Compartir a través de

Consideraciones sobre seguridad de MBAM 2.5

  • Artículo

Este tema contiene la siguiente información sobre cómo proteger la administración y supervisión de Microsoft BitLocker (MBAM):

Configuración de MBAM para almacenar el TPM y almacenar contraseñas de OwnerAuth

Nota Para Windows 10, versión 1607 o posterior, solo Windows puede tomar posesión del TPM. Además, Windows no conservará la contraseña de propietario de TPM al aprovisionar el TPM. Consulte Contraseña de propietario de TPM para obtener más detalles.

Dependiendo de su configuración, el módulo de plataforma segura (TPM) se bloqueará en determinadas situaciones ─ como cuando se escriben demasiadas contraseñas incorrectas ─ y pueden permanecer bloqueadas durante un período de tiempo. Durante el bloqueo de TPM, BitLocker no puede acceder a las claves de cifrado para realizar operaciones de desbloqueo o descifrado, lo que requiere que el usuario escriba su clave de recuperación de BitLocker para acceder a la unidad del sistema operativo. Para restablecer el bloqueo de TPM, debe proporcionar la contraseña ownerAuth de TPM.

MBAM puede almacenar la contraseña ownerAuth de TPM en la base de datos MBAM si posee el TPM o si almacena la contraseña. Las contraseñas de OwnerAuth son fácilmente accesibles en el sitio web de administración y supervisión cuando se debe recuperar de un bloqueo de TPM, lo que elimina la necesidad de esperar a que el bloqueo se resuelva por sí mismo.

Escrowing TPM OwnerAuth en Windows 8 y versiones posteriores

Nota Para Windows 10, versión 1607 o posterior, solo Windows puede tomar posesión del TPM. En addiiton, Windows no conservará la contraseña de propietario del TPM al aprovisionar el TPM. Consulte Contraseña de propietario de TPM para obtener más detalles.

En Windows 8 o superior, MBAM ya no debe poseer el TPM para almacenar la contraseña ownerAuth, siempre y cuando ownerAuth esté disponible en el equipo local.

Para habilitar MBAM para almacenar y almacenar contraseñas de propietario de TPM, debe configurar estas opciones de directiva de grupo.

Configuración de directiva de grupo Configuración

Activar la copia de seguridad de TPM en Servicios de dominio de Active Directory

Deshabilitado o no configurado

Configuración del nivel de información de autorización del propietario de TPM disponible para el sistema operativo

Delegado/Ninguno o No configurado

La ubicación de estos valores de directiva de grupo es Configuración> del equipoPlantillas> administrativasSystem>Trusted Platform Module Services.

Nota Windows quita OwnerAuth localmente después de que MBAM lo resguarde correctamente con esta configuración.

Escrowing TPM OwnerAuth en Windows 7

En Windows 7, MBAM debe poseer el TPM para custodiar automáticamente la información de OwnerAuth de TPM en la base de datos MBAM. Si MBAM no posee el TPM, debe usar los cmdlets de importación de datos de Active Directory (AD) de MBAM para copiar Tpm OwnerAuth de Active Directory en la base de datos de MBAM.

Cmdlets de importación de datos de Active Directory de MBAM

Los cmdlets de importación de datos de Active Directory de MBAM permiten recuperar los paquetes de clave de recuperación y las contraseñas de OwnerAuth que se almacenan en Active Directory.

El servidor MBAM 2.5 SP1 se incluye con cuatro cmdlets de PowerShell que rellenan previamente las bases de datos de MBAM con la información de propietario de TPM y recuperación por volumen almacenada en Active Directory.

Para paquetes y claves de recuperación de volumen:

  • Read-ADRecoveryInformation

  • Write-MbamRecoveryInformation

Para obtener información sobre el propietario de TPM:

  • Read-ADTpmInformation

  • Write-MbamTpmInformation

Para asociar usuarios a equipos:

  • Write-MbamComputerUser

Los cmdlets Read-AD* leen información de Active Directory. Los cmdlets Write-Mbam* insertan los datos en las bases de datos de MBAM. Consulte Referencia de cmdlets para administración y supervisión de Microsoft Bitlocker 2.5 para obtener información detallada sobre estos cmdlets, incluida la sintaxis, los parámetros y los ejemplos.

