MBAM 2.5 安全性考慮
本文包含如何保護 Microsoft MBAM) (BitLocker 管理與監視的相關信息。
設定 MBAM 以委付 TPM 並儲存 OwnerAuth 密碼
注意
針對 Windows 10 版本 1607 或更新版本,只有 Windows 可以取得 TPM 的擁有權。 Windows 不會在布建 TPM 時保留 TPM 擁有者密碼。 如需詳細資訊,請參閱 TPM 擁有者密碼。
視其組態而定,信賴平臺模組 (TPM) 在某些情況下鎖定本身,而且可以保持鎖定狀態。 例如,當使用者輸入太多不正確的密碼時。 在 TPM 鎖定期間,BitLocker 無法存取加密金鑰來解除鎖定或解密磁碟驅動器。 此狀態需要使用者輸入其 BitLocker 修復金鑰,才能存取作業系統磁碟驅動器。 若要重設 TPM 鎖定,您必須提供 TPM OwnerAuth 密碼。
如果 MBAM 擁有 TPM 或存取密碼,則 MBAM 可以將 TPM OwnerAuth 密碼儲存在 MBAM 資料庫中。 當您必須從 TPM 鎖定復原時,您就可以輕鬆地在 Administration and Monitoring 網站上存取 OwnerAuth 密碼,而不需要等待鎖定自行解決。
Windows 8 和更新版本中的 Escrowing TPM OwnerAuth
注意
針對 Windows 10 版本 1607 或更新版本,只有 Windows 可以取得 TPM 的擁有權。 Windows 不會在布建 TPM 時保留 TPM 擁有者密碼。 如需詳細資訊,請參閱 TPM 擁有者密碼。
在 Windows 8 或更新版本中,只要 OwnerAuth 可在本機電腦上使用,MBAM 就不再必須擁有 TPM 來儲存 OwnerAuth 密碼。
若要啟用 MBAM 以委付然後儲存 TPM OwnerAuth 密碼,您必須設定這些組策略設定。
組策略設定 | 設定 |
---|---|
開啟 TPM 備份至 Active Directory 網域服務 | 停用或未設定 |
設定可供操作系統使用的 TPM 擁有者授權資訊層級 | 委派/無或未設定 |
這些組策略設定的位置是 [計算機>設定] [系統管理範>本] [系統>信任的平臺模組服務]。
注意
在 MBAM 使用這些設定成功縮寫 OwnerAuth 之後,Windows 會在本機移除 OwnerAuth。
Windows 7 中的 Escrowing TPM OwnerAuth
在 Windows 7 中,MBAM 必須擁有 TPM,才能在 MBAM 資料庫中自動委付 TPM OwnerAuth 資訊。 如果 MBAM 不擁有 TPM,您必須使用 MBAM Active Directory (AD) 數據匯入 Cmdlet,將 TPM OwnerAuth 從 Active Directory 複製到 MBAM 資料庫。
MBAM Active Directory 數據匯入 Cmdlet
MBAM Active Directory 數據匯入 Cmdlet 可讓您擷取儲存在 Active Directory 中的修復金鑰套件和 OwnerAuth 密碼。
MBAM 2.5 SP1 伺服器隨附四個 PowerShell Cmdlet,以預先填入儲存在 Active Directory 中的磁碟區復原和 TPM 擁有者資訊的 MBAM 資料庫。
針對磁碟區修復金鑰和套件:
Read-ADRecoveryInformation
Write-MbamRecoveryInformation
如需 TPM 擁有者資訊:
Read-ADTpmInformation
Write-MbamTpmInformation
若要將使用者與電腦建立關聯:
- Write-MbamComputerUser
Cmdlet Read-AD*
會從 Active Directory 讀取資訊。 Cmdlet Write-Mbam*
會將數據推送至 MBAM 資料庫。 如需這些 Cmdlet 的詳細資訊,包括語法、參數和範例,請參閱 Microsoft BitLocker Administration and Monitoring 2.5 的 Cmdlet 參考。
