MBAM 2.0 のセキュリティに関する考慮事項
適用対象: Microsoft BitLocker Administration and Monitoring 2.0
ここでは、Microsoft BitLocker Administration and Monitoring (MBAM) のアカウントとグループの概要、ログ ファイル、およびその他のセキュリティ関連の考慮事項について説明します。 詳細については、この記事に掲載されているリンクを参照してください。
一般的なセキュリティに関する考慮事項
セキュリティ リスクについて理解します。 MBAMの最も重大なリスクは、不正ユーザーが機能をハイジャックし、BitLocker の暗号化を再構成して、Microsoft BitLocker Administration and Monitoring クライアントの BitLocker 暗号化キー データを取得する可能性があることです。 ただし、通常は、サービス拒否攻撃によって MBAM 機能が短期間停止しても、電子メール、ネットワーク通信、照明、電力などとは異なり、壊滅的な結果にはなりません。
コンピューターを物理的に保護します。 物理的なセキュリティがないセキュリティはありません。 攻撃者が MBAM サーバーに物理的にアクセスできる場合、クライアント ベース全体を攻撃できる可能性があります。 考え得るすべての物理的な攻撃を高リスクとして扱い、リスクを適切に軽減する必要があります。また、MBAM サーバーは安全なサーバー室に保管し、アクセスを制御する必要があります。 管理者が不在の場合は、オペレーティング システムでコンピューターをロックするか、パスワードで保護したスクリーン セーバーを使用してサーバーのコンピューターを保護します。
最新のセキュリティ更新プログラムをすべてのコンピューターに適用します。 セキュリティ情報通知サービスを購読して (https://go.microsoft.com/fwlink/?LinkId=28819)、オペレーティング システム、Microsoft SQL Server、および MBAM の最新情報を常に把握します。
強力なパスワードまたはパス フレーズを使用します。 すべての MBAM および MBAM 管理者アカウントには、常に 15 文字以上の強力なパスワードを使用します。 空のパスワードは使用しないでください。 パスワードの概念の詳細については、「Account Passwords and Policies (アカウントのパスワードとポリシー)」ホワイト ペーパー (https://go.microsoft.com/fwlink/?LinkId=30009) を参照してください。
MBAM のアカウントとグループ
ユーザー アカウント管理のベスト プラクティスは、ドメイン グローバル グループを作成し、ユーザー アカウントをそのグループに追加する方法です。 次に、ドメイン グローバル アカウントを MBAM サーバーの必要な MBAM ローカル グループに追加します。
Active Directory ドメイン サービス グループ
MBAM セットアップ プロセスでは、Active Directory グループが自動的に作成されません。 MBAM 操作を管理するには、次の Active Directory ドメイン サービスのグローバル グループを作成することが推奨されます。
| グループ名 | 詳細情報 |
|---|---|
MBAM 高度なヘルプデスク ユーザー |
MBAM セットアップ時に作成した MBAM 高度なヘルプデスク ユーザー ローカル グループのメンバーを管理するには、このグループを作成します。 |
MBAM 準拠監査 DB アクセス |
MBAM セットアップ時に作成した MBAM 準拠監査 DB アクセス ローカル グループのメンバーを管理するには、このグループを作成します。 |
MBAM ヘルプデスク ユーザー |
MBAM セットアップ時に作成した MBAM ヘルプデスク ユーザー ローカル グループのメンバーを管理するには、このグループを作成します。 |
MBAM 回復とハードウェア DB アクセス |
MBAM セットアップ時に作成した MBAM 回復とハードウェア DB アクセス ローカル グループのメンバーを管理するには、このグループを作成します。 |
MBAM レポートのユーザー |
MBAM セットアップ時に作成した MBAM レポート ユーザー ローカル グループのメンバーを管理するには、このグループを作成します。 |
MBAM システム管理者 |
MBAM セットアップ時に作成した MBAM システム管理者ローカル グループのメンバーを管理するには、このグループを作成します。 |
BitLocker 暗号化の除外 |
ログオンするコンピューターで開始される BitLocker の暗号化から除外するユーザー アカウントを管理するには、このグループを作成します。 |
MBAM サーバー ローカル グループ
MBAM セットアップによって、MBAM 操作をサポートするローカル グループが作成されます。 Active Directory ドメイン サービス グローバル グループを適切な MBAM ローカル グループに追加し、MBAM セキュリティおよびデータ アクセス許可を構成する必要があります。
| グループ名 | 詳細情報 |
|---|---|
MBAM 高度なヘルプデスク ユーザー |
このグループのメンバーは、MBAM からヘルプ デスク機能へのアクセスが増えました。 |
MBAM 準拠監査 DB アクセス |
MBAM 準拠と監査データベースにアクセス可能なコンピューターを含みます。 |
MBAM ヘルプデスク ユーザー |
