Процедуры безопасности MBAM 2.5

  • Статья

В этом разделе содержатся следующие сведения о том, как защитить администрирование и мониторинг Microsoft BitLocker (MBAM):

Настройка MBAM для депонирования TPM и хранения паролей OwnerAuth

Примечание Для Windows 10 версии 1607 или более поздней только Windows может быть владельцем доверенного платформенного модуля. Кроме того, Windows не будет хранить пароль владельца доверенного платформенного модуля при подготовке доверенного платформенного модуля. Дополнительные сведения см. в описании пароля владельца доверенного платформенного модуля.

В зависимости от конфигурации доверенный платформенный модуль (TPM) заблокирует себя в определенных ситуациях , например при включении слишком большого количества неправильных паролей , и может оставаться заблокированным в течение определенного периода времени. Во время блокировки доверенного платформенного модуля BitLocker не может получить доступ к ключам шифрования для выполнения операций разблокировки или расшифровки, требуя от пользователя ввести ключ восстановления BitLocker для доступа к диску операционной системы. Чтобы сбросить блокировку доверенного платформенного модуля, необходимо указать пароль TPM OwnerAuth.

MBAM может хранить пароль TPM OwnerAuth в базе данных MBAM, если он владеет TPM или если он сохраняет пароль. Пароли OwnerAuth затем легко доступны на веб-сайте администрирования и мониторинга, когда необходимо восстановиться после блокировки доверенного платформенного модуля, что устраняет необходимость ждать, пока блокировка будет устранена самостоятельно.

Escrowing TPM OwnerAuth в Windows 8 и более поздних версиях

Примечание Для Windows 10 версии 1607 или более поздней только Windows может быть владельцем доверенного платформенного модуля. В addiiton Windows не будет хранить пароль владельца доверенного платформенного модуля при подготовке доверенного платформенного модуля. Дополнительные сведения см. в описании пароля владельца доверенного платформенного модуля.

В Windows 8 или более поздней версии MBAM больше не должен быть владельцем доверенного платформенного модуля для хранения пароля OwnerAuth, если ownerAuth доступен на локальном компьютере.

Чтобы разрешить MBAM депонировать, а затем хранить пароли TPM OwnerAuth, необходимо настроить эти групповая политика параметры.

групповая политика параметра Конфигурация

Включение резервного копирования доверенного платформенного модуля доменные службы Active Directory

Отключено или не настроено

Настройка уровня сведений об авторизации владельца доверенного платформенного модуля, доступных для операционной системы

Делегированные, нет или не настроены

Расположение этих параметров групповая политика конфигурации компьютера — службы>>> доверенныхплатформенных модулей конфигурации компьютеров.

Примечание Windows удаляет OwnerAuth локально после успешного депонирования MBAM с этими параметрами.

Escrowing TPM OwnerAuth в Windows 7

В Windows 7 MBAM должен быть владельцем доверенного платформенного модуля для автоматического депонирования данных TPM OwnerAuth в базе данных MBAM. Если MBAM не владеет TPM, необходимо использовать командлеты импорта данных Active Directory (AD) MBAM для копирования TPM OwnerAuth из Active Directory в базу данных MBAM.

Командлеты импорта данных Active Directory MBAM

Командлеты импорта данных Active Directory MBAM позволяют получать пакеты ключей восстановления и пароли OwnerAuth, хранящиеся в Active Directory.

Сервер MBAM 2.5 с пакетом обновления 1 (SP1) поставляется с четырьмя командлетами PowerShell, которые предварительно заполняют базы данных MBAM сведениями о восстановлении томов и владельцем TPM, хранящимися в Active Directory.

Для ключей и пакетов восстановления томов:

  • Read-ADRecoveryInformation

  • Write-MbamRecoveryInformation

Сведения о владельце TPM:

  • Read-ADTpmInformation

  • Write-MbamTpmInformation

Для связывания пользователей с компьютерами:

  • Write-MbamComputerUser

Командлеты Read-AD* считывает сведения из Active Directory. Командлеты Write-Mbam* передают данные в базы данных MBAM. Подробные сведения об этих командлетах, включая синтаксис, параметры и примеры, см. в справочнике по командлетам microsoft Bitlocker Administration and Monitoring 2.5 .

Создайте связи между пользователями и компьютерами: Командлеты импорта данных Active Directory MBAM собирают сведения из Active Directory и вставляют их в базу данных MBAM. Однако они не связывают пользователей с томами. Вы можете скачать Add-ComputerUser.ps1 PowerShell для создания связей между пользователями и компьютерами, которые позволяют пользователям восстановить доступ к компьютеру через веб-сайт администрирования и мониторинга или с помощью портала Self-Service для восстановления. Скрипт Add-ComputerUser.ps1 собирает данные из атрибута Managed By в Active Directory (AD), владельца объекта в AD или из пользовательского CSV-файла. Затем скрипт добавляет обнаруженных пользователей в объект конвейера сведений о восстановлении, который необходимо передать в Write-MbamRecoveryInformation для вставки данных в базу данных восстановления.

