die Domäne und den Gruppennamen (oder den einzelnen Benutzer) ersetzt wird, die zum Zulassen der Datenmigration aus Active Directory verwendet werden.

  • Verwenden Sie den Konfigurations-Editor im IIS-Manager, um dieses appSetting zu bearbeiten.

Im folgenden Beispiel ruft der Befehl, wenn er als Mitglied der Gruppe "ADRecoveryInformation" und der Gruppe "Benutzer der Datenmigration" ausgeführt wird, die Volumewiederherstellungsinformationen von Computern in der Organisationseinheit WORKSTATIONS in der contoso.com Domäne ab und schreibt sie mithilfe des auf dem mbam.contoso.com Servers ausgeführten MBAM-Wiederherstellungs- und Hardwarediensts in MBAM.

PS C:\> Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"

Read-AD*-Cmdlets akzeptieren den Namen oder die IP-Adresse eines Active Directory-Hostservercomputers, um Wiederherstellungs- oder TPM-Informationen abzufragen. Es wird empfohlen, die Distinguished Names der AD-Container, in denen sich das Computerobjekt befindet, als Wert des SearchBase-Parameters bereitzustellen. Wenn Computer auf mehreren OUs gespeichert sind, können die Cmdlets pipelineeingaben akzeptieren, die einmal für jeden Container ausgeführt werden. Der Distinguished Name eines AD-Containers ähnelt OU=Machines,DC=contoso,DC=com. Das Durchführen einer Suche, die auf bestimmte Container ausgerichtet ist, bietet die folgenden Vorteile:

  • Reduziert das Timeoutrisiko beim Abfragen eines großen AD-Datasets nach Computerobjekten.

  • OUs, die Datencenterserver oder andere Klassen von Computern enthalten, für die die Sicherung möglicherweise nicht gewünscht oder erforderlich ist, können weggelassen werden.

Eine weitere Option besteht darin, das Flag "-Recurse" mit oder ohne die optionale SearchBase bereitzustellen, um in allen Containern unter der angegebenen SearchBase bzw. der gesamten Domäne nach Computerobjekten zu suchen. Wenn Sie das Kennzeichen "-Recurse" verwenden, können Sie auch den Parameter "-MaxPageSize" verwenden, um die Menge des lokalen und Remotespeichers zu steuern, der zum Bedienen der Abfrage erforderlich ist.

Diese Cmdlets schreiben in die Pipelineobjekte vom Typ PsObject. Jede PsObject-Instanz enthält einen einzelnen Volumewiederherstellungsschlüssel oder eine TPM-Besitzerzeichenfolge mit dem zugehörigen Computernamen, Zeitstempel und anderen Informationen, die zum Veröffentlichen im MBAM-Datenspeicher erforderlich sind.

Write-Mbam*-Cmdlets akzeptieren Wiederherstellungsinformationsparameterwerte aus der Pipeline nach Eigenschaftsname. Dadurch können die Write-Mbam*-Cmdlets die Pipelineausgabe der Read-AD*-Cmdlets akzeptieren (z. B. Read-ADRecoveryInformation –Server contoso.com –Recurse | Write-MbamRecoveryInformation –RecoveryServiceEndpoint mbam.contoso.com).

Die Write-Mbam*-Cmdlets enthalten optionale Parameter, die Optionen für Fehlertoleranz, ausführliche Protokollierung und Einstellungen für WhatIf und Confirm bereitstellen.

Die Write-Mbam*-Cmdlets enthalten auch einen optionalen Time-Parameter , dessen Wert ein DateTime-Objekt ist. Dieses Objekt enthält ein Kind -Attribut, das auf Local, UTCoder Unspecifiedfestgelegt werden kann. Wenn der Parameter "Time " aus Daten aus dem Active Directory aufgefüllt wird, wird die Uhrzeit in UTC konvertiert, und dieses Kind-Attribut wird automatisch auf UTCfestgelegt. Beim Auffüllen des Time-Parameters mit einer anderen Quelle, z. B. einer Textdatei, müssen Sie das Kind-Attribut jedoch explizit auf den entsprechenden Wert festlegen.

Hinweis Die Read-AD*-Cmdlets haben nicht die Möglichkeit, die Benutzerkonten zu ermitteln, die die Computerbenutzer darstellen. Benutzerkontenzuordnungen sind für Folgendes erforderlich:

  • Benutzer zum Wiederherstellen von Volumekennwörtern/-paketen mithilfe des Self-Service-Portals

  • Benutzer, die nicht in der Sicherheitsgruppe "MBAM Advanced Helpdesk Users" sind, wie während der Installation definiert, werden im Auftrag anderer Benutzer wiederhergestellt

Konfigurieren von MBAM zum automatischen Entsperren des TPM nach einer Sperrung

Sie können MBAM 2.5 SP1 so konfigurieren, dass das TPM im Falle einer Sperrung automatisch entsperrt wird. Wenn die automatische Zurücksetzung der TPM-Sperrung aktiviert ist, kann MBAM erkennen, dass ein Benutzer gesperrt ist, und dann das OwnerAuth-Kennwort aus der MBAM-Datenbank abrufen, um das TPM für den Benutzer automatisch zu entsperren. Die automatische Zurücksetzung der TPM-Sperrung ist nur verfügbar, wenn der Wiederherstellungsschlüssel des Betriebssystems für diesen Computer über das Self Service Portal oder die Verwaltungs- und Überwachungswebsite abgerufen wurde.

