Considerações de segurança do MBAM 2.5
Este artigo contém informações sobre como proteger a Administração e Monitorização do Microsoft BitLocker (MBAM).
Configurar o MBAM para criar o TPM e armazenar palavras-passe ownerAuth
Observação
Para o Windows 10, versão 1607 ou posterior, apenas o Windows pode assumir a propriedade do TPM. O Windows não mantém a palavra-passe do proprietário do TPM quando aprovisiona o TPM. Para obter mais informações, veja Palavra-passe do proprietário do TPM.
Dependendo da configuração, o Trusted Platform Module (TPM) bloqueia-se em determinadas situações e pode permanecer bloqueado. Por exemplo, quando um utilizador introduz demasiadas palavras-passe incorretas. Durante o bloqueio do TPM, o BitLocker não consegue aceder às chaves de encriptação para desbloquear ou desencriptar a unidade. Este estado requer que o utilizador introduza a respetiva chave de recuperação BitLocker para aceder à unidade do sistema operativo. Para repor o bloqueio do TPM, tem de fornecer a palavra-passe OwnerAuth do TPM.
O MBAM pode armazenar a palavra-passe de Proprietário do TPMAuth na base de dados MBAM se for proprietária do TPM ou se a palavra-passe for disponibilizada. As palavras-passe ownerAuth são facilmente acessíveis no Site de Administração e Monitorização quando tem de recuperar de um bloqueio TPM, eliminando a necessidade de aguardar que o bloqueio seja resolvido por si próprio.
Escrowing TPM OwnerAuth no Windows 8 e posterior
Observação
Para o Windows 10, versão 1607 ou posterior, apenas o Windows pode assumir a propriedade do TPM. O Windows não mantém a palavra-passe do proprietário do TPM quando aprovisiona o TPM. Para obter mais informações, veja Palavra-passe do proprietário do TPM.
No Windows 8 ou superior, o MBAM já não tem de ser proprietário do TPM para armazenar a palavra-passe OwnerAuth, desde que o OwnerAuth esteja disponível no computador local.
Para ativar o MBAM para escrow e, em seguida, armazenar palavras-passe de Proprietário do TPMAuth, tem de configurar estas definições de política de grupo.
| Definição de política de grupo | Configuração |
|---|---|
| Ativar a cópia de segurança do TPM para os Serviços de Domínio do Active Directory | Desativado ou Não Configurado |
| Configurar o nível de informações de autorização do proprietário do TPM disponíveis para o sistema operativo | Delegado/Nenhum ou Não Configurado |
A localização destas definições de política de grupo é Configuração> do ComputadorModelos Administrativos>Sistema> TrustedPlatform Module Services.
Observação
O Windows remove o OwnerAuth localmente após o MBAM o enviar com êxito com estas definições.
Escrowing TPM OwnerAuth no Windows 7
No Windows 7, o MBAM tem de ser proprietário do TPM para enviar automaticamente informações de Proprietário do TPMAuth na base de dados MBAM. Se o MBAM não for o proprietário do TPM, tem de utilizar os cmdlets de importação de dados do MBAM Active Directory (AD) para copiar o TPM OwnerAuth do Active Directory para a base de dados MBAM.
Cmdlets de importação de dados do Active Directory do MBAM
Os cmdlets de importação de dados do Active Directory do MBAM permitem-lhe obter pacotes de chaves de recuperação e palavras-passe OwnerAuth armazenadas no Active Directory.
O servidor MBAM 2.5 SP1 é fornecido com quatro cmdlets do PowerShell que pré-preenchem bases de dados MBAM com a recuperação de volume e as informações do proprietário do TPM armazenadas no Active Directory.