Crear asociaciones de usuario a equipo: Los cmdlets de importación de datos de Active Directory de MBAM recopilan información de Active Directory e insertan los datos en la base de datos de MBAM. Sin embargo, no asocian usuarios a volúmenes. Puede descargar el script de PowerShell Add-ComputerUser.ps1 para crear asociaciones de usuario a máquina, que permiten a los usuarios recuperar el acceso a un equipo a través del sitio web de administración y supervisión o mediante el Portal de Self-Service para la recuperación. El script Add-ComputerUser.ps1 recopila datos del atributo Managed By en Active Directory (AD), el propietario del objeto en AD o de un archivo CSV personalizado. A continuación, el script agrega los usuarios detectados al objeto de canalización de información de recuperación, que se debe pasar a Write-MbamRecoveryInformation para insertar los datos en la base de datos de recuperación.

Descargue el script de PowerShell Add-ComputerUser.ps1 desde el Centro de descarga de Microsoft.

Puede especificar la ayuda Add-ComputerUser.ps1 para obtener ayuda para el script, incluidos ejemplos de cómo usar los cmdlets y el script.

Para crear asociaciones de usuario a equipo después de instalar el servidor MBAM, use el cmdlet de PowerShell Write-MbamComputerUser. De forma similar al script de PowerShell Add-ComputerUser.ps1, este cmdlet le permite especificar usuarios que pueden usar el portal de Self-Service para obtener información de ownerAuth de TPM o contraseñas de recuperación por volumen para el equipo especificado.

Nota El agente de MBAM invalidará las asociaciones de usuario a equipo cuando ese equipo empiece a informar al servidor.

Requisitos previos: Los cmdlets Read-AD* solo pueden recuperar información de AD si se ejecutan como una cuenta de usuario con privilegios elevados, como un administrador de dominio, o bien se ejecutan como una cuenta en un grupo de seguridad personalizado al que se concede acceso de lectura a la información (recomendado).

Guía de operaciones de cifrado de unidad bitLocker: Recuperación de volúmenes cifrados con AD DS proporciona detalles sobre cómo crear un grupo de seguridad personalizado (o varios grupos) con acceso de lectura a la información de AD.

Permisos de escritura del servicio web de hardware y recuperación de MBAM: Los cmdlets Write-Mbam* aceptan la dirección URL del servicio de recuperación y hardware de MBAM, que se usa para publicar la información de recuperación o TPM. Normalmente, solo una cuenta de servicio de equipo de dominio puede comunicarse con el servicio de recuperación y hardware de MBAM. En MBAM 2.5 SP1, puede configurar el servicio de recuperación y hardware de MBAM con un grupo de seguridad denominado DataMigrationAccessGroup cuyos miembros pueden omitir la comprobación de la cuenta de servicio del equipo de dominio. Los cmdlets Write-Mbam* deben ejecutarse como un usuario que pertenezca a este grupo configurado. (Como alternativa, las credenciales de un usuario individual del grupo configurado se pueden especificar mediante el parámetro –Credential en los cmdlets Write-Mbam*).

Puede configurar el servicio de recuperación y hardware de MBAM con el nombre de este grupo de seguridad de una de estas maneras:

  • Proporcione el nombre del grupo de seguridad (o individual) en el parámetro -DataMigrationAccessGroup del cmdlet de PowerShell Enable-MbamWebApplication –AgentService.

  • Configure el grupo después de instalar el servicio de recuperación y hardware de MBAM editando el archivo web.config en la <carpeta inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\.

    <add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />

    donde <groupName> se reemplaza por el dominio y el nombre del grupo (o el usuario individual) que se usarán para permitir la migración de datos desde Active Directory.

  • Use el Editor de configuración en el Administrador de IIS para editar esta aplicaciónConfiguración.