Wichtig Um die automatische Zurücksetzung der TPM-Sperrung zu aktivieren, müssen Sie dieses Feature sowohl auf der Serverseite als auch in Gruppenrichtlinie auf der Clientseite konfigurieren.

  • Um die automatische Zurücksetzung der TPM-Sperrung auf der Clientseite zu aktivieren, konfigurieren Sie die Gruppenrichtlinie Einstellung "Konfigurieren der automatischen TPM-Sperrungszurücksetzung" unter "Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM-Clientverwaltung>".

  • Um die automatische Zurücksetzung der TPM-Sperrung auf der Serverseite zu aktivieren, können Sie während des Setups im Assistenten für die MBAM-Serverkonfiguration die Option "AutomatischeS Zurücksetzen der TPM-Sperrung aktivieren" aktivieren.

    Sie können auch die automatische Zurücksetzung der TPM-Sperrung in PowerShell aktivieren, indem Sie den Schalter "-TPM lockout auto reset" angeben und gleichzeitig die Agentdienst-Webkomponente aktivieren.

Nachdem ein Benutzer den BitLocker-Wiederherstellungsschlüssel eingegeben hat, den er über das Self Service Portal oder die Verwaltungs- und Überwachungswebsite erhalten hat, ermittelt der MBAM-Agent, ob das TPM gesperrt ist. Wenn es gesperrt ist, wird versucht, das TPM OwnerAuth für den Computer aus der MBAM-Datenbank abzurufen. Wenn das TPM OwnerAuth erfolgreich abgerufen wurde, wird es zum Entsperren des TPM verwendet. Durch das Entsperren des TPM wird das TPM voll funktionsfähig, und der Benutzer ist nicht gezwungen, das Wiederherstellungskennwort während nachfolgender Neustarts aus einer TPM-Sperre einzugeben.

Die automatische Zurücksetzung der TPM-Sperrung ist standardmäßig deaktiviert.

Hinweis Die automatische Zurücksetzung der TPM-Sperrung wird nur auf Computern unterstützt, auf denen TPM Version 1.2 ausgeführt wird. TPM 2.0 bietet integrierte Funktionen zum automatischen Zurücksetzen der Sperrung.

Der Wiederherstellungsüberwachungsbericht enthält Ereignisse im Zusammenhang mit der automatischen Zurücksetzung der TPM-Sperrung. Wenn vom MBAM-Client eine Anforderung zum Abrufen eines TPM OwnerAuth-Kennworts gestellt wird, wird ein Ereignis protokolliert, um die Wiederherstellung anzuzeigen. Überwachungseinträge umfassen die folgenden Ereignisse:

Eintrag Wert

Überwachungsanforderungsquelle

Agent-TPM-Entsperrung

Schlüsseltyp

TPM-Kennworthash

Grundbeschreibung

TPM zurücksetzen

Sichere Verbindungen mit SQL Server

In MBAM kommuniziert SQL Server mit SQL Server Reporting Services und den Webdiensten für die Verwaltungs- und Überwachungswebsite und Self-Service Portal. Es wird empfohlen, die Kommunikation mit SQL Server zu sichern. Weitere Informationen finden Sie unter Verschlüsseln von Verbindungen mit SQL Server.

Weitere Informationen zum Sichern der MBAM-Websites finden Sie unter Planning How to Secure the MBAM Websites.

Erstellen von Konten und Gruppen

Die bewährte Methode zum Verwalten von Benutzerkonten besteht darin, globale Domänengruppen zu erstellen und ihnen Benutzerkonten hinzuzufügen. Eine Beschreibung der empfohlenen Konten und Gruppen finden Sie unter Planning for MBAM 2.5 Groups and Accounts.

Verwenden von MBAM-Protokolldateien

In diesem Abschnitt werden die Protokolldateien von MBAM Server und MBAM Client beschrieben.

Protokolldateien für das MBAM Server-Setup

Die MBAMServerSetup.exe-Datei generiert während der MBAM-Installation die folgenden Protokolldateien im Ordner %temp% des Benutzers:

  • <Microsoft_BitLocker_Administration_and_Monitoring_14 numbers.log>

    Protokolliert die Während des MBAM-Setups und der MBAM Server-Featurekonfiguration ausgeführten Aktionen.

  • <Microsoft_BitLocker_Administration_and_Monitoring_14_numbers>_0_MBAMServer.msi.log

    Protokolliert zusätzliche Aktionen, die während der Installation ausgeführt werden.

