Considérations relatives à la sécurité pour MBAM 2.0
Mis à jour: avril 2013
S'applique à: Microsoft BitLocker Administration and Monitoring 2.0
Cette rubrique contient une brève présentation des comptes et groupes, fichiers journaux et autres considérations liées à la sécurité pour Microsoft BitLocker Administration and Monitoring (MBAM). Pour plus d'informations, consultez les liens dans cet article.
Considérations relatives à la sécurité générale
Comprendre les risques de sécurité. Le risque le plus important pour Microsoft BitLocker Administration and Monitoring est le fait que son composant peut être détourné par un utilisateur non autorisé qui ensuite pourrait reconfigurer le chiffrement BitLocker et obtenir les données de clé de chiffrement BitLocker sur des clients MBAM. Cependant, la perte du composant de MBAM pendant une courte période en raison d'une attaque par déni de service n'aura en général pas un impact catastrophique, contrairement, par exemple, au courrier électronique, aux communications réseau, à l'éclairage et à l'alimentation.
Sécuriser physiquement vos ordinateurs. Il n'y a pas de sécurité sans sécurité physique. Un attaquant qui obtient l'accès physique à un serveur MBAM peut potentiellement l'utiliser pour attaquer tous les clients. Toutes les attaques physiques potentielles doivent être considérées comme des risques majeurs et réduites de façon appropriée. Les serveurs MBAM doivent être stockés dans une salle de serveurs sécurisée à l'aide d'un accès contrôlé. Sécurisez ces ordinateurs lorsque les administrateurs ne sont pas physiquement présents en faisant en sorte que le système d'exploitation verrouille l'ordinateur, ou à l'aide d'un économiseur d'écran sécurisé.
Appliquer les dernières mises à jour de sécurité pour tous les ordinateurs. Restez informés sur les nouvelles mises à jour pour les systèmes d'exploitation, Microsoft SQL Server et MBAM en vous abonnant aux services de notification sur la sécurité (https://go.microsoft.com/fwlink/?LinkId=28819).
Utiliser des mots de passe forts ou des phrases secrètes. Utilisez toujours des mots de passe forts munis d'au moins 15 caractères pour tous les comptes d'administrateurs MBAM et MBAM. N'utilisez jamais des mots de passe vides. Pour plus d'informations sur les concepts de mot de passe, consultez le guide « Mot de passes et stratégies de compte » sur TechNet (https://go.microsoft.com/fwlink/p/?LinkId=30009).
Comptes et groupes dans MBAM
Pour la gestion des comptes d'utilisateur, la meilleure solution consiste à créer des groupes globaux de domaines et à leur ajouter des comptes d'utilisateurs. Puis, ajoutez les comptes de domaine globaux aux groupes locaux MBAM nécessaires dans les serveurs MBAM.
Groupes de services de domaine Active Directory
Aucun groupe Active Directory n'est créé automatiquement lors du processus d'installation de MBAM. Toutefois, nous vous recommandons de créer les groupes globaux de services de domaine Active Directory suivants pour gérer les opérations de MBAM.
| Nom de groupe | Détails |
|---|---|
Utilisateurs avancés du support technique MBAM |
Créez ce groupe pour gérer les membres du groupe local d'utilisateurs avancés du support technique de MBAM qui a été créé pendant l'installation de MBAM. |
Accès à la base de données de conformité et d'audit MBAM |
Créez ce groupe pour gérer les membres du groupe local d'accès à la base de données de conformité et d'audit de MBAM qui a été créée pendant l'installation de MBAM. |
Utilisateurs du support technique de MBAM |
Créez ce groupe pour gérer les membres du groupe local d'utilisateurs du support technique de MBAM qui a été créé pendant l'installation de MBAM. |
Accès à la base de données de récupération et de matériel MBAM |
Créez ce groupe pour gérer les membres du groupe local d'accès à la base de données de conformité et de récupération de MBAM qui a été créée pendant l'installation de MBAM. |
Utilisateurs de rapport MBAM |
Créez ce groupe pour gérer les membres du groupe local d'utilisateurs de rapports de MBAM qui a été créé pendant l'installation de MBAM. |
Administrateurs système MBAM |
Créez ce groupe pour gérer les membres du groupe local d'administrateurs système de MBAM qui a été créé pendant l'installation de MBAM. |
Exemptions de chiffrement BitLocker |
Créez ce groupe pour gérer les comptes d'utilisateurs qui doivent être exemptés du démarrage avec chiffrement BitLocker sur les ordinateurs sur lesquelles ils ouvrent une session. |
Groupes locaux de serveurs MBAM
Le programme d'installation de MBAM crée des groupes locaux pour prendre en charge les opérations de MBAM. Vous devez ajouter les groupes globaux des services de domaine Active Directory aux groupes locaux MBAM appropriés pour configurer les autorisations d'accès à la sécurité et aux données de MBAM.
| Nom de groupe | Détails |
|---|---|
Utilisateurs avancés du support technique MBAM |
Les membres de ce groupe ont un accès accru aux fonctions de support technique à partir de MBAM. |
Accès à la base de données de conformité et d'audit MBAM |
Contient les ordinateurs qui ont accès à la base de données de conformité et d'audit de MBAM. |
Utilisateurs du support technique de MBAM |
Les membres de ce groupe ont accès à certaines des fonctions de support technique à partir de MBAM. |
Accès à la base de données de récupération et de matériel MBAM |
Contient les ordinateurs qui ont accès à la base de données de récupération de MBAM. |
Utilisateurs de rapport MBAM |
Les membres de ce groupe ont accès aux rapports de conformité et d'audit de MBAM. |
Administrateurs système MBAM |
Les membres de ce groupe ont accès à tous les composants MBAM. |
Compte de service des rapports SSRS
Le compte de service de rapports SSRS fournit le contexte de sécurité pour exécuter les rapports MBAM disponibles par le biais de SSRS. Il est configuré au cours de l'installation de MBAM.
