Consideraciones de seguridad de MBAM 2.0
Se aplica a: Microsoft BitLocker Administration and Monitoring 2.0
Este tema contiene una breve introducción a las cuentas y grupos, los archivos de registro y otras consideraciones de seguridad para Microsoft BitLocker Administration and Monitoring (MBAM). Para obtener más información, siga los vínculos de este artículo.
Consideraciones generales de seguridad
Conocer los riesgos de seguridad. El mayor riesgo para Microsoft BitLocker Administration and Monitoring es el asalto de su funcionalidad por parte de un usuario no autorizado, ya que entonces podría reconfigurar el cifrado de BitLocker y obtener los datos de claves de cifrado de BitLocker en los clientes de MBAM. Sin embargo, la pérdida de la funcionalidad de MBAM durante un breve periodo de tiempo debido a un ataque de denegación de servicio no tiene, por lo general, un impacto catastrófico como el que podría tener la pérdida de correo electrónico o la interrupción de las comunicaciones de red o del suministro eléctrico.
Proteger físicamente los equipos. No hay ninguna seguridad sin la seguridad física. Si un atacante obtiene acceso físico a un servidor de MBAM, podría utilizarlo para atacar la base de clientes en su totalidad. Cualquier ataque físico potencial debe considerarse de alto riesgo y debe mitigarse de modo apropiado. Los servidores de MBAM se deben almacenar en una sala de servidores protegida y con control de acceso. Proteja estos equipos cuando los administradores no estén físicamente presentes haciendo que el sistema operativo bloquee el equipo o mediante el uso de un protector de pantalla seguro.
Aplique las actualizaciones de seguridad más recientes a todos los equipos. Manténgase informado acerca de las nuevas actualizaciones de sistema operativos, Microsoft SQL Server y MBAM. Para esto, suscríbase al servicio de notificaciones de seguridad (https://go.microsoft.com/fwlink/?LinkId=28819).
Utilice contraseñas o frases de contraseña seguras. Utilice siempre contraseñas seguras con 15 o más caracteres para todas las cuentas de administrador de MBAM y MBAM. Nunca utilice contraseñas en blanco. Para obtener más información acerca de los conceptos de contraseñas, consulte las notas del producto "Account Passwords and Policies" ("Directivas y contraseñas de cuentas") en TechNet (https://go.microsoft.com/fwlink/?LinkId=30009).
Cuentas y grupos de MBAM
Un procedimiento recomendado para la administración de cuentas de usuario es crear grupos globales de dominio y agregarles cuentas de usuario. A continuación, agregue las cuentas globales de dominio a los grupos locales de MBAM necesarios en los servidores de MBAM.
Grupos de Servicios de dominio de Active Directory
No se crea automáticamente ningún grupo de Active Directory durante el proceso de instalación de MBAM. Sin embargo, se recomienda crear los siguientes grupos globales de Servicios de dominio de Active Directory para administrar las operaciones de MBAM.
Nombre de grupo | Información detallada |
---|---|
Usuarios de soporte técnico avanzado de MBAM |
Cree este grupo para administrar a los miembros del grupo local de usuarios de soporte técnico avanzado de MBAM que se creó durante la instalación de MBAM. |
Acceso a la base de datos de cumplimiento y auditoría de MBAM |
Cree este grupo para administrar a los miembros del grupo local de acceso a la base de datos de cumplimiento y auditoría de MBAM que se creó durante la instalación de MBAM. |
Usuarios de soporte técnico de MBAM |
Cree este grupo para administrar a los miembros del grupo local de usuarios de soporte técnico de MBAM que se creó durante la instalación de MBAM. |
Acceso a la base de datos de recuperación y hardware de MBAM |
Cree este grupo para administrar a los miembros del grupo local de acceso a la base de datos de recuperación y hardware de MBAM que se creó durante la instalación de MBAM. |
Usuarios de informes de MBAM |
Cree este grupo para administrar a los miembros del grupo local de usuarios de informes de MBAM que se creó durante la instalación de MBAM. |
Administradores del sistema de MBAM |
Cree este grupo para administrar a los miembros del grupo local de administradores del sistema de MBAM que se creó durante la instalación de MBAM. |
Exenciones de cifrado de BitLocker |
Cree este grupo para administrar las cuentas de usuario que deben estar exentas del inicio de cifrado de BitLocker en los equipos en que inician sesión. |
Grupos locales del servidor de MBAM
El programa de instalación de MBAM crea grupos locales para admitir operaciones de MBAM. Debe agregar los grupos globales de Servicios de dominio de Active Directory a los grupos locales de MBAM apropiados para configurar los permisos de acceso a datos y seguridad de MBAM.