Protokolldateien für die MBAM-Serverkonfiguration

  • Anwendungs- und Dienstprotokolle/Microsoft Windows/MBAM-Setup

    Protokolliert die Fehler, die auftreten, wenn Sie Windows Powershell-Cmdlets oder den Assistenten für die MBAM Server-Konfiguration verwenden, um die MBAM Server-Features zu konfigurieren.

Protokolldateien für das MBAM-Clientsetup

  • MSI<fünf zufällige Characters.log>

    Protokolliert die Während der MBAM-Clientinstallation ausgeführten Aktionen.

MBAM-Web-Protokolldateien

  • Zeigt Aktivitäten aus den Webportalen und -diensten an.

Überprüfen der TDE-Überlegungen zur MBAM-Datenbank

Das TDE-Feature (Transparente Datenverschlüsselung), das in SQL Server verfügbar ist, ist eine optionale Installation für die Datenbankinstanzen, die die MBAM-Datenbankfeatures hosten.

Mit TDE können Sie die Verschlüsselung auf Datenbankebene in Echtzeit durchführen. TDE ist die optimale Wahl für die Massenverschlüsselung, um die Einhaltung gesetzlicher Vorschriften oder sicherheitsrelevanter Standards für Unternehmensdaten zu erfüllen. TDE funktioniert auf Dateiebene, was zwei Windows-Features ähnelt: dem Verschlüsselnden Dateisystem (Encrypting File System, EFS) und der BitLocker-Laufwerkverschlüsselung. Beide Features verschlüsseln auch Daten auf der Festplatte. TDE ersetzt keine Verschlüsselung auf Zellenebene, EFS oder BitLocker.

Wenn TDE für eine Datenbank aktiviert ist, werden alle Sicherungen verschlüsselt. Daher muss besonders darauf geachtet werden, dass das Zertifikat, das zum Schutz des Datenbankverschlüsselungsschlüssels verwendet wurde, gesichert und mit der Datenbanksicherung verwaltet wird. Wenn dieses Zertifikat (oder zertifikate) verloren geht, sind die Daten unlesbar.

Sichern Sie das Zertifikat mit der Datenbank. Jede Zertifikatsicherung sollte über zwei Dateien verfügen. Beide Dateien sollten archiviert werden. Im Idealfall sollten sie aus Sicherheitsgründen getrennt von der Datenbanksicherungsdatei gesichert werden. Alternativ können Sie die Verwendung des EKM-Features (Extensible Key Management) für die Speicherung und Wartung von Schlüsseln in Betracht ziehen, die für TDE verwendet werden.

Ein Beispiel zum Aktivieren von TDE für MBAM-Datenbankinstanzen finden Sie unter Understanding Transparent Data Encryption (TDE).

Grundlegendes zu allgemeinen Sicherheitsüberlegungen

Verstehen Sie die Sicherheitsrisiken. Das gravierendste Risiko bei Verwendung von Microsoft BitLocker Administration and Monitoring besteht darin, dass deren Funktionalität von einem nicht autorisierten Benutzer kompromittiert werden könnte, der dann die BitLocker-Laufwerkverschlüsselung neu konfigurieren und BitLocker-Verschlüsselungsschlüsseldaten auf MBAM-Clients abrufen könnte. Der Verlust von MBAM-Funktionen für einen kurzen Zeitraum aufgrund eines Denial-of-Service-Angriffs hat jedoch im Allgemeinen keine katastrophalen Auswirkungen, im Gegensatz zum Verlust von E-Mail oder Netzwerkkommunikation oder Energie.

Sichern Sie Ihre Computer physisch. Es gibt keine Sicherheit ohne physische Sicherheit. Ein Angreifer, der physischen Zugriff auf einen MBAM-Server erhält, könnte ihn potenziell verwenden, um die gesamte Clientbasis anzugreifen. Alle potenziellen physischen Angriffe müssen als hohes Risiko betrachtet und entsprechend abgemildert werden. MBAM-Server sollten in einem sicheren Serverraum mit kontrolliertem Zugriff gespeichert werden. Sichern Sie diese Computer, wenn Administratoren nicht physisch anwesend sind, indem Sie das Betriebssystem den Computer sperren lassen oder indem Sie einen gesicherten Bildschirmschoner verwenden.

Wenden Sie die neuesten Sicherheitsupdates auf alle Computer an. Bleiben Sie über neue Updates für Windows-Betriebssysteme, SQL Server und MBAM informiert, indem Sie den Sicherheitsbenachrichtigungsdienst im Security TechCenter abonnieren.

Verwenden Sie sichere Kennwörter oder übergeben Sie Ausdrücke. Verwenden Sie für alle MBAM-Administratorkonten immer sichere Kennwörter mit 15 oder mehr Zeichen. Verwenden Sie niemals leere Kennwörter. Weitere Informationen zu Kennwortkonzepten finden Sie unter Kennwortrichtlinie.

Planen der Bereitstellung von MBAM 2.5

Haben Sie einen Vorschlag für MBAM?

Verwenden Sie für MBAM-Probleme das MBAM TechNet-Forum.