MBAM 2.5 のセキュリティ上の考慮事項
適用対象: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
このトピックでは、Microsoft BitLocker Administration and Monitoring (MBAM) をセキュリティで保護する方法に関する以下の情報を提供します。
TPM をエスクローし、OwnerAuth パスワードを格納するように MBAM を構成する
ロックアウト後に TPM のロックが自動的に解除されるように MBAM を構成する
SQL Server への接続をセキュリティで保護する
アカウントとグループを作成する
MBAM ログ ファイルを使用する
MBAM データベース TDE の考慮事項を確認する
一般的なセキュリティの考慮事項
TPM をエスクローし、OwnerAuth パスワードを格納するように MBAM を構成する
トラステッド プラットフォーム モジュール (TPM) は、その構成に応じて、大量の誤ったパスワードが入力されたような特定の状況で自身をロックし、一定期間ロックされたままにすることができます。BitLocker は TPM ロックアウト中、暗号化キーにアクセスしてロック解除または暗号化解除の操作を実行することができません。オペレーティング システムのドライブにアクセスするには、ユーザーが BitLocker の回復キーを入力する必要があります。TPM ロックアウトをリセットするには、TPM OwnerAuth パスワードを入力する必要があります。
MBAM が TPM を所有しているか、パスワードをエスクローしている場合、MBAM データベースに TPM OwnerAuth パスワードを格納することができます。これで、TPM ロックアウトから回復しなければならない場合でも Administration and Monitoring Web サイトから OwnerAuth パスワードに簡単にアクセスできるようになり、ロックアウトが自身で解決されるまで待つ必要がなくなります。
Windows 8 以降で TPM OwnerAuth をエスクローする
Windows 8 以降では、OwnerAuth がローカル コンピューターで使用可能であれば、MBAM が OwnerAuth パスワードを格納するために TPM を所有する必要がなくなりました。
MBAM を有効化してエスクローし、TPM OwnerAuth パスワードを格納するには、これらのグループ ポリシー設定を構成する必要があります。
| グループ ポリシー設定 | 構成 |
|---|---|
Active Directory ドメイン サービスへの TPM バックアップを有効にする |
無効または未構成 |
オペレーティング システムで使用できる TPM 所有者認証情報のレベルを構成する |
委任/なし、または未構成 |
このグループ ポリシー設定を表示するには、[コンピューターの構成] > [管理用テンプレート] > [システム] > [トラステッド プラットフォーム モジュール サービス] の順にクリックします。
注意
MBAM で OwnerAuth がこの設定を使用して正常にエスクローされると、Windows でもローカルで削除されます。
Windows 7 で TPM OwnerAuth をエスクローする
Windows 7 の場合、MBAM は TPM を所有し、MBAM データベースの TPM OwnerAuth 情報を自動エスクローする必要があります。MBAM が TPM を所有していない場合は、MBAM Active Directory (AD) データ インポート コマンドレットを使用して、Active Directory から MBAM データベースに TPM OwnerAuth をコピーする必要があります。
MBAM の Active Directory データ インポート コマンドレット
MBAM Active Directory データ インポート コマンドレットを使用して、回復キー パッケージと Active Directory に格納されている OwnerAuth パスワードを取得できます。
MBAM 2.5 SP1 サーバーには、Active Directory に格納されたボリュームの回復と TPM 所有者に関する情報を MBAM データベースに事前設定する 4 つの PowerShell コマンドレットが同梱されています。
ボリューム回復キーおよびパッケージ:
Read-ADRecoveryInformation
Write-MbamRecoveryInformation
TPM 所有者情報:
Read-ADTpmInformation
Write-MbamTpmInformation
ユーザーとコンピューターの関連付け:
- Write-MbamComputerUser
