MBAM 2.5 のセキュリティに関する考慮事項
この記事では、Microsoft BitLocker の管理と監視 (MBAM) をセキュリティで保護する方法について説明します。
TPM をエスクローして OwnerAuth パスワードを格納するように MBAM を構成する
注
Windows 10 バージョン 1607 以降の場合、TPM の所有権を取得できるのは Windows のみです。 Windows では、TPM をプロビジョニングするときに TPM 所有者パスワードは保持されません。 詳細については、「 TPM 所有者パスワード」を参照してください。
その構成に応じて、トラステッド プラットフォーム モジュール (TPM) は特定の状況で自身をロックし、ロックされたままにすることができます。 たとえば、ユーザーが入力したパスワードの数が多すぎる場合などです。 TPM ロックアウト中、BitLocker は暗号化キーにアクセスしてドライブのロックを解除または復号化できません。 この状態では、ユーザーがオペレーティング システム ドライブにアクセスするために BitLocker 回復キーを入力する必要があります。 TPM ロックアウトをリセットするには、TPM OwnerAuth パスワードを指定する必要があります。
MBAM は、TPM を所有している場合、またはパスワードをエスクローする場合は、TPM OwnerAuth パスワードを MBAM データベースに格納できます。 その後、TPM ロックアウトから復旧する必要がある場合は、管理および監視 Web サイトで OwnerAuth パスワードに簡単にアクセスできます。これにより、ロックアウトが単独で解決されるのを待つ必要がなくなります。
Windows 8 以降での TPM OwnerAuth のエスクロー
注
Windows 10 バージョン 1607 以降の場合、TPM の所有権を取得できるのは Windows のみです。 Windows では、TPM をプロビジョニングするときに TPM 所有者パスワードは保持されません。 詳細については、「 TPM 所有者パスワード」を参照してください。
Windows 8 以降では、ローカル コンピューターで OwnerAuth を使用できる限り、MBAM は OwnerAuth パスワードを格納するために TPM を所有する必要がなくなりました。
MBAM が TPM OwnerAuth パスワードをエスクローして保存できるようにするには、これらのグループ ポリシー設定を構成する必要があります。
| グループ ポリシー設定 | 構成 |
|---|---|
| Active Directory Domain Services への TPM バックアップを有効にする | 無効または未構成 |
| オペレーティング システムで使用できる TPM 所有者の承認情報のレベルを構成する | Delegated/None または Not Configured |
これらのグループ ポリシー設定の場所は 、コンピューターの構成>管理用テンプレート>System>Trusted Platform Module Services です。
注
MBAM がこれらの設定で正常にエスクローした後、Windows は OwnerAuth をローカルで削除します。
Windows 7 での TPM OwnerAuth のエスクロー
Windows 7 では、MBAM は TPM を所有して、MBAM データベース内の TPM OwnerAuth 情報を自動的にエスクローする必要があります。 MBAM が TPM を所有していない場合は、MBAM Active Directory (AD) データ インポート コマンドレットを使用して、Active Directory から MBAM データベースに TPM OwnerAuth をコピーする必要があります。
MBAM Active Directory データ インポート コマンドレット
MBAM Active Directory データ インポート コマンドレットを使用すると、Active Directory に格納されている回復キー パッケージと OwnerAuth パスワードを取得できます。
MBAM 2.5 SP1 サーバーには、ボリューム回復と TPM 所有者情報が Active Directory に格納された MBAM データベースを事前に入力する 4 つの PowerShell コマンドレットが付属しています。
ボリューム回復キーとパッケージの場合:
Read-ADRecoveryInformation
Write-MbamRecoveryInformation
TPM 所有者情報の場合:
Read-ADTpmInformation
Write-MbamTpmInformation
ユーザーをコンピューターに関連付ける場合:
- Write-MbamComputerUser
Read-AD* コマンドレットは、Active Directory から情報を読み取ります。
Write-Mbam* コマンドレットは、MBAM データベースにデータをプッシュします。 構文、パラメーター、例など、これらのコマンドレットの詳細については、「 Microsoft BitLocker 管理と監視 2.5 のコマンドレット リファレンス」を参照してください。
ユーザーとコンピューターの関連付けを作成します。 MBAM Active Directory データ インポート コマンドレットは、Active Directory から情報を収集し、そのデータを MBAM データベースに挿入します。 ただし、ユーザーはボリュームに関連付けられません。 Add-ComputerUser.ps1 PowerShell スクリプトをダウンロードして、ユーザーからマシンへの関連付けを作成できます。これにより、ユーザーは、管理および監視 Web サイトを通じて、または回復のために Self-Service ポータルを使用してコンピューターへのアクセスを回復できます。 Add-ComputerUser.ps1 スクリプトは、Active Directory (AD) の Managed By 属性、AD のオブジェクト所有者、またはカスタム CSV ファイルからデータを収集します。 その後、スクリプトは、検出されたユーザーを回復情報パイプライン オブジェクトに追加します。これは、復旧データベースにデータを挿入するために Write-MbamRecoveryInformation に渡す必要があります。