建立使用者對計算機關聯: MBAM Active Directory 數據匯入 Cmdlet 會從 Active Directory 收集資訊,並將數據插入 MBAM 資料庫。 不過,它們不會將使用者與磁碟區產生關聯。 您可以下載 Add-ComputerUser.ps1 PowerShell 腳本來建立使用者對計算機關聯,讓使用者透過管理和監視網站或使用 Self-Service 入口網站重新取得電腦的存取權以進行復原。 Add-ComputerUser.ps1 腳本會從 Active Directory 中的 Managed By 屬性 (AD) 、AD 中的物件擁有者或自定義 CSV 檔案收集數據。 然後,腳本會將探索到的使用者新增至復原資訊管線物件,該對象必須傳遞至 Write-MbamRecoveryInformation,才能將數據插入至復原資料庫。
您可以指定 說明 Add-ComputerUser.ps1 以取得腳本的說明,包括如何使用 Cmdlet 和腳本的範例。
若要在安裝 MBAM 伺服器之後建立使用者對電腦關聯,請使用 Write-MbamComputerUser PowerShell Cmdlet。 與 Add-ComputerUser.ps1 PowerShell 腳本類似,此 Cmdlet 可讓您指定可使用 Self-Service 入口網站來取得指定電腦的 TPM OwnerAuth 資訊或磁碟區修復密碼的使用者。
注意
當該電腦開始向伺服器報告時,MBAM 代理程式會覆寫使用者對計算機的關聯。
先決條件:Read-AD*
只有當 Cmdlet 是以高度特殊許可權的使用者帳戶執行,例如網域系統管理員,或在自定義安全組中以帳戶身分執行時,才可以從 AD 擷取資訊, (建議) 。
BitLocker 磁碟驅動器加密作業指南:使用 ADDS 復原加密 磁碟區提供有關建立自定義安全組 (或多個群組的詳細數據,) 具有 AD 資訊的讀取許可權。
MBAM 復原和硬體 Web 服務寫入許可權: Cmdlet Write-Mbam*
會接受用來發佈復原或 TPM 資訊的 MBAM 復原和硬體服務 URL。 一般而言,只有網域計算機服務帳戶可以與 MBAM 復原和硬體服務通訊。 在 MBAM 2.5 SP1 中,您可以使用名為 DataMigrationAccessGroup 的安全組來設定 MBAM 復原和硬體服務。 此群組的成員可以略過網域計算機服務帳戶檢查。 Cmdlet Write-Mbam*
必須以屬於這個已設定群組的使用者身分執行。 (或者,也可以使用 cmdlets.) 中的 -Credential 參數來指定已設定群組中 Write-Mbam*
個別用戶的認證
您可以透過下列其中一種方式,使用此安全組的名稱來設定 MBAM 復原和硬體服務:
在 Enable-MbamWebApplication -AgentService PowerShell Cmdlet 的 -DataMigrationAccessGroup 參數中,提供安全組 (或個別) 的名稱。
安裝 MBAM 復原和硬體服務之後設定群組。 編輯資料夾中的
<inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\
web.config 檔案。<add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />
其中
<groupName>
會取代為網域和組名 (或您用來允許從 Active Directory 移轉數據的個別使用者) 。若要編輯此 appSetting,請使用 IIS 管理員中的組態編輯器。
在下列範例中,當您以ADRecoveryInformation和Data Migration Users 群組的成員身分執行命令時,它會從WORKSTATIONS組織單位中的電腦提取磁碟區復原資訊, (contoso.com 網域中的 OU) 。 然後使用在 mbam.contoso.com 伺服器上執行的 MBAM 復原和硬體服務,將它們寫入 MBAM。
Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"
Read-AD*
Cmdlet 接受 Active Directory 主控伺服器機器的名稱或 IP 位址,以查詢復原或 TPM 資訊。 建議您提供計算機物件所在的AD容器辨別名稱,做為SearchBase參數的值。 如果計算機儲存在數個 OU 上,Cmdlet 可以接受管線輸入,以便針對每個容器執行一次。 AD 容器的辨別名稱看起來類似 OU=Machines,DC=contoso,DC=com