Para chaves e pacotes de recuperação de volume:
Read-ADRecoveryInformation
Write-MbamRecoveryInformation
Para Informações do Proprietário do TPM:
Read-ADTpmInformation
Write-MbamTpmInformation
Para Associar Utilizadores a Computadores:
- Write-MbamComputerUser
Os Read-AD* cmdlets leem informações do Active Directory. Os Write-Mbam* cmdlets enviam os dados para as bases de dados MBAM. Para obter informações detalhadas sobre estes cmdlets, incluindo sintaxe, parâmetros e exemplos, veja Referência de cmdlets para Administração e Monitorização do Microsoft BitLocker 2.5.
Criar associações de utilizador para computador: Os cmdlets de Importação de Dados do Active Directory do MBAM recolhem informações do Active Directory e inserem os dados na base de dados MBAM. No entanto, não associam utilizadores a volumes. Pode transferir o script do Add-ComputerUser.ps1 PowerShell para criar associações de utilizador para computador, o que permite que os utilizadores recuperem o acesso a um computador através do Site de Administração e Monitorização ou através do Portal do Self-Service para recuperação. O script Add-ComputerUser.ps1 recolhe dados do atributo Gerido Por no Active Directory (AD), do proprietário do objeto no AD ou de um ficheiro CSV personalizado. Em seguida, o script adiciona os utilizadores detetados ao objeto do pipeline de informações de recuperação, que tem de ser transmitido para Write-MbamRecoveryInformation para inserir os dados na base de dados de recuperação.
Pode especificar ajuda Add-ComputerUser.ps1 para obter ajuda para o script, incluindo exemplos de como utilizar os cmdlets e o script.
Para criar associações de utilizador para computador depois de instalar o servidor MBAM, utilize o cmdlet Write-MbamComputerUser PowerShell. Semelhante ao script Add-ComputerUser.ps1 PowerShell, este cmdlet permite-lhe especificar utilizadores que podem utilizar o Portal do Self-Service para obter informações de Proprietário do TPM ou palavras-passe de recuperação em volume para o computador especificado.
Observação
O agente MBAM substitui as associações de utilizador para computador quando esse computador começa a reportar ao servidor.
Pré-requisitos: Os Read-AD* cmdlets só podem obter informações do AD se forem executados como uma conta de utilizador altamente privilegiada, como um Administrador de Domínio, ou executar como uma conta num grupo de segurança personalizado com acesso de leitura concedido às informações (recomendado).
Guia de operações de Encriptação de Unidade BitLocker: a recuperação de volumes encriptados com ADDS fornece detalhes sobre como criar um grupo de segurança personalizado (ou vários grupos) com acesso de leitura às informações do AD.
Permissões de Escrita do Serviço Web de Recuperação e Hardware do MBAM: Os Write-Mbam* cmdlets aceitam o URL do Serviço de Recuperação e Hardware do MBAM, utilizado para publicar as informações de recuperação ou TPM. Normalmente, apenas uma conta de serviço de computador de domínio pode comunicar com o Serviço de Recuperação e Hardware MBAM. No MBAM 2.5 SP1, pode configurar o Serviço de Recuperação e Hardware do MBAM com um grupo de segurança denominado DataMigrationAccessGroup. Os membros deste grupo podem ignorar a verificação da conta do serviço de computador do domínio. Os Write-Mbam* cmdlets têm de ser executados como um utilizador pertencente a este grupo configurado. (Em alternativa, as credenciais de um utilizador individual no grupo configurado podem ser especificadas através do parâmetro -Credential nos Write-Mbam* cmdlets.)
Pode configurar o Serviço de Recuperação e Hardware do MBAM com o nome deste grupo de segurança de uma das seguintes formas:
Indique o nome do grupo de segurança (ou individual) no parâmetro -DataMigrationAccessGroup do cmdlet Enable-MbamWebApplication -AgentService PowerShell.
Configure o grupo depois de instalar o Serviço de Recuperação e Hardware do MBAM. Edite o ficheiro web.config na
<inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\pasta .<add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />em
<groupName>que é substituído pelo domínio e pelo nome do grupo (ou pelo utilizador individual) que utiliza para permitir a migração de dados do Active Directory.Para editar esta aplicaçãoDefinição, utilize o Editor de Configuração no Gestor de IIS.
