Consideraciones de seguridad de MBAM 2.5
Este artículo contiene información sobre cómo proteger la administración y supervisión de Microsoft BitLocker (MBAM).
Configuración de MBAM para almacenar el TPM y almacenar contraseñas de OwnerAuth
Nota
Para Windows 10, versión 1607 o posterior, solo Windows puede tomar posesión del TPM. Windows no mantiene la contraseña de propietario de TPM cuando aprovisiona el TPM. Para obtener más información, consulte Contraseña de propietario de TPM.
En función de su configuración, el módulo de plataforma segura (TPM) se bloquea en determinadas situaciones y puede permanecer bloqueado. Por ejemplo, cuando un usuario escribe demasiadas contraseñas incorrectas. Durante el bloqueo de TPM, BitLocker no puede acceder a las claves de cifrado para desbloquear o descifrar la unidad. Este estado requiere que el usuario escriba su clave de recuperación de BitLocker para acceder a la unidad del sistema operativo. Para restablecer el bloqueo de TPM, debe proporcionar la contraseña de OwnerAuth de TPM.
MBAM puede almacenar la contraseña ownerAuth de TPM en la base de datos MBAM si posee el TPM o si almacena la contraseña. Las contraseñas de OwnerAuth son fácilmente accesibles en el sitio web de administración y supervisión cuando se debe recuperar de un bloqueo de TPM, lo que elimina la necesidad de esperar a que el bloqueo se resuelva por sí mismo.
Escrowing TPM OwnerAuth en Windows 8 y versiones posteriores
Nota
Para Windows 10, versión 1607 o posterior, solo Windows puede tomar posesión del TPM. Windows no mantiene la contraseña de propietario de TPM cuando aprovisiona el TPM. Para obtener más información, consulte Contraseña de propietario de TPM.
En Windows 8 o versiones posteriores, MBAM ya no debe poseer el TPM para almacenar la contraseña de OwnerAuth, siempre y cuando OwnerAuth esté disponible en el equipo local.
Para habilitar MBAM para almacenar y almacenar contraseñas de propietario de TPM, debe configurar estas opciones de directiva de grupo.
| Configuración de directiva de grupo | Configuración |
|---|---|
| Activación de la copia de seguridad de TPM en Active Directory Domain Services | Deshabilitado o no configurado |
| Configuración del nivel de información de autorización del propietario de TPM disponible para el sistema operativo | Delegado/Ninguno o No configurado |
La ubicación de esta configuración de directiva de grupo es Configuración> del equipoPlantillas> administrativasSystem>Trusted Platform Module Services.
Nota
Windows quita OwnerAuth localmente después de que MBAM lo resguarde correctamente con esta configuración.
Escrowing TPM OwnerAuth en Windows 7
En Windows 7, MBAM debe poseer el TPM para custodiar automáticamente la información de OwnerAuth de TPM en la base de datos DE MBAM. Si MBAM no posee el TPM, debe usar los cmdlets de importación de datos de Active Directory (AD) de MBAM para copiar Tpm OwnerAuth de Active Directory en la base de datos de MBAM.
Cmdlets de importación de datos de MBAM Active Directory
Los cmdlets de importación de datos de Active Directory de MBAM permiten recuperar paquetes de clave de recuperación y contraseñas de OwnerAuth que se almacenan en Active Directory.
El servidor MBAM 2.5 SP1 se incluye con cuatro cmdlets de PowerShell que rellenan previamente bases de datos MBAM con la información de propietario de TPM y recuperación de volumen almacenada en Active Directory.
Para paquetes y claves de recuperación de volumen:
Read-ADRecoveryInformation
Write-MbamRecoveryInformation
Para obtener información sobre el propietario de TPM:
Read-ADTpmInformation
Write-MbamTpmInformation
Para asociar usuarios a equipos:
- Write-MbamComputerUser
Los Read-AD* cmdlets leen información de Active Directory. Los Write-Mbam* cmdlets insertan los datos en las bases de datos de MBAM. Para obtener información detallada sobre estos cmdlets, incluida la sintaxis, los parámetros y los ejemplos, vea Referencia de cmdlets para Microsoft BitLocker Administration and Monitoring 2.5.
Crear asociaciones de usuario a equipo: Los cmdlets de importación de datos de Active Directory de MBAM recopilan información de Active Directory e insertan los datos en la base de datos de MBAM. Sin embargo, no asocian usuarios a volúmenes. Puede descargar el script de PowerShell Add-ComputerUser.ps1 para crear asociaciones de usuario a máquina, que permiten a los usuarios recuperar el acceso a un equipo a través del sitio web de administración y supervisión o mediante el portal de Self-Service para la recuperación. El script Add-ComputerUser.ps1 recopila datos del atributo Managed By en Active Directory (AD), el propietario del objeto en AD o de un archivo CSV personalizado. A continuación, el script agrega los usuarios detectados al objeto de canalización de información de recuperación, que se debe pasar a Write-MbamRecoveryInformation para insertar los datos en la base de datos de recuperación.