En el ejemplo siguiente, el comando, cuando se ejecuta como miembro del grupo ADRecoveryInformation y del grupo Usuarios de migración de datos, extraerá la información de recuperación de volumen de los equipos de la unidad organizativa WORKSTATIONS del dominio contoso.com y los escribirá en MBAM mediante el servicio de recuperación y hardware de MBAM que se ejecuta en el servidor de mbam.contoso.com.

PS C:\> Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"

Los cmdlets Read-AD* aceptan el nombre o la dirección IP de una máquina de servidor de hospedaje de Active Directory para consultar la información de recuperación o TPM. Se recomienda proporcionar los nombres distintivos de los contenedores de AD en los que reside el objeto de equipo como valor del parámetro SearchBase. Si los equipos se almacenan en varias unidades organizativas, los cmdlets pueden aceptar la entrada de canalización para ejecutarse una vez para cada contenedor. El nombre distintivo de un contenedor de AD será similar a OU=Machines,DC=contoso,DC=com. Realizar una búsqueda dirigida a contenedores específicos proporciona las siguientes ventajas:

  • Reduce el riesgo de tiempo de espera al consultar un conjunto de datos de AD grande para objetos de equipo.

  • Puede omitir las unidades organizativas que contienen servidores de centro de datos u otras clases de equipos para los que es posible que la copia de seguridad no sea deseada o necesaria.

Otra opción es proporcionar la marca –Recurse con o sin la searchBase opcional para buscar objetos de equipo en todos los contenedores en la searchBase especificada o en todo el dominio respectivamente. Al usar la marca -Recurse, también puede usar el parámetro -MaxPageSize para controlar la cantidad de memoria local y remota necesaria para atender la consulta.

Estos cmdlets escriben en los objetos de canalización de tipo PsObject. Cada instancia de PsObject contiene una única clave de recuperación de volumen o cadena de propietario de TPM con su nombre de equipo asociado, marca de tiempo y otra información necesaria para publicarla en el almacén de datos de MBAM.

Los cmdlets Write-Mbam* aceptan valores de parámetros de información de recuperación de la canalización por nombre de propiedad. Esto permite que los cmdlets Write-Mbam* acepten la salida de canalización de los cmdlets Read-AD* (por ejemplo, Read-ADRecoveryInformation –Server contoso.com –Recurse | Write-MbamRecoveryInformation –RecoveryServiceEndpoint mbam.contoso.com).

Los cmdlets Write-Mbam* incluyen parámetros opcionales que proporcionan opciones de tolerancia a errores, registro detallado y preferencias para WhatIf y Confirm.

Los cmdlets Write-Mbam* también incluyen un parámetro Time opcional cuyo valor es un objeto DateTime . Este objeto incluye un atributo Kind que se puede establecer en Local, UTCo Unspecified. Cuando el parámetro Time se rellena a partir de datos tomados de Active Directory, la hora se convierte a UTC y este atributo Kind se establece automáticamente en UTC. Sin embargo, al rellenar el parámetro Time mediante otro origen, como un archivo de texto, debe establecer explícitamente el atributo Kind en su valor adecuado.

Nota Los cmdlets Read-AD* no tienen la capacidad de detectar las cuentas de usuario que representan a los usuarios del equipo. Las asociaciones de cuentas de usuario son necesarias para lo siguiente:

  • Usuarios para recuperar contraseñas o paquetes de volumen mediante el portal de Self-Service

  • Los usuarios que no están en el grupo de seguridad usuarios avanzados del departamento de soporte técnico de MBAM tal como se define durante la instalación, se recuperan en nombre de otros usuarios.

Configuración de MBAM para desbloquear automáticamente el TPM después de un bloqueo

Puede configurar MBAM 2.5 SP1 para desbloquear automáticamente el TPM en caso de bloqueo. Si el restablecimiento automático de bloqueo de TPM está habilitado, MBAM puede detectar que un usuario está bloqueado y, a continuación, obtener la contraseña ownerAuth de la base de datos MBAM para desbloquear automáticamente el TPM para el usuario. El restablecimiento automático de bloqueo de TPM solo está disponible si la clave de recuperación del sistema operativo para ese equipo se recuperó mediante el Portal de autoservicio o el sitio web de administración y supervisión.