コマンドレットとスクリプト の 使用方法の例など、スクリプトのヘルプを取得するためのヘルプ Add-ComputerUser.ps1を指定できます。
MBAM サーバーをインストールした後にユーザーとコンピューターの関連付けを作成するには、Write-MbamComputerUser PowerShell コマンドレットを使用します。 Add-ComputerUser.ps1 PowerShell スクリプトと同様に、このコマンドレットを使用すると、Self-Service ポータルを使用して、指定したコンピューターの TPM OwnerAuth 情報またはボリューム回復パスワードを取得できるユーザーを指定できます。
注
MBAM エージェントは、そのコンピューターがサーバーへのレポートを開始すると、ユーザーとコンピューターの関連付けをオーバーライドします。
前提 条件:Read-AD* コマンドレットは、ドメイン管理者などの高い特権を持つユーザー アカウントとして実行されている場合、または情報への読み取りアクセスを許可されたカスタム セキュリティ グループ内のアカウントとして実行する場合にのみ、AD から情報を取得できます (推奨)。
BitLocker ドライブ暗号化操作ガイド: ADDS を使用して暗号化されたボリュームを回復 すると、AD 情報への読み取りアクセス権を持つカスタム セキュリティ グループ (または複数のグループ) の作成に関する詳細が提供されます。
MBAM の回復とハードウェア Web サービスの書き込みアクセス許可:Write-Mbam* コマンドレットは、回復または TPM 情報の公開に使用される MBAM Recovery and Hardware Service の URL を受け入れます。 通常、MBAM Recovery および Hardware Service と通信できるのはドメイン コンピューター サービス アカウントのみです。 MBAM 2.5 SP1 では、DataMigrationAccessGroup というセキュリティ グループを使用して MBAM Recovery と Hardware Service を構成できます。 このグループのメンバーは、ドメイン コンピューター サービス アカウントのチェックをバイパスできます。
Write-Mbam* コマンドレットは、この構成済みグループに属するユーザーとして実行する必要があります。 (または、構成されたグループ内の個々のユーザーの資格情報を指定するには、 Write-Mbam* コマンドレットの -Credential パラメーターを使用します)。
MBAM Recovery と Hardware Service は、次のいずれかの方法で、このセキュリティ グループの名前で構成できます。
Enable-MbamWebApplication -AgentService PowerShell コマンドレットの -DataMigrationAccessGroup パラメーターに、セキュリティ グループ (または個人) の名前を指定します。
MBAM Recovery and Hardware Service をインストールした後、グループを構成します。
<inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\フォルダー内の web.config ファイルを編集します。<add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />ここで、
<groupName>は、Active Directory からのデータ移行を許可するために使用するドメインとグループ名 (または個々のユーザー) に置き換えられます。この appSetting を編集するには、IIS マネージャーで構成エディターを使用します。
次の例では、ADRecoveryInformation グループと Data Migration Users グループの両方のメンバーとしてコマンドを実行すると、contoso.com ドメインの WORKSTATIONS 組織単位 (OU) 内のコンピューターからボリューム回復情報がプルされます。 次に、mbam.contoso.com サーバーで実行されている MBAM Recovery と Hardware Service を使用して MBAM に書き込みます。
Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"
Read-AD* コマンドレットは、回復または TPM 情報を照会するために Active Directory ホスティング サーバー マシンの名前または IP アドレスを受け入れます。 コンピューター オブジェクトが存在する AD コンテナーの識別名を SearchBase パラメーターの値として指定することをお勧めします。 コンピューターが複数の OU に格納されている場合、コマンドレットはパイプライン入力を受け入れて、コンテナーごとに 1 回実行できます。 AD コンテナーの識別名は、 OU=Machines,DC=contoso,DC=comのようになります。
特定のコンテナーを対象とする検索を実行すると、次の利点が得られます。
コンピューター オブジェクトに対して大規模な AD データセットのクエリを実行する際のタイムアウトのリスクを軽減します。
データセンター サーバーまたはバックアップが必要ではないコンピューターの他のクラスを含む OU を省略できます。
