Considérations relatives à la sécurité pour MBAM 2.5
Cette rubrique contient les informations suivantes sur la sécurisation de Microsoft BitLocker Administration and Monitoring (MBAM) :
Passer en revue les considérations relatives au TDE de base de données MBAM
Comprendre les considérations générales relatives à la sécurité
Configurer MBAM pour escrower le module de plateforme sécurisée et stocker les mots de passe OwnerAuth
Note Pour Windows 10, version 1607 ou ultérieure, seul Windows peut prendre possession du module TPM. En outre, Windows ne conserve pas le mot de passe du propriétaire du module de plateforme sécurisée lors de l’approvisionnement du module de plateforme sécurisée. Pour plus d’informations, consultez le mot de passe du propriétaire du module TPM .
Selon sa configuration, le module de plateforme sécurisée (TPM) se verrouille dans certaines situations ( par exemple, lorsque trop de mots de passe incorrects sont entrés ) et peut rester verrouillé pendant un certain temps. Pendant le verrouillage TPM, BitLocker ne peut pas accéder aux clés de chiffrement pour effectuer des opérations de déverrouillage ou de déchiffrement, ce qui oblige l’utilisateur à entrer sa clé de récupération BitLocker pour accéder au lecteur du système d’exploitation. Pour réinitialiser le verrouillage TPM, vous devez fournir le mot de passe OwnerAuth du module de plateforme sécurisée.
MBAM peut stocker le mot de passe TPM OwnerAuth dans la base de données MBAM s’il est propriétaire du module de plateforme sécurisée ou s’il s’agit d’un dépôt du mot de passe. Les mots de passe OwnerAuth sont alors facilement accessibles sur le site web d’administration et de surveillance lorsque vous devez récupérer d’un verrouillage TPM, ce qui élimine la nécessité d’attendre que le verrouillage soit résolu par lui-même.
Dépôt de TPM OwnerAuth dans Windows 8 et versions ultérieures
Note Pour Windows 10, version 1607 ou ultérieure, seul Windows peut prendre possession du module TPM. Dans addiiton, Windows ne conserve pas le mot de passe du propriétaire du module de plateforme sécurisée lors de l’approvisionnement du module de plateforme sécurisée. Pour plus d’informations, consultez le mot de passe du propriétaire du module TPM .
Dans Windows 8 ou une version ultérieure, MBAM ne doit plus posséder le module de plateforme sécurisée pour stocker le mot de passe OwnerAuth, tant que ownerAuth est disponible sur l’ordinateur local.
Pour permettre à MBAM d’échapérer et de stocker les mots de passe OwnerAuth du module TPM, vous devez configurer ces paramètres de stratégie de groupe.
| paramètre stratégie de groupe | Configuration |
|---|---|
Activer la sauvegarde TPM pour services de domaine Active Directory |
Désactivé ou non configuré |
Configurer le niveau d’autorisation du propriétaire du module de plateforme sécurisée (TPM) disponible pour le système d’exploitation |
Délégué/Aucun ou non configuré |
L’emplacement de ces paramètres stratégie de groupe est Computer Configuration>Administrative Templates>System>Trusted Platform Module Services.
Note Windows supprime ownerAuth localement une fois que MBAM l’a correctement résélècé avec ces paramètres.
Dépôt de TPM OwnerAuth dans Windows 7
Dans Windows 7, MBAM doit être propriétaire du module de plateforme sécurisée (TPM) pour qu’il charge automatiquement les informations ownerAuth du module TPM dans la base de données MBAM. Si MBAM ne possède pas le module TPM, vous devez utiliser les applets de commande d’importation de données MBAM Active Directory (AD) pour copier TPM OwnerAuth à partir d’Active Directory dans la base de données MBAM.
Applets de commande d’importation de données Active Directory MBAM
Les applets de commande d’importation de données Active Directory MBAM vous permettent de récupérer les packages de clés de récupération et les mots de passe OwnerAuth stockés dans Active Directory.
Le serveur MBAM 2.5 SP1 est fourni avec quatre applets de commande PowerShell qui préremplifient les bases de données MBAM avec les informations de récupération de volume et de propriétaire du module de plateforme sécurisée stockées dans Active Directory.
