Рекомендации по безопасности MBAM 2.5
Эта статья содержит сведения о том, как защитить администрирование и мониторинг Microsoft BitLocker (MBAM).
Настройка MBAM для депонирования доверенного платформенного модуля и хранения паролей OwnerAuth
Примечание.
В Windows 10 версии 1607 или более поздней только Windows может стать владельцем доверенного платформенного модуля. Windows не сохраняет пароль владельца доверенного платформенного модуля при подготовке доверенного платформенного модуля. Дополнительные сведения см. в разделе Пароль владельца доверенного платформенного модуля.
В зависимости от конфигурации доверенный платформенный модуль (TPM) блокирует себя в определенных ситуациях и может оставаться заблокированным. Например, когда пользователь вводит слишком много неправильных паролей. Во время блокировки доверенного платформенного модуля BitLocker не может получить доступ к ключам шифрования для разблокировки или расшифровки диска. Это состояние требует, чтобы пользователь ввел ключ восстановления BitLocker для доступа к диску операционной системы. Чтобы сбросить блокировку доверенного платформенного модуля, необходимо указать пароль ownerAuth доверенного платформенного модуля.
MBAM может хранить пароль ownerAuth доверенного платформенного модуля в базе данных MBAM, если он является владельцем доверенного платформенного модуля или если он депонирует пароль. Пароли OwnerAuth затем легко доступны на веб-сайте администрирования и мониторинга, когда необходимо восстановиться после блокировки доверенного платформенного модуля, что устраняет необходимость ждать самостоятельного устранения блокировки.
Депонирование владельца доверенного платформенного модуля в Windows 8 и более поздних версиях
Примечание.
В Windows 10 версии 1607 или более поздней только Windows может стать владельцем доверенного платформенного модуля. Windows не сохраняет пароль владельца доверенного платформенного модуля при подготовке доверенного платформенного модуля. Дополнительные сведения см. в разделе Пароль владельца доверенного платформенного модуля.
В Windows 8 или более поздней версии MBAM больше не должен быть владельцем доверенного платформенного модуля для хранения пароля OwnerAuth, если он доступен на локальном компьютере.
Чтобы включить MBAM для депонирования и последующего хранения паролей владельцаauth доверенного платформенного модуля, необходимо настроить эти параметры групповой политики.
| Параметр групповой политики | Конфигурация |
|---|---|
| Включение резервного копирования доверенного платформенного модуля в доменные службы Active Directory | Отключено или не настроено |
| Настройка уровня сведений об авторизации владельца доверенного платформенного модуля, доступных операционной системе | Делегировано/ нет или не настроено |
Расположение этих параметров групповой политики — конфигурация компьютера>Административные шаблоны>Системные>службы доверенных платформенных модулей.
Примечание.
Windows удаляет ownerAuth локально после того, как MBAM успешно депонирует его с помощью этих параметров.
Депонирование владельца доверенного платформенного модуля в Windows 7
В Windows 7 MBAM должен быть владельцем доверенного платформенного модуля, чтобы автоматически передавать сведения владельца доверенного платформенного модуляAuth в базе данных MBAM. Если MBAM не является владельцем доверенного платформенного модуля, необходимо использовать командлеты импорта данных MBAM Active Directory (AD) для копирования владельца доверенного платформенного модуля из Active Directory в базу данных MBAM.
Командлеты для импорта данных MBAM Active Directory
Командлеты импорта данных MBAM Active Directory позволяют получить пакеты ключей восстановления и пароли OwnerAuth, хранящиеся в Active Directory.
Сервер MBAM 2.5 с пакетом обновления 1 (SP1) поставляется с четырьмя командлетами PowerShell, которые предварительно заполняют базы данных MBAM с данными о владельцах тома и TPM, хранящимися в Active Directory.
Для ключей и пакетов восстановления томов:
Read-ADRecoveryInformation
Write-MbamRecoveryInformation
Сведения о владельце доверенного платформенного модуля:
Read-ADTpmInformation
Write-MbamTpmInformation
Для связывания пользователей с компьютерами:
- Write-MbamComputerUser
Командлеты Read-AD* считывают сведения из Active Directory. Командлеты Write-Mbam* отправляют данные в базы данных MBAM. Подробные сведения об этих командлетах, включая синтаксис, параметры и примеры, см. в справочнике по командлетам для администрирования и мониторинга Microsoft BitLocker 2.5.
