MBAM 2.5 のセキュリティに関する考慮事項
このトピックには、Microsoft BitLocker の管理と監視 (MBAM) をセキュリティで保護する方法に関する次の情報が含まれています。
TPM をエスクローして OwnerAuth パスワードを格納するように MBAM を構成する
メモWindows 10バージョン 1607 以降の場合、TPM の所有権を取得できるのは Windows のみです。 また、TPM のプロビジョニング時に Windows は TPM 所有者パスワードを保持しません。 詳細については、「 TPM 所有者パスワード 」を参照してください。
その構成に応じて、トラステッド プラットフォーム モジュール (TPM) は、不適切なパスワードが多すぎる場合など、特定の状況で自身をロックし、一定期間ロックされたままにすることができます。 TPM ロックアウト中、BitLocker は暗号化キーにアクセスしてロック解除または復号化操作を実行できず、ユーザーはオペレーティング システム ドライブにアクセスするために BitLocker 回復キーを入力する必要があります。 TPM ロックアウトをリセットするには、TPM OwnerAuth パスワードを指定する必要があります。
MBAM は、TPM を所有している場合、またはパスワードをエスクローする場合は、TPM OwnerAuth パスワードを MBAM データベースに格納できます。 その後、TPM ロックアウトから回復する必要があるときに、管理および監視 Web サイトで OwnerAuth パスワードに簡単にアクセスできるため、ロックアウトが単独で解決するまで待つ必要がなくなります。
Windows 8 以降での TPM OwnerAuth のエスクローリング
メモWindows 10バージョン 1607 以降の場合、TPM の所有権を取得できるのは Windows のみです。 addiiton では、TPM のプロビジョニング時に Windows は TPM 所有者パスワードを保持しません。 詳細については、「 TPM 所有者パスワード 」を参照してください。
Windows 8 以降では、ローカル コンピューターで OwnerAuth を使用できる限り、MBAM は OwnerAuth パスワードを格納するために TPM を所有する必要がなくなりました。
MBAM で TPM OwnerAuth パスワードをエスクローして保存できるようにするには、これらのグループ ポリシー設定を構成する必要があります。
| グループ ポリシー設定 | 構成 |
|---|---|
TPM バックアップをActive Directory Domain Servicesに有効にする |
無効または未構成 |
オペレーティング システムで使用できる TPM 所有者承認情報のレベルを構成する |
委任/なしまたは未構成 |
これらのグループ ポリシー設定の場所は、コンピューター構成>管理用テンプレート>システム>信頼済みプラットフォーム モジュール サービスです。
メモ MBAM がこれらの設定で正常にエスクローした後、Windows は OwnerAuth をローカルで削除します。
Windows 7 での TPM OwnerAuth のエスクローリング
Windows 7 では、MBAM が TPM を所有して、MBAM データベース内の TPM OwnerAuth 情報を自動的にエスクローする必要があります。 MBAM が TPM を所有していない場合は、MBAM Active Directory (AD) データ インポート コマンドレットを使用して、ACTIVE Directory から MBAM データベースに TPM OwnerAuth をコピーする必要があります。
MBAM Active Directory Data Import コマンドレット
MBAM Active Directory データ インポート コマンドレットを使用すると、Active Directory に格納されている回復キー パッケージと OwnerAuth パスワードを取得できます。
MBAM 2.5 SP1 サーバーには、4 つの PowerShell コマンドレットが付属しています。これは、Active Directory に格納されているボリューム回復と TPM 所有者情報を MBAM データベースに事前設定します。
Volume Recovery キーとパッケージの場合:
Read-ADRecoveryInformation
Write-MbamRecoveryInformation
TPM 所有者情報の場合:
Read-ADTpmInformation
Write-MbamTpmInformation
ユーザーをコンピューターに関連付ける場合:
- Write-MbamComputerUser