Read-AD* コマンドレットは Active Directory から情報を読み取ります。Write-Mbam* コマンドレットはデータを MBAM データベースにプッシュします。構文、パラメーター、例を含むこれらのコマンドレットの詳細については、「Microsoft Bitlocker Administration and Monitoring 2.5 のコマンドレット リファレンス」を参照してください。
ユーザーとコンピューターの関連付けを作成する: MBAM Active Directory データ インポート コマンドレットは、Active Directory から情報を収集し、データを MBAM データベースに挿入します。ただし、ユーザーはボリュームに関連付けられません。ユーザーとコンピューターの関連付けを作成する Add-ComputerUser.ps1 PowerShell スクリプトをダウンロードすることで、ユーザーは Administration and Monitoring Web サイトから、または回復のためのセルフサービス ポータルを使用して、コンピューターにアクセスできるようになります。Add-ComputerUser.ps1 スクリプトは Active Directory (AD) の Managed By 属性、AD のオブジェクト所有者、またはカスタム CSV ファイルからデータを収集します。スクリプトは、検出されたユーザーを回復情報のパイプライン オブジェクトに追加します。これは、データを回復データベースに挿入するために Write-MbamRecoveryInformation に渡される必要があります。
Add-ComputerUser.ps1 PowerShell スクリプトを Microsoft ダウンロード センターからダウンロードします。
help Add-ComputerUser.ps1 を指定して、コマンドレットとスクリプトの使用方法の例を含む、スクリプトのヘルプを表示することができます。
MBAM サーバーをインストールした後にユーザーとコンピューターの関連付けを作成するには、Write-MbamComputerUser PowerShell コマンドレットを使用します。Add-ComputerUser.ps1 PowerShell スクリプトと同様、このコマンドレットを使用して、指定したコンピューターの TPM OwnerAuth 情報やボリューム回復パスワードを得るためにセルフサービス ポータルを使用できるユーザーを指定できるようになります。
注意
MBAM エージェントは、コンピューターがサーバーへのレポートを開始する際に、ユーザーとコンピューターの関連付けをオーバーライドします。
**前提条件:**Read-AD* コマンドレットは、ドメイン管理者などの高い特権を持つユーザー アカウントとして実行するか、情報への読み取りアクセス権が与えられたカスタム セキュリティ グループのアカウントで実行される (推奨) 場合にのみ、AD から情報を取得できます。
「BitLocker ドライブ暗号化運用ガイド:AD DS により暗号化されたボリュームを回復する」は、AD 情報への読み取りアクセス権を持つカスタム セキュリティ グループ (または複数のグループ) を作成する方法の詳細を提供します。
**MBAM 回復とハードウェアの Web サービスの書き込み許可:**Write-Mbam* コマンドレットは MBAM 回復とハードウェア サービスの URL を受け入れ、回復または TPM 情報の公開に使用します。通常は、ドメイン コンピューターのサービス アカウントのみが、MBAM 回復とハードウェア サービスと通信できます。MBAM 2.5 SP1 では MBAM 回復とハードウェア サービスに、DataMigrationAccessGroup と呼ばれるセキュリティ グループを構成することができます。このグループのメンバーは、ドメイン コンピューターのサービス アカウント チェックのバイパスが許可されています。Write-Mbam* コマンドレットは、この構成されているグループに属するユーザーとして実行する必要があります。(または、Write-Mbam* コマンドレットの –Credential パラメーターを使用して、構成されたグループの個々のユーザーの資格情報を指定することもできます。)
MBAM 回復とハードウェア サービスには、次の方法のいずれかを使用して、このセキュリティ グループの名前を構成することができます。
Enable-MbamWebApplication –AgentService Powershell コマンドレットの -DataMigrationAccessGroup パラメーターにセキュリティ グループ (または個人) の名前を指定する。
<inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\ フォルダーの web.config ファイルを編集して MBAM 回復とハードウェア サービスをインストールした後にグループを構成する。
