Consideraciones de seguridad de MBAM 1.0
Se aplica a: Microsoft BitLocker Administration and Monitoring 1.0
Este tema contiene una breve descripción de las cuentas y grupos, los archivos de registro y otras consideraciones de seguridad para Microsoft BitLocker Administration and Monitoring (MBAM). Para obtener más información, siga los vínculos de este artículo.
Consideraciones generales de seguridad
Conocer los riesgos de seguridad. El mayor riesgo para MBAM es el asalto de su funcionalidad por parte de un usuario no autorizado, ya que entonces podría reconfigurar el cifrado de BitLocker y obtener los datos de claves de cifrado de BitLocker en los clientes de MBAM. Sin embargo, la pérdida de la funcionalidad de MBAM durante un breve periodo de tiempo debido a un ataque de denegación de servicio no tendría, por lo general, un impacto catastrófico.
Proteger físicamente los equipos. La seguridad es incompleta sin seguridad física. En potencia, cualquier persona que tenga acceso físico a un servidor de MBAM podría lanzar un ataque a toda la base de clientes. Cualquier ataque físico potencial se debe considerar de alto riesgo y debe mitigarse de modo apropiado. Los servidores de MBAM se deben almacenar en una sala de servidores protegida físicamente y con acceso controlado. Proteja estos equipos cuando los administradores no estén físicamente presentes haciendo que el sistema operativo bloquee el equipo o mediante el uso de un protector de pantalla seguro.
Aplique las actualizaciones de seguridad más recientes a todos los equipos. Manténgase informado acerca de las nuevas actualizaciones de sistema operativos, Microsoft SQL Server y MBAM. Para esto, suscríbase al servicio de notificaciones de seguridad (https://go.microsoft.com/fwlink/p/?LinkId=28819).
Utilice contraseñas o frases de contraseña seguras. Utilice siempre contraseñas seguras con 15 o más caracteres para todas las cuentas de administrador de MBAM y MBAM. Nunca utilice contraseñas en blanco. Para obtener más información acerca de los conceptos de contraseñas, consulte la nota de producto “Account Passwords and Policies” (“Contraseñas y políticas de cuenta”) en TechNet (https://go.microsoft.com/fwlink/p/?LinkId=30009).
Cuentas y grupos de MBAM
Un procedimiento recomendado para la administración de cuentas de usuario es crear grupos globales de dominio y agregarles cuentas de usuario. A continuación, agregue las cuentas globales de dominio a los grupos locales de MBAM necesarios en los servidores de MBAM.
Grupos de Servicios de dominio de Active Directory
Durante la instalación de MBAM, no se crea automáticamente ningún grupo. Sin embargo, se deben crear los siguientes grupos globales de Servicios de dominio de Active Directory para administrar las operaciones de MBAM.
| Nombre de grupo | Información detallada |
|---|---|
Usuarios de Soporte técnico avanzado de MBAM |
Cree este grupo para administrar a los miembros del grupo local de usuarios de soporte técnico avanzado que se creó durante la instalación de MBAM. |
Acceso a la base de datos de cumplimiento y auditoría de MBAM |
Cree este grupo para administrar a los miembros del grupo local que tienen acceso a la base de datos de cumplimiento y auditoría de MBAM que se creó durante la instalación de MBAM. |
Usuarios de hardware de MBAM |
Cree este grupo para administrar a los miembros del grupo local de usuarios de hardware de MBAM que se creó durante la instalación de MBAM. |
Usuarios de Soporte técnico de MBAM |
Cree este grupo para administrar a los miembros del grupo local de usuarios de soporte técnico de MBAM que se creó durante la instalación de MBAM. |
Acceso a la base de datos de recuperación y hardware de MBAM |
Cree este grupo para administrar a los miembros del grupo local que tienen acceso a la base de datos de recuperación y hardware de MBAM que se creó durante la instalación de MBAM. |
Usuarios de informes de MBAM |
Cree este grupo para administrar a los miembros del grupo local de usuarios de informes de MBAM que se creó durante la instalación de MBAM. |
Administradores del sistema de MBAM |
Cree este grupo para administrar a los miembros del grupo local de administradores del sistema de MBAM que se creó durante la instalación de MBAM. |
Exenciones de cifrado de BitLocker |
Cree este grupo para administrar las cuentas de usuario que deben estar exentas del inicio de cifrado de BitLocker en los equipos en que inician sesión. |
Grupos locales del servidor de MBAM
El programa de instalación de MBAM crea grupos locales para admitir operaciones de MBAM. Debe agregar los grupos globales de Servicios de dominio de Active Directory a los grupos locales de MBAM apropiados para configurar los permisos de acceso a datos y seguridad de MBAM.