Read-AD* コマンドレットは、Active Directory から情報を読み取ります。 Write-Mbam* コマンドレットは、MBAM データベースにデータをプッシュします。 構文、パラメーター、例など、これらのコマンドレットの詳細については、 Microsoft Bitlocker 管理および監視 2.5 のコマンドレット リファレンスを参照してください。
ユーザーとコンピューターの関連付けを作成します。 MBAM Active Directory Data Import コマンドレットは、Active Directory から情報を収集し、MBAM データベースにデータを挿入します。 ただし、ユーザーをボリュームに関連付けるわけではありません。 Add-ComputerUser.ps1 PowerShell スクリプトをダウンロードすると、ユーザーとマシンの関連付けを作成できます。これにより、ユーザーは管理および監視 Web サイトを通じて、または回復のためにSelf-Service ポータルを使用してコンピューターへのアクセスを回復できます。 Add-ComputerUser.ps1 スクリプトは、Active Directory (AD) の Managed By 属性、AD のオブジェクト所有者、またはカスタム CSV ファイルからデータを収集します。 その後、スクリプトによって検出されたユーザーが復旧情報パイプライン オブジェクトに追加されます。復旧データベースにデータを挿入するには、Write-MbamRecoveryInformationに渡す必要があります。
Microsoft ダウンロード センターからAdd-ComputerUser.ps1 PowerShell スクリプトを ダウンロードします。
コマンドレットとスクリプトの使用方法の例など、スクリプトのヘルプを取得するためのヘルプ Add-ComputerUser.ps1 を指定できます。
MBAM サーバーをインストールした後でユーザーとコンピューターの関連付けを作成するには、Write-MbamComputerUser PowerShell コマンドレットを使用します。 Add-ComputerUser.ps1 PowerShell スクリプトと同様に、このコマンドレットを使用すると、Self-Service ポータルを使用して、指定したコンピューターの TPM OwnerAuth 情報またはボリューム回復パスワードを取得できるユーザーを指定できます。
メモ MBAM エージェントは、そのコンピューターがサーバーへのレポートを開始すると、ユーザーとコンピューターの関連付けをオーバーライドします。
前提 条件: Read-AD* コマンドレットは、ドメイン管理者などの高い特権を持つユーザー アカウントとして実行されるか、情報への読み取りアクセスを許可されたカスタム セキュリティ グループ内のアカウントとして実行される場合にのみ、AD から情報を取得できます (推奨)。
BitLocker ドライブ暗号化操作ガイド: AD DS を使用した暗号化ボリュームの回復 では、AD 情報への読み取りアクセス権を持つカスタム セキュリティ グループ (または複数のグループ) の作成に関する詳細が提供されます。
MBAM 回復とハードウェア Web サービスの書き込みアクセス許可: Write-Mbam* コマンドレットは、復旧情報または TPM 情報の公開に使用される MBAM 回復およびハードウェア サービスの URL を受け入れます。 通常、MBAM Recovery および Hardware Service と通信できるのはドメイン コンピューター サービス アカウントのみです。 MBAM 2.5 SP1 では、ドメイン コンピューター サービス アカウント チェックをバイパスできる DataMigrationAccessGroup というセキュリティ グループを使用して、MBAM 回復とハードウェア サービスを構成できます。 Write-Mbam* コマンドレットは、この構成済みグループに属するユーザーとして実行する必要があります。 (または、Write-Mbam* コマンドレットの –Credential パラメーターを使用して、構成されたグループ内の個々のユーザーの資格情報を指定することもできます)。
次のいずれかの方法で、このセキュリティ グループの名前を使用して MBAM 回復とハードウェア サービスを構成できます。
Enable-MbamWebApplication –AgentService Powershell コマンドレットの -DataMigrationAccessGroup パラメーターに、セキュリティ グループ (または個人) の名前を指定します。
inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\ フォルダーのweb.config ファイルを編集して、MBAM 回復とハードウェア サービスがインストールされた後に<グループを構成します。