<add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />ここで、<groupName> は、Active Directory からのデータ移行の許可に使用されるドメインおよびグループ名 (または個々のユーザー) に置き換えられます。
IIS マネージャーの構成エディターを使用して、この appSetting を編集する。
次の例のコマンドは、ADRecoveryInformation グループとデータ移行ユーザー グループの両方のメンバーとして実行した場合に、contoso.com ドメイン内の WORKSTATIONS 組織単位 (OU) 内のコンピューターからボリュームの回復情報を取得し、mbam.contoso.com サーバーで実行されている MBAM 回復とハードウェア サービスを使用して MBAM に書き込みます。
PS C:\> Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"
Read-AD* コマンドレットは、サーバー マシンをホストしている Active Directory の名前または IP アドレスを受け入れ、回復または TPM 情報のクエリを実行します。検索ベース パラメーターの値として、コンピューター オブジェクトが存在する AD コンテナーの識別名を指定することをお勧めします。コンピューターが複数の OU にわたって格納されている場合、コマンドレットはコンテナーごとに 1 回実行するパイプラインの入力を受け入れることができます。AD コンテナーの識別名は、OU=Machines,DC=contoso,DC=com のようになります。特定のコンテナーを対象とした検索を実行すると、次のような利点があります。
コンピューター オブジェクトに対して大きな AD データセットのクエリを実行する際に、タイムアウトのリスクが軽減されます。
バックアップが望ましくない、または不要な、データセンターのサーバーや他のクラスのコンピューターを含む OU を省略できます。
もう 1 つのオプションとして、省略可能な検索ベースの有無を選択した –Recurse フラグを指定して、指定した検索ベースまたは全体のドメインそれぞれにあるすべてのコンテナーのコンピューター オブジェクトを検索する方法があります。-Recurse フラグを使用すると、-MaxPageSize パラメーターを使用して、クエリの処理に必要なローカルおよびリモートのメモリの量を制御することもできます。
これらのコマンドレットは、PsObject 型のパイプライン オブジェクトに書き込みを行います。PsObject の各インスタンスには、1 つのボリューム回復キー、または TPM 所有者の文字列とそれに関連付けられているコンピューター名、タイムスタンプ、MBAM データ ストアへの公開に必要なその他の情報が含まれています。
Write-Mbam* コマンドレットは、プロパティ名によるパイプラインからの回復情報のパラメーター値を受け入れます。これにより、Write-Mbam* コマンドレットは、Read-AD* コマンドレット (たとえば、Read-ADRecoveryInformation –Server contoso.com –Recurse | Write-MbamRecoveryInformation –RecoveryServiceEndpoint mbam.contoso.com など) のパイプラインの出力を受け入れられるようになります。
Write-Mbam* コマンドレットには、フォールト トレランス、詳細ログ記録、および WhatIf と Confirm の設定のオプションを提供する省略可能なパラメーターが含まれます。
Write-Mbam* コマンドレットには、その値が DateTime オブジェクトである、省略可能な Time パラメーターも含まれます。このオブジェクトには、Local、UTC、または Unspecified に設定できる Kind 属性が含まれます。Time パラメーターが Active Directory から取得されたデータから設定されると、時刻が UTC に変換され、この Kind 属性が UTC に自動的に設定されます。ただし、テキスト ファイルなどの別のソースを使用して Time パラメーターを設定する場合は、Kind 属性をその適切な値に明示的に設定する必要があります。
注意
Read-AD* コマンドレットには、コンピューターのユーザーを表すユーザー アカウントを検出する機能はありません。次のようなユーザーでは、ユーザー アカウントの関連付けが必要です。
- セルフサービス ポータルを使用してボリュームのパスワード/パッケージを回復するユーザー
- インストール中に定義した MBAM の高度なヘルプデスク ユーザー セキュリティ グループに属さないユーザーが、他のユーザーの代わりに回復を行う場合
