Sicherheitsüberlegungen zu MBAM 2.0
Letzte Aktualisierung: April 2013
Betrifft: Microsoft BitLocker Administration and Monitoring 2.0
Dieses Thema enthält einen kurzen Überblick über die Konten und Gruppen, die Protokolldateien und andere sicherheitsrelevante Aspekte in Microsoft BitLocker-Administration und Überwachung (MBAM). Weitere Informationen finden Sie, wenn Sie den Links in diesem Artikel folgen.
Allgemeine Sicherheitsaspekte
Seien Sie sich der Sicherheitsrisiken bewusst. Das schwerwiegendste Risiko in Microsoft BitLocker Administration and Monitoring besteht im Zugriff eines nicht autorisierten Benutzers auf die Funktionen, da ein solcher Benutzer die BitLocker-Verschlüsselung neu konfigurieren und sich Zugriff auf die BitLocker-Verschlüsselungsschlüsseldaten auf den MBAM-Clients verschaffen könnte. Ein kurzzeitiger Verlust von MBAM-Funktionen aufgrund eines Denial-of-Service-Angriffs würde jedoch nicht grundsätzlich folgenschwere Auswirkungen haben – anders als der Verlust von z. B. E-Mail, Netzwerkkommunikation, Beleuchtung und Energieversorgung.
Sichern Sie Ihre Computer physisch. Es gibt keine Sicherheit ohne physische Sicherheit. Jeder Angreifer, der über physischen Zugriff auf einen MBAM-Server verfügt, kann den Server potenziell verwenden, um einen Angriff auf die gesamte Clientbasis auszuführen. Potenzielle Angriffe auf physischer Basis sind als hohes Risiko einzustufen, und es müssen geeignete Maßnahmen ergriffen werden. MBAM-Server müssen in einem gesicherten Serverraum mit kontrolliertem Zugang untergebracht sein. Sichern Sie die Computer bei Abwesenheit von Administratoren durch Betriebssystemsperren oder geschützte Bildschirmschoner.
Wenden Sie auf allen Computern die aktuellen Sicherheitsupdates an. Abonnieren Sie den Sicherheitsbenachrichtigungsdienst (https://go.microsoft.com/fwlink/?LinkId=28819), um stets aktuelle Informationen zu neuen Updates für Betriebssysteme, Microsoft SQL Server und MBAM zu erhalten.
Verwenden Sie sichere Kennwörter oder Passphrasen. Verwenden Sie für MBAM und MBAM-Administratorkonten grundsätzlich sichere Kennwörter mit 15 oder mehr Zeichen. Verwenden Sie niemals leere Kennwörter. Weitere Informationen zu Kennwortkonzepten finden Sie im Whitepaper „Account Passwords and Policies“ (Kennwörter und Richtlinien für Konten) auf TechNet (https://go.microsoft.com/fwlink/?LinkId=30009).
Konten und Gruppen in MBAM
Die bewährte Methode beim Verwalten von Benutzerkonten besteht im Erstellen globaler Domänengruppen, denen die Benutzerkonten hinzugefügt werden. Dann werden die globalen Domänenkonten den erforderlichen lokalen MBAM-Gruppen auf den MBAM-Servern hinzugefügt.
