MBAM 2.5 安全注意事项

本主题包含以下有关如何保护 Microsoft BitLocker 管理和监视 (MBAM) 的信息：

• 配置 MBAM 以托管 TPM 并存储 OwnerAuth 密码

• 将 MBAM 配置为在锁定后自动解锁 TPM

• 保护到SQL Server的连接

• 创建帐户和组

• 使用 MBAM 日志文件

• 查看 MBAM 数据库 TDE 注意事项

• 了解一般安全注意事项

配置 MBAM 以托管 TPM 并存储 OwnerAuth 密码

注意对于Windows 10版本 1607 或更高版本，只有 Windows 可以拥有 TPM 的所有权。 此外，预配 TPM 时，Windows 不会保留 TPM 所有者密码。 有关更多详细信息，请参阅 TPM 所有者密码 。

根据其配置，受信任的平台模块 (TPM) 将在某些情况下锁定自身 ─ 例如，输入过多不正确的密码 ─ 并且可能会保持锁定一段时间。 在 TPM 锁定期间，BitLocker 无法访问加密密钥以执行解锁或解密操作，这要求用户输入其 BitLocker 恢复密钥以访问操作系统驱动器。 若要重置 TPM 锁定，必须提供 TPM OwnerAuth 密码。

MBAM 可以将 TPM OwnerAuth 密码存储在 MBAM 数据库中（如果它拥有 TPM 或托管密码）。 然后，当必须从 TPM 锁定恢复时，可以在管理和监视网站上轻松访问 OwnerAuth 密码，无需等待锁定自行解决。

在 Windows 8 及更高版本中托管 TPM OwnerAuth

注意对于Windows 10版本 1607 或更高版本，只有 Windows 可以拥有 TPM 的所有权。 在 addiiton 中，预配 TPM 时，Windows 不会保留 TPM 所有者密码。 有关更多详细信息，请参阅 TPM 所有者密码 。

在Windows 8或更高版本中，只要在本地计算机上提供 OwnerAuth，MBAM 就不再必须拥有 TPM 来存储 OwnerAuth 密码。

若要启用 MBAM 进行托管，然后存储 TPM OwnerAuth 密码，必须配置这些组策略设置。

组策略设置	配置
打开 TPM 备份以Active Directory 域服务	已禁用或未配置
配置操作系统可用的 TPM 所有者授权信息级别	委托/无或未配置

这些组策略设置的位置是计算机配置>管理模板>系统>受信任的平台模块服务。

注意 在 MBAM 使用这些设置成功托管 OwnerAuth 后，Windows 会在本地删除它。

在 Windows 7 中托管 TPM OwnerAuth

在 Windows 7 中，MBAM 必须拥有 TPM 才能在 MBAM 数据库中自动托管 TPM OwnerAuth 信息。 如果 MBAM 不拥有 TPM，则必须使用 MBAM Active Directory (AD) 数据导入 cmdlet 将 TPM OwnerAuth 从 Active Directory 复制到 MBAM 数据库。

MBAM Active Directory 数据导入 cmdlet

使用 MBAM Active Directory 数据导入 cmdlet 可以检索 Active Directory 中存储的恢复密钥包和 OwnerAuth 密码。

MBAM 2.5 SP1 服务器附带四个 PowerShell cmdlet，这些 cmdlet 使用存储在 Active Directory 中的卷恢复和 TPM 所有者信息预填充 MBAM 数据库。

对于卷恢复密钥和包：

• Read-ADRecoveryInformation

• Write-MbamRecoveryInformation

对于 TPM 所有者信息：

• Read-ADTpmInformation

• Write-MbamTpmInformation

若要将用户与计算机关联，请执行以下操作：

• Write-MbamComputerUser

Read-AD* cmdlet 从 Active Directory 读取信息。 Write-Mbam* cmdlet 将数据推送到 MBAM 数据库。 有关这些 cmdlet 的详细信息，请参阅 Microsoft Bitlocker 管理和监视 2.5 的 Cmdlet 参考 ，包括语法、参数和示例。