Pour les clés et packages de récupération de volume :
Read-ADRecoveryInformation
Write-MbamRecoveryInformation
Pour plus d’informations sur le propriétaire du module TPM :
Read-ADTpmInformation
Write-MbamTpmInformation
Pour associer des utilisateurs à des ordinateurs :
- Write-MbamComputerUser
Les applets de commande Read-AD* lisent les informations d’Active Directory. Les applets de commande Write-Mbam* envoient les données dans les bases de données MBAM. Pour plus d’informations sur ces applets de commande, notamment la syntaxe, les paramètres et les exemples, consultez la référence d’applet de commande pour l’administration et la surveillance de Microsoft Bitlocker 2.5 .
Créez des associations d’utilisateurs à ordinateurs : Les applets de commande d’importation de données Active Directory MBAM collectent des informations à partir d’Active Directory et insèrent les données dans la base de données MBAM. Toutefois, ils n’associent pas les utilisateurs aux volumes. Vous pouvez télécharger le script PowerShell Add-ComputerUser.ps1 pour créer des associations utilisateur-machine, ce qui permet aux utilisateurs de récupérer l’accès à un ordinateur via le site web d’administration et de surveillance ou à l’aide du portail Self-Service pour la récupération. Le script Add-ComputerUser.ps1 collecte des données à partir de l’attribut Managed By dans Active Directory (AD), du propriétaire de l’objet dans AD ou d’un fichier CSV personnalisé. Le script ajoute ensuite les utilisateurs découverts à l’objet de pipeline d’informations de récupération, qui doit être passé à Write-MbamRecoveryInformation pour insérer les données dans la base de données de récupération.
Téléchargez le script PowerShell Add-ComputerUser.ps1 à partir du Centre de téléchargement Microsoft.
Vous pouvez spécifier des Add-ComputerUser.ps1d’aide pour obtenir de l’aide pour le script, notamment des exemples d’utilisation des applets de commande et du script.
Pour créer des associations utilisateur-ordinateur après avoir installé le serveur MBAM, utilisez l’applet de commande PowerShell Write-MbamComputerUser. À l’instar du script PowerShell Add-ComputerUser.ps1, cette applet de commande vous permet de spécifier des utilisateurs qui peuvent utiliser le portail Self-Service pour obtenir des informations sur TPM OwnerAuth ou des mots de passe de récupération de volume pour l’ordinateur spécifié.
Note L’agent MBAM remplace les associations d’utilisateurs à ordinateurs lorsque cet ordinateur commence à générer des rapports sur le serveur.
Conditions préalables: Les applets de commande Read-AD* peuvent récupérer des informations à partir d’AD uniquement si elles sont exécutées en tant que compte d’utilisateur à privilèges élevés, comme un administrateur de domaine, ou s’exécutent en tant que compte dans un groupe de sécurité personnalisé disposant d’un accès en lecture aux informations (recommandé).
Guide des opérations de chiffrement de lecteur BitLocker : la récupération de volumes chiffrés avec AD DS fournit des détails sur la création d’un groupe de sécurité personnalisé (ou de plusieurs groupes) avec un accès en lecture aux informations AD.
Autorisations d’écriture du service web de récupération et de matériel MBAM : Les applets de commande Write-Mbam* acceptent l’URL du service de récupération et de matériel MBAM, utilisé pour publier les informations de récupération ou de module de plateforme sécurisée. En règle générale, seul un compte de service d’ordinateur de domaine peut communiquer avec le service de récupération et de matériel MBAM. Dans MBAM 2.5 SP1, vous pouvez configurer MBAM Recovery and Hardware Service avec un groupe de sécurité appelé DataMigrationAccessGroup dont les membres sont autorisés à contourner la vérification du compte de service d’ordinateur de domaine. Les applets de commande Write-Mbam* doivent être exécutées en tant qu’utilisateur appartenant à ce groupe configuré. (Vous pouvez également spécifier les informations d’identification d’un utilisateur individuel dans le groupe configuré à l’aide du paramètre –Credential dans les applets de commande Write-Mbam*.)
Vous pouvez configurer le service de récupération et de matériel MBAM avec le nom de ce groupe de sécurité de l’une des manières suivantes :
Indiquez le nom du groupe de sécurité (ou de l’individu) dans le paramètre -DataMigrationAccessGroup de l’applet de commande –AgentService Powershell Enable-MbamWebApplication.
Configurez le groupe après l’installation du service récupération et matériel MBAM en modifiant le fichier web.config dans le <dossier inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\.
<add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />où <groupName> est remplacé par le domaine et le nom du groupe (ou l’utilisateur individuel) qui seront utilisés pour autoriser la migration des données à partir d’Active Directory.