Скачайте Add-ComputerUser.ps1 PowerShell из Центра загрузки Майкрософт.

Вы можете указать Add-ComputerUser.ps1 для получения справки по скрипту, включая примеры использования командлетов и скрипта.

Чтобы создать связи между пользователями и компьютерами после установки сервера MBAM, используйте Write-MbamComputerUser Командлет PowerShell. Как и в Add-ComputerUser.ps1 PowerShell, этот командлет позволяет указать пользователей, которые могут использовать портал Self-Service для получения сведений tPM OwnerAuth или паролей восстановления тома для указанного компьютера.

Примечание Агент MBAM переопределит связи между пользователями и компьютерами, когда этот компьютер начнет создавать отчеты на сервере.

Необходимые условия: Командлеты Read-AD* могут получать сведения из AD только в том случае, если они выполняются как учетная запись пользователя с высоким уровнем привилегий, например администратор домена, или запускаются от имени учетной записи в пользовательской группе безопасности, которым предоставлен доступ на чтение к информации (рекомендуется).

Руководство по операциям шифрования дисков BitLocker. Восстановление зашифрованных томов с помощью AD DS содержит сведения о создании настраиваемой группы безопасности (или нескольких групп) с доступом на чтение к информации AD.

Разрешения на запись веб-службы восстановления MBAM и аппаратной веб-службы: Командлеты Write-Mbam* принимают URL-адрес службы восстановления и оборудования MBAM, используемой для публикации сведений о восстановлении или TPM. Как правило, только учетная запись службы компьютеров домена может взаимодействовать со службой восстановления и оборудования MBAM. В MBAM 2.5 с пакетом обновления 1 (SP1) можно настроить службу восстановления и оборудования MBAM с помощью группы безопасности DataMigrationAccessGroup, членам которой разрешено обходить проверку учетной записи службы компьютеров домена. Командлеты Write-Mbam* должны выполняться от имени пользователя, принадлежащего к этой настроенной группе. (Кроме того, учетные данные отдельного пользователя в настроенной группе можно указать с помощью параметра –Credential в командлетах Write-Mbam*.)

Службу восстановления и оборудования MBAM можно настроить с помощью имени этой группы безопасности одним из следующих способов:

  • Укажите имя группы безопасности (или отдельного пользователя) в параметре -DataMigrationAccessGroup командлета Enable-MbamWebApplication -AgentService Powershell.

  • Настройте группу после установки службы восстановления и оборудования MBAM <, отредактировать файл web.config в папке inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\.

    <add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />

    где <groupName> заменяется доменом и именем группы (или отдельным пользователем), которые будут использоваться для разрешения переноса данных из Active Directory.

  • Измените эту конфигурацию с помощью редактора конфигурации в диспетчере IIS.

В следующем примере команда при выполнении от имени члена группы ADRecoveryInformation и группы пользователей миграции данных извлекет сведения о восстановлении томов с компьютеров в подразделении WORKSTATIONS в домене contoso.com и записывает их в MBAM с помощью службы восстановления и оборудования MBAM, работающей на сервере mbam.contoso.com.

PS C:\> Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"

Командлеты Read-AD* принимают имя или IP-адрес компьютера сервера размещения Active Directory для запроса сведений о восстановлении или TPM. Рекомендуется указать различающееся имя контейнеров AD, в которых находится объект компьютера, в качестве значения параметра SearchBase. Если компьютеры хранятся в нескольких подразделениях, командлеты могут принимать входные данные конвейера для выполнения один раз для каждого контейнера. Различающееся имя контейнера AD будет выглядеть примерно так: OU=Machines,DC=contoso,DC=com. Выполнение поиска, предназначенного для определенных контейнеров, обеспечивает следующие преимущества:

  • Снижает риск времени ожидания при запросе большого набора данных AD для объектов-компьютеров.

  • Может опустить подразделения, содержащие серверы центра обработки данных или другие классы компьютеров, для которых резервное копирование может быть не требуется или не требуется.

Кроме того, можно указать флаг –Recurse с необязательной базой поиска SearchBase или без нее для поиска объектов-компьютеров во всех контейнерах в указанной базе поиска или во всем домене соответственно. При использовании флага -Recurse можно также использовать параметр -MaxPageSize для управления объемом локальной и удаленной памяти, необходимой для обслуживания запроса.

Эти командлеты записывают данные в объекты конвейера типа PsObject. Каждый экземпляр PsObject содержит один ключ восстановления тома или строку владельца TPM со связанным именем компьютера, меткой времени и другими сведениями, необходимыми для его публикации в хранилище данных MBAM.