| Nombre de grupo | Información detallada |
|---|---|
Usuarios de Soporte técnico avanzado de MBAM |
Los miembros de este grupo tienen acceso ampliado a las características de Soporte técnico de Microsoft BitLocker Administration and Monitoring. |
Acceso a la base de datos de cumplimiento y auditoría de MBAM |
Este grupo contiene los equipos que tienen acceso a la base de datos de cumplimiento y auditoría de MBAM. |
Usuarios de hardware de MBAM |
Los miembros de este grupo tienen acceso a algunas de las características de capacidad de hardware de Microsoft BitLocker Administration and Monitoring. |
Usuarios de Soporte técnico de MBAM |
Los miembros de este grupo tienen acceso a algunas de las características de Soporte técnico de Microsoft BitLocker Administration and Monitoring. |
Acceso a la base de datos de recuperación y hardware de MBAM |
Este grupo contiene los equipos que tienen acceso a la base de datos de recuperación y hardware de MBAM. |
Usuarios de informes de MBAM |
Los miembros de este grupo tienen acceso a los informes de cumplimiento y auditoría de Microsoft BitLocker Administration and Monitoring. |
Administradores del sistema de MBAM |
Los miembros de este grupo tienen acceso a todas las características de Microsoft BitLocker Administration and Monitoring. |
Cuenta de acceso a informes de SSRS
La cuenta de servicio de informes de SQL Server Reporting Services (SSRS) proporciona el contexto de seguridad para ejecutar los informes de MBAM disponibles a través de SSRS. Esta cuenta se configura durante la instalación de MBAM.
Archivos de registro de MBAM
Durante la instalación de MBAM, se crean los siguientes archivos de registro de instalación de MBAM en la carpeta %temp% del usuario que instala.
Archivos de registro de instalación de servidor de MBAM
- MSI<cinco caracteres aleatorios>.log**
Registra las acciones realizadas durante el programa de instalación de MBAM y la instalación de características de servidor de MBAM.
- InstallComplianceDatabase.log
Registra las acciones realizadas para crear la instalación de la base de datos de estado de cumplimiento de MBAM.
- InstallKeyComplianceDatabase.log
Registra las acciones realizadas para crear la base de datos de recuperación y hardware de MBAM.
- AddHelpDeskDbAuditUsers.log
Registra las acciones realizadas para crear los inicios de sesión de SQL Server en la base de datos de estado de cumplimiento de MBAM y autorizar el acceso del servicio de web de soporte técnico a la base de datos para la obtención de informes.
- AddHelpDeskDbUsers.log
Registra las acciones realizadas para autorizar el acceso de los servicios web a la base de datos para la recuperación de claves y crear los inicios de sesión a la base de datos de recuperación y hardware de MBAM.
- AddKeyComplianceDbUsers.log
Registra las acciones realizadas para autorizar el acceso de los servicios web a la base de datos de estado de cumplimiento de MBAM para los informes de cumplimiento.
- AddRecoveryAndHardwareDbUsers.log
Registra las acciones realizadas para autorizar el acceso de los servicios web a la base de datos de recuperación y hardware de MBAM para la recuperación de claves.
Nota
Para obtener archivos de registro de instalación de MBAM adicionales, se debe instalar Microsoft BitLocker Administration and Monitoring mediante el uso del paquete msiexec y la opción /l <ubicación>. Los archivos de registro se crean en la ubicación especificada.
Archivos de registro de instalación de cliente de MBAM
- MSI<cinco caracteres aleatorios>.log**
Registra las acciones realizadas durante la instalación del cliente de MBAM.
Consideraciones de TDE de base de datos de MBAM
La característica de cifrado de datos transparente (TDE) disponible en SQL Server 2008 es un requisito previo necesario para la instalación de las instancias de base de datos que hospedarán las características de base de datos de MBAM.
Con TDE, puede realizar cifrado completo de nivel de base de datos en tiempo real. TDE es una opción muy apropiada para el cifrado masivo a fin de satisfacer el cumplimiento de reglamentaciones o estándares de seguridad de datos empresariales. TDE funciona en el nivel de archivo, de forma similar a dos características de Windows: el sistema de archivos cifrados (EFS) y el cifrado de unidad BitLocker, que también cifran los datos en el disco duro. TDE no sustituye a cifrado de nivel de celda, EFS o BitLocker.
Cuando TDE está habilitado en una base de datos, se cifran todas las copias de seguridad. Por lo tanto, se debe poner especial atención en asegurarse de que el certificado que se utilizó para proteger la clave de cifrado de base de datos (DEK) forma parte y se mantiene con la copia de seguridad de la base de datos. Sin un certificado, los datos serán ilegibles. Haga una copia de seguridad del certificado junto con la base de datos. Cada copia de seguridad del certificado debe tener dos archivos; ambos archivos deben almacenarse. Por seguridad, es mejor almacenarlos de forma independiente al archivo de copia de seguridad de la base de datos.
Para obtener un ejemplo de la habilitación de TDE para las instancias de base de datos de MBAM, consulte Evaluación de MBAM 1.0.
Para obtener más información acerca de TDE en SQL Server 2008, consulte Database Encryption in SQL Server 2008 Enterprise Edition (Cifrado de base de datos en SQL Server 2008 Enterprise Edition).
Vea también
Otros recursos
Seguridad y privacidad para MBAM 1.0
-----
Para obtener más información acerca de MDOP, consulte la biblioteca de TechNet, busque soluciones de problemas en TechNet Wikio síganos en Facebook o Twitter.
-----