No exemplo seguinte, quando executa o comando como membro dos grupos ADRecoveryInformation e Data Migration Users, obtém as informações de recuperação de volume dos computadores na unidade organizacional (UO) WORKSTATIONS no domínio contoso.com. Em seguida, escreve-os no MBAM com o Serviço de Recuperação e Hardware MBAM em execução no servidor mbam.contoso.com.
Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"
Read-AD* Os cmdlets aceitam o nome ou endereço IP de um computador de servidor de alojamento do Active Directory para consultar informações de recuperação ou TPM. Recomendamos que forneça os nomes distintos dos contentores do AD nos quais o objeto de computador reside como o valor do parâmetro SearchBase. Se os computadores estiverem armazenados em várias UOs, os cmdlets podem aceitar a entrada do pipeline para serem executados uma vez para cada contentor. O nome único de um contentor do AD é semelhante a OU=Machines,DC=contoso,DC=com.
Quando executa uma pesquisa direcionada para contentores específicos, esta proporciona as seguintes vantagens:
Reduz o risco de tempo limite ao consultar um conjunto de dados do AD grande para objetos de computador.
Pode omitir UOs que contenham servidores de datacenter ou outras classes de computadores para os quais a cópia de segurança pode não ser desejada ou necessária.
Outra opção é fornecer o sinalizador -Recurse com ou sem o SearchBase opcional para procurar objetos de computador em todos os contentores no SearchBase especificado ou em todo o domínio, respetivamente. Quando utiliza o sinalizador -Recurse, também pode utilizar o parâmetro -MaxPageSize para controlar a quantidade de memória local e remota necessária para atender a consulta.
Estes cmdlets escrevem nos objetos de pipeline do tipo PsObject. Cada instância do PsObject contém uma única chave de recuperação de volume ou cadeia de proprietário do TPM com o nome do computador associado, carimbo de data/hora e outras informações necessárias para publicá-la no arquivo de dados MBAM.
Write-Mbam* os cmdlets** aceitam valores de parâmetros de informações de recuperação do pipeline por nome de propriedade. Este comportamento permite que os Write-Mbam* cmdlets aceitem a saída do pipeline dos Read-AD* cmdlets. Por exemplo Read-ADRecoveryInformation -Server contoso.com -Recurse | Write-MbamRecoveryInformation -RecoveryServiceEndpoint mbam.contoso.com
Os Write-Mbam* cmdlets incluem parâmetros opcionais que fornecem opções para tolerância a falhas, registo verboso e preferências para WhatIf e Confirm.
Os Write-Mbam* cmdlets também incluem um parâmetro de Hora opcional cujo valor é um objeto DateTime . Este objeto inclui um atributo Kind que pode ser definido como Local, UTCou Unspecified. Quando o parâmetro Time é preenchido a partir dos dados retirados do Active Directory, a hora é convertida para UTC e este atributo Kind é definido automaticamente como UTC. No entanto, ao preencher o parâmetro Time com outra origem, como um ficheiro de texto, tem de definir explicitamente o atributo Kind para o valor adequado.
Observação
Os Read-AD* cmdlets não conseguem detetar as contas de utilizador que representam os utilizadores do computador. As associações de conta de utilizador são necessárias para o seguinte:
Os utilizadores podem recuperar palavras-passe ou pacotes em volume com o portal do Self-Service.
Utilizadores que não estão no grupo de segurança Utilizadores Técnicos Avançados do MBAM, conforme definido durante a instalação, a recuperar em nome de outros utilizadores.
Configurar o MBAM para desbloquear automaticamente o TPM após um bloqueio
Pode configurar o MBAM 2.5 SP1 para desbloquear automaticamente o TPM se estiver bloqueado. Se a reposição automática do bloqueio do TPM estiver ativada, o MBAM pode detetar que um utilizador está bloqueado e, em seguida, obter a palavra-passe OwnerAuth da base de dados MBAM para desbloquear automaticamente o TPM para o utilizador. A reposição automática do bloqueio do TPM só está disponível se a chave de recuperação do SO desse computador tiver sido obtida através do Portal Self-Service ou do Site de Administração e Monitorização.
