Considerazioni sulla sicurezza di MBAM 2.5
Questo articolo contiene informazioni su come proteggere l'amministrazione e il monitoraggio di Microsoft BitLocker (MBAM).
Configurare MBAM per il deposito del TPM e l'archiviazione delle password OwnerAuth
Nota
Per Windows 10, versione 1607 o successiva, solo Windows può assumere la proprietà del TPM. Windows non mantiene la password del proprietario del TPM quando effettua il provisioning del TPM. Per altre informazioni, vedere Password del proprietario di TPM.
A seconda della configurazione, il modulo TPM (Trusted Platform Module) si blocca in determinate situazioni e può rimanere bloccato. Ad esempio, quando un utente immette troppe password non corrette. Durante il blocco TPM, BitLocker non può accedere alle chiavi di crittografia per sbloccare o decrittografare l'unità. Questo stato richiede all'utente di immettere la chiave di ripristino di BitLocker per accedere all'unità del sistema operativo. Per reimpostare il blocco TPM, è necessario specificare la password ownerAuth TPM.
MBAM può archiviare la password OwnerAuth TPM nel database MBAM se è proprietario del TPM o se la deposita. Le password OwnerAuth sono quindi facilmente accessibili nel sito Web di amministrazione e monitoraggio quando è necessario eseguire il ripristino da un blocco TPM, eliminando la necessità di attendere che il blocco venga risolto autonomamente.
Deposito proprietario TPMAuth in Windows 8 e versioni successive
Nota
Per Windows 10, versione 1607 o successiva, solo Windows può assumere la proprietà del TPM. Windows non mantiene la password del proprietario del TPM quando effettua il provisioning del TPM. Per altre informazioni, vedere Password del proprietario di TPM.
In Windows 8 o versione successiva, MBAM non deve più essere proprietario del TPM per archiviare la password OwnerAuth, purché OwnerAuth sia disponibile nel computer locale.
Per abilitare MBAM per il deposito e quindi archiviare le password TPM OwnerAuth, è necessario configurare queste impostazioni dei criteri di gruppo.
| Impostazione di Criteri di gruppo | Configurazione |
|---|---|
| Attivare il backup TPM in Active Directory Domain Services | Disabilitato o non configurato |
| Configurare il livello di informazioni sull'autorizzazione del proprietario di TPM disponibili per il sistema operativo | Delegato/None o Non configurato |
Il percorso di queste impostazioni di Criteri di gruppo è Configurazione> computerModelli> amministrativiSystem>Trusted Platform Module Services.
Nota
Windows rimuove il proprietarioAuth in locale dopo che MBAM lo ha escrows correttamente con queste impostazioni.
Deposito proprietario TPMAuth in Windows 7
In Windows 7 MBAM deve essere il proprietario del TPM per depositare automaticamente le informazioni di TPM OwnerAuth nel database MBAM. Se MBAM non è proprietario del TPM, è necessario usare i cmdlet di importazione dei dati di MBAM Active Directory (AD) per copiare TPM OwnerAuth da Active Directory nel database MBAM.
Mbam Active Directory data import cmdlets
I cmdlet di importazione dei dati di Active Directory di MBAM consentono di recuperare i pacchetti di chiavi di ripristino e le password OwnerAuth archiviate in Active Directory.
Il server MBAM 2.5 SP1 viene fornito con quattro cmdlet di PowerShell che precompilano i database MBAM con le informazioni sul ripristino del volume e sul proprietario del TPM archiviate in Active Directory.
Per le chiavi e i pacchetti di ripristino del volume:
Read-ADRecoveryInformation
Write-MbamRecoveryInformation
Per informazioni sul proprietario di TPM:
Read-ADTpmInformation
Write-MbamTpmInformation
Per l'associazione degli utenti ai computer:
- Write-MbamComputerUser
I Read-AD* cmdlet leggono informazioni da Active Directory. I Write-Mbam* cmdlet ese possibile eseguire il push dei dati nei database MBAM. Per informazioni dettagliate su questi cmdlet, inclusi sintassi, parametri ed esempi, vedere Informazioni di riferimento sui cmdlet per Amministrazione e monitoraggio di Microsoft BitLocker 2.5.
Creare associazioni da utente a computer: I cmdlet MBAM Active Directory Data Import raccolgono informazioni da Active Directory e inseriscono i dati nel database MBAM. Tuttavia, non associano gli utenti ai volumi. È possibile scaricare lo script di PowerShell Add-ComputerUser.ps1 per creare associazioni da utente a computer, che consentono agli utenti di ottenere nuovamente l'accesso a un computer tramite il sito Web di amministrazione e monitoraggio o tramite il portale di Self-Service per il ripristino. Lo script Add-ComputerUser.ps1 raccoglie i dati dall'attributo Managed By in Active Directory (AD), dal proprietario dell'oggetto in AD o da un file CSV personalizzato. Lo script aggiunge quindi gli utenti individuati all'oggetto pipeline delle informazioni di ripristino, che deve essere passato a Write-MbamRecoveryInformation per inserire i dati nel database di ripristino.
