Consideraciones sobre seguridad de MBAM 2.5
Se aplica a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
En este tema se incluye la siguiente información sobre cómo proteger Microsoft BitLocker Administration and Monitoring (MBAM):
Configurar MBAM para custodiar el TPM y almacenar contraseñas OwnerAuth
Se configure MBAM para desbloquear automáticamente el TPM después de un bloqueo
Conexiones seguras a SQL Server
Crear cuentas y grupos
Usar archivos de registro de MBAM
Revisar las consideraciones sobre el TDE de la base de datos de MBAM
Consideraciones sobre seguridad general
Configurar MBAM para custodiar el TPM y almacenar contraseñas OwnerAuth
Dependiendo de su configuración, el módulo de plataforma segura (TPM) se bloquea en determinadas situaciones como, por ejemplo, cuando se especifican demasiadas contraseñas incorrectas, y puede permanecer bloqueado durante un período de tiempo. Durante el bloqueo de TPM, BitLocker no puede acceder a las claves de cifrado para realizar el desbloqueo u operaciones de descifrad, y requiere que el usuario especifique su clave de recuperación de BitLocker para acceder a la unidad del sistema operativo. Para restablecer el bloqueo de TPM, tiene que proporcionar la contraseña OwnerAuth de TPM.
MBAM puede almacenar la contraseña OwnerAuth de TPM en la base de datos de MBAM si es propietario del TPM o si custodia la contraseña. Después se puede acceder fácilmente a las contraseñas OwnerAuth en el sitio web de Administration and Monitoring cuando hay que recuperarse de un bloqueo de TPM, lo que elimina la necesidad de esperar a que el bloqueo se resuelva por sí mismo.
Custodia de OwnerAuth de TPM en Windows 8 y versiones posteriores
En Windows 8 o versiones posteriores, MBAM ya no tiene que ser propietario del TPM para almacenar la contraseña OwnerAuth, siempre que la OwnerAuth esté disponible en la máquina local.
Para habilitar MBAM con el fin de custodiar y luego almacenar contraseñas OwnerAuth de TPM, debe configurar estas opciones de directiva de grupo.
| Configuración de directiva de grupo | Configuración |
|---|---|
Activar copia de seguridad del TPM en los Servicios de dominio de Active Directory |
Deshabilitado o No configurado |
Configurar el nivel de información de autorización de propietario de TPM disponible para el sistema operativo |
Delegado/Ninguno o No configurado |
La ubicación de esta configuración de directiva de grupo es Configuración del equipo > Plantillas administrativas > Sistema > Servicios del Módulo de plataforma segura.
Nota
Windows quita localmente la OwnerAuth después de que MBAM la custodie correctamente con estos valores.
Custodia de OwnerAuth de TPM en Windows 7
En Windows 7, MBAM debe ser propietario del TPM para custodiar automáticamente la información de OwnerAuth de TPM en la base de datos de MBAM. Si MBAM no es el propietario del TPM, se deben usar los cmdlets de importación de datos de Active Directory (AD) MBAM para copiar OwnerAuth de TPM desde Active Directory en la base de datos de MBAM.
Cmdlets de importación de datos de Active Directory de MBAM
Los cmdlets de importación de datos de Active Directory de MBAM permiten recuperar paquetes de claves de recuperación y contraseñas OwnerAuth que estén almacenados en Active Directory.
El servidor de MBAM 2.5 SP1 incluye cuatro cmdlets de PowerShell que rellenan previamente las bases de datos de MBAM con la información de propietario del TPM y de recuperación de volúmenes y la almacena en Active Directory.
Para obtener paquetes y claves de recuperación de volúmenes:
Read-ADRecoveryInformation
Write-MbamRecoveryInformation
Para obtener información de propietario TPM:
Read-ADTpmInformation
Write-MbamTpmInformation
Para asociar usuarios a equipos:
- Write-MbamComputerUser
Los cmdlets Read-AD* leen información de Active Directory. Los cmdlets Write-Mbam* insertan los datos en las bases de datos de MBAM. Vea la Referencia de cmdlets para Microsoft BitLocker Administration and Monitoring 2.5 para obtener información detallada sobre estos cmdlets, incluidos la sintaxis, los parámetros y ejemplos.