Importante Para habilitar el restablecimiento automático del bloqueo de TPM, debe configurar esta característica en el lado servidor y en directiva de grupo en el lado cliente.

  • Para habilitar el restablecimiento automático del bloqueo de TPM en el cliente, configure la configuración de directiva de grupo "Configurar el restablecimiento automático de bloqueo de TPM" que se encuentra en Configuración> del equipoPlantillas> administrativasComponentes> de WindowsMDOP MBAM>Client Management.

  • Para habilitar el restablecimiento automático del bloqueo de TPM en el servidor, puede comprobar "Habilitar el restablecimiento automático de bloqueo de TPM" en el Asistente para configuración del servidor MBAM durante la instalación.

    También puede habilitar el restablecimiento automático de bloqueo de TPM en PowerShell especificando el modificador "-TPM lockout auto reset" (Restablecimiento automático de bloqueo de TPM) al habilitar el componente web del servicio del agente.

Después de que un usuario escriba la clave de recuperación de BitLocker que obtuvo del Portal de autoservicio o del sitio web de administración y supervisión, el agente de MBAM determinará si el TPM está bloqueado. Si está bloqueado, intentará recuperar el ownerAuth de TPM para el equipo de la base de datos MBAM. Si el ownerAuth de TPM se recupera correctamente, se usará para desbloquear el TPM. El desbloqueo del TPM hace que el TPM sea totalmente funcional y el usuario no se verá obligado a escribir la contraseña de recuperación durante los reinicios posteriores de un bloqueo de TPM.

El restablecimiento automático de bloqueo de TPM está deshabilitado de forma predeterminada.

Nota El restablecimiento automático de bloqueo de TPM solo se admite en equipos que ejecutan TPM versión 1.2. TPM 2.0 proporciona funcionalidad de restablecimiento automático de bloqueo integrada.

El informe de auditoría de recuperación incluye eventos relacionados con el restablecimiento automático del bloqueo de TPM. Si se realiza una solicitud desde el cliente de MBAM para recuperar una contraseña ownerAuth de TPM, se registra un evento para indicar la recuperación. Las entradas de auditoría incluirán los siguientes eventos:

Entrada Valor

Origen de la solicitud de auditoría

Desbloqueo del TPM del agente

Tipo de clave

Hash de contraseña de TPM

Descripción de la razón

Restablecimiento de TPM

Conexiones seguras a SQL Server

En MBAM, SQL Server se comunica con SQL Server Reporting Services y con los servicios web del sitio web de administración y supervisión y Self-Service Portal. Se recomienda proteger la comunicación con SQL Server. Para obtener más información, consulte Cifrado de conexiones a SQL Server.

Para obtener más información sobre cómo proteger los sitios web de MBAM, consulte Planeamiento de cómo proteger los sitios web de MBAM.

Creación de cuentas y grupos

El procedimiento recomendado para administrar cuentas de usuario es crear grupos globales de dominio y agregarles cuentas de usuario. Para obtener una descripción de las cuentas y grupos recomendados, consulte Planeamiento de grupos y cuentas de MBAM 2.5.

Uso de archivos de registro de MBAM

En esta sección se describen los archivos de registro de cliente mbam server y MBAM.

Archivos de registro del programa de instalación del servidor MBAM

El archivo MBAMServerSetup.exe genera los siguientes archivos de registro en la carpeta %temp% del usuario durante la instalación de MBAM:

  • <Microsoft_BitLocker_Administration_and_Monitoring_14 numbers.log>

    Registra las acciones realizadas durante la instalación de MBAM y la configuración de características del servidor MBAM.

  • <Microsoft_BitLocker_Administration_and_Monitoring_14_numbers>_0_MBAMServer.msi.log

    Registra la acción adicional realizada durante la instalación.