<add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />ここで <、groupName> はドメインと、Active Directory からのデータ移行を許可するために使用されるグループ名 (または個々のユーザー) に置き換えられます。
この appSetting を編集するには、IIS Manager の構成エディターを使用します。
次の例では、ADRecoveryInformation グループとデータ移行ユーザー グループの両方のメンバーとして実行すると、contoso.com ドメイン内の WORKSTATIONS 組織単位 (OU) 内のコンピューターからボリューム回復情報をプルし、mbam.contoso.com サーバーで実行されている MBAM 回復とハードウェア サービスを使用して MBAM に書き込みます。
PS C:\> Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"
Read-AD* コマンドレットは、 Active Directory ホスティング サーバー マシンの名前または IP アドレスを受け入れ、回復または TPM 情報のクエリを実行します。 コンピューター オブジェクトが存在する AD コンテナーの識別名を SearchBase パラメーターの値として指定することをお勧めします。 コンピューターが複数の OU に格納されている場合、コマンドレットはパイプライン入力を受け入れて、コンテナーごとに 1 回実行できます。 AD コンテナーの識別名は、OU=Machines、DC=contoso、DC=com のようになります。 特定のコンテナーを対象とした検索を実行すると、次の利点があります。
大規模な AD データセットにコンピューター オブジェクトのクエリを実行するときにタイムアウトするリスクを軽減します。
データセンター サーバーを含む OU や、バックアップが不要または必要なコンピューターの他のクラスを省略できます。
もう 1 つのオプションは、指定した SearchBase またはドメイン全体のすべてのコンテナー間でコンピューター オブジェクトを検索するために、オプションの SearchBase の有無にかかわらず –Recurse フラグを指定することです。 -Recurse フラグを使用する場合は、-MaxPageSize パラメーターを使用して、クエリの処理に必要なローカルメモリとリモート メモリの量を制御することもできます。
これらのコマンドレットは、PsObject 型のパイプライン オブジェクトに書き込みます。 各 PsObject インスタンスには、MBAM データ ストアに発行するために必要な、関連付けられたコンピューター名、タイムスタンプ、およびその他の情報を含む単一ボリューム回復キーまたは TPM 所有者文字列が含まれています。
Write-Mbam* コマンドレットは、 プロパティ名によってパイプラインからの回復情報パラメーター値を受け入れます。 これにより、Write-Mbam* コマンドレットは Read-AD* コマンドレットのパイプライン出力を受け入れます (たとえば、–Server contoso.com –Recurse | Write-MbamRecoveryInformation –RecoveryServiceEndpoint mbam.contoso.comRead-ADRecoveryInformationRead-ADRecoveryInformation)。
Write-Mbam* コマンドレットには、フォールト トレランス、詳細ログ記録、WhatIf と Confirm の基本設定のオプションを提供する省略可能なパラメーターが含まれています。
Write-Mbam* コマンドレットには、DateTime オブジェクトの値を持つオプションの Time パラメーターも含まれます。 このオブジェクトには、またはUnspecifiedに設定LocalUTCできる Kind 属性が含まれています。 Active Directory から取得したデータから Time パラメーターが設定されると、時刻は UTC に変換され、この Kind 属性は自動的 UTCに . ただし、テキスト ファイルなどの別のソースを使用して Time パラメーターを設定する場合は、 Kind 属性を適切な値に明示的に設定する必要があります。
メモ Read-AD* コマンドレットには、コンピューター ユーザーを表すユーザー アカウントを検出する機能がありません。 ユーザー アカウントの関連付けは、次の場合に必要です。
Self-Service ポータルを使用してボリューム パスワード/パッケージを回復するユーザー
インストール中に定義されている MBAM Advanced Helpdesk Users セキュリティ グループに含まれていないユーザー。他のユーザーに代わって復旧する