创建用户到计算机关联： MBAM Active Directory 数据导入 cmdlet 从 Active Directory 收集信息并将数据插入 MBAM 数据库。 但是，它们不会将用户关联到卷。 可以下载 Add-ComputerUser.ps1 PowerShell 脚本以创建用户到计算机关联，使用户能够通过管理和监视网站或使用Self-Service门户重新获得对计算机的访问权限以进行恢复。 Add-ComputerUser.ps1脚本从 Active Directory (AD) 中的托 管 属性、AD 中的对象所有者或自定义 CSV 文件收集数据。 然后，该脚本将发现的用户添加到恢复信息管道对象，该对象必须传递给Write-MbamRecoveryInformation才能将数据插入恢复数据库。

从 Microsoft 下载中心下载Add-ComputerUser.ps1 PowerShell 脚本。

可以指定 帮助Add-ComputerUser.ps1 以获取脚本的帮助，包括如何使用 cmdlet 和脚本的示例。

若要在安装 MBAM 服务器后创建用户到计算机关联，请使用 Write-MbamComputerUser PowerShell cmdlet。 与 Add-ComputerUser.ps1 PowerShell 脚本类似，此 cmdlet 允许指定可以使用Self-Service门户获取指定计算机的 TPM OwnerAuth 信息或批量恢复密码的用户。

注意 当该计算机开始向服务器报告时，MBAM 代理将覆盖用户到计算机的关联。

先决条件： Read-AD* cmdlet 只能从 AD 中检索信息，前提是这些信息是作为高度特权的用户帐户（如域管理员）运行，或者在自定义安全组中作为帐户运行，授予对建议) 的信息 (读取访问权限。

BitLocker 驱动器加密操作指南：使用 AD DS 恢复加密卷 提供了有关创建自定义安全组的详细信息， (或多个组) 对 AD 信息进行读取访问。

MBAM 恢复和硬件 Web 服务写入权限： Write-Mbam* cmdlet 接受用于发布恢复或 TPM 信息的 MBAM 恢复和硬件服务的 URL。 通常，只有域计算机服务帐户才能与 MBAM 恢复和硬件服务通信。 在 MBAM 2.5 SP1 中，可以使用名为 DataMigrationAccessGroup 的安全组配置 MBAM 恢复和硬件服务，该组的成员可以绕过域计算机服务帐户检查。 Write-Mbam* cmdlet 必须作为属于此配置组的用户运行。 (或者，可使用 Write-Mbam* cmdlet.) 中的 –Credential 参数指定已配置组中单个用户的凭据

可以通过以下方式之一使用此安全组的名称配置 MBAM 恢复和硬件服务：

• 在 Enable-MbamWebApplication –AgentService Powershell cmdlet 的 -DataMigrationAccessGroup 参数中提供安全组 (或单个) 的名称。

• 通过编辑 inetpub>\Microsoft Bitlocker Management Solution\Recovery 和 Hardware Service\ 文件夹中的<web.config文件，在安装 MBAM 恢复和硬件服务后配置组。

  <add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />
  

  其中 <，groupName> 替换为域和组名称 (或用于允许从 Active Directory 迁移数据的单个用户) 。

• 使用 IIS 管理器中的配置编辑器编辑此 appSetting。

在下面的示例中，该命令作为 ADRecoveryInformation 组和数据迁移用户组的成员运行时，将从 WORKSTATIONS 组织单元中的计算机中提取卷恢复信息， (OU) contoso.com 域中，并使用在 mbam.contoso.com 服务器上运行的 MBAM 恢复和硬件服务将其写入 MBAM。

PS C:\> Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"

Read-AD* cmdlet 接受 Active Directory 托管服务器计算机的名称或 IP 地址，以查询恢复或 TPM 信息。 建议提供计算机对象作为 SearchBase 参数的值驻留在其中的 AD 容器的可分辨名称。 如果计算机存储在多个 OU 中，则 cmdlet 可以接受管道输入，以便为每个容器运行一次。 AD 容器的可分辨名称将类似于 OU=Machines、DC=contoso、DC=com。 执行针对特定容器的搜索可提供以下优势：