Importante
Para ativar a reposição automática do bloqueio do TPM, tem de configurar esta funcionalidade no lado do servidor e na política de grupo no lado do cliente.
Para ativar a reposição automática do bloqueio do TPM no lado do cliente, configure a definição de política de grupo "Configurar a reposição automática do bloqueio do TPM" localizada em Configuração> do ComputadorModelos Administrativos Componentes>> doWindowsGestão de ClientesMDOP MBAM>.
Para ativar a reposição automática do bloqueio do TPM no lado do servidor, pode verificar "Ativar a reposição automática do bloqueio do TPM" no assistente de Configuração do servidor MBAM durante a configuração.
Também pode ativar a reposição automática do bloqueio do TPM no PowerShell ao especificar o
-TPMcomutador "reposição automática do bloqueio" ao ativar o componente Web do serviço de agente.
Depois de um utilizador introduzir a chave de recuperação BitLocker que obteve no Portal Self-Service ou no Site de Administração e Monitorização, o agente MBAM determinará se o TPM está bloqueado. Se estiver bloqueado, tenta obter o OwnerAuth do TPM para o computador a partir da base de dados MBAM. Se o OwnerAuth do TPM for obtido com êxito, será utilizado para desbloquear o TPM. Desbloquear o TPM torna o TPM totalmente funcional e o utilizador não é forçado a introduzir a palavra-passe de recuperação durante os reinícios subsequentes de um bloqueio TPM.
A reposição automática do bloqueio do TPM está desativada por predefinição.
Observação
A reposição automática do bloqueio do TPM só é suportada em computadores com a versão TPM 1.2. O TPM 2.0 fornece a funcionalidade de reposição automática de bloqueio incorporado.
O Relatório de Auditoria de Recuperação inclui eventos relacionados com a reposição automática do bloqueio do TPM. Se for feito um pedido do cliente MBAM para obter uma palavra-passe de OwnerAuth do TPM, é registado um evento para indicar a recuperação. As entradas de auditoria incluem os seguintes eventos:
| Entrada | Valor |
|---|---|
| Origem do Pedido de Auditoria | Desbloqueio do TPM do Agente |
| Tipo de Chave | Hash de Palavra-passe do TPM |
| Descrição do Motivo | Reposição do TPM |
Proteger ligações ao SQL Server
No MBAM, o SQL Server comunica com o SQL Server Reporting Services e com os serviços Web do site de Administração e Monitorização e do Portal do Self-Service. Recomendamos que proteja a comunicação com o SQL Server. Para obter mais informações, veja Encriptar ligações ao SQL Server.
Para obter mais informações sobre como proteger os sites MBAM, veja Planear como proteger os sites MBAM.
Criar contas e grupos
A melhor prática para gerir contas de utilizador é criar grupos globais de domínio e adicionar-lhes contas de utilizador. Para obter uma descrição das contas e grupos recomendados, veja Planning for MBAM 2.5 groups and accounts (Planear contas e grupos MBAM 2.5).
Utilizar ficheiros de registo MBAM
Esta secção descreve o servidor MBAM e os ficheiros de registo do cliente MBAM.
Ficheiros de registo de configuração do servidor MBAM
O ficheiro MBAMServerSetup.exe gera os seguintes ficheiros de registo na pasta %temp% do utilizador durante a instalação do MBAM:
Microsoft_BitLocker_Administration_and_Monitoring_<14 numbers>.logRegista as ações durante a configuração do MBAM e a configuração da funcionalidade do servidor MBAM.
Microsoft_BitLocker_Administration_and_Monitoring_<14_numbers>_0_MBAMServer.msi.logRegista outras ações durante a instalação.
