MBAM 2.5 安全性考量
本主題包含下列有關如何保護 Microsoft BitLocker Administration and Monitoring (MBAM) 的資訊:
設定 MBAM 以委付 TPM 並儲存 OwnerAuth 密碼
注意針對 Windows 10 1607 版或更新版本,只有 Windows 可以取得 TPM 的擁有權。 此外,布建 TPM 時,Windows 將不會保留 TPM 擁有者密碼。 如需詳細資訊,請參閱 TPM 擁有者密碼 。
視其設定而定,信賴平臺模組 (TPM) 在某些情況下會自行鎖定 ─ 例如輸入太多不正確的密碼時 ─,而且可能會保持鎖定一段時間。 在 TPM 鎖定期間,BitLocker 無法存取加密金鑰來執行解除鎖定或解密作業,要求使用者輸入其 BitLocker 修復金鑰以存取作業系統磁片磁碟機。 若要重設 TPM 鎖定,您必須提供 TPM OwnerAuth 密碼。
如果 MBAM 擁有 TPM 或存取密碼,則 MBAM 可以將 TPM OwnerAuth 密碼儲存在 MBAM 資料庫中。 當您必須從 TPM 鎖定復原時,您就可以輕鬆地在 Administration and Monitoring 網站上存取 OwnerAuth 密碼,而不需要等待鎖定自行解決。
Windows 8和更新版本中的 Escrowing TPM OwnerAuth
注意針對 Windows 10 1607 版或更新版本,只有 Windows 可以取得 TPM 的擁有權。 在 addiiton 中,Windows 在布建 TPM 時不會保留 TPM 擁有者密碼。 如需詳細資訊,請參閱 TPM 擁有者密碼 。
在Windows 8或更新版本中,只要 OwnerAuth 可在本機電腦上使用,MBAM 就不再必須擁有 TPM 來儲存 OwnerAuth 密碼。
若要啟用 MBAM 以委付然後儲存 TPM OwnerAuth 密碼,您必須設定這些群組原則設定。
| 群組原則設定 | 設定 |
|---|---|
開啟 TPM 備份以Active Directory 網域服務 |
停用或未設定 |
設定可供作業系統使用的 TPM 擁有者授權資訊層級 |
委派/無或未設定 |
這些群組原則設定的位置是[電腦> 設定] [系統管理模> 板] [系統>信任的平臺模組服務]。
注意 在 MBAM 使用這些設定成功縮寫 OwnerAuth 之後,Windows 會在本機移除 OwnerAuth。
Windows 7 中的 Escrowing TPM OwnerAuth
在 Windows 7 中,MBAM 必須擁有 TPM,才能在 MBAM 資料庫中自動委付 TPM OwnerAuth 資訊。 如果 MBAM 不擁有 TPM,您必須使用 MBAM Active Directory (AD) 資料匯入 Cmdlet,將 TPM OwnerAuth 從 Active Directory 複製到 MBAM 資料庫。
MBAM Active Directory 資料匯入 Cmdlet
MBAM Active Directory 資料匯入 Cmdlet 可讓您擷取儲存在 Active Directory 中的修復金鑰套件和 OwnerAuth 密碼。
MBAM 2.5 SP1 伺服器隨附四個 PowerShell Cmdlet,這些 Cmdlet 會在 MBAM 資料庫中預先填入儲存在 Active Directory 中的磁片區復原和 TPM 擁有者資訊。
針對磁片區復原金鑰和套件:
Read-ADRecoveryInformation
Write-MbamRecoveryInformation
如需 TPM 擁有者資訊:
Read-ADTpmInformation
Write-MbamTpmInformation
若要將使用者與電腦建立關聯:
- Write-MbamComputerUser
Read-AD* Cmdlet 會從 Active Directory 讀取資訊。 Write-Mbam* Cmdlet 會將資料推送至 MBAM 資料庫。 如需這些 Cmdlet 的詳細資訊,包括語法、參數和範例,請參閱 Microsoft Bitlocker Administration and Monitoring 2.5 的 Cmdlet 參考 。