Utilisez l’Éditeur de configuration dans iiS Manager pour modifier ce appSetting.
Dans l’exemple suivant, la commande, lorsqu’elle est exécutée en tant que membre du groupe ADRecoveryInformation et du groupe Utilisateurs de la migration de données, extrait les informations de récupération de volume à partir d’ordinateurs de l’unité d’organisation WORKSTATIONS dans le domaine contoso.com et les écrit dans MBAM à l’aide du service récupération et matériel MBAM exécuté sur le serveur mbam.contoso.com.
PS C:\> Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"
Les applets de commande Read-AD* acceptent le nom ou l’adresse IP d’un ordinateur serveur d’hébergement Active Directory pour rechercher des informations de récupération ou de module de plateforme sécurisée. Nous vous recommandons de fournir les noms uniques des conteneurs AD dans lesquels l’objet ordinateur réside en tant que valeur du paramètre SearchBase. Si les ordinateurs sont stockés sur plusieurs unités d’organisation, les applets de commande peuvent accepter l’entrée de pipeline à exécuter une seule fois pour chaque conteneur. Le nom unique d’un conteneur AD ressemblera à OU=Machines,DC=contoso,DC=com. L’exécution d’une recherche ciblée sur des conteneurs spécifiques offre les avantages suivants :
Réduit le risque de délai d’expiration lors de l’interrogation d’un jeu de données AD volumineux pour les objets ordinateur.
Peut omettre les unités d’organisation contenant des serveurs de centre de données ou d’autres classes d’ordinateurs pour lesquels la sauvegarde peut ne pas être souhaitée ou nécessaire.
Une autre option consiste à fournir l’indicateur –Recurse avec ou sans searchBase facultatif pour rechercher des objets ordinateur dans tous les conteneurs sous le SearchBase spécifié ou l’ensemble du domaine, respectivement. Lorsque vous utilisez l’indicateur -Recurse, vous pouvez également utiliser le paramètre -MaxPageSize pour contrôler la quantité de mémoire locale et distante nécessaire pour traiter la requête.
Ces applets de commande écrivent dans les objets de pipeline de type PsObject. Chaque instance PsObject contient une seule clé de récupération de volume ou chaîne de propriétaire TPM avec son nom d’ordinateur associé, l’horodatage et d’autres informations nécessaires pour la publier dans le magasin de données MBAM.
Les applets de commande Write-Mbam* acceptent les valeurs des paramètres d’informations de récupération du pipeline par nom de propriété. Cela permet aux applets de commande Write-Mbam* d’accepter la sortie de pipeline des applets de commande Read-AD* (par exemple, Read-ADRecoveryInformation –Server contoso.com –Recurse | Write-MbamRecoveryInformation –RecoveryServiceEndpoint mbam.contoso.com).
Les applets de commande Write-Mbam* incluent des paramètres facultatifs qui fournissent des options pour la tolérance de panne, la journalisation détaillée et les préférences pour WhatIf et Confirm.
Les applets de commande Write-Mbam* incluent également un paramètre Time facultatif dont la valeur est un objet DateTime . Cet objet inclut un attribut Kind qui peut être défini sur Local, UTCou Unspecified. Lorsque le paramètre Time est rempli à partir des données extraites d’Active Directory, l’heure est convertie en UTC et cet attribut Kind est automatiquement défini sur UTC. Toutefois, lorsque vous remplissez le paramètre Time à l’aide d’une autre source, telle qu’un fichier texte, vous devez définir explicitement l’attribut Kind sur sa valeur appropriée.
Note Les applets de commande Read-AD* n’ont pas la possibilité de découvrir les comptes d’utilisateur qui représentent les utilisateurs de l’ordinateur. Les associations de comptes d’utilisateur sont nécessaires pour les éléments suivants :
Utilisateurs pour récupérer des mots de passe/packages en volume à l’aide du portail Self-Service
Utilisateurs qui ne font pas partie du groupe de sécurité Utilisateurs du support technique avancé MBAM tel que défini lors de l’installation, en récupérant pour le compte d’autres utilisateurs
Configurer MBAM pour déverrouiller automatiquement le module de plateforme sécurisée après un verrouillage
Vous pouvez configurer MBAM 2.5 SP1 pour déverrouiller automatiquement le module de plateforme sécurisée en cas de verrouillage. Si la réinitialisation automatique du verrouillage TPM est activée, MBAM peut détecter qu’un utilisateur est verrouillé, puis obtenir le mot de passe OwnerAuth de la base de données MBAM pour déverrouiller automatiquement le module de plateforme sécurisée pour l’utilisateur. La réinitialisation automatique du verrouillage TPM n’est disponible que si la clé de récupération du système d’exploitation de cet ordinateur a été récupérée à l’aide du portail libre-service ou du site web d’administration et de surveillance.