Crear asociaciones de usuario a equipo: Los cmdlets de importación de datos de Active Directory de MBAM recopilan información de Active Directory e insertan los datos en la base de datos de MBAM. Pero no asocian usuarios a volúmenes. Puede descargar el script Add-ComputerUser.ps1 de PowerShell para crear asociaciones de usuario a máquina, que permiten a los usuarios recuperar el acceso a un equipo a través del sitio web de Administration and Monitoring o mediante el Portal de autoservicio para recuperación. El script Add-ComputerUser.ps1 recopila los datos del atributo Managed By de Active Directory (AD), del propietario del objeto en AD o de un archivo CSV personalizado. El script agrega luego los usuarios detectados al objeto de canalización de información de recuperación, que debe pasarse a Write-MbamRecoveryInformation para insertar los datos en la base de datos de recuperación.
Descargue el script Add-ComputerUser.ps1 de PowerShell desde el Centro de descarga de Microsoft.
Puede especificar help Add-ComputerUser.ps1 para obtener ayuda sobre el script, incluidos ejemplos de cómo usar los cmdlets y el script.
Para crear asociaciones de usuario a equipo después de instalado el servidor de MBAM, use el cmdlet Write-MbamComputerUser de PowerShell. Al igual que el script Add-ComputerUser.ps1 de PowerShell, este cmdlet permite especificar los usuarios que pueden usar el Portal de autoservicio para obtener información de OwnerAuth de TPM o contraseñas de recuperación de volúmenes para el equipo especificado.
Nota
El agente de MBAM reemplazará las asociaciones de usuario a equipo cuando dicho equipo comience a notificar al servidor.
Requisitos previos: Los cmdlets Read-AD* solo pueden recuperar información de Active Directory si se ejecutan como una cuenta de usuario con privilegios muy elevados, por ejemplo, un administrador de dominio, o se ejecutan como una cuenta de un grupo de seguridad personalizado con acceso de lectura a la información (recomendado).
Guía de operaciones de Cifrado de unidad BitLocker: El artículo sobre recuperación de volúmenes cifrados con AD DS ofrece detalles sobre cómo crear un grupo de seguridad personalizado (o varios grupos) con acceso de lectura a la información de AD.
Permisos de escritura de servicio web de recuperación y hardware de MBAM: Los cmdlets Write-Mbam* aceptan la dirección URL del Servicio de recuperación y hardware de MBAM, que sirve para publicar información de recuperación o de TPM. Normalmente, solo una cuenta de servicio de equipos de dominio puede comunicarse con el Servicio de recuperación y hardware de MBAM. En MBAM 2.5 SP1, puede configurarse el Servicio de recuperación y hardware de MBAM con un grupo de seguridad denominado DataMigrationAccessGroup cuyos miembros están autorizados a omitir la comprobación de cuentas de servicio de equipos de dominio . Los cmdlets Write-Mbam* deben ejecutarse como un usuario que pertenece a este grupo configurado. (También pueden especificarse las credenciales de un usuario individual en el grupo configurado con el parámetro – Credential en los cmdlets Write-Mbam*).
Puede configurar el Servicio de recuperación y hardware de MBAM con el nombre de este grupo de seguridad de una de estas maneras:
Proporcione el nombre del grupo de seguridad (o el usuario individual) en el parámetro -DataMigrationAccessGroup del cmdlet Enable-MbamWebApplication –AgentService de PowerShell.
Después de instalar el Servicio de recuperación y hardware de MBAM, configure el grupo editando el archivo web.config en la carpeta <inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\.
<add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />donde <groupName> se reemplaza por el dominio y el nombre del grupo (o el usuario individual) que se usa para permitir la migración de datos de Active Directory.
Use el Editor de configuración en el Administrador de IIS para editar este valor de appSetting.