Puede especificar la ayuda Add-ComputerUser.ps1 para obtener ayuda para el script, incluidos ejemplos de cómo usar los cmdlets y el script.
Para crear asociaciones de usuario a equipo después de instalar el servidor MBAM, use el cmdlet de PowerShell Write-MbamComputerUser. De forma similar al script de PowerShell Add-ComputerUser.ps1, este cmdlet le permite especificar usuarios que pueden usar el portal de Self-Service para obtener información de propietario de TPM o contraseñas de recuperación por volumen para el equipo especificado.
Nota
El agente de MBAM invalida las asociaciones de usuario a equipo cuando ese equipo comienza a informar al servidor.
Prerrequisitos: Los Read-AD* cmdlets solo pueden recuperar información de AD si se ejecutan como una cuenta de usuario con privilegios elevados, como un administrador de dominio, o bien se ejecutan como una cuenta en un grupo de seguridad personalizado al que se concede acceso de lectura a la información (recomendado).
Guía de operaciones de cifrado de unidad bitLocker: La recuperación de volúmenes cifrados con ADDS proporciona detalles sobre cómo crear un grupo de seguridad personalizado (o varios grupos) con acceso de lectura a la información de AD.
Permisos de escritura del servicio web de hardware y recuperación de MBAM: Los Write-Mbam* cmdlets aceptan la dirección URL del servicio de recuperación y hardware de MBAM, que se usa para publicar la información de recuperación o TPM. Normalmente, solo una cuenta de servicio de equipo de dominio puede comunicarse con el servicio de recuperación y hardware de MBAM. En MBAM 2.5 SP1, puede configurar el servicio de recuperación y hardware de MBAM con un grupo de seguridad denominado DataMigrationAccessGroup. Los miembros de este grupo pueden omitir la comprobación de la cuenta de servicio del equipo de dominio. Los Write-Mbam* cmdlets deben ejecutarse como un usuario que pertenece a este grupo configurado. (Como alternativa, las credenciales de un usuario individual del grupo configurado se pueden especificar mediante el parámetro -Credential en los Write-Mbam* cmdlets).
Puede configurar el servicio de recuperación y hardware de MBAM con el nombre de este grupo de seguridad de una de estas maneras:
Proporcione el nombre del grupo de seguridad (o individual) en el parámetro -DataMigrationAccessGroup del cmdlet de PowerShell Enable-MbamWebApplication -AgentService.
Configure el grupo después de instalar el servicio de hardware y recuperación de MBAM. Edite el archivo web.config en la
<inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\carpeta .<add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />donde
<groupName>se reemplaza por el dominio y el nombre del grupo (o el usuario individual) que se usa para permitir la migración de datos desde Active Directory.Para editar esta appSetting, use el Editor de configuración en el Administrador de IIS.
En el ejemplo siguiente, al ejecutar el comando como miembro de los grupos ADRecoveryInformation y Data Migration Users, extrae la información de recuperación de volumen de los equipos de la unidad organizativa WORKSTATIONS (OU) del dominio contoso.com. A continuación, los escribe en MBAM mediante el servicio de recuperación y hardware de MBAM que se ejecuta en el servidor de mbam.contoso.com.
Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"
Read-AD* Los cmdlets aceptan el nombre o la dirección IP de una máquina de servidor de hospedaje de Active Directory para consultar la información de recuperación o TPM. Se recomienda proporcionar los nombres distintivos de los contenedores de AD en los que reside el objeto de equipo como valor del parámetro SearchBase. Si los equipos se almacenan en varias unidades organizativas, los cmdlets pueden aceptar la entrada de canalización para ejecutarse una vez para cada contenedor. El nombre distintivo de un contenedor de AD es similar a OU=Machines,DC=contoso,DC=com.
Al ejecutar una búsqueda destinada a contenedores específicos, proporciona las siguientes ventajas:
Reduce el riesgo de tiempo de espera al consultar un conjunto de datos de AD grande para objetos de equipo.
Puede omitir las unidades organizativas que contienen servidores de centro de datos u otras clases de equipos para los que es posible que la copia de seguridad no sea deseada o necesaria.
Otra opción es proporcionar la marca -Recurse con o sin la searchBase opcional para buscar objetos de equipo en todos los contenedores en el searchBase especificado o en todo el dominio respectivamente. Al usar la marca -Recurse, también puede usar el parámetro -MaxPageSize para controlar la cantidad de memoria local y remota necesaria para atender la consulta.
Estos cmdlets escriben en los objetos de canalización de tipo PsObject. Cada instancia de PsObject contiene una única clave de recuperación de volumen o cadena de propietario de TPM con su nombre de equipo asociado, marca de tiempo y otra información necesaria para publicarla en el almacén de datos de MBAM.