このグループのメンバーは、MBAM からヘルプ デスク機能のアクセス権を持ちます。 |
MBAM 回復とハードウェア DB アクセス |
MBAM 回復データベースにアクセス可能なコンピューターを含みます。 |
MBAM レポートのユーザー |
このグループのメンバーは、MBAM から準拠と監査レポート機能のアクセス権を持ちます。 |
MBAM システム管理者 |
このグループのメンバーは、すべての MBAM 機能のアクセス権を持ちます。 |
SSRS レポート サービス アカウント
SSRS レポート サービス アカウントは、SSRS を介して利用できる MBAM を実行するためにセキュリティ コンテキストを提供しています。 これは MBAM のセットアップ時に構成されます。
SSRS レポート サービス アカウントを構成する場合は、ドメイン ユーザー アカウントを指定して、パスワードが期限切れにならないように構成します。
注意
MBAM を展開した後にサービス アカウント名を変更した場合は、新しいサービス アカウントの資格情報を使用するようにレポート データ ソースを再構成する必要があります。 そうしないと、ヘルプ デスク ポータルにアクセスできなくなります。
MBAM ログ ファイル
次の MBAM セットアップ ログ ファイルは、MBAM セットアップ中にインストールしているユーザーの %temp% フォルダーに作成されます。
MBAM サーバー セットアップ ログ ファイル
- MSI<ランダムな 5 文字>.log**
MBAM セットアップ時および MBAM サーバー機能のインストール時に実行された操作をログに記録します。
- InstallComplianceDatabase.log
MBAM 準拠と監査データベースのセットアップを作成するために実行されるログ操作。
- InstallKeyComplianceDatabase.log
MBAM 回復データベースを作成するために実行されるログ操作
- AddHelpDeskDbAuditUsers.log
MBAM 準拠と監査データベースに SQL Server ログインを作成し、レポート用データベースに対するヘルプデスク Web サービスを承認してレポートするために実行された操作がログに記録されます。
- AddHelpDeskDbUsers.log
データベースに対する Web サービスを承認してキーを回復し、MBAM 回復データベースへのログインを作成するために実行された操作がログに記録されます。
- AddKeyComplianceDbUsers.log
MBAM 準拠と監査データベースに対する Web サービスを承認し、準拠レポートを作成するために実行された操作がログに記録されます。
- AddRecoveryAndHardwareDbUsers.log
MBAM 回復データベースに対する Web サービスを承認し、キーを回復するために実行された操作がログに記録されます。
注意
追加の MBAM セットアップ ログ ファイルを取得するには、msiexec パッケージと /L <場所> オプションを使用して、MBAM をインストールする必要があります。 ログ ファイルが指定した場所に作成されます。
MBAM クライアント セットアップ ログ ファイル
- MSI<ランダムな 5 文字>.log**
MBAM クライアントのインストール時に実行された操作がログに記録されます。
MBAM データベース TDE に関する考慮事項
SQL Server で使用できる Transparent Data Encryption (TDE) 機能は、MBAM データベース機能をホストするデータベース インスタンスではオプションのインストールです。
TDE を使用すると、リアルタイムの完全なデータベースレベルの暗号化を実行できます。 TDE は、法規制への準拠や企業のデータ セキュリティ基準を満たすために、大量に暗号化する場合に最適です。 TDE はファイル レベルで機能するため、Encrypting File System (EFS) と BitLocker Drive Encryption という 2 つの Windows 機能と似ています。いずれも、ハード ドライブ上のデータを暗号化するために使用されます。 TDE は、セルレベルの暗号化、EFS、または BitLocker の代わりになる機能ではありません。
データベースで TDE を有効にすると、すべてのバックアップが暗号化されます。 そのため、データベースのバックアップでデータベースの暗号化キーの保護に使用した証明書がバックアップされ、保守されるようにするには、特に注意する必要があります。 この証明書を紛失した場合、データは読み取り不能になります。 証明書はデータベースとともにバックアップしてください。 各証明書のバックアップには 2 つのファイルが必要です。 これらの 2 つのファイルをアーカイブする必要があります (セキュリティのために、データベースのバックアップ ファイルとは別にすることをお勧めします)。 また、TDE に使用するキーの保存とメンテナンスに拡張キー管理 (EKM) 機能を使用することもできます (拡張キー管理を参照してください)。
MBAM データベース インスタンス用に TDE を有効にする方法の例については、「MBAM 2.0 の評価」を参照してください。
SQL Server 2008 の TDE の詳細については、「SQL Server の暗号化」を参照してください。
参照:
その他のリソース
-----
MDOP の詳細については TechNet ライブラリを参照してください。トラブルシューティング情報については TechNet Wiki を検索してください。また、Facebook や Twitter のフォローもお勧めします。
-----