もう 1 つのオプションは、オプションの SearchBase の有無にかかわらず -Recurse フラグを指定して、指定された SearchBase またはドメイン全体のすべてのコンテナーでコンピューター オブジェクトを検索することです。 -Recurse フラグを使用する場合は、-MaxPageSize パラメーターを使用して、クエリの処理に必要なローカル メモリとリモート メモリの量を制御することもできます。
これらのコマンドレットは、PsObject 型のパイプライン オブジェクトに書き込みます。 各 PsObject インスタンスには、関連付けられたコンピューター名、タイムスタンプ、および MBAM データ ストアに発行するために必要なその他の情報を含む単一のボリューム回復キーまたは TPM 所有者文字列が含まれています。
Write-Mbam* コマンドレット** は、プロパティ名でパイプラインからの回復情報パラメーター値を受け入れます。 この動作により、 Write-Mbam* コマンドレットは、 Read-AD* コマンドレットのパイプライン出力を受け入れます。 例えば Read-ADRecoveryInformation -Server contoso.com -Recurse | Write-MbamRecoveryInformation -RecoveryServiceEndpoint mbam.contoso.com
Write-Mbam* コマンドレットには、フォールト トレランス、詳細ログ、WhatIf と Confirm の基本設定のオプションを提供する省略可能なパラメーターが含まれています。
Write-Mbam* コマンドレットには、値が DateTime オブジェクトである省略可能な Time パラメーターも含まれています。 このオブジェクトには、Local、UTC、またはUnspecifiedに設定できる Kind 属性が含まれています。 Active Directory から取得したデータから Time パラメーターが設定されると、時刻は UTC に変換され、この Kind 属性は自動的に UTCに設定されます。 ただし、テキスト ファイルなどの別のソースを使用して Time パラメーターを設定する場合は、 Kind 属性を適切な値に明示的に設定する必要があります。
注
Read-AD* コマンドレットは、コンピューター ユーザーを表すユーザー アカウントを検出できません。 ユーザー アカウントの関連付けは、次の場合に必要です。
ユーザーは、Self-Service ポータルを使用してボリューム パスワードまたはパッケージを回復します。
インストール中に定義されている MBAM Advanced Helpdesk Users セキュリティ グループに含まれていないユーザー。他のユーザーの代わりに復旧します。
ロックアウト後に TPM のロックを自動的に解除するように MBAM を構成する
TPM がロックアウトされている場合は、TPM のロックを自動的に解除するように MBAM 2.5 SP1 を構成できます。TPM ロックアウトの自動リセットが有効になっている場合、MBAM はユーザーがロックアウトされていることを検出し、MBAM データベースから OwnerAuth パスワードを取得して、ユーザーの TPM のロックを自動的に解除できます。 TPM ロックアウトの自動リセットは、そのコンピューターの OS 回復キーがセルフサービス ポータルまたは管理および監視 Web サイトを使用して取得された場合にのみ使用できます。
重要
TPM ロックアウトの自動リセットを有効にするには、サーバー側とクライアント側のグループ ポリシーの両方でこの機能を構成する必要があります。
クライアント側で TPM ロックアウトの自動リセットを有効にするには、 コンピューターの構成>管理用テンプレート>Windows コンポーネント>MDOP MBAM>Client Management にあるグループ ポリシー設定 "TPM ロックアウトの自動リセットの構成" を構成します。
サーバー側で TPM ロックアウトの自動リセットを有効にするには、セットアップ中に MBAM サーバー構成ウィザードで [TPM ロックアウトの自動リセットを有効にする] をオンにします。
また、エージェント サービス Web コンポーネントを有効にしながら、
-TPM"ロックアウト自動リセット" スイッチを指定することで、PowerShell で TPM ロックアウトの自動リセットを有効にすることもできます。
ユーザーがセルフサービス ポータルまたは管理および監視 Web サイトから取得した BitLocker 回復キーを入力すると、MBAM エージェントは TPM がロックアウトされているかどうかを判断します。ロックアウトされている場合は、MBAM データベースからコンピューターの TPM OwnerAuth を取得しようとします。 TPM OwnerAuth が正常に取得された場合は、TPM のロック解除に使用されます。 TPM のロックを解除すると、TPM が完全に機能し、ユーザーは TPM ロックアウトからのその後の再起動中に回復パスワードの入力を強制されません。
TPM ロックアウトの自動リセットは既定で無効になっています。
注
TPM ロックアウトの自動リセットは、TPM バージョン 1.2 を実行しているコンピューターでのみサポートされます。 TPM 2.0 には、組み込みのロックアウト自動リセット機能が用意されています。
回復監査レポート には、TPM ロックアウトの自動リセットに関連するイベントが含まれています。 TPM OwnerAuth パスワードを取得するために MBAM クライアントから要求が行われた場合、復旧を示すイベントがログに記録されます。 監査エントリには、次のイベントが含まれます。
| エントリ | 値 |
|---|---|
| 監査要求ソース | エージェント TPM のロック解除 |
| キーの種類 | TPM パスワード ハッシュ |
| 理由の説明 | TPM リセット |
SQL Server への接続をセキュリティで保護する