ロックアウト後に TPM のロックを自動的に解除するように MBAM を構成する
ロックアウトの場合に TPM のロックを自動的に解除するように MBAM 2.5 SP1 を構成できます。 TPM ロックアウトの自動リセットが有効になっている場合、MBAM はユーザーがロックアウトされていることを検出し、MBAM データベースから OwnerAuth パスワードを取得して、ユーザーの TPM のロックを自動的に解除できます。 TPM ロックアウトの自動リセットは、セルフサービス ポータルまたは管理および監視 Web サイトを使用してそのコンピューターの OS 回復キーが取得された場合にのみ使用できます。
大事なTPM ロックアウトの自動リセットを有効にするには、サーバー側とクライアント側のグループ ポリシーの両方でこの機能を構成する必要があります。
クライアント側で TPM ロックアウトの自動リセットを有効にするには、コンピューター構成管理用テンプレート>Windows コンポーネント>MDOP MBAM>クライアント管理にあるグループ ポリシー設定 "TPM ロックアウトの自動リセットの構成" を構成>します。
サーバー側で TPM ロックアウトの自動リセットを有効にするには、セットアップ中に MBAM サーバー構成ウィザードで [TPM ロックアウトの自動リセットを有効にする] をオンにします。
エージェント サービス Web コンポーネントを有効にしながら"-TPM ロックアウト自動リセット" スイッチを指定することで、PowerShell で TPM ロックアウトの自動リセットを有効にすることもできます。
ユーザーがセルフサービス ポータルまたは管理および監視 Web サイトから取得した BitLocker 回復キーを入力すると、MBAM エージェントによって TPM がロックアウトされているかどうかを判断します。ロックアウトされている場合は、MBAM データベースからコンピューターの TPM OwnerAuth を取得しようとします。 TPM OwnerAuth が正常に取得された場合は、TPM のロック解除に使用されます。 TPM のロックを解除すると、TPM は完全に機能し、ユーザーは TPM ロックアウトからの後続の再起動中に回復パスワードを入力することを強制されません。
TPM ロックアウトの自動リセットは既定で無効になっています。
メモ TPM ロックアウトの自動リセットは、TPM バージョン 1.2 を実行しているコンピューターでのみサポートされます。 TPM 2.0 には、ロックアウトの自動リセット機能が組み込まれています。
回復監査レポート には、TPM ロックアウトの自動リセットに関連するイベントが含まれています。 TPM OwnerAuth パスワードを取得するために MBAM クライアントから要求が行われた場合、回復を示すイベントがログに記録されます。 監査エントリには、次のイベントが含まれます。
| エントリ | 値 |
|---|---|
監査要求のソース |
エージェント TPM ロック解除 |
キーの種類 |
TPM パスワード ハッシュ |
理由の説明 |
TPM リセット |
SQL Serverへのセキュリティで保護された接続
MBAM では、SQL Serverは、SQL Server Reporting Servicesおよび管理および監視 Web サイトおよびSelf-Service ポータルの Web サービスと通信します。 SQL Serverとの通信をセキュリティで保護することをお勧めします。 詳細については、「SQL Serverへの接続の暗号化」を参照してください。
MBAM Web サイトのセキュリティ保護の詳細については、「MBAM Web サイト をセキュリティで保護する方法の計画」を参照してください。
アカウントとグループを作成する
ユーザー アカウントを管理するためのベスト プラクティスは、ドメイン グローバル グループを作成し、ユーザー アカウントを追加することです。 推奨されるアカウントとグループの説明については、「 MBAM 2.5 グループとアカウントの計画」を参照してください。
MBAM ログ ファイルを使用する
このセクションでは、MBAM サーバーと MBAM クライアントのログ ファイルについて説明します。
MBAM Server セットアップ ログ ファイル
MBAMServerSetup.exe ファイルは、MBAM のインストール中にユーザーの %temp% フォルダーに次のログ ファイルを生成します。
<Microsoft_BitLocker_Administration_and_Monitoring_14 numbers.log>
MBAM のセットアップ中と MBAM サーバー機能の構成中に実行されたアクションをログに記録します。