En el siguiente ejemplo, cuando el comando se ejecuta como miembro del grupo ADRecoveryInformation y el grupo de usuarios de migración de datos, extrae información de recuperación de volúmenes de los equipos de la unidad organizativa (UO) ESTACIONES DE TRABAJO en el dominio contoso.com y la escribe en MBAM a través del Servicio de recuperación y hardware de MBAM que se ejecuta en el servidor mbam.contoso.com.
PS C:\> Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"
Los cmdlets Read-AD* aceptan el nombre o la dirección IP de una máquina del servidor host de Active Directory para consultar información de recuperación o de TPM. Se recomienda proporcionar los nombres completos de los contenedores de AD en los que reside el objeto de equipo como valor del parámetro SearchBase. Si los equipos están almacenados en varias unidades organizativas, los cmdlets pueden aceptar la entrada de la canalización para que se ejecute una vez para cada contenedor. El nombre completo de un contenedor de AD tendrá un aspecto similar a OU=Máquinas,DC=contoso,DC=com. La realización de una búsqueda destinada a determinados contenedores ofrece las siguientes ventajas:
Reduce el riesgo de tiempo de espera al consultar un gran conjunto de datos de AD para objetos de equipo.
Puede omitir las unidades organizativas que contengan servidores de centro de datos u otras clases de equipos para los que la copia de seguridad podría no ser deseable o necesaria.
Otra opción consiste en proporcionar la marca –Recurse con o sin el SearchBase opcional para buscar objetos de equipo en todos los contenedores en el SearchBase especificado o en todo el dominio respectivamente. Cuando se usa la -marca -Recurse, se puede usar también el parámetro -MaxPageSize para controlar la cantidad de memoria local y remota necesaria para atender el servicio.
Estos cmdlets escriben en los objetos de tipo PsObject de la canalización. Cada instancia de PsObject contiene una clave de recuperación de volumen único o una cadena de propietario de TPM con su nombre de equipo asociado, la marca de tiempo y otra información necesaria para su publicación en el almacén de datos de MBAM.
Los cmdlets Write-Mbam* aceptan valores de parámetros de información de recuperación de la canalización por nombre de propiedad. Esto permite que los cmdlets Write-Mbam* acepten la salida de la canalización de los cmdlets Read-AD* (por ejemplo, Read-ADRecoveryInformation –Server contoso.com –Recurse | Write-MbamRecoveryInformation –RecoveryServiceEndpoint mbam.contoso.com).
Los cmdlets Write-Mbam* incluyen parámetros opcionales que ofrecen opciones de tolerancia a errores, registro detallado y preferencias para WhatIf y Confirm.
Los cmdlets Write-Mbam* incluyen también un parámetro opcional Time cuyo valor es un objeto DateTime. Este objeto incluye un atributo Kind que se puede establecer en Local, UTC o Unspecified. Cuando el parámetro Time se rellena con datos obtenidos de Active Directory, la hora se convierte a UTC y el atributo Kind se establece automáticamente en UTC. Pero, al rellenar el parámetro Time con otro origen, como un archivo de texto, hay que establecer explícitamente el atributo Kind en su valor correspondiente.
Nota
Los cmdlets Read-AD* no tienen la posibilidad de detectar las cuentas de usuario que representan a los usuarios de equipos. Se requieren asociaciones de cuenta de usuario para que:
- Los usuarios recuperen paquetes y contraseñas de volumen a través del Portal de autoservicio
- Los usuarios que no están en la grupo de seguridad de usuarios avanzados del departamento de soporte técnico de MBAM, tal como se define durante la instalación, puedan ejecutar la recuperación en nombre de otros usuarios
Se configure MBAM para desbloquear automáticamente el TPM después de un bloqueo
Puede configurarse MBAM 2.5 SP1 para desbloquear automáticamente el TPM en caso de bloqueo. Si el restablecimiento automático de bloqueo de TPM está habilitado, MBAM puede detectar que un usuario está bloqueado y obtener la contraseña OwnerAuth de la base de datos de MBAM para desbloquear automáticamente el TPM para el usuario. El restablecimiento automático de bloqueo de TPM solo está disponible si la clave de recuperación del sistema operativo para el equipo se recuperó mediante el Portal de autoservicio o el sitio web de Administration and Monitoring.