Archivos de registro de configuración del servidor MBAM

  • Registros de aplicaciones y servicios/Microsoft Windows/MBAM-Setup

    Registra los errores que se producen cuando se usan cmdlets de Windows PowerShell o el Asistente para configuración del servidor MBAM para configurar las características del servidor MBAM.

Archivos de registro de instalación del cliente de MBAM

  • MSI<cinco caracteres aleatorios.log>

    Registra las acciones realizadas durante la instalación del cliente de MBAM.

Archivos de registro de MBAM-Web

  • Muestra la actividad de los portales y servicios web.

Revisión de las consideraciones de TDE de base de datos de MBAM

La característica de cifrado de datos transparente (TDE) que está disponible en SQL Server es una instalación opcional para las instancias de base de datos que hospedarán las características de base de datos de MBAM.

Con TDE, puede realizar el cifrado de nivel de base de datos completo y en tiempo real. TDE es la opción óptima para que el cifrado masivo cumpla los estándares de seguridad de datos corporativos o de cumplimiento normativo. TDE funciona en el nivel de archivo, que es similar a dos características de Windows: el sistema de cifrado de archivos (EFS) y el cifrado de unidad BitLocker. Ambas características también cifran los datos en el disco duro. TDE no reemplaza el cifrado de nivel de celda, EFS o BitLocker.

Cuando TDE está habilitado en una base de datos, todas las copias de seguridad se cifran. Por lo tanto, se debe tener especial cuidado para asegurarse de que se realiza una copia de seguridad del certificado que se usó para proteger la clave de cifrado de base de datos y se mantiene con la copia de seguridad de la base de datos. Si se pierde este certificado (o certificados), los datos serán ilegibles.

Realice una copia de seguridad del certificado con la base de datos. Cada copia de seguridad de certificado debe tener dos archivos. Ambos archivos deben archivarse. Idealmente para la seguridad, se debe realizar una copia de seguridad independientemente del archivo de copia de seguridad de la base de datos. También puede considerar el uso de la característica de administración extensible de claves (EKM) (consulte Administración extensible de claves) para el almacenamiento y el mantenimiento de claves que se usan para TDE.

Para obtener un ejemplo de cómo habilitar TDE para instancias de base de datos MBAM, consulte Descripción del cifrado de datos transparente (TDE).

Descripción de las consideraciones generales de seguridad

Comprenda los riesgos de seguridad. El riesgo más grave al usar la administración y supervisión de Microsoft BitLocker es que su funcionalidad podría verse comprometida por un usuario no autorizado que, a continuación, podría volver a configurar el cifrado de unidad bitlocker y obtener datos de clave de cifrado de BitLocker en los clientes de MBAM. Sin embargo, la pérdida de la funcionalidad de MBAM durante un breve período de tiempo, debido a un ataque por denegación de servicio, no suele tener un impacto catastrófico, a diferencia de, por ejemplo, la pérdida de comunicaciones de correo electrónico o de red, o energía.

Proteja físicamente los equipos. No hay seguridad sin seguridad física. Un atacante que obtiene acceso físico a un servidor MBAM podría usarlo para atacar toda la base de clientes. Todos los posibles ataques físicos deben considerarse de alto riesgo y mitigarse adecuadamente. Los servidores MBAM deben almacenarse en una sala de servidores segura con acceso controlado. Proteja estos equipos cuando los administradores no estén físicamente presentes haciendo que el sistema operativo bloquee el equipo o mediante un protector de pantalla protegido.

Aplique las actualizaciones de seguridad más recientes a todos los equipos. Manténgase informado sobre las nuevas actualizaciones de los sistemas operativos Windows, SQL Server y MBAM mediante la suscripción al servicio de notificación de seguridad en Security TechCenter.

Use contraseñas seguras o frases de paso. Use siempre contraseñas seguras con 15 o más caracteres para todas las cuentas de administrador de MBAM. Nunca use contraseñas en blanco. Para obtener más información sobre los conceptos de contraseña, vea Directiva de contraseñas.

Planificación de implementación de MBAM 2.5

¿Tienes una sugerencia para MBAM?

Para problemas de MBAM, use el foro de TechNet de MBAM.