Considerazioni sulla sicurezza di MBAM 2.0
Aggiornamento: aprile 2013
Si applica a: Microsoft BitLocker Administration and Monitoring 2.0
Questa sezione contiene una breve panoramica di account e gruppi, file di registro e altre considerazioni relative alla sicurezza di Microsoft BitLocker Administration and Monitoring (MBAM). Per ulteriori informazioni, utilizzare i collegamenti disponibili in questo articolo.
Considerazioni generali sulla sicurezza
Identificare i rischi per la sicurezza. Il rischio più grave per Microsoft BitLocker Administration and Monitoring è che la funzionalità sia soggetta a hijack da parte di utenti non autorizzati. Tali utenti potrebbero quindi riconfigurare la crittografia BitLocker e ottenere i dati delle chiavi di crittografia nei client di MBAM. Tuttavia, la perdita di funzionalità di MBAM per un breve periodo di tempo a causa di un attacco Denial of Service non ha in genere un impatto grave quanto, ad esempio, la perdita di posta elettronica, comunicazioni di rete, luce ed energia.
Proteggere fisicamente i computer. Non esiste sicurezza senza protezione fisica. L'autore di un attacco che ottenga accesso fisico a un server di MBAM potrebbe in teoria utilizzarlo per attaccare l'intera base di client. È necessario considerare come rischio elevato qualsiasi potenziale attacco fisico e affrontarlo di conseguenza. I server di MBAM devono essere collocati in un locale server protetto con accesso controllato. Proteggere questi sistemi quando gli amministratori non sono fisicamente presenti impostando il sistema operativo in modo che blocchi il computer oppure utilizzando uno screen saver protetto.
Applicare gli aggiornamenti di sicurezza più recenti in tutti i computer. Tenersi informati sui nuovi aggiornamenti per i sistemi operativi, Microsoft SQL Server e MBAM iscrivendosi al servizio di notifica di informazioni sulla sicurezza (https://go.microsoft.com/fwlink/?LinkId=28819).
Utilizzare password o passphrase complesse. Utilizzare sempre password complesse costituite da almeno 15 caratteri per tutti gli account Administrator di MBAM e MBAM. Non utilizzare mai password vuote. Per ulteriori informazioni sui concetti relativi alle password, vedere il white paper Criteri di password e account su TechNet (https://go.microsoft.com/fwlink/?LinkId=30009).
Account e gruppi in MBAM
Come procedura consigliata per la gestione degli account utente, creare gruppi globali di dominio e aggiungervi gli account utente. Aggiungere quindi gli account globali di dominio ai gruppi locali di MBAM necessari nei server di MBAM.
Gruppi di Servizi di dominio Active Directory
Durante il processo di installazione di MBAM non viene creato automaticamente alcun gruppo di Active Directory. Tuttavia, è consigliabile creare i gruppi globali di Servizi di dominio Active Directory riportati di seguito per gestire le operazioni di MBAM.
| Nome gruppo | Dettagli |
|---|---|
MBAM Advanced Helpdesk Users |
Creare questo gruppo per gestire i membri del gruppo locale di utenti del supporto tecnico avanzato di MBAM creato durante l'installazione di MBAM. |
MBAM Compliance Auditing DB Access |
Creare questo gruppo per gestire i membri del gruppo locale di accesso al database di conformità e controllo di MBAM creato durante l'installazione di MBAM. |
MBAM Helpdesk Users |
Creare questo gruppo per gestire i membri del gruppo locale di utenti del supporto tecnico di MBAM creato durante l'installazione di MBAM. |
MBAM Recovery and Hardware DB Access |
Creare questo gruppo per gestire i membri del gruppo locale di accesso al database di hardware e ripristino di MBAM creato durante l'installazione di MBAM. |
MBAM Report Users |
Creare questo gruppo per gestire i membri del gruppo locale di utenti dei report di MBAM creato durante l'installazione di MBAM. |
MBAM System Administrators |
Creare questo gruppo per gestire i membri del gruppo locale di amministratori di sistema di MBAM creato durante l'installazione di MBAM. |
BitLocker Encryption Exemptions |
Creare questo gruppo per gestire gli account utente che devono essere esentati dall'avvio della crittografia BitLocker nei computer a cui accedono. |
Gruppi locali del server di MBAM
Durante l'installazione di MBAM vengono creati gruppi locali per supportare le operazioni di MBAM. Per configurare la sicurezza e le autorizzazioni di accesso ai dati di MBAM, è necessario aggiungere i gruppi globali di Servizi di dominio Active Directory ai gruppi locali appropriati di MBAM.
| Nome gruppo | Dettagli |
|---|---|
MBAM Advanced Helpdesk Users |
I membri di questo gruppo dispongono dell'accesso completo alle funzionalità del supporto tecnico di MBAM. |
MBAM Compliance Auditing DB Access |
Contiene i computer che dispongono di accesso al database di conformità e controllo di MBAM. |
MBAM Helpdesk Users |
I membri di questo gruppo dispongono di accesso ad alcune delle funzionalità del supporto tecnico di MBAM. |
MBAM Recovery and Hardware DB Access |
Contiene i computer che dispongono di accesso al database di ripristino di MBAM. |
MBAM Report Users |
I membri di questo gruppo dispongono di accesso ai report di conformità e controllo di MBAM. |
MBAM System Administrators |
I membri di questo gruppo dispongono di accesso a tutte le funzionalità di MBAM. |
Account del servizio di report di SSRS
L'account del servizio di report di SSRS fornisce il contesto di protezione per l'esecuzione dei report di MBAM disponibili tramite SSRS. Viene configurato durante l'installazione di MBAM.