Write-Mbam* cmdlets** aceptan valores de parámetros de información de recuperación de la canalización por nombre de propiedad. Este comportamiento permite que los Write-Mbam* cmdlets acepten la salida de canalización de los Read-AD* cmdlets. Por ejemplo Read-ADRecoveryInformation -Server contoso.com -Recurse | Write-MbamRecoveryInformation -RecoveryServiceEndpoint mbam.contoso.com
Los Write-Mbam* cmdlets incluyen parámetros opcionales que proporcionan opciones para la tolerancia a errores, el registro detallado y las preferencias de WhatIf y Confirm.
Los Write-Mbam* cmdlets también incluyen un parámetro Time opcional cuyo valor es un objeto DateTime . Este objeto incluye un atributo Kind que se puede establecer en Local, UTCo Unspecified. Cuando el parámetro Time se rellena a partir de datos tomados de Active Directory, la hora se convierte a UTC y este atributo Kind se establece automáticamente en UTC. Sin embargo, al rellenar el parámetro Time mediante otro origen, como un archivo de texto, debe establecer explícitamente el atributo Kind en su valor adecuado.
Nota
Los Read-AD* cmdlets no pueden detectar las cuentas de usuario que representan a los usuarios del equipo. Las asociaciones de cuentas de usuario son necesarias para lo siguiente:
Usuarios para recuperar contraseñas o paquetes de volumen mediante el portal de Self-Service.
Los usuarios que no están en el grupo de seguridad Usuarios avanzados del departamento de soporte técnico de MBAM, tal como se define durante la instalación, se recuperan en nombre de otros usuarios.
Configuración de MBAM para desbloquear automáticamente el TPM después de un bloqueo
Puede configurar MBAM 2.5 SP1 para desbloquear automáticamente el TPM si está bloqueado. Si el restablecimiento automático de bloqueo de TPM está habilitado, MBAM puede detectar que un usuario está bloqueado y, a continuación, obtener la contraseña ownerAuth de la base de datos MBAM para desbloquear automáticamente el TPM para el usuario. El restablecimiento automático de bloqueo de TPM solo está disponible si la clave de recuperación del sistema operativo para ese equipo se recuperó mediante el Portal de autoservicio o el sitio web de administración y supervisión.
Importante
Para habilitar el restablecimiento automático del bloqueo de TPM, debe configurar esta característica tanto en el lado servidor como en la directiva de grupo en el lado cliente.
Para habilitar el restablecimiento automático del bloqueo de TPM en el cliente, configure la configuración de directiva de grupo "Configurar el restablecimiento automático de bloqueo de TPM" que se encuentra en Configuración> del equipoPlantillas> administrativasComponentes> de WindowsMDOP MBAM>Client Management.
Para habilitar el restablecimiento automático del bloqueo de TPM en el servidor, puede comprobar "Habilitar el restablecimiento automático de bloqueo de TPM" en el Asistente para configuración del servidor MBAM durante la instalación.
También puede habilitar el restablecimiento automático de bloqueo de TPM en PowerShell especificando el
-TPMmodificador "restablecimiento automático de bloqueo" al habilitar el componente web del servicio del agente.
Después de que un usuario escriba la clave de recuperación de BitLocker que obtuvo del Portal de autoservicio o del sitio web de administración y supervisión, el agente de MBAM determinará si el TPM está bloqueado. Si está bloqueado, intenta recuperar ownerAuth de TPM para el equipo de la base de datos MBAM. Si la propiedad OwnerAuth de TPM se recupera correctamente, se usa para desbloquear el TPM. El desbloqueo del TPM hace que el TPM sea totalmente funcional y el usuario no se ve obligado a escribir la contraseña de recuperación durante los reinicios posteriores de un bloqueo de TPM.
El restablecimiento automático de bloqueo de TPM está deshabilitado de forma predeterminada.
Nota
El restablecimiento automático de bloqueo de TPM solo se admite en equipos que ejecutan TPM versión 1.2. TPM 2.0 proporciona funcionalidad de restablecimiento automático de bloqueo integrada.
El informe de auditoría de recuperación incluye eventos relacionados con el restablecimiento automático del bloqueo de TPM. Si se realiza una solicitud desde el cliente de MBAM para recuperar una contraseña ownerAuth de TPM, se registra un evento para indicar la recuperación. Las entradas de auditoría incluyen los siguientes eventos:
| Entrada | Valor |
|---|---|
| Origen de la solicitud de auditoría | Desbloqueo del TPM del agente |
| Tipo de clave | Hash de contraseña de TPM |
| Descripción de la razón | Restablecimiento de TPM |
Conexiones seguras a SQL Server
En MBAM, SQL Server se comunica con SQL Server Reporting Services y con los servicios web para el sitio web de administración y supervisión y Self-Service Portal. Se recomienda proteger la comunicación con SQL Server. Para obtener más información, vea Cifrado de conexiones a SQL Server.