建立使用者對電腦關聯: MBAM Active Directory 資料匯入 Cmdlet 會從 Active Directory 收集資訊,並將資料插入 MBAM 資料庫。 不過,它們不會將使用者與磁片區產生關聯。 您可以下載Add-ComputerUser.ps1 PowerShell 腳本來建立使用者對機器關聯,讓使用者透過管理和監視網站或使用Self-Service入口網站重新取得電腦的存取權以進行復原。 Add-ComputerUser.ps1腳本會從 Active Directory 中的 Managed By 屬性 (AD) 、AD 中的物件擁有者或自訂 CSV 檔案收集資料。 然後,腳本會將探索到的使用者新增至復原資訊管線物件,該物件必須傳遞至Write-MbamRecoveryInformation,才能將資料插入至復原資料庫。
從 Microsoft 下載中心下載Add-ComputerUser.ps1 PowerShell 腳本。
您可以指定 說明Add-ComputerUser.ps1 以取得腳本的說明,包括如何使用 Cmdlet 和腳本的範例。
若要在安裝 MBAM 伺服器之後建立使用者對電腦關聯,請使用 Write-MbamComputerUser PowerShell Cmdlet。 與 Add-ComputerUser.ps1 PowerShell 腳本類似,此 Cmdlet 可讓您指定可使用 Self-Service 入口網站來取得指定電腦的 TPM OwnerAuth 資訊或磁片區修復密碼的使用者。
注意 當該電腦開始向伺服器報告時,MBAM 代理程式會覆寫使用者對電腦的關聯。
先決條件: 只有當 Read-AD* Cmdlet 是以高許可權的使用者帳戶執行,例如網域系統管理員,或是以自訂安全性群組中的帳戶執行時,才能從 AD 擷取資訊, (建議) 。
BitLocker 磁片磁碟機加密作業指南:使用 AD DS 復原加密 磁片區提供建立自訂安全性群組 (或多個群組的詳細資料,) AD 資訊的讀取權限。
MBAM 復原和硬體 Web 服務寫入權限: Write-Mbam* Cmdlet 接受用來發佈復原或 TPM 資訊的 MBAM 復原和硬體服務 URL。 一般而言,只有網域電腦服務帳戶可以與 MBAM 復原和硬體服務通訊。 在 MBAM 2.5 SP1 中,您可以使用名為 DataMigrationAccessGroup 的安全性群組來設定 MBAM 復原和硬體服務,其成員可以略過網域電腦服務帳戶檢查。 Write-Mbam* Cmdlet 必須以屬於這個已設定群組的使用者身分執行。 (或者,也可以使用 Write-Mbam* Cmdlets.) 中的 –Credential 參數來指定已設定群組中個別使用者的認證
您可以透過下列其中一種方式,使用此安全性群組的名稱來設定 MBAM 復原和硬體服務:
在 Enable-MbamWebApplication –AgentService Powershell Cmdlet 的 -DataMigrationAccessGroup 參數中,提供安全性群組 (或個別) 的名稱。
編輯 inetpub > \Microsoft Bitlocker Management Solution\Recovery and Hardware Service\ 資料夾中的 web.config 檔案,以在 < 安裝 MBAM 復原和硬體服務之後設定群組。
<add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />其中 < groupName > 會取代為網域,而組名 (或個別使用者) ,將用來允許從 Active Directory 移轉資料。
使用 IIS 管理員中的組態編輯器來編輯此 appSetting。
在下列範例中,當以 ADRecoveryInformation 群組和資料移轉使用者群組的成員身分執行命令時,會從 WORKSTATIONS 組織單位中的電腦提取磁片區復原資訊, (contoso.com 網域中的 OU) ,並使用在 mbam.contoso.com 伺服器上執行的 MBAM 復原和硬體服務將它們寫入 MBAM。
PS C:\> Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"
Read-AD* Cmdlet 會 接受 Active Directory 主控伺服器機器的名稱或 IP 位址,以查詢復原或 TPM 資訊。 建議您提供電腦物件所在的 AD 容器辨別名稱,做為 SearchBase 參數的值。 如果電腦儲存在數個 OU 上,Cmdlet 可以接受管線輸入,以便針對每個容器執行一次。 AD 容器的辨別名稱看起來會類似 OU=Machines,DC=contoso,DC=com。 執行以特定容器為目標的搜尋可提供下列優點:
降低查詢電腦物件的大型 AD 資料集時逾時的風險。
可以省略包含資料中心伺服器的 OU,或可能不需要備份的其他電腦類別。
另一個選項是提供 –Recurse 旗標,無論是否具有選擇性的 SearchBase,分別在指定的 SearchBase 或整個網域下的所有容器中搜尋電腦物件。 當您使用 -Recurse 旗標時,也可以使用 -MaxPageSize 參數來控制服務查詢所需的本機和遠端記憶體數量。
這些 Cmdlet 會寫入至 PsObject 類型的管線物件。 每個 PsObject 實例都包含單一磁片區修復金鑰或 TPM 擁有者字串,以及其相關聯的電腦名稱稱、時間戳記,以及將它發佈至 MBAM 資料存放區所需的其他資訊。
Write-Mbam* Cmdlet 會 依屬性名稱接受管線中的復原資訊參數值。 這可讓 Write-Mbam* Cmdlet 接受 Read-AD* Cmdlet 的管線輸出 (例如,Read-ADRecoveryInformation –Server contoso.com –Recurse |Write-MbamRecoveryInformation –RecoveryServiceEndpoint mbam.contoso.com) 。
Write-Mbam* Cmdlet包含選擇性參數,可提供容錯選項、詳細資訊記錄,以及 WhatIf 和 Confirm 的喜好設定。
Write-Mbam* Cmdlet也包含選用的 Time參數,其值為DateTime物件。 這個物件包含可以設定為 Local 、 UTC 或 Unspecified的 Kind屬性。 從取自 Active Directory 的資料填入 Time 參數時,時間會轉換成 UTC,而這個 Kind 屬性會自動設定為 UTC 。 不過,使用另一個來源填入 Time 參數時,例如文字檔,您必須明確地將 Kind 屬性設定為其適當的值。
注意 Read-AD* Cmdlet 無法探索代表電腦使用者的使用者帳戶。 下列專案需要使用者帳戶關聯:
使用 Self-Service 入口網站復原磁片區密碼/套件的使用者
未在安裝期間定義之 MBAM 進階技術服務人員使用者安全性群組中的使用者,代表其他使用者復原
設定 MBAM 在鎖定後自動解除鎖定 TPM
您可以將 MBAM 2.5 SP1 設定為在鎖定時自動解除鎖定 TPM。 如果已啟用 TPM 鎖定自動重設,MBAM 可以偵測到使用者已鎖定,然後從 MBAM 資料庫取得 OwnerAuth 密碼,以自動解除鎖定使用者的 TPM。 只有在使用自助入口網站或 Administration and Monitoring Website 擷取該電腦的 OS 修復金鑰時,才能使用 TPM 鎖定自動重設。
重要若要啟用 TPM 鎖定自動重設,您必須在伺服器端和用戶端的群組原則中設定此功能。
若要在用戶端啟用 TPM 鎖定自動重設,請設定位於電腦> 設定系統管理模> 板Windows 元件>MDOP MBAM>用戶端管理的 [設定 TPM 鎖定自動重設] 群組原則設定。
若要在伺服器端啟用 TPM 鎖定自動重設,您可以在安裝期間于 MBAM 伺服器組態精靈中核取 [啟用 TPM 鎖定自動重設]。
您也可以在啟用代理程式服務 Web 元件時指定 「-TPM 鎖定自動重設」 參數,在 PowerShell 中啟用 TPM 鎖定自動重設。
當使用者輸入從自助入口網站或 Administration and Monitoring Website 取得的 BitLocker 修復金鑰之後,MBAM 代理程式會判斷 TPM 是否已鎖定。如果已鎖定,它會嘗試從 MBAM 資料庫擷取電腦的 TPM OwnerAuth。 如果成功擷取 TPM OwnerAuth,則會使用它來解除鎖定 TPM。 解除鎖定 TPM 可讓 TPM 完全正常運作,而且在後續從 TPM 鎖定重新開機期間,不會強制使用者輸入修復密碼。
預設會停用 TPM 鎖定自動重設。
注意 只有執行 TPM 1.2 版的電腦才支援 TPM 鎖定自動重設。 TPM 2.0 提供內建的鎖定自動重設功能。
復原稽核報告 包含與 TPM 鎖定自動重設相關的事件。 如果向 MBAM 用戶端提出擷取 TPM OwnerAuth 密碼的要求,則會記錄事件以指出復原。 稽核專案將包含下列事件:
| 項目 | 值 |
|---|---|
稽核要求來源 |
代理程式 TPM 解除鎖定 |
索引鍵類型 |
TPM 密碼雜湊 |
原因描述 |
TPM 重設 |