MBAM では、SQL Server は SQL Server Reporting Services と通信し、管理および監視 Web サイトおよび Self-Service ポータルの Web サービスと通信します。 SQL Server との通信をセキュリティで保護することをお勧めします。 詳細については、「 SQL Server への接続の暗号化」を参照してください。
MBAM Web サイトのセキュリティ保護の詳細については、「 MBAM Web サイトをセキュリティで保護する方法の計画」を参照してください。
アカウントとグループを作成する
ユーザー アカウントを管理するためのベスト プラクティスは、ドメイン グローバル グループを作成し、ユーザー アカウントを追加することです。 推奨されるアカウントとグループの詳細については、「 MBAM 2.5 グループとアカウントの計画」を参照してください。
MBAM ログ ファイルを使用する
このセクションでは、MBAM サーバーと MBAM クライアント ログ ファイルについて説明します。
MBAM サーバー セットアップ ログ ファイル
MBAMServerSetup.exe ファイルは、MBAM のインストール中にユーザーの %temp% フォルダーに次のログ ファイルを生成します。
Microsoft_BitLocker_Administration_and_Monitoring_<14 numbers>.logMBAM セットアップ中のアクションと MBAM サーバー機能の構成をログに記録します。
Microsoft_BitLocker_Administration_and_Monitoring_<14_numbers>_0_MBAMServer.msi.logインストール中の他のアクションをログに記録します。
MBAM サーバー構成ログ ファイル
Applications and Services Logs/Microsoft Windows/MBAM-SetupWindows PowerShell コマンドレットまたは MBAM サーバー構成ウィザードを使用して MBAM サーバー機能を構成するときに発生したエラーをログに記録します。
MBAM クライアント セットアップ ログ ファイル
MSI<five random characters>.logMBAM クライアントのインストール中に実行されたアクションをログに記録します。
ログ ファイルの MBAM-Web
- Web ポータルとサービスからのアクティビティを表示します。
MBAM データベースの TDE に関する考慮事項を確認する
SQL Server で使用できる透過的なデータ暗号化 (TDE) 機能は、MBAM データベース機能をホストするデータベース インスタンスのオプションインストールです。
TDE を使用すると、リアルタイムで完全なデータベース レベルの暗号化を実行できます。 TDE は、規制コンプライアンスまたは企業データ セキュリティ標準を満たすために一括暗号化に最適な選択です。 TDE はファイル レベルで機能します。これは、暗号化ファイル システム (EFS) と BitLocker ドライブ暗号化の 2 つの Windows 機能に似ています。 どちらの機能もハードドライブ上のデータを暗号化します。 TDE では、セル レベルの暗号化、EFS、BitLocker は置き換えられません。
データベースで TDE が有効になっている場合、すべてのバックアップが暗号化されます。 そのため、データベース暗号化キーの保護に使用された証明書がデータベース バックアップと共にバックアップおよび保守されるように、特別な注意を払う必要があります。 この証明書が失われた場合、データは読み取りできません。
データベースを使用して証明書をバックアップします。 各証明書のバックアップには、2 つのファイルが必要です。 どちらのファイルもアーカイブする必要があります。 セキュリティにとって理想的には、データベース バックアップ ファイルとは別にバックアップする必要があります。 または、TDE に使用されるキーのストレージとメンテナンスに拡張キー管理 (EKM) 機能を使用することを検討することもできます。
MBAM データベース インスタンスに対して TDE を有効にする方法の例については、「 Transparent Data Encryption (TDE)」を参照してください。
セキュリティに関する一般的な考慮事項について理解する
セキュリティ リスクを理解する。 MBAM を使用する場合の最も深刻なリスクは、その機能が未承認のユーザーによって侵害される可能性があるということです。 このユーザーは、BitLocker ドライブ暗号化を再構成し、MBAM クライアントで BitLocker 暗号化キー データを取得できます。 サービス拒否攻撃による MBAM 機能の短時間の損失は、一般に致命的な影響を及ぼすわけではありません。
コンピューターを物理的にセキュリティで保護します。 物理的なセキュリティなしではセキュリティがありません。 MBAM サーバーに物理的にアクセスする攻撃者は、それを使用してクライアント ベース全体を攻撃する可能性があります。 潜在的なすべての物理攻撃は、高リスクと見なされ、適切に軽減される必要があります。 MBAM サーバーは、アクセスが制御されたセキュリティで保護されたサーバー ルームに格納する必要があります。 オペレーティング システムでコンピューターをロックするか、セキュリティで保護されたスクリーン セーバーを使用して、管理者が物理的に存在しない場合は、これらのコンピューターをセキュリティで保護します。
最新のセキュリティ更新プログラムをすべてのコンピューターに適用します。
強力なパスワードを使用するか、フレーズを渡します。 すべての MBAM 管理者アカウントには、常に 15 文字以上の強力なパスワードを使用します。 空白のパスワードは使用しないでください。 パスワードの概念の詳細については、「 パスワード ポリシー」を参照してください。