Nombre de grupo | Información detallada |
---|---|
Usuarios de soporte técnico avanzado de MBAM |
Los miembros de este grupo tienen acceso ampliado a las características de soporte técnico de MBAM. |
Acceso a la base de datos de cumplimiento y auditoría de MBAM |
Contiene los equipos que tienen acceso a la base de datos de cumplimiento y auditoría de MBAM. |
Usuarios de soporte técnico de MBAM |
Los miembros de este grupo tienen acceso a algunas de las características de soporte técnico de MBAM. |
Acceso a la base de datos de recuperación y hardware de MBAM |
Contiene los equipos que tienen acceso a la base de datos de recuperación de MBAM. |
Usuarios de informes de MBAM |
Los miembros de este grupo tienen acceso a los informes de cumplimiento y auditoría de MBAM. |
Administradores del sistema de MBAM |
Los miembros de este grupo tienen acceso a todas las características de MBAM. |
Cuenta de servicio de informes de SSRS
La cuenta de servicio de informes de SSRS proporciona el contexto de seguridad para ejecutar los informes de MBAM disponibles a través de SSRS. Se configura durante la instalación de MBAM.
Al configurar la cuenta de servicio de informes de SSRS, especifique una cuenta de usuario de dominio y configure la contraseña para que no expire nunca.
Nota
Si cambia el nombre de la cuenta de servicio después de implementar MBAM, debe volver a configurar el origen de datos de informes para utilizar las nuevas credenciales de cuenta de servicio. De lo contrario, no podrá obtener acceso al portal del departamento de soporte técnico.
Archivos de registro de MBAM
Los siguientes archivos de registro de instalación de MBAM se crean en la carpeta %temp% del usuario que instala durante la instalación de MBAM.
Archivos de registro de instalación de servidor de MBAM
- MSI<cinco caracteres aleatorios>.log**
Registra las acciones realizadas durante la instalación de MBAM y la instalación de características de servidor de MBAM.
- InstallComplianceDatabase.log
Registra las acciones realizadas para crear la instalación de la base de datos de cumplimiento y auditoría de MBAM.
- InstallKeyComplianceDatabase.log
Registra las acciones realizadas para crear la base de datos de recuperación de MBAM.
- AddHelpDeskDbAuditUsers.log
Registra las acciones realizadas para crear los inicios de sesión de SQL Server en la base de datos de cumplimiento y auditoría de MBAM, y autorizar el acceso del servicio web de soporte técnico a la base de datos para la obtención de informes.
- AddHelpDeskDbUsers.log
Registra las acciones realizadas para autorizar el acceso de los servicios web a la base de datos para la recuperación de claves y crear los inicios de sesión a la base de datos de recuperación de MBAM.
- AddKeyComplianceDbUsers.log
Registra las acciones realizadas para autorizar el acceso de los servicios web a la base de datos de cumplimiento y auditoría de MBAM para la obtención de informes de cumplimiento.
- AddRecoveryAndHardwareDbUsers.log
Registra las acciones realizadas para autorizar el acceso de los servicios web a la base de datos de recuperación de MBAM para la recuperación de claves.
Nota
Para obtener los archivos de registro de instalación de MBAM adicionales, debe instalar MBAM mediante el uso del paquete msiexec y la opción /L <ubicación>. Los archivos de registro se crean en la ubicación especificada.
Archivos de registro de instalación de cliente de MBAM
- MSI<cinco caracteres aleatorios>.log**
Registra las acciones realizadas durante la instalación del cliente de MBAM.
Consideraciones de TDE de base de datos de MBAM
La característica de cifrado de datos transparente (TDE) disponible en SQL Server es una instalación opcional para las instancias de base de datos que hospedarán las características de base de datos de MBAM.
Con TDE, puede realizar cifrado completo de nivel de base de datos en tiempo real. TDE es la opción óptima para el cifrado masivo a fin de satisfacer el cumplimiento de reglamentaciones o estándares de seguridad de datos empresariales. TDE funciona en el nivel de archivo, de forma similar a dos características de Windows: el sistema de archivos cifrados (EFS) y el cifrado de unidad BitLocker, que también cifran los datos en el disco duro. TDE no sustituye a cifrado de nivel de celda, EFS o BitLocker.
Cuando TDE está habilitado en una base de datos, se cifran todas las copias de seguridad. Por lo tanto, se debe poner especial atención para garantizar que el certificado que se utilizó para proteger la clave de cifrado de base de datos forma parte y se mantiene con la copia de seguridad de la base de datos. Si este certificado (o certificados) se pierde, los datos serán ilegibles. Haga una copia de seguridad del certificado junto con la base de datos. Cada copia de seguridad del certificado debe tener dos archivos. Ambos archivos se deben archivar (idealmente, por motivos de seguridad, de forma independiente al archivo de copia de seguridad de base de datos). Como alternativa, puede considerar el uso de la característica de administración extensible de claves (EKM) (consulte Administración extensible de claves) para almacenar y mantener las claves utilizadas para TDE.
Para ver un ejemplo de cómo habilitar TDE para las instancias de base de datos de MBAM, consulte Evaluación de MBAM 2.0.
Para obtener más información sobre TDE en SQL Server 2008, consulte Cifrado de SQL Server.
Vea también
Otros recursos
Seguridad y privacidad para MBAM 2.0
-----
Para obtener más información acerca de MDOP, consulte la biblioteca de TechNet, busque soluciones de problemas en TechNet Wikio síganos en Facebook o Twitter.
-----