。
當您執行以特定容器為目標的搜尋時,它會提供下列優點:
降低查詢計算機物件的大型 AD 數據集時逾時的風險。
可以省略包含數據中心伺服器的 OU,或可能不需要備份的其他電腦類別。
另一個選項是提供具有或不含選擇性 SearchBase 的 -Recurse 旗標,以分別在指定的 SearchBase 或整個網域下的所有容器中搜尋計算機物件。 當您使用 -Recurse 旗標時,也可以使用 -MaxPageSize 參數來控制服務查詢所需的本機和遠端記憶體數量。
這些 Cmdlet 會寫入至 PsObject 類型的管線物件。 每個 PsObject 實例都包含單一磁碟區修復金鑰或 TPM 擁有者字串,以及其相關聯的電腦名稱、時間戳,以及將它發佈至 MBAM 數據存放區所需的其他資訊。
Write-Mbam*
Cmdlet** 會依屬性名稱接受管線中的復原資訊參數值。 此行為可讓 Write-Mbam*
Cmdlet 接受 Cmdlet 的 Read-AD*
管線輸出。 例如 Read-ADRecoveryInformation -Server contoso.com -Recurse | Write-MbamRecoveryInformation -RecoveryServiceEndpoint mbam.contoso.com
Cmdlet Write-Mbam*
包含選擇性參數,可提供 WhatIf 和 Confirm 的容錯、詳細信息記錄和喜好設定選項。
Cmdlet Write-Mbam*
也包含選用 的 Time 參數,其值為 DateTime 物件。 這個物件包含可以設定為Local
、 UTC
或Unspecified
的 Kind 屬性。 從取自 Active Directory 的數據填入 Time 參數時,時間會轉換成 UTC,而這個 Kind 屬性會自動設定為 UTC
。 不過,使用另一個來源填入 Time 參數時,例如文本檔,您必須明確地將 Kind 屬性設定為其適當的值。
注意
Cmdlet Read-AD*
無法探索代表計算機用戶的用戶帳戶。 下列專案需要使用者帳戶關聯:
使用 Self-Service 入口網站復原磁碟區密碼或套件的使用者。
不在安裝期間定義之 MBAM 進階技術服務人員使用者安全組的使用者,代表其他用戶復原。
設定 MBAM 在鎖定後自動解除鎖定 TPM
您可以將 MBAM 2.5 SP1 設定為在 TPM 已鎖定時自動解除鎖定。如果已啟用 TPM 鎖定自動重設,MBAM 可以偵測到使用者已鎖定,然後從 MBAM 資料庫取得 OwnerAuth 密碼,以自動解除鎖定使用者的 TPM。 只有在使用自助入口網站或 Administration and Monitoring Website 擷取該電腦的 OS 修復密鑰時,才能使用 TPM 鎖定自動重設。
重要
若要啟用 TPM 鎖定自動重設,您必須在伺服器端和用戶端的組策略中設定此功能。
若要在用戶端啟用 TPM 鎖定自動重設,請設定位於電腦>設定系統管理範>本Windows 元件>MDOP MBAM>用戶端管理的元件設定 [設定 TPM 鎖定自動重設]。
若要在伺服器端啟用 TPM 鎖定自動重設,您可以在安裝期間於 MBAM 伺服器設定精靈中核取 [啟用 TPM 鎖定自動重設]。
您也可以在啟用代理程式服務 Web 元件時指定「鎖定自動重設」參數,
-TPM
在 PowerShell 中啟用 TPM 鎖定自動重設。
當使用者輸入從自助入口網站或 Administration and Monitoring Website 取得的 BitLocker 修復金鑰之後,MBAM 代理程式會判斷 TPM 是否已鎖定。如果已鎖定,它會嘗試從 MBAM 資料庫擷取計算機的 TPM OwnerAuth。 如果成功擷取 TPM OwnerAuth,則會使用它來解除鎖定 TPM。 解除鎖定 TPM 可讓 TPM 完全正常運作,而且在後續從 TPM 鎖定重新啟動期間,不會強制使用者輸入修復密碼。
預設會停用 TPM 鎖定自動重設。
注意
只有執行 TPM 1.2 版的計算機才支援 TPM 鎖定自動重設。 TPM 2.0 提供內建的鎖定自動重設功能。
復原稽核報告 包含與 TPM 鎖定自動重設相關的事件。 如果向 MBAM 用戶端提出擷取 TPM OwnerAuth 密碼的要求,則會記錄事件以指出復原。 稽核專案包括下列事件:
項目 | 值 |
---|---|
稽核要求來源 | 代理程式 TPM 解除鎖定 |
索引鍵類型 | TPM 密碼哈希 |
原因描述 | TPM 重設 |
保護與 SQL Server 的連線
在 MBAM 中,SQL Server 會與 SQL Server Reporting Services 以及 Administration and Monitoring 網站和 Self-Service 入口網站的 Web 服務通訊。 建議您保護與 SQL Server 的通訊。 如需詳細資訊,請 參閱加密 SQL Server 的連線。
如需保護 MBAM 網站的詳細資訊,請參閱 規劃如何保護 MBAM 網站。
建立帳戶和群組
管理用戶帳戶的最佳做法是建立網域全域群組,並將用戶帳戶新增至這些群組。 如需建議帳戶和群組的描述,請參閱 規劃 MBAM 2.5 群組和帳戶。
使用 MBAM 記錄檔
本節說明 MBAM 伺服器和 MBAM 用戶端記錄檔。
MBAM 伺服器安裝程式記錄檔
在 MBAM 安裝期間 ,MBAMServerSetup.exe 檔案會在使用者的 %temp% 資料夾中產生下列記錄檔:
Microsoft_BitLocker_Administration_and_Monitoring_<14 numbers>.log
記錄 MBAM 安裝和 MBAM 伺服器功能設定期間的動作。
Microsoft_BitLocker_Administration_and_Monitoring_<14_numbers>_0_MBAMServer.msi.log
記錄安裝期間的其他動作。
MBAM 伺服器組態記錄檔
Applications and Services Logs/Microsoft Windows/MBAM-Setup
當您使用 Windows PowerShell Cmdlet 或 MBAM 伺服器組態精靈來設定 MBAM 伺服器功能時,記錄任何錯誤。
MBAM 用戶端安裝記錄檔
MSI<five random characters>.log
記錄在 MBAM 用戶端安裝期間所採取的動作。
MBAM-Web 記錄檔
- 顯示來自入口網站和服務的活動。
檢閱 MBAM 資料庫 TDE 考慮
SQL Server 中可用的透明數據加密 (TDE) 功能,是裝載 MBAM 資料庫功能之資料庫實例的選擇性安裝。
使用 TDE,您可以執行即時、完整的資料庫層級加密。 TDE 是大量加密的最佳選擇,可符合法規合規性或公司數據安全性標準。 TDE 在檔案層級運作,類似於兩個 Windows 功能:加密文件系統 (EFS) 和 BitLocker 磁碟驅動器加密。 這兩個功能也會加密硬碟上的數據。 TDE 不會取代儲存格層級加密、EFS 或 BitLocker。
在資料庫上啟用 TDE 時,所有備份都會加密。 因此,必須特別小心,以確保用來保護資料庫加密密鑰的憑證會使用資料庫備份進行備份和維護。 如果遺失此憑證,數據將無法讀取。
使用資料庫備份憑證。 每個憑證備份都應該有兩個檔案。 這兩個檔案都應該封存。 在理想情況下,應該將它們與資料庫備份檔分開備份。 或者,您可以考慮使用可延伸密鑰管理 (EKM) 功能來儲存和維護用於 TDE 的金鑰。
如需如何為 MBAM 資料庫實例啟用 TDE 的範例,請參閱 透明數據加密 (TDE) 。
瞭解一般安全性考慮
瞭解安全性風險。 當您使用 MBAM 時,最嚴重的風險是其功能可能會遭到未經授權的用戶入侵。 此使用者接著可以重新設定 BitLocker 磁碟驅動器加密,並在 MBAM 用戶端上取得 BitLocker 加密金鑰數據。 因阻斷服務攻擊而在短時間內遺失 MBAM 功能通常不會產生重大影響。
實際保護您的電腦。 沒有實體安全性就沒有安全性。 取得 MBAM 伺服器實體存取權的攻擊者可能會使用它來攻擊整個用戶端基底。 所有潛在的實體攻擊都必須視為高風險並適當地降低風險。 MBAM 伺服器應該儲存在具有受控制存取權的安全伺服器會議室中。 當系統管理員沒有實際存在時,請保護這些電腦的安全,方法是讓操作系統鎖定計算機,或使用安全的螢幕保護程式。
將最新的安全性更新套用至所有計算機。
使用強密碼或傳遞片語。 針對所有 MBAM 系統管理員帳戶,一律使用具有 15 個或更多字元的強密碼。 永遠不要使用空白密碼。 如需密碼概念的詳細資訊,請參閱 密碼原則。