Gruppen in Active Directory-Domänendienste
Beim MBAM-Setupvorgang werden keine Active Directory-Gruppen automatisch erstellt. Es wird jedoch empfohlen, die folgenden globalen Active Directory-Domänendienste-Gruppen zum Verwalten von MBAM-Vorgängen zu erstellen:
| Gruppenname | Details |
|---|---|
MBAM-Helpdeskbenutzer (erweitert) |
Erstellen Sie diese Gruppe, um Mitglieder der lokalen Gruppe „MBAM Advanced Helpdesk Users“ zu verwalten, die beim Setup von MBAM erstellt wurde. |
Zugriff auf die MBAM-Konformitäts- und Überwachungsdatenbank |
Erstellen Sie diese Gruppe, um Mitglieder der lokalen Gruppe „MBAM Compliance Auditing DB Access“ zu verwalten, die beim Setup von MBAM erstellt wurde. |
MBAM-Helpdeskbenutzer |
Erstellen Sie diese Gruppe, um Mitglieder der lokalen Gruppe „MBAM Helpdesk Users“ zu verwalten, die beim Setup von MBAM erstellt wurde. |
Zugriff auf die MBAM-Wiederherstellungs- und Hardwaredatenbank |
Erstellen Sie diese Gruppe, um Mitglieder der lokalen Gruppe „MBAM Recovery and Hardware DB Access“ zu verwalten, die beim Setup von MBAM erstellt wurde. |
MBAM-Berichtsbenutzer |
Erstellen Sie diese Gruppe, um Mitglieder der lokalen Gruppe „MBAM Report Users“ zu verwalten, die beim Setup von MBAM erstellt wurde. |
MBAM-Systemadministratoren |
Erstellen Sie diese Gruppe, um Mitglieder der lokalen Gruppe „MBAM System Administrators“ zu verwalten, die beim Setup von MBAM erstellt wurde. |
BitLocker-Verschlüsselungsausnahmen |
Erstellen Sie diese Gruppe, um die Benutzerkonten mit einer Ausnahme von der BitLocker-Verschlüsselung zu verwalten, die beim Anmelden der Benutzer auf den Computern gestartet wird. |
Lokale MBAM-Servergruppen
Beim Setup von MBAM werden lokale Gruppen erstellt, um MBAM-Vorgänge zu unterstützen. Fügen Sie die globalen Active Directory-Domänendienste-Gruppen den entsprechenden lokalen MBAM-Gruppen hinzu, um die Sicherheits- und Datenzugriffsberechtigungen für MBAM zu konfigurieren.
| Gruppenname | Details |
|---|---|
MBAM-Helpdeskbenutzer (erweitert) |
Mitglieder dieser Gruppe verfügen über erweiterten Zugriff auf die Helpdeskfunktionen von MBAM. |
Zugriff auf die MBAM-Konformitäts- und Überwachungsdatenbank |
Enthält die Geräte mit Zugriff auf die MBAM-Konformitäts- und Überwachungsdatenbank. |
MBAM-Helpdeskbenutzer |
Mitglieder dieser Gruppe verfügen über Zugriff auf einige Helpdeskfunktionen von MBAM. |
Zugriff auf die MBAM-Wiederherstellungs- und Hardwaredatenbank |
Enthält die Geräte mit Zugriff auf die MBAM-Wiederherstellungsdatenbank. |
MBAM-Berichtsbenutzer |
Mitglieder dieser Gruppe verfügen über Zugriff auf die Kompatibilitäts- und Überwachungsberichte in MBAM. |
MBAM-Systemadministratoren |
Mitglieder dieser Gruppe können auf alle MBAM-Funktionen zugreifen. |
Dienstkonto für SSRS-Berichte
Durch das Dienstkonto für SSRS-Berichte wird der Sicherheitskontext zum Ausführen der MBAM-Berichte bereitgestellt, die über SSRS verfügbar sind. Das Konto wird beim Setup von MBAM konfiguriert.
Geben Sie beim Konfigurieren des Dienstkontos für SSRS-Berichte ein Domänenbenutzerkonto an, und konfigurieren Sie das Kennwort so, dass es nicht abläuft.
Hinweis
Wenn Sie den Namen des Dienstkontos nach dem Bereitstellen von MBAM ändern, müssen Sie die Berichtsdatenquelle zum Verwenden der Anmeldeinformationen des neuen Dienstkontos konfigurieren. Andernfalls können Sie nicht auf das Helpdeskportal zugreifen.
MBAM-Protokolldateien
Beim Setup von MBAM werden die folgenden MBAM-Setupprotokolldateien im Ordner „%temp%“ des installierenden Benutzers erstellt:
Setup-Protokolldateien für MBAM-Server
- MSI<fünf zufällige Zeichen>.log**
In dieser Datei werden die Aktionen protokolliert, die beim Setup von MBAM und bei der Installation der MBAM-Serverfunktionen ausgeführt werden.
- InstallComplianceDatabase.log
In dieser Datei werden die Aktionen protokolliert, die zum Erstellen der MBAM-Konformitäts- und Überwachungsdatenbank ausgeführt werden.
- InstallKeyComplianceDatabase.log
In dieser Datei werden die Aktionen protokolliert, die zum Erstellen der MBAM-Wiederherstellungsdatenbank ausgeführt werden.