Создание связей между пользователями и компьютером: Командлеты MBAM Active Directory Data Import собирают сведения из Active Directory и вставляют данные в базу данных MBAM. Однако пользователи не связываются с томами. Вы можете скачать скрипт PowerShell Add-ComputerUser.ps1, чтобы создать связи между пользователями и компьютерами, которые позволяют пользователям восстановить доступ к компьютеру через веб-сайт администрирования и мониторинга или с помощью портала Self-Service для восстановления. Скрипт Add-ComputerUser.ps1 собирает данные из атрибута Managed By в Active Directory (AD), владельца объекта в AD или из настраиваемого CSV-файла. Затем скрипт добавляет обнаруженных пользователей в объект конвейера сведений о восстановлении, который должен быть передан Write-MbamRecoveryInformation для вставки данных в базу данных восстановления.
Для получения справки по скрипту можно указать Add-ComputerUser.ps1 справки, включая примеры использования командлетов и скрипта.
Чтобы создать связи между пользователем и компьютером после установки сервера MBAM, используйте командлет PowerShell Write-MbamComputerUser. Как и в сценарии PowerShell Add-ComputerUser.ps1, этот командлет позволяет указать пользователей, которые могут использовать портал Self-Service для получения сведений владельца доверенного платформенного модуля Или паролей восстановления тома для указанного компьютера.
Примечание.
Агент MBAM переопределяет связи между пользователями и компьютерами, когда этот компьютер начинает отправлять отчеты на сервер.
Необходимые условия: Командлеты Read-AD* могут извлекать сведения из AD только в том случае, если они выполняются как учетная запись пользователя с высоким уровнем привилегий, например администратор домена, или выполняются как учетная запись в пользовательской группе безопасности, которой предоставлен доступ на чтение информации (рекомендуется).
Руководство по операциям шифрования дисков BitLocker. Восстановление зашифрованных томов с помощью СЛУЖБЫ ADDS содержит сведения о создании настраиваемой группы безопасности (или нескольких групп) с доступом на чтение к сведениям AD.
Разрешения на запись для восстановления MBAM и аппаратной веб-службы: Командлеты Write-Mbam* принимают URL-адрес службы восстановления и оборудования MBAM, используемой для публикации сведений о восстановлении или доверенном платформенного модуля. Как правило, только учетная запись службы компьютера домена может взаимодействовать со службой восстановления и оборудования MBAM. В MBAM 2.5 с пакетом обновления 1 (SP1) можно настроить службу восстановления и оборудования MBAM с помощью группы безопасности DataMigrationAccessGroup. Члены этой группы могут обходить проверку учетной записи службы компьютера домена. Командлеты Write-Mbam* должны выполняться от имени пользователя, относящегося к этой настроенной группе. (Кроме того, учетные данные отдельного пользователя в настроенной группе можно указать с помощью параметра -Credential в Write-Mbam* командлетах.)
Вы можете настроить службу восстановления и оборудования MBAM с именем этой группы безопасности одним из следующих способов:
Укажите имя группы безопасности (или отдельного пользователя) в параметре -DataMigrationAccessGroup командлета PowerShell Enable-MbamWebApplication -AgentService.
Настройте группу после установки службы восстановления и оборудования MBAM. Измените файл web.config в папке
<inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\.<add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />где
<groupName>заменяется доменом и именем группы (или отдельным пользователем), которые используются для переноса данных из Active Directory.Чтобы изменить это приложениеSetting, используйте редактор конфигурации в диспетчере IIS.
В следующем примере при выполнении команды в качестве участника групп ADRecoveryInformation и Data Migration Users она извлекает сведения о восстановлении тома с компьютеров в подразделении WORKSTATIONS в домене contoso.com. Затем они записываются в MBAM с помощью службы восстановления и оборудования MBAM, запущенной на сервере mbam.contoso.com.
Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"
Read-AD* Командлеты принимают имя или IP-адрес компьютера, на котором размещен сервер Active Directory, для запроса сведений о восстановлении или доверенном платформенного модуля. Рекомендуется укажите различающиеся имена контейнеров AD, в которых находится объект-компьютер, в качестве значения параметра SearchBase. Если компьютеры хранятся в нескольких подразделениях, командлеты могут принимать входные данные конвейера для выполнения один раз для каждого контейнера. Различающееся имя контейнера AD выглядит примерно так: OU=Machines,DC=contoso,DC=com.
При выполнении поиска, ориентированного на определенные контейнеры, он обеспечивает следующие преимущества:
Снижает риск превышения времени ожидания при запросе большого набора данных AD для объектов-компьютеров.
Может пропускать подразделения, содержащие серверы центров обработки данных или другие классы компьютеров, для которых резервное копирование может быть нежелательной или необходимой.
Другой вариант — предоставить флаг -Recurse с необязательной поисковой базой или без нее для поиска объектов-компьютеров во всех контейнерах в указанной Базе поиска или во всем домене соответственно. При использовании флага -Recurse можно также использовать параметр -MaxPageSize для управления объемом локальной и удаленной памяти, необходимой для обслуживания запроса.