Importante
Para habilitar el restablecimiento automático de bloqueo de TPM, debe configurar esta característica del lado servidor y en la directiva de grupo del lado cliente.
Para habilitar el restablecimiento automático de bloqueo de TPM del lado cliente, defina la configuración de directiva de grupo "Configurar restablecimiento automático de bloqueo de TPM" que se encuentra en Configuración del equipo > Plantillas administrativas > Componentes de Windows > MDOP MBAM > Administración de cliente.
Para habilitar automáticamente el restablecimiento automático de bloqueo de TPM del lado servidor, puede activar "Habilitar el restablecimiento automático de bloqueo de TPM" en el Asistente para la configuración del servidor de MBAM durante la instalación.
También puede habilitar el restablecimiento automático de bloqueo de TPM en PowerShell especificando el modificador "-TPM lockout auto reset" al habilitar el componente web del servicio de agente.
Cuando un usuario escribe la clave de recuperación de BitLocker que obtiene en el Portal de autoservicio o el sitio web de Administration and Monitoring, el agente de MBAM determinará si el TPM está bloqueado. Si está bloqueada, intentará recuperar la OwnerAuth de TPM para el equipo desde la base de datos de MBAM. Si la OwnerAuth de TPM se recupera correctamente, se usará para desbloquear el TPM. Al desbloquear el TPM, este queda completamente operativo y el usuario no se verá obligado a especificar la contraseña de recuperación durante los reinicios posteriores a un bloqueo de TPM.
El restablecimiento automático de bloqueo de TPM está deshabilitado de forma predeterminada.
Nota
Solo se admite el restablecimiento automático de bloqueo de TPM en equipos que ejecutan la versión 1.2 de TPM. TPM 2.0 ofrece funcionalidad integrada de restablecimiento automático de bloqueo.
El informe de auditoría de recuperación incluye eventos relacionados con el restablecimiento automático de bloqueo de TPM. Si se realiza una solicitud del cliente de MBAM para recuperar una contraseña OwnerAuth de TPM, se registra un evento que indica la recuperación. Las entradas de auditoría incluyen los siguientes eventos:
| Entrada | Valor |
|---|---|
Origen de la solicitud de auditoría |
Desbloqueo el TPM de agente |
Tipo de clave |
Hash de contraseña de TPM |
Descripción del motivo |
TPM restablecido |
Conexiones seguras a SQL Server
En MBAM, SQL Server se comunica con SQL Server Reporting Services y con los servicios web para el sitio web de Administration and Monitoring y el portal de autoservicio. Se recomienda proteger la comunicación con SQL Server. Para obtener más información, consulte Cifrar conexiones a SQL Server.
Para obtener más información sobre cómo proteger los sitios web de MBAM, consulte Planeación de la protección de los sitios web de MBAM.
Crear cuentas y grupos
Un procedimiento recomendado para la administración de cuentas de usuario es crear grupos globales de dominio y agregarles cuentas de usuario. Para obtener una descripción de las cuentas y grupos recomendados, consulte Planeación de grupos y cuentas de MBAM 2.5.
Usar archivos de registro de MBAM
En esta sección se describen los archivos de registro del servidor y del cliente de MBAM.
MBAM Archivos de registro de instalación del servidor
El archivo MBAMServerSetup.exe genera los siguientes archivos de registro en la carpeta %temp% del usuario durante la instalación de MBAM:
Microsoft_BitLocker_Administration_and_Monitoring_<14 numbers>.log
Registra las acciones realizadas durante la instalación de MBAM y la configuración de las característica del servidor de MBAM.
Microsoft_BitLocker_Administration_and_Monitoring_<14_numbers>_0_MBAMServer.msi.log
Registra las acciones adicionales llevadas a cabo durante la instalación.
MBAM Archivos de registro de configuración del servidor
Registros de aplicaciones y servicios/Microsoft Windows/MBAM-Setup
Registra los errores que se producen al usar cmdlets de Windows Powershell o el asistente de configuración de servidor de MBAM para configurar las características del servidor de MBAM.