• 在查询计算机对象的大型 AD 数据集时，可以降低超时的风险。

• 可以省略包含数据中心服务器或其他可能不需要备份或需要备份的计算机类的 OU。

另一个选项是提供 –Recurse 标志，其中包含或不提供可选的 SearchBase，分别在指定的 SearchBase 或整个域下的所有容器中搜索计算机对象。 使用 -Recurse 标志时，还可以使用 -MaxPageSize 参数来控制服务查询所需的本地和远程内存量。

这些 cmdlet 写入 PsObject 类型的管道对象。 每个 PsObject 实例都包含一个卷恢复密钥或 TPM 所有者字符串，其中包含其关联的计算机名称、时间戳以及将其发布到 MBAM 数据存储所需的其他信息。

Write-Mbam* cmdlet 接受管道中的恢复信息参数值（按属性名称）。 这允许 Write-Mbam* cmdlet 接受 Read-AD* cmdlet (的管道输出，例如，Read-ADRecoveryInformation –Server contoso.com –Recurse |Write-MbamRecoveryInformation –RecoveryServiceEndpoint mbam.contoso.com) 。

Write-Mbam* cmdlet 包括可选参数，这些参数提供容错、详细日志记录和 WhatIf 和 Confirm 首选项的选项。

Write-Mbam* cmdlet 还包括可选时间参数，其值为 DateTime 对象。 此对象包括一个 Kind 属性，该属性可以设置为Local或 UnspecifiedUTC。 从 Active Directory 中获取的数据填充 Time 参数时，时间将转换为 UTC，并自动将此 Kind 属性设置为 UTC。 但是，使用另一个源（如文本文件）填充 Time 参数时，必须将 Kind 属性显式设置为其适当的值。

注意 Read-AD* cmdlet 无法发现表示计算机用户的用户帐户。 以下项需要用户帐户关联：

• 使用Self-Service门户恢复卷密码/包的用户

• 未在安装期间定义的 MBAM 高级支持人员用户安全组中的用户，代表其他用户进行恢复

将 MBAM 配置为在锁定后自动解锁 TPM

可将 MBAM 2.5 SP1 配置为在锁定时自动解锁 TPM。 如果启用了 TPM 锁定自动重置，MBAM 可以检测到用户已锁定，然后从 MBAM 数据库获取 OwnerAuth 密码，以自动解锁用户的 TPM。 仅当使用自助服务门户或管理和监视网站检索该计算机的 OS 恢复密钥时，才可使用 TPM 锁定自动重置。

重要若要启用 TPM 锁定自动重置，必须在服务器端和客户端的组策略中配置此功能。

• 若要在客户端启用 TPM 锁定自动重置，请在计算机>配置管理模板>Windows 组件>MDOP MBAM>客户端管理中配置“配置 TPM 锁定自动重置”的组策略设置。

• 若要在服务器端启用 TPM 锁定自动重置，可以在设置期间在 MBAM 服务器配置向导中检查“启用 TPM 锁定自动重置”。

  还可以通过在启用代理服务 Web 组件时指定“-TPM 锁定自动重置”开关，在 PowerShell 中启用 TPM 锁定自动重置。

用户输入从自助服务门户或管理与监视网站获取的 BitLocker 恢复密钥后，MBAM 代理将确定 TPM 是否已锁定。如果它被锁定，它将尝试从 MBAM 数据库检索计算机的 TPM OwnerAuth。 如果成功检索 TPM OwnerAuth，它将用于解锁 TPM。 解锁 TPM 可使 TPM 完全正常运行，并且在随后从 TPM 锁定重新启动期间，不会强制用户输入恢复密码。

默认禁用 TPM 锁定自动重置。

注意 TPM 锁定自动重置仅在运行 TPM 版本 1.2 的计算机上受支持。 TPM 2.0 提供内置锁定自动重置功能。

恢复审核报告 包含与 TPM 锁定自动重置相关的事件。 如果从 MBAM 客户端发出检索 TPM OwnerAuth 密码的请求，则会记录一个事件以指示恢复。 审核条目将包括以下事件：

条目	值
审核请求源	代理 TPM 解锁
密钥类型	TPM 密码哈希
原因说明	TPM 重置

保护到SQL Server的连接

在 MBAM 中，SQL Server与SQL Server Reporting Services以及管理和监视网站以及Self-Service门户的 Web 服务进行通信。 建议保护与SQL Server的通信。 有关详细信息，请参阅加密连接到SQL Server。