Эти командлеты записывают данные в объекты конвейера типа PsObject. Каждый экземпляр PsObject содержит один ключ восстановления тома или строку владельца доверенного платформенного модуля с именем компьютера, меткой времени и другими сведениями, необходимыми для публикации в хранилище данных MBAM.
Write-Mbam* командлеты** принимают значения параметров сведений о восстановлении из конвейера по имени свойства. Это позволяет командлетам Write-Mbam* принимать выходные данные конвейера Read-AD* командлетов. Например Read-ADRecoveryInformation -Server contoso.com -Recurse | Write-MbamRecoveryInformation -RecoveryServiceEndpoint mbam.contoso.com
Командлеты Write-Mbam* включают необязательные параметры, которые предоставляют параметры отказоустойчивости, подробного ведения журнала и настройки для WhatIf и Confirm.
Командлеты Write-Mbam* также включают необязательный параметр Time , значением которого является объект DateTime . Этот объект включает атрибут Kind , который может быть задан как Local, UTCили Unspecified. При заполнении параметра Time из данных, взятых из Active Directory, время преобразуется в формат UTC, а атрибут Kind автоматически задается в UTCзначение . Однако при заполнении параметра Time с помощью другого источника, например текстового файла, необходимо явно задать для атрибута Kind соответствующее значение.
Примечание.
Командлеты Read-AD* не могут обнаружить учетные записи пользователей, которые представляют пользователей компьютера. Сопоставления учетных записей пользователей необходимы для следующих действий:
Пользователи восстанавливают пароли томов или пакеты с помощью портала Self-Service.
Пользователи, которые не являются пользователями расширенной службы технической поддержки MBAM, как определено во время установки, восстанавливаются от имени других пользователей.
Настройка MBAM для автоматической разблокировки доверенного платформенного модуля после блокировки
Вы можете настроить MBAM 2.5 с пакетом обновления 1 (SP1) для автоматической разблокировки доверенного платформенного модуля, если он заблокирован. Если включен автоматический сброс блокировки доверенного платформенного модуля, MBAM может обнаружить, что пользователь заблокирован, а затем получить пароль OwnerAuth из базы данных MBAM, чтобы автоматически разблокировать TPM для пользователя. Автоматический сброс блокировки доверенного платформенного модуля доступен только в том случае, если ключ восстановления ОС для этого компьютера был получен с помощью портала самообслуживания или веб-сайта администрирования и мониторинга.
Важно.
Чтобы включить автоматический сброс блокировки доверенного платформенного модуля, необходимо настроить эту функцию как на стороне сервера, так и в групповой политике на стороне клиента.
Чтобы включить автоматический сброс блокировки доверенного платформенного модуля на стороне клиента, настройте параметр групповой политики "Настройка автоматического сброса блокировки доверенного платформенного модуля", расположенный в разделе Конфигурация> компьютераАдминистративные шаблоны>Компоненты>Windows MDOP MBAM>Client Management.
Чтобы включить автоматический сброс блокировки доверенного платформенного модуля на стороне сервера, установите флажок "Включить автоматический сброс блокировки доверенного платформенного модуля" в мастере настройки сервера MBAM во время установки.
Вы также можете включить автоматический сброс блокировки доверенного платформенного модуля в PowerShell, указав
-TPMпараметр "автоматический сброс блокировки" при включении веб-компонента службы агента.
Когда пользователь введет ключ восстановления BitLocker, полученный на портале самообслуживания или веб-сайте администрирования и мониторинга, агент MBAM определит, заблокирован ли доверенный платформенный модуль. Если он заблокирован, он пытается получить значение OwnerAuth доверенного платформенного модуля для компьютера из базы данных MBAM. Если проверка владельца доверенного платформенного модуля успешно получена, она используется для разблокировки доверенного платформенного модуля. Разблокировка доверенного платформенного модуля делает TPM полностью функциональным, и пользователь не будет вынужден вводить пароль восстановления во время последующих перезагрузок из-за блокировки доверенного платформенного модуля.
Автоматический сброс блокировки доверенного платформенного модуля отключен по умолчанию.
Примечание.
Автоматический сброс блокировки доверенного платформенного модуля поддерживается только на компьютерах под управлением доверенного платформенного модуля версии 1.2. TPM 2.0 предоставляет встроенные функции автоматического сброса блокировки.