保護對 SQL Server 的連線
在 MBAM 中,SQL Server會與 SQL Server Reporting Services 以及 Administration and Monitoring Website 和 Self-Service Portal 的 Web 服務通訊。 建議您保護與SQL Server的通訊。 如需詳細資訊,請參閱加密連線至 SQL Server。
如需保護 MBAM 網站的詳細資訊,請參閱 規劃如何保護 MBAM 網站。
建立帳戶和群組
管理使用者帳戶的最佳做法是建立網域全域群組,並將使用者帳戶新增至這些群組。 如需建議帳戶和群組的描述,請參閱 規劃 MBAM 2.5 群組和帳戶。
使用 MBAM 記錄檔
本節說明 MBAM 伺服器和 MBAM 用戶端記錄檔。
MBAM 伺服器安裝程式記錄檔
在 MBAM 安裝期間 ,MBAMServerSetup.exe 檔案會在使用者的 %temp% 資料夾中產生下列記錄檔:
<Microsoft_BitLocker_Administration_and_Monitoring_14 numbers.log >
記錄在 MBAM 安裝和 MBAM 伺服器功能設定期間所採取的動作。
<Microsoft_BitLocker_Administration_and_Monitoring_14_numbers >_0_MBAMServer.msi.log
記錄安裝期間所採取的其他動作。
MBAM 伺服器組態記錄檔
應用程式和服務記錄/Microsoft Windows/MBAM-Setup
記錄當您使用 Windows Powershell Cmdlet 或 MBAM 伺服器組態精靈來設定 MBAM 伺服器功能時所發生的錯誤。
MBAM 用戶端安裝程式記錄檔
MSI < 五個隨機字元 > 。log
記錄在 MBAM 用戶端安裝期間所採取的動作。
MBAM-Web 記錄檔
- 顯示來自入口網站和服務的活動。
檢閱 MBAM 資料庫 TDE 考慮
SQL Server中提供的透明資料加密 (TDE) 功能,是裝載 MBAM 資料庫功能之資料庫實例的選擇性安裝。
使用 TDE,您可以執行即時、完整的資料庫層級加密。 TDE 是大量加密的最佳選擇,可符合法規合規性或公司資料安全性標準。 TDE 在檔案層級運作,類似于兩個 Windows 功能:加密檔案系統 (EFS) 和 BitLocker 磁片磁碟機加密。 這兩個功能也會加密硬碟上的資料。 TDE 不會取代儲存格層級加密、EFS 或 BitLocker。
在資料庫上啟用 TDE 時,所有備份都會加密。 因此,必須特別小心,以確保用來保護資料庫加密金鑰的憑證會使用資料庫備份進行備份和維護。 如果遺失此憑證 (或憑證) ,資料將無法讀取。
使用資料庫備份憑證。 每個憑證備份都應該有兩個檔案。 這兩個檔案都應該封存。 在理想情況下,應該將它們與資料庫備份檔案分開備份。 您也可以考慮使用可延伸金鑰管理 (EKM) 功能 (請參閱可延伸金鑰管理) ,以儲存和維護用於 TDE 的金鑰。
如需如何為 MBAM 資料庫實例啟用 TDE 的範例,請參閱 瞭解透明資料加密 (TDE) 。
瞭解一般安全性考慮
瞭解安全性風險。 當您使用 Microsoft BitLocker Administration and Monitoring 時,最嚴重的風險是其功能可能會遭到未經授權的使用者入侵,而該使用者接著可以在 MBAM 用戶端上重新設定 BitLocker 磁片磁碟機加密並取得 BitLocker 加密金鑰資料。 不過,由於阻斷服務攻擊,在短時間內遺失 MBAM 功能通常不會造成重大影響,不像例如遺失電子郵件或網路通訊或電源。
實際保護您的電腦。 沒有實體安全性就沒有安全性。 取得 MBAM 伺服器實體存取權的攻擊者可能會使用它來攻擊整個用戶端基底。 所有潛在的實體攻擊都必須視為高風險並適當地降低風險。 MBAM 伺服器應該儲存在具有受控制存取權的安全伺服器室中。 當系統管理員沒有實際存在時,請透過讓作業系統鎖定電腦,或使用安全的螢幕保護裝置來保護這些電腦。
將最新的安全性更新套用至所有電腦。 藉由訂閱安全性技術中心的安全性通知服務,隨時掌握 Windows 作業系統、SQL Server和 MBAM 的新更新。
使用強式密碼或傳遞片語。 針對所有 MBAM 系統管理員帳戶,一律使用具有 15 個或更多字元的強式密碼。 永遠不要使用空白密碼。 如需密碼概念的詳細資訊,請參閱 密碼原則。
相關主題
有 MBAM 的建議嗎?
針對 MBAM 問題,請使用 MBAM TechNet 論壇。