MBAM 1.0 的安全性考量
適用於: Microsoft BitLocker Administration and Monitoring 1.0
本主題包含 Microsoft BitLocker Administration and Monitoring (MBAM) 之帳戶與群組、記錄檔和其他安全性相關考量的簡要概觀。 如需詳細資訊,請點選本文中的連結。
一般安全性考量
瞭解安全性風險。 MBAM 最嚴重的風險是其功能遭到未經授權的使用者擱截,接著該使用者便可重新設定 BitLocker 加密,並取得 MBAM 用戶端上的 BitLocker 加密金鑰資料。 不過,拒絕服務攻擊所造成的 MBAM 功能短暫喪失通常並不會產生嚴重的後果。
實體保護您的電腦。 如果缺少實體安全性,安全防護便不夠全面。 任何人只要能夠存取 MBAM 伺服器實體,便有可能攻擊整個用戶端群。 您必須將所有實體攻擊視為高度風險並採取適當措施來避免這些攻擊。MBAM 伺服器應存放在安全且設有進出管制的伺服器機房中。 請透過作業系統鎖定電腦或使用安全的螢幕保護裝置,在系統管理員離開時保護這些電腦。
將最新的安全性更新套用到所有電腦。 藉由訂閱安全性通知服務 (https://go.microsoft.com/fwlink/p/?LinkId=28819),隨時掌握作業系統、Microsoft SQL Server 和 MBAM 的最新更新資訊。
使用強式密碼或複雜密碼。 所有 MBAM 和 MBAM 系統管理員帳戶應一律使用具有 15 個或更多字元的強式密碼。 絕對不要使用空白密碼。 如需密碼概念的詳細資訊,請參閱 TechNet 上的<帳戶密碼與原則>白皮書 (https://go.microsoft.com/fwlink/p/?LinkId=30009)。
MBAM 中的帳戶與群組
使用者帳戶管理的最佳作法是建立網域全域群組並新增使用者帳戶到這些群組。 接著再將網域全域帳戶新增到 MBAM 伺服器上的必要 MBAM 本機群組中。
Active Directory 網域服務群組
MBAM 安裝期間並不會自動建立任何群組。 不過,您應該建立下列 Active Directory 網域服務全域群組來管理 MBAM 操作。
| 群組名稱 | 詳細資料 |
|---|---|
MBAM 進階技術支援使用者 |
請建立此群組來管理在 MBAM 安裝期間建立之 MBAM 進階技術支援使用者本機群組的成員。 |
MBAM Compliance Auditing 資料庫存取權 |
請建立此群組來管理在 MBAM 安裝期間建立之 MBAM Compliance Auditing 資料庫存取權本機群組的成員。 |
MBAM 硬體使用者 |
請建立此群組來管理在 MBAM 安裝期間建立之 MBAM 硬體使用者本機群組的成員。 |
MBAM 技術支援使用者 |
請建立此群組來管理在 MBAM 安裝期間建立之 MBAM 技術支援使用者本機群組的成員。 |
MBAM Recovery and Hardware 資料庫存取權 |
請建立此群組來管理在 MBAM 安裝期間建立之 MBAM Recovery and Hardware 資料庫存取權本機群組的成員。 |
MBAM 報告使用者 |
請建立此群組來管理在 MBAM 安裝期間建立之 MBAM 報告使用者本機群組的成員。 |
MBAM 系統管理員 |
請建立此群組來管理在 MBAM 安裝期間建立之 MBAM 系統管理員本機群組的成員。 |
BitLocker 加密豁免 |
請建立此群組以管理應豁免在其登入電腦上啟動之 BitLocker 加密的使用者帳戶。 |
MBAM 伺服器本機群組
MBAM 安裝程式會建立本機群組來支援 MBAM 操作。 您應該將 Active Directory 網域服務全域群組新增到適當的 MBAM 本機群組,以設定 MBAM 安全性和資料存取權限。
| 群組名稱 | 詳細資料 |
|---|---|
MBAM 進階技術支援使用者 |
此群組的成員擁有 Microsoft BitLocker Administration and Monitoring 之技術支援功能的擴充存取權。 |
MBAM Compliance Auditing 資料庫存取權 |
此群組包含可存取 MBAM Compliance Auditing 資料庫的電腦。 |
MBAM 硬體使用者 |
此群組的成員可存取 Microsoft BitLocker Administration and Monitoring 中硬體功能的部分功能。 |
MBAM 技術支援使用者 |