MBAM Archivos de registro de instalación del cliente
MSI<cinco caracteres aleatorios>.log**
Registra las acciones realizadas durante la instalación del cliente de MBAM.
MBAM-Archivos de registro web
- Muestra la actividad de los servicios y portales web.
Revisar las consideraciones sobre el TDE de la base de datos de MBAM
La característica de cifrado de datos transparente (TDE) disponible en SQL Server es una instalación opcional para las instancias de base de datos que hospedarán las características de base de datos de MBAM.
Con TDE, puede realizar cifrado completo de nivel de base de datos en tiempo real. TDE es la opción óptima para el cifrado masivo a fin de satisfacer el cumplimiento de reglamentaciones o estándares de seguridad de datos empresariales. TDE funciona en el nivel de archivo, de forma similar a dos características de Windows: el Sistema de cifrado de archivos (EFS) y Cifrado de unidad BitLocker. Ambas características también cifran datos en la unidad de disco duro. TDE no sustituye a cifrado de nivel de celda, EFS o BitLocker.
Cuando TDE está habilitado en una base de datos, se cifran todas las copias de seguridad. Por lo tanto, se debe poner especial atención para garantizar que el certificado que se utilizó para proteger la clave de cifrado de base de datos forma parte y se mantiene con la copia de seguridad de la base de datos. Si este certificado (o certificados) se pierde, los datos serán ilegibles.
Haga una copia de seguridad del certificado junto con la base de datos. Cada copia de seguridad del certificado debe tener dos archivos. Ambos deben archivarse. Por motivos de seguridad, lo ideal es hacer una copia de seguridad de esos archivos que sea independiente del archivo de copia de seguridad de la base de datos. Como alternativa, puede considerar el uso de la característica de administración extensible de claves (EKM) para almacenar y mantener las claves utilizadas para TDE (consulte Administración extensible de claves).
Para ver un ejemplo de cómo habilitar TDE para las instancias de base de datos de MBAM, consulte Cifrado de datos transparente (TDE).
Consideraciones sobre seguridad general
Conocer los riesgos de seguridad. El mayor riesgo al usar Microsoft BitLocker Administration and Monitoring es que su funcionalidad podría estar expuesta a un usuario no autorizado que podría reconfigurar el Cifrado de unidad BitLocker y obtener los datos de claves de cifrado de BitLocker en los clientes de MBAM. No obstante, la pérdida de la funcionalidad de MBAM durante un breve periodo de tiempo debido a un ataque por denegación de servicio no tiene, por lo general, un impacto catastrófico como el que podría tener la pérdida de correo electrónico o la interrupción de las comunicaciones de red o del suministro eléctrico.
Asegurar físicamente los equipos. No hay ninguna seguridad sin la seguridad física. Si un atacante obtiene acceso físico a un servidor de MBAM, podría utilizarlo para atacar la base de clientes en su totalidad. Cualquier ataque físico potencial debe considerarse de alto riesgo y debe mitigarse de modo apropiado. Los servidores de MBAM deben almacenarse en una sala de servidores protegida y con control de acceso. Proteja estos equipos cuando los administradores no estén físicamente presentes haciendo que el sistema operativo bloquee el equipo o mediante el uso de un protector de pantalla seguro.
Aplicar las actualizaciones de seguridad más recientes en todos los equipos. Manténgase informado sobre las nuevas actualizaciones de los sistemas operativos Windows, SQL Server y MBAM. Para ello, suscríbase al servicio de notificaciones de seguridad en el TechCenter de seguridad.
Utilice contraseñas o frases de contraseña seguras. Utilice siempre contraseñas seguras con 15 o más caracteres para todas las cuentas de administrador de MBAM. Nunca utilice contraseñas en blanco. Para obtener más información sobre conceptos de contraseñas, consulte Directiva de contraseñas.
¿Tiene alguna sugerencia sobre MBAM?
Agregue o vote sugerencias aquí. Para problemas de MBAM, use el foro de TechNet de MBAM.