<Microsoft_BitLocker_Administration_and_Monitoring_14_numbers>_0_MBAMServer.msi.log
インストール中に実行された追加のアクションをログに記録します。
MBAM サーバー構成ログ ファイル
アプリケーションとサービスのログ/Microsoft Windows/MBAM-Setup
Windows Powershell コマンドレットまたは MBAM サーバー構成ウィザードを使用して MBAM サーバー機能を構成するときに発生するエラーをログに記録します。
MBAM クライアント セットアップ ログ ファイル
MSI<5 つのランダムな文字>.log
MBAM クライアントのインストール中に実行されたアクションをログに記録します。
MBAM-Web ログ ファイル
- Web ポータルとサービスからのアクティビティを表示します。
MBAM データベース TDE に関する考慮事項を確認する
SQL Serverで使用できる透過的なデータ暗号化 (TDE) 機能は、MBAM データベース機能をホストするデータベース インスタンス用のオプションのインストールです。
TDE を使用すると、データベース レベルの完全な暗号化をリアルタイムで実行できます。 TDE は、規制コンプライアンスまたは企業のデータ セキュリティ標準を満たすために、一括暗号化に最適な選択肢です。 TDE はファイル レベルで動作します。これは、暗号化ファイル システム (EFS) と BitLocker ドライブ暗号化という 2 つの Windows 機能に似ています。 どちらの機能も、ハード ドライブ上のデータを暗号化します。 TDE では、セル レベルの暗号化、EFS、または BitLocker は置き換えられません。
データベースで TDE が有効になっている場合、すべてのバックアップが暗号化されます。 そのため、データベース暗号化キーの保護に使用された証明書がデータベースのバックアップと共にバックアップおよび維持されるように、特別な注意が必要です。 この証明書 (または証明書) が失われた場合、データは読み取れなくなります。
データベースを使用して証明書をバックアップします。 各証明書のバックアップには、2 つのファイルが必要です。 これらのファイルは両方ともアーカイブする必要があります。 セキュリティを確保するには、データベース バックアップ ファイルとは別にバックアップする必要があります。 または、TDE に使用されるキーのストレージとメンテナンスに、拡張可能キー管理 (EKM) 機能 (拡張キー管理を参照) の使用を検討することもできます。
MBAM データベース インスタンスに対して TDE を有効にする方法の例については、「 Transparent Data Encryption (TDE)について」を参照してください。
一般的なセキュリティに関する考慮事項を理解する
セキュリティ リスクを理解する。 Microsoft BitLocker の管理と監視を使用する場合の最も重大なリスクは、その機能が、未承認のユーザーによって侵害される可能性があるということです。これにより、BitLocker ドライブ暗号化を再構成し、MBAM クライアントで BitLocker 暗号化キー データを取得できます。 ただし、サービス拒否攻撃による短時間の MBAM 機能の喪失は、一般に、電子メールやネットワーク通信の喪失、電源の喪失などとは異なり、大きな影響を与えません。
コンピューターを物理的にセキュリティで保護します。 物理的なセキュリティのないセキュリティはありません。 MBAM サーバーに物理的にアクセスする攻撃者は、それを使用してクライアント ベース全体を攻撃する可能性があります。 潜在的な物理的攻撃はすべて、高リスクと見なされ、適切に軽減される必要があります。 MBAM サーバーは、アクセスが制御されたセキュリティで保護されたサーバー ルームに格納する必要があります。 オペレーティング システムでコンピューターをロックするか、セキュリティで保護されたスクリーン セーバーを使用して、管理者が物理的に存在しない場合は、これらのコンピューターをセキュリティで保護します。
最新のセキュリティ更新プログラムをすべてのコンピューターに適用します。 Security TechCenter でセキュリティ通知サービスをサブスクライブすることで、Windows オペレーティング システム、SQL Server、MBAM の新しい更新プログラムについて常に情報を得る。
強力なパスワードまたはパス フレーズを使用します。 すべての MBAM 管理者アカウントには、常に 15 文字以上の強力なパスワードを使用します。 空白のパスワードは使用しないでください。 パスワードの概念の詳細については、「 パスワード ポリシー」を参照してください。
関連トピック
MBAM に関する提案を受け取りましたか?
MBAM の問題については、 MBAM TechNet フォーラムを使用します。