Quando si configura l'account del servizio di report di SSRS, specificare un account amministratore di sistema piuttosto che un account utente e configurare la password in modo che non abbia scadenza.
Nota
Se si modifica il nome dell'account di servizio dopo la distribuzione di MBAM, è necessario riconfigurare l'origine dati dei report in modo che vengano utilizzate le credenziali del nuovo account del servizio. In caso contrario, non si sarà in grado di accedere al portale del supporto tecnico.
File di registro di MBAM
I seguenti file di registro dell'installazione di MBAM vengono creati nella cartella %temp% dell'utente durante l'installazione di MBAM.
File di registro del programma di installazione del server di MBAM
- MSI<cinque caratteri casuali>.log**
Registra le operazioni eseguite durante l'installazione di MBAM e della funzionalità Server di MBAM.
- InstallComplianceDatabase.log
Registra le operazioni eseguite per creare l'installazione del database di conformità e controllo di MBAM.
- InstallKeyComplianceDatabase.log
Registra le operazioni eseguite per creare il database di ripristino di MBAM.
- AddHelpDeskDbAuditUsers.log
Registra le operazioni eseguite per creare gli accessi di SQL Server nel database di conformità e controllo di MBAM e autorizzare il servizio Web del supporto tecnico nel database per i report.
- AddHelpDeskDbUsers.log
Registra le operazioni eseguite per autorizzare i servizi Web nel database per il recupero delle chiavi e per creare gli accessi al database di ripristino di MBAM.
- AddKeyComplianceDbUsers.log
Registra le operazioni eseguite per autorizzare i servizi Web nel database di conformità e controllo di MBAM per la creazione di report di conformità.
- AddRecoveryAndHardwareDbUsers.log
Registra le operazioni eseguite per autorizzare i servizi Web nel database di ripristino di MBAM per il ripristino delle chiavi.
Nota
Per ottenere ulteriori file di registro dell'installazione di MBAM, è necessario installare MBAM utilizzando il pacchetto msiexec e l'opzione /L <percorso>. I file di registro vengono creati nel percorso specificato.
File di registro del programma di installazione del client di MBAM
- MSI<cinque caratteri casuali>.log**
Registra le operazioni eseguite durante l'installazione del client di MBAM.
Considerazioni su TDE dei database di MBAM
La funzionalità TDE (Transparent Data Encryption) disponibile in SQL Server 2008 o in SQL Server 2012 è un'installazione facoltativa per le istanze di database che ospiteranno le funzionalità di database di MBAM.
Con TDE, è possibile eseguire la crittografia completa in tempo reale a livello di database. Si tratta di una scelta ottimale per rispettare la conformità alle normative o agli standard aziendali di sicurezza dei dati in caso di crittografia di massa. TDE opera a livello di file, in modo simile a due funzionalità di Windows, ovvero EFS (Encrypting File System) e Crittografia unità BitLocker, che crittografano i dati nel disco rigido. TDE non sostituisce la crittografia a livello di cella, EFS o BitLocker.
Quando TDE è abilitata in un database, vengono crittografati tutti i backup. Pertanto, è necessario prestare particolare attenzione per assicurarsi che il certificato utilizzato per proteggere la chiave di crittografia del database sia sottoposto a backup e conservato con il backup del database. In caso di smarrimento di questo certificato (o certificati), i dati saranno illeggibili. Eseguire il backup del certificato con il database. È necessario che ogni backup del certificato disponga di due file. Per ragioni di sicurezza, entrambi i file devono essere archiviati, meglio se separatamente dal file di backup del database. In alternativa, è possibile utilizzare la funzionalità Extensible Key Management (EKM) (vedere Extensible Key Management) per l'archiviazione e la manutenzione delle chiavi utilizzate per TDE.
Per un esempio su come abilitare TDE per le istanze di database di MBAM, vedere Valutazione di MBAM 2.0.
Per ulteriori informazioni su TDE in SQL Server 2008, vedere Database Encryption in SQL Server 2008 Enterprise Edition (Crittografia dei database in SQL Server 2008 Enterprise Edition).
Vedere anche
Altre risorse
Protezione e Privacy di MBAM 2.0
-----
Per ulteriori informazioni su MDOP, è possibile accedere alla libreria TechNet, cercare contenuto sulla risoluzione di problemi in TechNet Wiki o tenersi informati tramite Facebook o Twitter.
-----