È possibile specificare Add-ComputerUser.ps1della Guida per ottenere assistenza per lo script, inclusi esempi di come usare i cmdlet e lo script.
Per creare associazioni da utente a computer dopo l'installazione del server MBAM, usare il cmdlet Write-MbamComputerUser PowerShell. Analogamente allo script di PowerShell Add-ComputerUser.ps1, questo cmdlet consente di specificare gli utenti che possono usare il portale di Self-Service per ottenere le informazioni di TPM OwnerAuth o le password di ripristino del volume per il computer specificato.
Nota
L'agente di MBAM esegue l'override delle associazioni da utente a computer quando il computer inizia a segnalare fino al server.
Prerequisiti: I Read-AD* cmdlet possono recuperare informazioni da Active Directory solo se vengono eseguiti come account utente con privilegi elevati, ad esempio un amministratore di dominio, oppure vengono eseguiti come account in un gruppo di sicurezza personalizzato a cui è stato concesso l'accesso in lettura alle informazioni (scelta consigliata).
Guida alle operazioni di Crittografia unità BitLocker: il ripristino di volumi crittografati con ADDS fornisce informazioni dettagliate sulla creazione di un gruppo di sicurezza personalizzato (o più gruppi) con accesso in lettura alle informazioni di Active Directory.
Autorizzazioni di scrittura del servizio Web hardware e di ripristino di MBAM: I Write-Mbam* cmdlet accettano l'URL del servizio di ripristino e hardware di MBAM, usato per pubblicare le informazioni di ripristino o TPM. In genere, solo un account del servizio computer di dominio può comunicare con il servizio di ripristino e hardware di MBAM. In MBAM 2.5 SP1 è possibile configurare il servizio di ripristino e hardware di MBAM con un gruppo di sicurezza denominato DataMigrationAccessGroup. I membri di questo gruppo possono ignorare il controllo dell'account del servizio computer di dominio. I Write-Mbam* cmdlet devono essere eseguiti come utente appartenente a questo gruppo configurato. In alternativa, è possibile specificare le credenziali di un singolo utente nel gruppo configurato usando il parametro -Credential nei Write-Mbam* cmdlet.
È possibile configurare il servizio di ripristino e hardware di MBAM con il nome di questo gruppo di sicurezza in uno dei modi seguenti:
Specificare il nome del gruppo di sicurezza (o singolo) nel parametro -DataMigrationAccessGroup del cmdlet di PowerShell Enable-MbamWebApplication -AgentService.
Configurare il gruppo dopo l'installazione del servizio hardware e di ripristino di MBAM. Modificare il file web.config nella
<inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\cartella .<add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />dove
<groupName>viene sostituito con il dominio e il nome del gruppo (o il singolo utente) usato per consentire la migrazione dei dati da Active Directory.Per modificare l'appSetting, usare l'editor di configurazione in Gestione IIS.
Nell'esempio seguente, quando si esegue il comando come membro dei gruppi ADRecoveryInformation e Data Migration Users, esegue il pull delle informazioni di ripristino del volume dai computer dell'unità organizzativa WORKSTATIONS nel dominio contoso.com. Vengono quindi scritti in MBAM usando il servizio di ripristino e hardware di MBAM in esecuzione nel server mbam.contoso.com.
Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"
Read-AD* I cmdlet accettano il nome o l'indirizzo IP di un computer server di hosting di Active Directory per eseguire query su informazioni di ripristino o TPM. È consigliabile specificare i nomi distinti dei contenitori di Active Directory in cui risiede l'oggetto computer come valore del parametro SearchBase. Se i computer vengono archiviati in più unità organizzative, i cmdlet possono accettare l'input della pipeline da eseguire una volta per ogni contenitore. Il nome distinto di un contenitore AD è simile a OU=Machines,DC=contoso,DC=com.
Quando si esegue una ricerca destinata a contenitori specifici, offre i vantaggi seguenti:
Riduce il rischio di timeout durante l'esecuzione di query su un set di dati di Active Directory di grandi dimensioni per gli oggetti computer.
Può omettere unità organizzative contenenti server data center o altre classi di computer per cui il backup potrebbe non essere desiderato o necessario.
Un'altra opzione consiste nel fornire il flag -Recurse con o senza SearchBase facoltativo per cercare gli oggetti computer in tutti i contenitori rispettivamente nell'oggetto SearchBase specificato o nell'intero dominio. Quando si usa il flag -Recurse, è anche possibile usare il parametro -MaxPageSize per controllare la quantità di memoria locale e remota necessaria per gestire la query.