ロックアウト後に TPM のロックが自動的に解除されるように MBAM を構成する
ロックアウトが発生した場合に、TPM のロックが自動的に解除されるように MBAM 2.5 SP1 を構成することができます。TPM ロックアウトの自動リセットを有効にすると、MBAM はユーザーがロックアウトされていることを検出して OwnerAuth パスワードを MBAM データベースから自動的に取得して、ユーザーの TPM ロックを自動的に解除することができます。TPM ロックアウトの自動リセットは、そのコンピューターの OS 回復キーがセルフサービス ポータルまたは Administration and Monitoring Web サイトを使用して取得された場合にのみ使用できます。
重要
TPM ロックアウトの自動リセットを有効にするには、この機能をサーバー側と、クライアント側のグループ ポリシーの両方で構成する必要があります。
クライアント側で TPM ロックアウトの自動リセットを有効にするには、[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [MDOP MBAM] > [クライアント管理] にあるグループ ポリシー設定 [TPM ロックアウト自動リセットの構成] を構成します。
サーバー側で TPM ロックアウトの自動リセットを有効にするには、セットアップで MBAM サーバー構成ウィザードの [TPM ロックアウト自動リセット有効化] をチェックします。
また、エージェント サービスの Web コンポーネントを有効化する際に [TPM ロックアウトの自動リセット] スイッチを指定して、PowerShell で TPM ロックアウトの自動リセットを有効にすることもできます。
ユーザーがセルフサービス ポータルまたは Administration and Monitoring Web サイトから取得した BitLocker 回復キーを入力すると、MBAM エージェントが、TPM がロックアウトされているかどうかを判断します。ロックアウトされている場合、コンピューターの TPM OwnerAuth を MBAM データベースから取得しようとします。TPM OwnerAuth が正常に取得された場合、TPM のロックの解除に使用されます。TPM のロックを解除すると、TPM が完全に機能するようになり、ユーザーは、以後 TPM ロックアウトから再起動する際に、回復パスワードを入力する必要がなくなります。
TPM ロックアウトの自動リセットは、既定では無効です。
注意
TPM ロックアウトの自動リセットは TPM バージョン 1.2 を実行するコンピューターでのみサポートされます。TPM 2.0 は、組み込みのロックアウト自動リセットの機能を提供します。
回復の監査レポートには、TPM ロックアウトの自動リセットに関連するイベントが含まれています。TPM OwnerAuth パスワードを取得するために MBAM クライアントから要求が行われると、回復を示すイベントがログに記録されます。監査エントリには、次のイベントが含まれます。
| エントリ | 値 |
|---|---|
監査要求のソース |
エージェントの TPM のロック解除 |
キーの種類 |
TPM パスワード ハッシュ |
理由の説明 |
TPM をリセットしたため |
SQL Server への接続をセキュリティで保護する
MBAM では、Administration and Monitoring Web サイトとセルフサービス ポータルを使用する関係上、SQL Server は SQL Server Reporting Services および各種 Web サービスと通信します。SQL Server との通信をセキュリティで保護することをお勧めします。詳細については、「SQL Server への接続の暗号化」をご覧ください。
MBAM Web サイトのセキュリティ保護の詳細については、「MBAM Web サイトをセキュリティで保護する方法の計画」をご覧ください。
アカウントとグループを作成する
ユーザー アカウント管理のベスト プラクティスは、ドメイン グローバル グループを作成し、ユーザー アカウントをそのグループに追加する方法です。推奨されるアカウントとグループの説明については、「MBAM 2.5 グループとアカウントの計画」をご覧ください。
MBAM ログ ファイルを使用する
ここでは、MBAM サーバーと MBAM クライアント ログ ファイルについて説明します。
MBAM サーバー セットアップ ログ ファイル
MBAMServerSetup.exe ファイルを実行すると、MBAM のインストール中に、ユーザーの %temp% フォルダーに次のログ ファイルが生成されます。
Microsoft_BitLocker_Administration_and_Monitoring_<14 numbers>.log
MBAM セットアップ時および MBAM サーバー機能の構成時に実行された操作が記録されます。