此群組的成員可存取 Microsoft BitLocker Administration and Monitoring 的部分技術支援功能。 |
MBAM Recovery and Hardware 資料庫存取權 |
此群組包含可存取 MBAM Recovery and Hardware 資料庫的電腦。 |
MBAM 報告使用者 |
此群組的成員可存取 Microsoft BitLocker Administration and Monitoring 的符合性與稽核報告。 |
MBAM 系統管理員 |
此群組的成員可存取 Microsoft BitLocker Administration and Monitoring 的所有功能。 |
SSRS 報告存取帳戶
SQL Server Reporting Services (SSRS) 報告服務帳戶提供了資訊安全內容,供您執行可透過 SSRS 取得的 MBAM 報告。 這個帳戶是在 MBAM 安裝期間進行設定。
MBAM 記錄檔
在 MBAM 安裝期間,系統會在使用者安裝下列檔案的 %temp% 資料夾中建立 MBAM 安裝記錄檔:
MBAM 伺服器安裝記錄檔
- MSI<五個隨機字元>.log**
記錄 MBAM 安裝期間和 MBAM 伺服器功能安裝期間所執行的動作。
- InstallComplianceDatabase.log
記錄為了建立 MBAM 符合性狀態資料庫安裝程式所採取的動作。
- InstallKeyComplianceDatabase.log
記錄為了建立 MBAM Recovery and Hardware 資料庫所採取的動作。
- AddHelpDeskDbAuditUsers.log
記錄為了在 MBAM 符合性狀態資料庫上建立 SQL Server 登入以及授權技術支援 Web 服務使用報告資料庫所採取的動作。
- AddHelpDeskDbUsers.log
記錄為了授權 Web 服務使用資料庫來修復金鑰以及建立 MBAM Recovery and Hardware 資料庫登入所採取的動作。
- AddKeyComplianceDbUsers.log
記錄為了授權 Web 服務使用 MBAM 符合性狀態資料庫以用於符合性報告所採取的動作。
- AddRecoveryAndHardwareDbUsers.log
記錄為了授權 Web 服務使用 MBAM Recovery and Hardware 資料庫來修復金鑰所採取的動作。
注意
若要取得其他 MBAM 安裝記錄檔,您必須使用 msiexec 套件和 /l <位置> 選項安裝 Microsoft BitLocker Administration and Monitoring。 系統會在指定的位置建立記錄檔。
MBAM 用戶端安裝記錄檔
- MSI<五個隨機字元>.log**
記錄在 MBAM 用戶端安裝期間採取的動作。
MBAM 資料庫 TDE 考量
SQL Server 2008 提供的透明資料加密 (TDE) 功能是裝載 MBAM 資料庫功能之資料庫執行個體所需的安裝必要條件。
您可以利用 TDE 執行即時、完整的資料庫層級加密。 TDE 是適合大量加密以符合法規規範或公司資料安全性標準的絕佳選擇。 TDE 適用於檔案層級,而此種層級與兩種 Windows 功能類似:加密檔案系統 (EFS) 和 BitLocker 磁碟機加密,這兩種功能也會加密硬碟的資料。 TDE 不會取代儲存格層級加密、EFS 或 BitLocker。
當資料庫已啟用 TDE 時,所有的備份都會加密。 因此,您必須特別小心,以確保用來保護資料庫加密金鑰 (DEK) 的憑證會與資料庫備份一起備份及維護。 如果沒有憑證,資料將無法讀取。 請在備份資料庫時一併備份憑證。 每個憑證備份都應該有兩個檔案;這兩個檔案都應封存。為求安全起見,最佳作法是從資料庫備份檔案個別封存檔案。
如需如何對 MBAM 資料庫執行個體啟用 TDE 的範例,請參閱評估 MBAM 1.0。
如需 SQL Server 2008 中 TDE 的詳細資訊,請參閱 Database Encryption in SQL Server 2008 Enterprise Edition (SQL Server 2008 Enterprise Edition 中的資料庫加密)。
另請參閱
其他資源
-----
您可以透過 TechNet Library 深入瞭解 MDOP、在 TechNet Wiki 上搜尋疑難排解資訊,或是透過 Facebook 或 Twitter 追蹤我們的動態。
-----