Para obtener más información sobre cómo proteger los sitios web de MBAM, consulte Planeamiento de cómo proteger los sitios web de MBAM.
Creación de cuentas y grupos
El procedimiento recomendado para administrar cuentas de usuario es crear grupos globales de dominio y agregarles cuentas de usuario. Para obtener una descripción de las cuentas y grupos recomendados, consulte Planeamiento de grupos y cuentas de MBAM 2.5.
Uso de archivos de registro de MBAM
En esta sección se describen el servidor MBAM y los archivos de registro de cliente de MBAM.
Archivos de registro de instalación del servidor MBAM
El archivo MBAMServerSetup.exe genera los siguientes archivos de registro en la carpeta %temp% del usuario durante la instalación de MBAM:
Microsoft_BitLocker_Administration_and_Monitoring_<14 numbers>.logRegistra las acciones durante la configuración de MBAM y la configuración de características del servidor MBAM.
Microsoft_BitLocker_Administration_and_Monitoring_<14_numbers>_0_MBAMServer.msi.logRegistra otras acciones durante la instalación.
Archivos de registro de configuración del servidor MBAM
Applications and Services Logs/Microsoft Windows/MBAM-SetupRegistra los errores al usar cmdlets de Windows PowerShell o el Asistente para configuración del servidor MBAM para configurar las características del servidor MBAM.
Archivos de registro del programa de instalación de cliente de MBAM
MSI<five random characters>.logRegistra las acciones realizadas durante la instalación del cliente de MBAM.
MBAM-Web archivos de registro
- Muestra la actividad de los portales y servicios web.
Revisión de las consideraciones de TDE de base de datos de MBAM
La característica de cifrado de datos transparente (TDE) que está disponible en SQL Server es una instalación opcional para las instancias de base de datos que hospedan las características de base de datos de MBAM.
Con TDE, puede realizar el cifrado de nivel de base de datos completo y en tiempo real. TDE es la opción óptima para que el cifrado masivo cumpla los estándares de seguridad de datos corporativos o de cumplimiento normativo. TDE funciona en el nivel de archivo, que es similar a dos características de Windows: el sistema de cifrado de archivos (EFS) y el cifrado de unidad BitLocker. Ambas características también cifran los datos en el disco duro. TDE no reemplaza el cifrado de nivel de celda, EFS o BitLocker.
Cuando TDE está habilitado en una base de datos, todas las copias de seguridad se cifran. Por lo tanto, se debe tener especial cuidado para asegurarse de que se realiza una copia de seguridad del certificado que se usó para proteger la clave de cifrado de base de datos y se mantiene con la copia de seguridad de la base de datos. Si se pierde este certificado, los datos no se pueden leer.
Realice una copia de seguridad del certificado con la base de datos. Cada copia de seguridad de certificado debe tener dos archivos. Ambos archivos deben archivarse. Idealmente para la seguridad, se debe realizar una copia de seguridad independientemente del archivo de copia de seguridad de la base de datos. También puede considerar la posibilidad de usar la característica de administración extensible de claves (EKM) para el almacenamiento y el mantenimiento de las claves que se usan para TDE.
Para obtener un ejemplo de cómo habilitar TDE para instancias de base de datos MBAM, consulte Cifrado de datos transparente (TDE).
Descripción de las consideraciones generales de seguridad
Comprenda los riesgos de seguridad. El riesgo más grave al usar MBAM es que un usuario no autorizado podría poner en peligro su funcionalidad. Este usuario podría volver a configurar el cifrado de unidad bitlocker y obtener datos de clave de cifrado de BitLocker en los clientes de MBAM. La pérdida de la funcionalidad de MBAM durante un breve período de tiempo debido a un ataque por denegación de servicio no suele tener un efecto catastrófico.
Proteja físicamente los equipos. No hay seguridad sin seguridad física. Un atacante que obtiene acceso físico a un servidor MBAM podría usarlo para atacar toda la base de clientes. Todos los posibles ataques físicos deben considerarse de alto riesgo y mitigarse adecuadamente. Los servidores MBAM deben almacenarse en una sala de servidores segura con acceso controlado. Proteja estos equipos cuando los administradores no estén físicamente presentes haciendo que el sistema operativo bloquee el equipo o mediante un protector de pantalla protegido.
Aplique las actualizaciones de seguridad más recientes a todos los equipos.
Use contraseñas seguras o frases de paso. Use siempre contraseñas seguras con 15 o más caracteres para todas las cuentas de administrador de MBAM. Nunca use contraseñas en blanco. Para obtener más información sobre los conceptos de contraseña, vea Directiva de contraseñas.