Important Pour activer la réinitialisation automatique du verrouillage TPM, vous devez configurer cette fonctionnalité à la fois côté serveur et dans stratégie de groupe côté client.
Pour activer la réinitialisation automatique du verrouillage TPM côté client, configurez le paramètre stratégie de groupe « Configurer la réinitialisation automatique du verrouillage TPM » situé dans Gestion desclientsMDOP MDOP> desmodèles>d’administration> de configuration > de l’ordinateur.
Pour activer la réinitialisation automatique du verrouillage TPM côté serveur, vous pouvez vérifier « Activer la réinitialisation automatique du verrouillage TPM » dans l’Assistant Configuration du serveur MBAM lors de l’installation.
Vous pouvez également activer la réinitialisation automatique du verrouillage TPM dans PowerShell en spécifiant le commutateur « -TPM lockout auto reset » tout en activant le composant web du service agent.
Une fois qu’un utilisateur a entré la clé de récupération BitLocker obtenue à partir du portail libre-service ou du site web d’administration et de surveillance, l’agent MBAM détermine si le module de plateforme sécurisée est verrouillé. S’il est verrouillé, il tente de récupérer le TPM OwnerAuth pour l’ordinateur à partir de la base de données MBAM. Si le module de plateforme sécurisée OwnerAuth est récupéré avec succès, il est utilisé pour déverrouiller le module de plateforme sécurisée. Le déverrouillage du module de plateforme sécurisée rend le module de plateforme sécurisée entièrement fonctionnel et l’utilisateur ne sera pas obligé d’entrer le mot de passe de récupération lors des redémarrages suivants à partir d’un verrouillage TPM.
La réinitialisation automatique du verrouillage TPM est désactivée par défaut.
Note La réinitialisation automatique du verrouillage TPM est uniquement prise en charge sur les ordinateurs exécutant le module de plateforme sécurisée (TPM) version 1.2. TPM 2.0 fournit une fonctionnalité intégrée de réinitialisation automatique du verrouillage.
Le rapport d’audit de récupération inclut des événements liés à la réinitialisation automatique du verrouillage TPM. Si une demande est effectuée à partir du client MBAM pour récupérer un mot de passe TPM OwnerAuth, un événement est enregistré pour indiquer la récupération. Les entrées d’audit incluent les événements suivants :
| Entrée | Valeur |
|---|---|
Source de la demande d’audit |
Déverrouillage TPM de l’agent |
Type de clé |
Hachage du mot de passe TPM |
Description de la raison |
Réinitialisation du module de plateforme sécurisée |
Sécuriser les connexions à SQL Server
Dans MBAM, SQL Server communique avec SQL Server Reporting Services et avec les services web pour le site web d’administration et de surveillance et le portail Self-Service. Nous vous recommandons de sécuriser la communication avec SQL Server. Pour plus d’informations, consultez Chiffrement des connexions à SQL Server.
Pour plus d’informations sur la sécurisation des sites web MBAM, consultez Planning How to Secure the MBAM Websites.
Créer des comptes et des groupes
La meilleure pratique pour la gestion des comptes d’utilisateur consiste à créer des groupes globaux de domaine et à y ajouter des comptes d’utilisateur. Pour obtenir une description des comptes et groupes recommandés, consultez Planning for MBAM 2.5 Groups and Accounts.
Utiliser les fichiers journaux MBAM
Cette section décrit les fichiers journaux du serveur MBAM et du client MBAM.
Fichiers journaux d’installation du serveur MBAM
Le fichier MBAMServerSetup.exe génère les fichiers journaux suivants dans le dossier %temp% de l’utilisateur pendant l’installation de MBAM :
<Microsoft_BitLocker_Administration_and_Monitoring_14 numbers.log>
Enregistre les actions effectuées lors de la configuration de MBAM et de la configuration des fonctionnalités du serveur MBAM.
<Microsoft_BitLocker_Administration_and_Monitoring_14_numbers>_0_MBAMServer.msi.log
Enregistre les actions supplémentaires effectuées pendant l’installation.