- AddHelpDeskDbAuditUsers.log
In dieser Datei werden die Aktionen protokolliert, die zum Erstellen der SQL Server-Anmeldungen für die MBAM-Konformitätsstatusdatenbank und Autorisieren des Helpdesk-Webdiensts für die Datenbank und die Berichte ausgeführt werden.
- AddHelpDeskDbUsers.log
In dieser Datei werden die Aktionen protokolliert, die zum Autorisieren der Webdienste für die Datenbank zur Schlüsselwiederherstellung sowie zum Erstellen der Anmeldungen für die MBAM-Wiederherstellungsdatenbank ausgeführt werden.
- AddKeyComplianceDbUsers.log
In dieser Datei werden die Aktionen protokolliert, die zum Autorisieren der Webdienste für die MBAM-Konformitäts- und Überwachungsdatenbank zur Konformitätsberichterstellung ausgeführt werden.
- AddRecoveryAndHardwareDbUsers.log
In dieser Datei werden die Aktionen protokolliert, die zum Autorisieren der Webdienste für die MBAM-Wiederherstellungsdatenbank zur Schlüsselwiederherstellung ausgeführt werden.
Hinweis
Zum Abrufen zusätzlicher MBAM-Setupprotokolldateien müssen Sie MBAM mithilfe des Pakets „msiexec“ und der Option „/L <Speicherort>“ installieren. Die Protokolldateien werden dann am angegebenen Speicherort erstellt.
Setup-Protokolldateien für MBAM-Clients
- MSI<fünf zufällige Zeichen>.log**
In dieser Datei werden die Aktionen protokolliert, die während der MBAM-Clientinstallation ausgeführt werden.
Überlegungen zu TDE bei MBAM-Datenbanken
Die Funktion „Transparente Datenverschlüsselung“ (Transparent Data Encryption, TDE) in SQL Server ist optional für die Datenbankinstanzen, von denen die MBAM-Datenbankfunktionen gehostet werden sollen.
Mithilfe von TDE können Sie eine vollständige Echtzeitverschlüsselung auf Datenbankebene durchführen. TDE ist die optimale Lösung für die Massenverschlüsselung zur Einhaltung von gesetzlichen Bestimmungen und Sicherheitsstandards für Unternehmensdaten. TDE arbeitet auf Dateiebene, was auch für zwei Windows-Funktionen gilt: das verschlüsselnde Dateisystem (Encrypting File System, EFS) und die BitLocker-Laufwerkverschlüsselung, von denen ebenfalls Daten auf dem Festplattenlaufwerk verschlüsselt werden. Die Verschlüsselung auf Zellenebene, EFS oder BitLocker werden durch TDE nicht ersetzt.
Wenn TDE für eine Datenbank aktiviert ist, werden alle Sicherungen verschlüsselt. Daher muss besonders darauf geachtet werden, dass das Zertifikat, das zum Schützen des Verschlüsselungsschlüssels für die Datenbank verwendet wurde, gesichert und bei der Datenbanksicherung beibehalten wird. Wenn dieses Zertifikat verloren geht, können die Daten nicht mehr gelesen werden. Sichern Sie das Zertifikat zusammen mit der Datenbank. Jede Zertifikatsicherung muss zwei Dateien enthalten. Beide Dateien müssen archiviert werden (aus Sicherheitsgründen am besten getrennt von der Datenbanksicherungsdatei). Alternativ können Sie zum Speichern und Warten der Schlüssel, die für TDE verwendet werden, die Funktion zur erweiterbaren Schlüsselverwaltung verwenden.
Ein Beispiel für das Aktivieren von TDE für MBAM-Datenbankinstanzen finden Sie unter Auswerten von MBAM 2.0.
Weitere Informationen zu TDE in SQL Server 2008 finden Sie unter SQL Server-Verschlüsselung.
Siehe auch
Andere Ressourcen
Sicherheit und Datenschutz für MBAM 2.0
-----
Sie können in der TechNet-Bibliothek weitere Informationen zu MDOP lesen, im TechNet Wiki nach „Troubleshooting“ suchen oder uns auf Facebook oder Twitter folgen.
-----