Questi cmdlet scrivono negli oggetti pipeline di tipo PsObject. Ogni istanza di PsObject contiene una singola chiave di ripristino del volume o una stringa del proprietario del TPM con il nome del computer, il timestamp e altre informazioni associati necessari per pubblicarla nell'archivio dati MBAM.
Write-Mbam* cmdlets** accettano i valori dei parametri delle informazioni di ripristino dalla pipeline in base al nome della proprietà. Questo comportamento consente ai Write-Mbam* cmdlet di accettare l'output della pipeline dei Read-AD* cmdlet. Per esempio Read-ADRecoveryInformation -Server contoso.com -Recurse | Write-MbamRecoveryInformation -RecoveryServiceEndpoint mbam.contoso.com
I Write-Mbam* cmdlet includono parametri facoltativi che forniscono opzioni per la tolleranza di errore, la registrazione dettagliata e le preferenze per WhatIf e Confirm.
I Write-Mbam* cmdlet includono anche un parametro Time facoltativo il cui valore è un oggetto DateTime . Questo oggetto include un attributo Kind che può essere impostato su Local, UTCo Unspecified. Quando il parametro Time viene popolato dai dati tratti da Active Directory, l'ora viene convertita in UTC e questo attributo Kind viene impostato automaticamente UTCsu . Tuttavia, quando si popola il parametro Time usando un'altra origine, ad esempio un file di testo, è necessario impostare in modo esplicito l'attributo Kind sul valore appropriato.
Nota
I Read-AD* cmdlet non possono individuare gli account utente che rappresentano gli utenti del computer. Le associazioni di account utente sono necessarie per quanto segue:
Utenti per recuperare le password o i pacchetti del volume tramite il portale di Self-Service.
Utenti che non fanno parte del gruppo di sicurezza MBAM Advanced Helpdesk Users come definito durante l'installazione e che vengono ripristinati per conto di altri utenti.
Configurare MBAM per sbloccare automaticamente il TPM dopo un blocco
È possibile configurare MBAM 2.5 SP1 per sbloccare automaticamente il TPM se è bloccato. Se la reimpostazione automatica del blocco TPM è abilitata, MBAM può rilevare che un utente è bloccato e quindi ottenere la password OwnerAuth dal database MBAM per sbloccare automaticamente il TPM per l'utente. La reimpostazione automatica del blocco TPM è disponibile solo se la chiave di ripristino del sistema operativo per il computer è stata recuperata tramite il portale self-service o il sito Web di amministrazione e monitoraggio.
Importante
Per abilitare la reimpostazione automatica del blocco TPM, è necessario configurare questa funzionalità sia sul lato server che nei criteri di gruppo sul lato client.
Per abilitare la reimpostazione automatica del blocco TPM sul lato client, configurare l'impostazione dei criteri di gruppo "Configurare la reimpostazione automatica del blocco TPM" disponibile in Configurazione> computerModelli amministrativi Componenti>>di WindowsGestione clientMDOP MBAM>.
Per abilitare la reimpostazione automatica del blocco TPM sul lato server, è possibile controllare "Abilita reimpostazione automatica blocco TPM" nella Configurazione guidata server MBAM durante l'installazione.
È anche possibile abilitare la reimpostazione automatica del blocco TPM in PowerShell specificando l'opzione
-TPM"reimpostazione automatica del blocco" durante l'abilitazione del componente Web del servizio agente.
Dopo che un utente immette la chiave di ripristino di BitLocker ottenuta dal portale self-service o dal sito Web di amministrazione e monitoraggio, l'agente MBAM determinerà se il TPM è bloccato. Se è bloccato, tenta di recuperare il TPM OwnerAuth per il computer dal database MBAM. Se il TPM OwnerAuth viene recuperato correttamente, viene usato per sbloccare il TPM. Lo sblocco del TPM rende il TPM completamente funzionante e l'utente non è costretto a immettere la password di ripristino durante i riavvii successivi da un blocco TPM.
La reimpostazione automatica del blocco TPM è disabilitata per impostazione predefinita.
Nota
La reimpostazione automatica del blocco TPM è supportata solo nei computer che eseguono TPM versione 1.2. TPM 2.0 offre funzionalità predefinite per la reimpostazione automatica del blocco.
Il report di controllo del ripristino include eventi correlati alla reimpostazione automatica del blocco TPM. Se viene effettuata una richiesta dal client MBAM per recuperare una password TPM OwnerAuth, viene registrato un evento per indicare il ripristino. Le voci di controllo includono gli eventi seguenti:
| Voce | Value |
|---|---|
| Origine richiesta di controllo | Sblocco TPM dell'agente |
| Tipo di chiave | TPM Password Hash |
| Descrizione motivo | Reimpostazione TPM |
Proteggere le connessioni a SQL Server
In MBAM SQL Server comunica con SQL Server Reporting Services e con i servizi Web per il sito Web Amministrazione e monitoraggio e Self-Service Portale. È consigliabile proteggere la comunicazione con SQL Server. Per altre informazioni, vedere Crittografia delle connessioni a SQL Server.