Fichiers journaux de configuration du serveur MBAM
Journaux des applications et services/Microsoft Windows/MBAM-Setup
Enregistre les erreurs qui se produisent lorsque vous utilisez des applets de commande Windows PowerShell ou l’Assistant Configuration du serveur MBAM pour configurer les fonctionnalités du serveur MBAM.
Fichiers journaux d’installation du client MBAM
MSI<cinq caractères> aléatoires.log
Enregistre les actions effectuées pendant l’installation du client MBAM.
Fichiers journaux MBAM-Web
- Affiche l’activité à partir des portails web et des services.
Passer en revue les considérations relatives au TDE de base de données MBAM
La fonctionnalité de chiffrement transparent des données (TDE) disponible dans SQL Server est une installation facultative pour les instances de base de données qui hébergeront les fonctionnalités de base de données MBAM.
Avec TDE, vous pouvez effectuer un chiffrement en temps réel et complet au niveau de la base de données. TDE est le choix optimal pour le chiffrement en bloc afin de répondre aux normes de conformité réglementaire ou de sécurité des données d’entreprise. TDE fonctionne au niveau du fichier, ce qui est similaire à deux fonctionnalités Windows : efs (Encrypting File System) et BitLocker Drive Encryption. Les deux fonctionnalités chiffrent également les données sur le disque dur. TDE ne remplace pas le chiffrement au niveau de la cellule, EFS ou BitLocker.
Lorsque TDE est activé sur une base de données, toutes les sauvegardes sont chiffrées. Par conséquent, il faut veiller à ce que le certificat utilisé pour protéger la clé de chiffrement de base de données soit sauvegardé et maintenu avec la sauvegarde de la base de données. Si ce certificat (ou certificats) est perdu, les données sont illisibles.
Sauvegardez le certificat avec la base de données. Chaque sauvegarde de certificat doit avoir deux fichiers. Ces deux fichiers doivent être archivés. Idéalement pour des raisons de sécurité, elles doivent être sauvegardées séparément du fichier de sauvegarde de la base de données. Vous pouvez également envisager d’utiliser la fonctionnalité EKM (Extensible Key Management) pour le stockage et la maintenance des clés utilisées pour TDE.
Pour obtenir un exemple d’activation de TDE pour les instances de base de données MBAM, consultez Understanding Transparent Data Encryption (TDE).
Comprendre les considérations générales relatives à la sécurité
Comprendre les risques de sécurité. Le risque le plus grave lorsque vous utilisez l’administration et la surveillance de Microsoft BitLocker est que ses fonctionnalités peuvent être compromises par un utilisateur non autorisé qui peut ensuite reconfigurer le chiffrement de lecteur BitLocker et obtenir des données de clé de chiffrement BitLocker sur les clients MBAM. Toutefois, la perte de fonctionnalités MBAM pendant une courte période, en raison d’une attaque par déni de service, n’a généralement pas d’impact catastrophique, contrairement, par exemple, à la perte de messages électroniques ou de communications réseau, ou de puissance.
Sécurisez physiquement vos ordinateurs. Il n’y a pas de sécurité sans sécurité physique. Un attaquant qui obtient un accès physique à un serveur MBAM peut potentiellement l’utiliser pour attaquer l’ensemble de la base de client. Toutes les attaques physiques potentielles doivent être considérées comme à haut risque et atténuées de manière appropriée. Les serveurs MBAM doivent être stockés dans une salle de serveur sécurisée avec un accès contrôlé. Sécurisez ces ordinateurs lorsque les administrateurs ne sont pas physiquement présents en faisant verrouiller l’ordinateur par le système d’exploitation ou en utilisant un économiseur d’écran sécurisé.
Appliquez les mises à jour de sécurité les plus récentes à tous les ordinateurs. Restez informé des nouvelles mises à jour pour les systèmes d’exploitation Windows, les SQL Server et MBAM en vous abonnant au service de notification de sécurité du Security TechCenter.
Utilisez des mots de passe forts ou des phrases secrètes. Utilisez toujours des mots de passe forts avec 15 caractères ou plus pour tous les comptes d’administrateur MBAM. N’utilisez jamais de mots de passe vides. Pour plus d’informations sur les concepts de mot de passe, consultez Stratégie de mot de passe.
Rubriques associées
Planification du déploiement de MBAM 2.5
Vous avez une suggestion pour MBAM ?
Pour les problèmes liés à MBAM, utilisez le Forum TechNet MBAM.