Ficheiros de registo de configuração do servidor MBAM
Applications and Services Logs/Microsoft Windows/MBAM-SetupRegista quaisquer erros quando utiliza cmdlets do Windows PowerShell ou o assistente de configuração do servidor MBAM para configurar as funcionalidades do servidor MBAM.
Ficheiros de registo de configuração do cliente MBAM
MSI<five random characters>.logRegista as ações executadas durante a instalação do cliente MBAM.
MBAM-Web ficheiros de registo
- Mostra a atividade dos portais e serviços Web.
Rever as considerações da Encriptação de Dados Transparente da base de dados MBAM
A funcionalidade de encriptação de dados transparente (TDE) disponível no SQL Server é uma instalação opcional para as instâncias de base de dados que alojam as funcionalidades da base de dados MBAM.
Com a Encriptação de Dados Transparente, pode executar a encriptação completa ao nível da base de dados em tempo real. A Encriptação de Dados Transparente é a opção ideal para a encriptação em massa cumprir as normas de conformidade regulamentar ou de segurança de dados empresariais. A Encriptação de Dados Transparente funciona ao nível do ficheiro, que é semelhante a duas funcionalidades do Windows: o Sistema de Encriptação de Ficheiros (EFS) e a Encriptação de Unidade BitLocker. Ambas as funcionalidades também encriptam dados no disco rígido. A Encriptação de Dados Transparente não substitui a encriptação ao nível da célula, o EFS ou o BitLocker.
Quando a Encriptação de Dados Transparente está ativada numa base de dados, todas as cópias de segurança são encriptadas. Assim, é necessário ter especial cuidado para garantir que o certificado que foi utilizado para proteger a chave de encriptação da base de dados é efetuado uma cópia de segurança e mantido com a cópia de segurança da base de dados. Se este certificado for perdido, os dados são ilegíveis.
Faça uma cópia de segurança do certificado com a base de dados. Cada cópia de segurança de certificado deve ter dois ficheiros. Ambos os ficheiros devem ser arquivados. Idealmente para segurança, devem ser criadas cópias de segurança separadamente do ficheiro de cópia de segurança da base de dados. Em alternativa, pode considerar a utilização da funcionalidade de gestão extensível de chaves (EKM) para armazenamento e manutenção de chaves que são utilizadas para a Encriptação de Dados Transparente.
Para obter um exemplo de como ativar a Encriptação de Dados Transparente para instâncias de bases de dados MBAM, veja Encriptação de dados transparente (TDE).
Compreender as considerações gerais de segurança
Compreenda os riscos de segurança. O risco mais grave quando utiliza o MBAM é o facto de a respetiva funcionalidade poder ser comprometida por um utilizador não autorizado. Em seguida, este utilizador pode reconfigurar a Encriptação de Unidade BitLocker e obter dados de chave de encriptação bitLocker em clientes MBAM. A perda da funcionalidade MBAM durante um curto período de tempo devido a um ataque denial-of-service geralmente não tem um efeito catastrófico.
Proteja fisicamente os seus computadores. Não há segurança sem segurança física. Um atacante que obtém acesso físico a um servidor MBAM pode potencialmente utilizá-lo para atacar toda a base de cliente. Todos os potenciais ataques físicos têm de ser considerados de alto risco e mitigados adequadamente. Os servidores MBAM devem ser armazenados numa sala de servidor segura com acesso controlado. Proteja estes computadores quando os administradores não estiverem fisicamente presentes ao bloquear o computador ou ao utilizar uma proteção de ecrã.
Aplique as atualizações de segurança mais recentes a todos os computadores.
Utilize palavras-passe fortes ou frases de acesso. Utilize sempre palavras-passe fortes com 15 ou mais carateres para todas as contas de administrador MBAM. Nunca utilize palavras-passe em branco. Para obter mais informações sobre os conceitos de palavra-passe, veja Política de palavras-passe.