Командлеты Write-Mbam* принимают значения параметров сведений о восстановлении из конвейера по имени свойства. Это позволяет командлетам Write-Mbam* принимать выходные данные конвейера командлетов Read-AD* (например, Read-ADRecoveryInformation –Server contoso.com –Recurse | Write-MbamRecoveryInformation –RecoveryServiceEndpoint mbam.contoso.com).

Командлеты Write-Mbam* включают необязательные параметры, которые предоставляют параметры отказоустойчивости, подробного ведения журнала и настройки для WhatIf и Confirm.

Командлеты Write-Mbam* также включают необязательный параметр Time, значением которого является объект DateTime. Этот объект содержит атрибут Kind , который может быть задано как Local, UTCили Unspecified. При заполнении параметра Time из данных, взятых из Active Directory, время преобразуется в формат UTC и этот атрибут Kind автоматически устанавливается в значение UTC. Однако при заполнении параметра Time с помощью другого источника, например текстового файла, необходимо явно задать для атрибута Kind соответствующее значение.

Примечание Командлеты Read-AD* не могут обнаруживать учетные записи пользователей, которые представляют пользователей компьютера. Сопоставления учетных записей пользователей необходимы для следующих действий:

  • Пользователи для восстановления паролей и пакетов томов с помощью портала Self-Service

  • Пользователи, не включаемые в группу безопасности "Расширенные пользователи службы технической поддержки MBAM", как определено во время установки, восстанавливаются от имени других пользователей.

Настройка MBAM для автоматической разблокировки доверенного платформенного модуля после блокировки

Вы можете настроить MBAM 2.5 с пакетом обновления 1 (SP1) для автоматической разблокировки доверенного платформенного модуля в случае блокировки. Если включен автоматический сброс блокировки TPM, MBAM может обнаружить, что пользователь заблокирован, а затем получить пароль OwnerAuth из базы данных MBAM, чтобы автоматически разблокировать TPM для пользователя. Автоматический сброс блокировки TPM доступен только в том случае, если ключ восстановления ОС для этого компьютера был получен с помощью портала самообслуживания или веб-сайта администрирования и мониторинга.

Важно Чтобы включить автоматический сброс блокировки TPM, необходимо настроить эту функцию как на стороне сервера, так и групповая политика на стороне клиента.

  • Чтобы включить автоматический сброс блокировки TPM на стороне клиента, настройте параметр групповая политика "Настройка автоматического сброса блокировки TPM">, расположенный в разделе "Администрирование шаблонов конфигурации компьютеров" windows Components>>MDOP MBAM>Client Management.

  • Чтобы включить автоматический сброс блокировки TPM на стороне сервера, можно установить флажок "Включить автоматический сброс блокировки TPM" в мастере настройки сервера MBAM во время установки.

    Вы также можете включить автоматический сброс блокировки TPM в PowerShell, указав параметр автоматического сброса блокировки TPM при включении веб-компонента службы агента.

После того как пользователь введет ключ восстановления BitLocker, полученный на портале самообслуживания или на веб-сайте администрирования и мониторинга, агент MBAM определит, заблокирован ли TPM. Если он заблокирован, он попытается получить TPM OwnerAuth для компьютера из базы данных MBAM. Если файл OwnerAuth доверенного платформенного модуля успешно получен, он будет использоваться для разблокировки доверенного платформенного модуля. Разблокировка доверенного платформенного модуля делает доверенный платформенный модуль полностью работоспособным, и пользователь не будет принудительно вводить пароль восстановления во время последующих перезагрузки из блокировки доверенного платформенного модуля.

Автоматический сброс блокировки TPM по умолчанию отключен.

Примечание Автоматический сброс блокировки TPM поддерживается только на компьютерах под управлением TPM версии 1.2. TPM 2.0 предоставляет встроенные функции автоматического сброса блокировки.

Отчет аудита восстановления содержит события, связанные с автоматическим сбросом блокировки TPM. Если от клиента MBAM выполняется запрос на получение пароля TPM OwnerAuth, регистрируется событие, указывающее на восстановление. Записи аудита будут содержать следующие события:

Запись Значение

Источник запроса аудита

Разблокировка доверенного платформенного модуля агента

Тип ключа

Хэш пароля доверенного платформенного модуля

Описание причины

Сброс доверенного платформенного модуля

Безопасные подключения к SQL Server

В MBAM SQL Server взаимодействует с SQL Server Reporting Services веб-службами для веб-сайта администрирования и мониторинга и Self-Service портала. Мы рекомендуем защитить обмен данными с SQL Server. Дополнительные сведения см. в разделе "Шифрование подключений для SQL Server".

Дополнительные сведения о защите веб-сайтов MBAM см. в статье "Планирование защиты веб-сайтов MBAM".

