Considerações de segurança do MBAM 2.0
Aplica-se a: Microsoft BitLocker Administration and Monitoring 2.0
Este tópico contém uma breve visão geral de contas e grupos, arquivos de log e outras considerações relacionadas à segurança do Microsoft BitLocker Administration and Monitoring (MBAM). Para obter mais informações, siga os links deste artigo.
Considerações gerais de segurança
Compreenda os riscos de segurança. O maior risco para o Microsoft BitLocker Administration and Monitoring é que um usuário não autorizado pode se apoderar da sua funcionalidade e, com isso, reconfigurar a criptografia do BitLocker para obter dados da chave de criptografia do BitLocker sobre os Clientes do MBAM. No entanto, a perda da funcionalidade do MBAM por um curto período de tempo, devido a um ataque de negação de serviço, geralmente não tem um impacto catastrófico, diferente, por exemplo, de email, comunicações por rede, luz e energia.
Proteja fisicamente os computadores. Não há segurança sem segurança física. Um invasor com acesso físico a um Servidor do MBAM pode usar esse acesso para atacar potencialmente toda a base de clientes. Todos os ataques físicos em potencial precisam ser considerados um alto risco e atenuados adequadamente. Os servidores do MBAM devem ser armazenados em uma sala de servidores segura com acesso controlado. Proteja esses computadores, quando os administradores não estão fisicamente presentes, travando o computador com o sistema operacional ou usando uma proteção de tela segura.
Aplique as atualizações mais recentes em todos os computadores. Mantenha-se informado sobre novas atualizações para sistemas operacionais, Microsoft SQL Server e MBAM assinando o serviço Notificações de Segurança (https://go.microsoft.com/fwlink/?LinkId=28819).
Use senhas fortes ou frases secretas. Sempre use senhas fortes com 15 ou mais caracteres em todas as contas de administrador do MBAM e do MBAM. Nunca use senhas em branco. Para obter mais informações sobre senhas, consulte o white paper “Políticas e Senhas de Contas” no TechNet (https://go.microsoft.com/fwlink/?LinkId=30009).
Contas e Grupos no MBAM
Uma prática recomendada para o gerenciamento de contas de usuário é criar grupos de domínio globais e adicionar contas de usuário a eles. Em seguida, adicione as contas de domínio global aos grupos locais do MBAM necessários, nos Servidores do MBAM.
Grupos de Serviços de Domínio Active Directory
Nenhum grupo do Active Directory é criado automaticamente durante o processo de instalação do MBAM. No entanto, é recomendável criar os seguintes grupos globais de Serviços de Domínio do Active Directory para gerenciar as operações do MBAM.
| Nome do grupo | Detalhes |
|---|---|
Usuários Avançados de Assistência Técnica do MBAM |
Crie este grupo para gerenciar membros do grupo local de Usuários Avançados de Assistência Técnica do MBAM, criado durante a instalação do MBAM. |
Acesso ao Banco de Dados de Auditoria e Conformidade do MBAM |
Crie este grupo para gerenciar membros do grupo local de Acesso ao Banco de Dados de Auditoria e Conformidade do MBAM, criado durante a instalação do MBAM. |
Usuários de Assistência Técnica do MBAM |
Crie este grupo para gerenciar membros do grupo local de Usuários de Assistência Técnica do MBAM, criado durante a instalação do MBAM. |
Acesso ao Banco de Dados de Recuperação e Hardware do MBAM |
Crie este grupo para gerenciar membros do grupo local de Acesso ao Banco de Dados de Recuperação e Hardware do MBAM, criado durante a instalação do MBAM. |
Usuários de Relatório do MBAM |
Crie este grupo para gerenciar membros do grupo local de Usuários de Relatório do MBAM, criado durante a instalação do MBAM. |
Administradores de Sistema do MBAM |
Crie este grupo para gerenciar membros do grupo local de Administradores de Sistema do MBAM, criado durante a instalação do MBAM. |
Isenções de Criptografia do BitLocker |
Crie este grupo para gerenciar contas de usuário que deveriam estar isentas da criptografia do BitLocker, iniciando pelos computadores nos quais elas estão registradas. |
Grupos Locais de Servidor do MBAM
A instalação do MBAM cria grupos locais para oferecer suporte às operações do MBAM Você deve adicionar grupos globais de Serviços de Domínio do Active Directory aos grupos locais do MBAM adequados para configurar a segurança do MBAM e as permissões de acesso aos dados.
| Nome do grupo | Detalhes |
|---|---|
Usuários Avançados de Assistência Técnica do MBAM |
Os membros deste grupo aumentaram o acesso aos recursos de Assistência Técnica do MBAM. |
Acesso ao Banco de Dados de Auditoria e Conformidade do MBAM |
Contém as máquinas que têm acesso ao Banco de Dados de Conformidade e Auditoria do MBAM. |
Usuários de Assistência Técnica do MBAM |
Os membros deste grupo têm acesso aos recursos de Assistência Técnica do MBAM. |
Acesso ao Banco de Dados de Recuperação e Hardware do MBAM |
Contém as máquinas que têm acesso ao Banco de Dados de Recuperação do MBAM. |
Usuários de Relatório do MBAM |
Os membros deste grupo têm acesso aos relatórios de Conformidade e Auditoria do MBAM. |
Administradores de Sistema do MBAM |
Os membros deste grupo têm acesso a todos os recursos do MBAM. |
Conta de serviço de Relatórios do SSRS
A conta de serviço de Relatórios do SSRS fornece o contexto de segurança para executar os relatórios do MBAM disponíveis por meio do SSRS. Ela é configurada durante a instalação do MBAM.