Per altre informazioni sulla protezione dei siti Web MBAM, vedere Pianificazione di come proteggere i siti Web MBAM.
Creare account e gruppi
La procedura consigliata per la gestione degli account utente consiste nel creare gruppi globali di dominio e aggiungervi account utente. Per una descrizione degli account e dei gruppi consigliati, vedere Pianificazione di gruppi e account MBAM 2.5.
Usare i file di log di MBAM
Questa sezione descrive i file di log del server MBAM e del client MBAM.
File di log di installazione del server MBAM
Il fileMBAMServerSetup.exe genera i file di log seguenti nella cartella %temp% dell'utente durante l'installazione di MBAM:
Microsoft_BitLocker_Administration_and_Monitoring_<14 numbers>.logRegistra le azioni durante l'installazione di MBAM e la configurazione della funzionalità del server MBAM.
Microsoft_BitLocker_Administration_and_Monitoring_<14_numbers>_0_MBAMServer.msi.logRegistra altre azioni durante l'installazione.
File di log di configurazione del server MBAM
Applications and Services Logs/Microsoft Windows/MBAM-SetupRegistra eventuali errori quando si usano i cmdlet di Windows PowerShell o la configurazione guidata del server MBAM per configurare le funzionalità del server MBAM.
File di log di installazione del client MBAM
MSI<five random characters>.logRegistra le azioni eseguite durante l'installazione del client MBAM.
MBAM-Web file di log
- Mostra l'attività dai portali Web e dai servizi.
Esaminare le considerazioni sul TDE del database MBAM
La funzionalità Transparent Data Encryption (TDE) disponibile in SQL Server è un'installazione facoltativa per le istanze del database che ospitano le funzionalità del database MBAM.
Con TDE è possibile eseguire la crittografia completa a livello di database in tempo reale. TDE è la scelta ottimale per la crittografia in blocco per soddisfare gli standard di conformità alle normative o di sicurezza dei dati aziendali. TDE funziona a livello di file, che è simile a due funzionalità di Windows: Encrypting File System (EFS) e Crittografia unità BitLocker. Entrambe le funzionalità crittografare anche i dati sul disco rigido. TDE non sostituisce la crittografia a livello di cella, EFS o BitLocker.
Quando TDE è abilitato in un database, tutti i backup vengono crittografati. È quindi necessario prestare particolare attenzione per garantire che il certificato usato per proteggere la chiave di crittografia del database venga sottoposto a backup e gestito con il backup del database. Se questo certificato viene perso, i dati non sono leggibili.
Eseguire il backup del certificato con il database. Ogni backup del certificato deve avere due file. Entrambi questi file devono essere archiviati. Idealmente per motivi di sicurezza, è consigliabile eseguirne il backup separatamente dal file di backup del database. In alternativa, è possibile prendere in considerazione l'uso della funzionalità EKM (Extensible Key Management) per l'archiviazione e la manutenzione delle chiavi usate per TDE.
Per un esempio di come abilitare TDE per le istanze di database MBAM, vedere Transparent Data Encryption (TDE).
Informazioni sulle considerazioni generali sulla sicurezza
Comprendere i rischi per la sicurezza. Il rischio più grave quando si usa MBAM è che la sua funzionalità potrebbe essere compromessa da un utente non autorizzato. L'utente potrebbe quindi riconfigurare Crittografia unità BitLocker e ottenere i dati della chiave di crittografia BitLocker nei client MBAM. La perdita di funzionalità di MBAM per un breve periodo di tempo a causa di un attacco Denial of Service non ha in genere un effetto catastrofico.
Proteggere fisicamente i computer. Non c'è sicurezza senza sicurezza fisica. Un utente malintenzionato che ottiene l'accesso fisico a un server MBAM potrebbe potenzialmente usarlo per attaccare l'intera base client. Tutti i potenziali attacchi fisici devono essere considerati ad alto rischio e mitigati in modo appropriato. I server MBAM devono essere archiviati in una sala server sicura con accesso controllato. Proteggere questi computer quando gli amministratori non sono fisicamente presenti facendo in modo che il sistema operativo blocchi il computer o usando uno screen saver protetto.
Applicare gli aggiornamenti della sicurezza più recenti a tutti i computer.
Usare password complesse o frasi pass. Usare sempre password complesse con 15 o più caratteri per tutti gli account amministratore di MBAM. Non usare mai password vuote. Per altre informazioni sui concetti relativi alle password, vedere Criteri password.