Lorsque vous configurez le compte de service de rapports SSRS, spécifiez un compte d'utilisateur de domaine et configurez le mot de passe pour qu'il n'expire jamais.
Notes
Si vous modifiez le nom du compte de service après le déploiement de MBAM, vous devez reconfigurer la source de données de création de rapports pour utiliser les nouvelles informations d'identification du compte de service. Dans le cas contraire, vous ne pourrez pas accéder au portail de support technique.
Fichiers journaux MBAM
Les fichiers journaux suivants de l'installation de MBAM sont créés dans le dossier %temp% de l'utilisateur qui effectue l'installation de MBAM :
Fichiers journaux d'installation du serveur MBAM
- MSI<cinq caractères aléatoires>.log**
Enregistre les actions effectuées pendant l'installation de MBAM et des composants serveur de MBAM.
- InstallComplianceDatabase.log
Enregistre les actions effectuées pour créer la base de données de conformité et d'audit de MBAM.
- InstallKeyComplianceDatabase.log
Enregistre les actions effectuées pour créer la base de données de récupération MBAM.
- AddHelpDeskDbAuditUsers.log
Enregistre les actions effectuées pour créer les connexions SQL Server sur la base de données de conformité et d'audit MBAM et autoriser le service Web du support technique à accéder à la base de données pour les rapports.
- AddHelpDeskDbUsers.log
Enregistre les actions effectuées pour autoriser les services Web à accéder à la base de données pour récupérer des clés et créer des connexions d'accès à la base de données de récupération et de matériel MBAM.
- AddKeyComplianceDbUsers.log
Enregistre les actions effectuées pour autoriser des services Web dans la base de données de conformité et d'audit de MBAM pour les rapports de conformité.
- AddRecoveryAndHardwareDbUsers.log
Enregistre les actions effectuées pour autoriser des services Web dans la base de données de récupération de MBAM pour la récupération de clé.
Notes
Pour obtenir des fichiers journaux supplémentaires de l'installation de MBAM, vous devez installer MBAM en utilisant le package msiexec et l'option /L <emplacement>. Les fichiers journaux sont créés à l'emplacement spécifié.
Fichiers journaux d'installation du serveur MBAM
- MSI<cinq caractères aléatoires>.log**
Enregistre les opérations effectuées pendant l'installation du client MBAM.
Considérations relatives à la base de données TDE de MBAM
Le composant de chiffrement TDE (Transparent Data Encryption) disponible dans SQL Server est une condition préalable à l'installation des instances de base de données qui hébergent les composants de base de données de MBAM.
Avec TDE, vous pouvez effectuer un chiffrement complet en temps réel au niveau de la base de données. TDE est le meilleur choix pour le chiffrement en bloc qui permet de respecter les normes de sécurité pour les données d'entreprise ou la conformité aux réglementations. TDE fonctionne au niveau des fichiers, ce qui est semblable à deux composants Windows : le système de fichiers EFS (Encrypting File System) et le chiffrement de lecteur BitLocker, toutes deux chiffrent également les données sur le disque dur. TDE ne remplace pas le chiffrement au niveau des cellules, le système EFS ou BitLocker.
Lorsque TDE est activé sur une base de données, toutes les sauvegardes sont chiffrées. Ainsi, vous devez vous assurer que le certificat, qui a été utilisé pour protéger la clé de chiffrement de la base de données, a bien été sauvegardé et qu'il a été conservé lors de la sauvegarde de la base de données. Si ce certificat (ou ces certificats) sont perdus, les données seront illisibles. Sauvegardez le certificat ainsi que la base de données. Chaque sauvegarde de certificat doit avoir deux fichiers. Ces deux fichiers doivent être archivés (idéalement séparément du fichier de sauvegarde de base de données pour des raisons de sécurité). Vous pouvez également envisager d'utiliser le composant de gestion de clés extensible (EKM) (voir Gestion de clés extensible) pour le stockage et la gestion des clés utilisées pour TDE.
Pour obtenir un exemple d'activation de TDE pour des instances de base de données MBAM, voir Évaluation de MBAM 2.0.
Pour obtenir plus d'informations sur TDE dans SQL Server 2008, voir Chiffrement SQL Server.
Voir aussi
Autres ressources
Sécurité et confidentialité des MBAM 2.0
-----
Vous pouvez obtenir davantage d'informations sur MDOP dans la Librairie TechNet, rechercher des solutions de dépannage dans le TechNet Wiki ou nous suivre sur Facebook ou Twitter.
-----