Отчет об аудите восстановления содержит события, связанные с автоматическим сбросом блокировки доверенного платформенного модуля. Если клиент MBAM запрашивает пароль ownerAuth доверенного платформенного модуля, регистрируется событие, указывающее на восстановление. Записи аудита включают следующие события:
| Запись | Значение |
|---|---|
| Источник запроса аудита | Разблокировка доверенного платформенного модуля агента |
| Тип ключа | Хэш паролей доверенного платформенного модуля |
| Описание причины | Сброс доверенного платформенного модуля |
Безопасные подключения к SQL Server
В MBAM SQL Server взаимодействует со службами SQL Server Reporting Services и веб-службами веб-сайта администрирования и мониторинга, а также с порталом Self-Service. Мы рекомендуем защитить обмен данными с SQL Server. Дополнительные сведения см. в разделе Шифрование подключений к SQL Server.
Дополнительные сведения о защите веб-сайтов MBAM см. в разделе Планирование защиты веб-сайтов MBAM.
Создание учетных записей и групп
Для управления учетными записями пользователей рекомендуется создавать глобальные группы доменов и добавлять в них учетные записи пользователей. Описание рекомендуемых учетных записей и групп см. в разделе Планирование групп и учетных записей MBAM 2.5.
Использование файлов журнала MBAM
В этом разделе описаны файлы журнала сервера MBAM и клиента MBAM.
Файлы журнала установки сервера MBAM
Файл MBAMServerSetup.exe создает следующие файлы журнала в папке пользователя %temp% во время установки MBAM:
Microsoft_BitLocker_Administration_and_Monitoring_<14 numbers>.logРегистрирует действия во время установки MBAM и конфигурации компонентов сервера MBAM.
Microsoft_BitLocker_Administration_and_Monitoring_<14_numbers>_0_MBAMServer.msi.logРегистрирует другие действия во время установки.
Файлы журнала конфигурации сервера MBAM
Applications and Services Logs/Microsoft Windows/MBAM-SetupРегистрирует ошибки при использовании командлетов Windows PowerShell или мастера настройки сервера MBAM для настройки функций сервера MBAM.
Файлы журнала установки клиента MBAM
MSI<five random characters>.logРегистрирует действия, выполненные во время установки клиента MBAM.
файлы журналов MBAM-Web
- Показывает действия с веб-порталов и служб.
Ознакомьтесь с рекомендациями по TDE базы данных MBAM
Функция прозрачного шифрования данных (TDE), доступная в SQL Server, является необязательной установкой для экземпляров базы данных, на которых размещены функции базы данных MBAM.
С помощью TDE можно выполнять полное шифрование на уровне базы данных в режиме реального времени. TDE — это оптимальный выбор для массового шифрования в соответствии с нормативными требованиями или корпоративными стандартами безопасности данных. TDE работает на уровне файлов, что похоже на две функции Windows: шифрование файловой системы (EFS) и шифрование диска BitLocker. Обе функции также шифруют данные на жестком диске. TDE не заменяет шифрование на уровне ячеек, EFS или BitLocker.
Если В базе данных включен TDE, все резервные копии шифруются. Таким образом, необходимо соблюдать особую осторожность для обеспечения резервного копирования сертификата, который использовался для защиты ключа шифрования базы данных, и его обслуживание с резервной копией базы данных. Если этот сертификат потерян, данные не читаемы.
Создайте резервную копию сертификата с помощью базы данных. Каждая резервная копия сертификата должна содержать два файла. Оба этих файла должны быть архивированы. В идеале для обеспечения безопасности они должны создаваться отдельно от файла резервной копии базы данных. Кроме того, можно использовать функцию расширенного управления ключами (EKM) для хранения и обслуживания ключей, используемых для TDE.
Пример включения TDE для экземпляров базы данных MBAM см. в разделе Прозрачное шифрование данных (TDE).
Общие рекомендации по безопасности
Изучите риски безопасности. Самый серьезный риск при использовании MBAM заключается в том, что его функциональность может быть скомпрометирована несанкционированным пользователем. Затем этот пользователь может перенастроить шифрование диска BitLocker и получить данные ключа шифрования BitLocker на клиентах MBAM. Потеря функции MBAM в течение короткого периода времени из-за атаки типа "отказ в обслуживании" обычно не оказывает катастрофических последствий.
Физическая защита компьютеров. Нет безопасности без физической безопасности. Злоумышленник, получающий физический доступ к серверу MBAM, может использовать его для атаки на всю клиентскую базу. Все потенциальные физические атаки должны считаться высоким риском и соответствующим образом устраняться. Серверы MBAM должны храниться в защищенной серверной комнате с управляемым доступом. Защитите эти компьютеры, если администраторы физически не присутствуют, заблокировав операционную систему или используя защищенную заставку.
Примените последние обновления для системы безопасности ко всем компьютерам.
Используйте надежные пароли или парольные фразы. Всегда используйте надежные пароли с 15 или более символами для всех учетных записей администратора MBAM. Никогда не используйте пустые пароли. Дополнительные сведения об основных понятиях паролей см. в разделе Политика паролей.