Создание учетных записей и групп

Для управления учетными записями пользователей рекомендуется создавать глобальные группы доменов и добавлять в них учетные записи пользователей. Описание рекомендуемых учетных записей и групп см. в разделе "Планирование групп и учетных записей MBAM 2.5".

Использование файлов журналов MBAM

В этом разделе описываются файлы журналов сервера MBAM и клиента MBAM.

Файлы журналов установки сервера MBAM

Файл MBAMServerSetup.exe создает следующие файлы журналов в папке пользователя %temp% во время установки MBAM:

  • <Microsoft_BitLocker_Administration_and_Monitoring_14 numbers.log>

    Регистрирует действия, выполненные во время установки MBAM и конфигурации компонентов сервера MBAM.

  • <Microsoft_BitLocker_Administration_and_Monitoring_14_numbers>_0_MBAMServer.msi.log

    Регистрирует дополнительные действия, выполняемые во время установки.

Файлы журналов конфигурации сервера MBAM

  • Журналы приложений и служб/Microsoft Windows/MBAM-Setup

    Регистрирует ошибки, которые возникают при использовании командлетов Windows PowerShell или мастера настройки сервера MBAM для настройки функций сервера MBAM.

Файлы журналов установки клиента MBAM

  • MSI<five random characters.log>

    Регистрирует действия, выполненные во время установки клиента MBAM.

Файлы журналов MBAM-Web

  • Отображает действия с веб-порталов и служб.

Ознакомьтесь с рекомендациями по TDE базы данных MBAM

Функция прозрачного шифрования данных (TDE), доступная в SQL Server, является необязательной установкой для экземпляров базы данных, на которых будут размещены функции базы данных MBAM.

С помощью TDE можно выполнять шифрование на уровне базы данных в режиме реального времени. Прозрачное шифрование данных является оптимальным выбором для массового шифрования в соответствии с нормативным соответствием или корпоративными стандартами безопасности данных. Прозрачное шифрование данных работает на уровне файла, аналогичном двум функциям Windows: шифруемой файловой системе (EFS) и шифрованию диска BitLocker. Обе функции также шифрует данные на жестком диске. TDE не заменяет шифрование на уровне ячеек, EFS или BitLocker.

Если в базе данных включенО прозрачное шифрование данных, все резервные копии шифруются. Таким образом, необходимо обеспечить резервное копирование и обслуживание сертификата, который использовался для защиты ключа шифрования базы данных. Если этот сертификат (или сертификаты) будет потерян, данные будут нечитаемыми.

Создайте резервную копию сертификата с базой данных. Каждая резервная копия сертификата должна содержать два файла. Оба этих файла должны быть архивироваться. В идеале для обеспечения безопасности резервное копирование должно выполняться отдельно от файла резервной копии базы данных. Вы также можете использовать функцию расширенного управления ключами (EKM) (см. раздел "Расширенное управление ключами") для хранения и обслуживания ключей, используемых для TDE.

Пример включения TDE для экземпляров базы данных MBAM см. в разделе "Основные сведения о прозрачном шифровании данных (TDE)".

Общие рекомендации по безопасности

Общие сведения о рисках безопасности. Самый серьезный риск при использовании администрирования и мониторинга Microsoft BitLocker — это то, что его функциональность может быть скомпрометирована неавторизованными пользователями, которые затем могут перенастроить шифрование диска BitLocker и получить данные ключа шифрования BitLocker на клиентах MBAM. Однако потеря функциональности MBAM в течение короткого периода времени из-за атаки типа "отказ в обслуживании", как правило, не оказывает катастрофического влияния, в отличие от, например, потери электронной почты, сетевых подключений или питания.

Физическая защита компьютеров. Безопасность отсутствует без физической безопасности. Злоумышленник, который получает физический доступ к серверу MBAM, может использовать его для атаки на всю клиентскую базу. Все потенциальные физические атаки должны считаться высоким риском и соответствующим образом устранены. Серверы MBAM должны храниться в защищенной комнате сервера с контролируемым доступом. Защитите эти компьютеры, если администраторы физически не присутствуют, заблокируйте компьютер с помощью операционной системы или с помощью защищенной средства сохранения экрана.

Примените последние обновления для системы безопасности на всех компьютерах. Оставайтесь в курсе новых обновлений для операционных систем Windows, SQL Server и MBAM, выполнив подписку на службу уведомлений системы безопасности в Центре безопасности TechCenter.

Используйте надежные пароли или парольные фразы. Всегда используйте надежные пароли с 15 или более символами для всех учетных записей администратора MBAM. Никогда не используйте пустые пароли. Дополнительные сведения о концепциях паролей см. в разделе "Политика паролей".

Планирование развертывания MBAM 2.5

Есть предложение по MBAM?

Для решения проблем MBAM используйте форум TechNet MBAM.