Ao configurar a conta de serviço de Relatórios do SSRS, especifique uma conta de usuário de domínio e configure a senha para nunca expirar.
Dica
Se alterar o nome da conta de serviço após implantar o MBAM, você deverá reconfigurar a fonte de dados de relatório para usar as novas credenciais da conta de serviço. Caso contrário, você não poderá acessar o Portal de Assistência Técnica.
Arquivos de log do MBAM
Os seguintes arquivos de log de instalação do MBAM são criados na pasta %temp% do usuário de instalação durante a instalação do MBAM:
arquivos de log de instalação do Servidor do MBAM
- MSI<cinco caracteres aleatórios>.log**
Registra em log as ações realizadas durante a instalação do MBAM e a instalação do Recurso de Servidor do MBAM.
- InstallComplianceDatabase.log
Registra em log as ações executadas para criar a instalação do Banco de Dados de Conformidade e Auditoria do MBAM.
- InstallKeyComplianceDatabase.log
Registra em log as ações executadas para criar o Banco de Dados de Recuperação do MBAM.
- AddHelpDeskDbAuditUsers.log
Registra em log as ações executadas para criar logins do SQL Server no banco de dados de Conformidade e Auditoria do MBAM e autorizar o serviço Web de Assistência Técnica para o banco de dados de relatórios.
- AddHelpDeskDbUsers.log
Registra as ações realizadas para autorizar serviços Web ao banco de dados para recuperação de chave e criar logons para Banco de Dados de Recuperação do MBAM.
- AddKeyComplianceDbUsers.log
Registra as ações realizadas para autorizar serviços Web para o Banco de Dados de Conformidade e Auditoria do MBAM para relatórios de conformidade.
- AddRecoveryAndHardwareDbUsers.log
Registra em log as ações executadas para autorizar serviços Web ao banco de dados de Recuperação e Hardware do MBAM para recuperação de chave.
Dica
Para obter arquivos de log de instalação do MBAM adicionais, você precisa instalar o MBAM usando o pacote msiexec e a opção /L <local>. Os arquivos de log são criados no local especificado.
Arquivos de log de instalação do Cliente do MBAM
- MSI<cinco caracteres aleatórios>.log**
Registra em log as ações executadas durante a instalação do Cliente do MBAM.
Considerações sobre TDE do banco de dados do MBAM
O recurso TDE (criptografia de dados transparente), disponível no SQL Server, é uma instalação opcional para as instâncias do banco de dados que hospedarão os recursos de banco de dados do MBAM.
Com a TDE, você pode executar a criptografia completa no nível de banco de dados, em tempo real. A TDE é uma opção ideal de criptografia em massa para atender aos padrões de conformidade regulamentar ou segurança de dados corporativos. A TDE funciona no nível de arquivo, que é semelhante a dois recursos do Windows: o EFS (Encrypting File System) e a Criptografia de Unidade de Disco BitLocker. Os dois recursos também criptografam dados no disco rígido. A TDE não substitui a criptografia no nível da célula, o EFS nem o BitLocker.
Quando a TDE é habilitada em um banco de dados, todos os backups são criptografados. Dessa forma, um cuidado especial precisa ser tomado para garantir que o certificado usado para proteger a chave de criptografia do banco de dados passe por backup e seja mantido com o backup de banco de dados. Se esse certificado (ou certificados) for perdido, os dados ficarão ilegíveis. Faça backup do certificado junto com o banco de dados. Cada backup do certificado deve ter dois arquivos. Ambos os arquivos devem ser arquivados (o ideal é separadamente do arquivo de backup de banco de dados para fins de segurança). Você pode alternativamente considera o uso do recurso EKM (Gerenciamento Extensível de Chaves) (consulte Gerenciamento Extensível de Chaves) para armazenamento e manutenção de chaves usadas para TDE.
Para obter um exemplo de como habilitar a TDE para instâncias do banco de dados do MBAM, consulte Avaliando o MBAM 2.0.
Para obter mais informações sobre a TDE no SQL Server 2008, consulte Criptografia do SQL Server.
Consulte Também
Outros Recursos
Segurança e privacidade para MBAM 2.0
-----
Você pode saber mais sobre o MDOP na Biblioteca do TechNet, pesquisar por solução de problemas no TechNet Wiki ou nos seguir no Facebook ou Twitter.
-----