有关保护 MBAM 网站的详细信息，请参阅 规划如何保护 MBAM 网站。

创建帐户和组

管理用户帐户的最佳做法是创建域全局组并向其添加用户帐户。 有关建议的帐户和组的说明，请参阅 规划 MBAM 2.5 组和帐户。

使用 MBAM 日志文件

本部分介绍 MBAM 服务器和 MBAM 客户端日志文件。

MBAM Server 安装程序日志文件

MBAMServerSetup.exe文件在 MBAM 安装期间在用户的 %temp% 文件夹中生成以下日志文件：

• <Microsoft_BitLocker_Administration_and_Monitoring_14 numbers.log>

  记录在 MBAM 设置和 MBAM Server 功能配置期间执行的操作。

• <Microsoft_BitLocker_Administration_and_Monitoring_14_numbers>_0_MBAMServer.msi.log

  记录在安装过程中执行的其他操作。

MBAM Server 配置日志文件

• 应用程序和服务日志/Microsoft Windows/MBAM-Setup

  记录使用 Windows Powershell cmdlet 或 MBAM Server 配置向导配置 MBAM Server 功能时发生的错误。

MBAM 客户端设置日志文件

• MSI<五个随机字符>.log

  记录在 MBAM 客户端安装期间执行的操作。

MBAM-Web 日志文件

• 显示来自 Web 门户和服务的活动。

查看 MBAM 数据库 TDE 注意事项

SQL Server中提供的透明数据加密 (TDE) 功能是托管 MBAM 数据库功能的数据库实例的可选安装。

使用 TDE 可以执行实时的完整数据库级加密。 TDE 是批量加密的最佳选择，以满足法规合规性或公司数据安全标准。 TDE 在文件级别工作，类似于两个 Windows 功能：加密文件系统 (EFS) 和 BitLocker 驱动器加密。 这两个功能还加密硬盘驱动器上的数据。 TDE 不会替换单元级加密、EFS 或 BitLocker。

在数据库上启用 TDE 时，将加密所有备份。 因此，必须特别小心，确保使用数据库备份备份和维护用于保护数据库加密密钥的证书。 如果此证书 (或证书) 丢失，则数据将不可读。

使用数据库备份证书。 每个证书备份应有两个文件。 应存档这两个文件。 理想情况下，为了安全起作用，应将它们与数据库备份文件分开备份。 也可以考虑使用可扩展密钥管理 (EKM) 功能 (请参阅用于存储和维护用于 TDE 的密钥的可扩展密钥管理) 。

有关如何为 MBAM 数据库实例启用 TDE 的示例，请参阅 了解透明数据加密 (TDE) 。

了解一般安全注意事项

了解安全风险。 使用 Microsoft BitLocker 管理和监视时，最严重的风险是，未经授权的用户可能会损害其功能，该用户随后可以在 MBAM 客户端上重新配置 BitLocker 驱动器加密并获取 BitLocker 加密密钥数据。 但是，由于拒绝服务攻击，MBAM 功能在短时间内丢失通常不会产生灾难性影响，例如，丢失电子邮件、网络通信或电源。

以物理方式保护计算机。 没有物理安全性就没有安全性。 获取对 MBAM 服务器的物理访问权限的攻击者可能会使用它来攻击整个客户端群。 所有潜在的物理攻击都必须被视为高风险，并适当地缓解。 MBAM 服务器应存储在具有受控访问权限的安全服务器室中。 当管理员没有物理状态时，请通过将操作系统锁定计算机或使用安全的屏幕保护程序来保护这些计算机。

将最新的安全更新应用到所有计算机。 通过订阅安全技术中心的安全通知服务，随时了解 Windows 操作系统、SQL Server和 MBAM 的新更新。

使用强密码或传递短语。 对于所有 MBAM 管理员帐户，始终使用具有 15 个或更多字符的强密码。 切勿使用空白密码。 有关密码概念的详细信息，请参阅 密码策略。

相关主题

规划部署 MBAM 2.5

有关于 MBAM 的建议吗？

对于 MBAM 问题，请使用 MBAM TechNet 论坛。