Microsoft_BitLocker_Administration_and_Monitoring_<14_numbers>_0_MBAMServer.msi.log
インストール時に実行されたその他の操作が記録されます。
MBAM サーバー構成ログ ファイル
Applications and Services Logs/Microsoft Windows/MBAM-Setup
Windows Powershell コマンドレットまたは MBAM サーバー構成ウィザードを使用して MBAM サーバー機能を構成しているときに発生したエラーが記録されます。
MBAM サーバー セットアップ ログ ファイル
MSI<ランダムな 5 文字>.log**
MBAM クライアントのインストール時に実行された操作が記録されます。
MBAM-Web ログ ファイル
- Web ポータルおよびサービスからのアクティビティを示します。
MBAM データベース TDE の考慮事項を確認する
SQL Server で使用できる Transparent Data Encryption (TDE) 機能は、MBAM データベース機能をホストするデータベース インスタンスではオプションのインストールです。
TDE を使用すると、リアルタイムの完全なデータベースレベルの暗号化を実行できます。TDE は、法規制への準拠や企業のデータ セキュリティ基準を満たすために、大量に暗号化する場合に最適です。TDE は、次の 2 つの Windows 機能と同様、ファイル レベルで機能します。暗号化ファイル システム (EFS) と BitLocker ドライブ暗号化です。どちらの機能も、ハード ドライブ上のデータを暗号化するために使用されます。TDE は、セルレベルの暗号化、EFS、または BitLocker の代わりになる機能ではありません。
データベースで TDE を有効にすると、すべてのバックアップが暗号化されます。そのため、データベースのバックアップでデータベースの暗号化キーの保護に使用した証明書がバックアップされ、保守されるようにするには、特に注意する必要があります。この証明書を紛失した場合、データは読み取り不能になります。
証明書はデータベースと共にバックアップしてください。各証明書のバックアップには 2 つのファイルが必要です。両方ともアーカイブする必要があります。セキュリティのために、データベースのバックアップ ファイルとは別にバックアップすることをお勧めします。また、TDE に使用するキーの保存とメンテナンスに拡張キー管理 (EKM) 機能を使用することもできます (拡張キー管理に関するページをご覧ください)。
MBAM データベース インスタンス用に TDE を有効にする方法の例については、「透過的なデータ暗号化 (TDE) について」をご覧ください。
一般的なセキュリティの考慮事項
セキュリティ リスクについて理解します。 Microsoft BitLocker Administration and Monitoring を使用する際の最も重大なリスクは、許可を受けていないユーザーが機能を侵害し、BitLocker ドライブ暗号化を再構成して、MBAM クライアントの BitLocker 暗号化キー データを取得する可能性があることです。ただし、通常は、サービス拒否攻撃によって MBAM 機能が短期間停止しても、電子メール、ネットワーク通信、電力などの喪失とは異なり、壊滅的な結果にはなりません。
コンピューターのセキュリティを物理的に保護する。物理的なセキュリティがないセキュリティはありません。攻撃者が MBAM サーバーに物理的にアクセスできる場合、クライアント ベース全体を攻撃できる可能性があります。考え得るすべての物理的な攻撃を高リスクとして扱い、リスクを適切に軽減する必要があります。MBAM サーバーは、アクセスが管理された安全なサーバー室に配置する必要があります。管理者が不在の場合は、オペレーティング システムでコンピューターをロックするか、パスワードで保護したスクリーン セーバーを使用してサーバーのコンピューターを保護します。
すべてのコンピューターに最新のセキュリティ更新プログラムを適用する。セキュリティ TechCenter でセキュリティ情報通知サービスをサブスクライブして、Windows オペレーティング システム、SQL Server、MBAM の最新情報を把握します。
強力なパスワードまたはパス フレーズを使用します。すべての MBAM 管理者アカウントには、常に 15 文字以上の強力なパスワードを使用します。空のパスワードは使用しないでください。パスワードの概念の詳細については、「Password Policy (パスワード ポリシー)」をご覧ください。
MBAM への提案はございますか。
こちらから提案を追加するか、提案に投票してください。MBAM の問題については、「MBAM に関する TechNet フォーラム」を利用してください。