Sicherheitsüberlegungen zu MBAM 2.5
Letzte Aktualisierung: August 2015
Betrifft: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
Dieses Thema enthält die folgenden Informationen zum Sichern von Microsoft BitLocker Administration and Monitoring (MBAM):
Konfigurieren von MBAM zum Hinterlegen des Trusted Platform Module (TPM) und zum Speichern von OwnerAuth-Kennwörtern
Konfigurieren von MBAM zum automatischen Entsperren des TPM nach einer Sperre
Sichere Verbindungen mit SQL Server
Erstellen von Konten und Gruppen
Verwenden von MBAM-Protokolldateien
Prüfen der Überlegungen zu TDE für MBAM-Datenbanken
Allgemeine Sicherheitsaspekte
Konfigurieren von MBAM zum Hinterlegen des Trusted Platform Module (TPM) und zum Speichern von OwnerAuth-Kennwörtern
Je nach der Konfiguration sperrt sich das Trusted Platform Module (TPM) in bestimmten Situationen selbst – z. B. wenn zu viele falsche Kennwörter eingegeben wurden – und kann für eine bestimmte Zeitspanne gesperrt bleiben. Während einer TPM-Sperre kann BitLocker nicht auf die Verschlüsselungsschlüssel zugreifen, um Entsperr- und Entschlüsselungsvorgänge auszuführen. Dadurch muss der Benutzer für den Zugriff auf das Betriebssystemlaufwerk den BitLocker-Wiederherstellungsschlüssel eingeben. Um die TPM-Sperre zurückzusetzen, müssen Sie das TPM OwnerAuth-Kennwort angeben.
MBAM kann das TPM OwnerAuth-Kennwort in der MBAM-Datenbank speichern, wenn es Besitzer des TPM ist oder wenn das Kennwort hinterlegt ist. OwnerAuth-Kennwörter sind dann bei einer Wiederherstellung nach einer TPM-Sperre mühelos auf der Administration and Monitoring-Website verfügbar, und Sie brauchen nicht mehr abzuwarten, bis sich die Sperre von selbst auflöst.
Hinterlegen des TPM OwnerAuth-Kennworts in Windows 8 und höher
In Windows 8 oder höher muss MBAM nicht mehr Besitzer des TPM sein, um das OwnerAuth-Kennwort zu speichern, solange OwnerAuth auf dem lokalen Computer verfügbar ist.
Um MBAM zu ermöglichen, TPM OwnerAuth-Kennwörter zu hinterlegen und anschließend zu speichern, müssen Sie diese Gruppenrichtlinieneinstellungen konfigurieren.
| Gruppenrichtlinieneinstellung | Konfiguration |
|---|---|
Aktivieren der TPM-Sicherung in Active Directory-Domänendiensten |
"Deaktiviert" oder "Nicht konfiguriert" |
Konfigurieren der Ebene der für das Betriebssystem verfügbaren TPM-Besitzerautorisierungsinformationen |
"Delegiert/Keine" oder "Nicht konfiguriert" |
Der Speicherort dieser Gruppenrichtlinieneinstellungen lautet wie folgt: Computerkonfiguration > Administrative Vorlagen > System > Trusted Platform Module-Dienste.
Hinweis
Nachdem MBAM das OwnerAuth-Kennwort mit diesen Einstellungen erfolgreich hinterlegt hat, wird es von Windows lokal entfernt.
Hinterlegen des TPM OwnerAuth-Kennworts in Windows 7
In Windows 7 muss MBAM Besitzer des TPM sein, um TPM OwnerAuth-Informationen automatisch in der MBAM-Datenbank zu hinterlegen. Wenn MBAM nicht der Besitzer des TPM ist, müssen Sie das TPM OwnerAuth-Kennwort mithilfe der MBAM Active Directory (AD) Data Import-Cmdlets aus Active Directory in die MBAM-Datenbank kopieren.
MBAM Active Directory Data Import-Cmdlets
Mit den MBAM Active Directory Data Import-Cmdlets können Sie das Schlüsselpakete für die Wiederherstellung und OwnerAuth-Kennwörter, die in Active Directory gespeichert sind, abrufen.
Der MBAM 2.5 SP1-Server umfasst vier PowerShell-Cmdlets, mit denen MBAM-Datenbanken mit den in Active Directory gespeicherten Volumewiederherstellungs- und TPM-Besitzerinformationen vorab aufgefüllt werden.
Volumewiederherstellungsschlüssel und -pakete:
Read-ADRecoveryInformation
Write-MbamRecoveryInformation
TPM-Besitzerinformationen:
Read-ADTpmInformation
Write-MbamTpmInformation
Zuordnen von Benutzern zu Computern:
- Write-MbamComputerUser
Die Read-AD*-Cmdlets lesen Informationen aus Active Directory. Die Write-Mbam*-Cmdlets senden die Daten per Push in die MBAM-Datenbanken. Ausführliche Informationen zu diesen Cmdlets, einschließlich Syntax, Parameter und Beispiele, finden Sie in der Cmdlet-Referenz für Microsoft Bitlocker Administration and Monitoring 2.5.
Erstellen von Benutzer-zu-Computer-Zuordnungen: Die MBAM Active Directory Data Import-Cmdlets sammeln Informationen aus Active Directory und fügen die Daten in die MBAM-Datenbank ein. Sie führen allerdings keine Zuordnung der Benutzer zu Volumes durch. Sie können das PowerShell-Skript "Add-ComputerUser.ps1" herunterladen, um Benutzer-zu-Computer-Zuordnungen zu erstellen, mit denen Benutzer über die Administration and Monitoring-Website oder das Self-Service-Portals zum Wiederherstellen wieder Zugriff auf einen Computer erhalten. Das Skript "Add-ComputerUser.ps1" sammelt Daten aus dem Attribut Managed By in Active Directory (AD), dem Objektbesitzer in Active Directory oder einer benutzerdefinierten CSV-Datei. Das Skript fügt die ermittelten Benutzern dann zum Wiederherstellungsinformationen-Pipelineobjekt hinzu, das an Write-MbamRecoveryInformation zum Einfügen der Daten in die Wiederherstellungsdatenbank übergeben werden muss.
Laden Sie das PowerShell-Skript "Add-ComputerUser.ps1" aus dem Microsoft Download Center.
Sie können help Add-ComputerUser.ps1 angeben, um Hilfe zum Skript zu erhalten, wie etwa Beispiele für die Verwendung der Cmdlets und des Skripts.
Verwenden Sie das PowerShell-Cmdlet "Write-MbamComputerUser", um nach Installation des MBAM-Servers Benutzer-zu-Computer-Zuordnungen zu erstellen. Ähnlich wie das PowerShell-Skript "Add-ComputerUser.ps1" ermöglicht dieses Cmdlet Ihnen die Angabe von Benutzern, die über das Self-Service-Portal TPM OwnerAuth-Informationen oder Volumewiederherstellungskennwörter für den angegebenen Computer abrufen können.
Hinweis
Der MBAM-Agent überschreibt Benutzer-zu-Computer-Zuordnungen, wenn dieser Computer damit beginnt, Berichte an den Server zu senden.
Voraussetzungen: Die Read-AD*-Cmdlets können nur dann Informationen aus Active Directory abrufen, wenn sie entweder als Benutzerkonto mit weitreichenden Rechten (z. B. als Domänenadministrator) oder als Konto in einer benutzerdefinierten Sicherheitsgruppe, der Lesezugriff auf die Informationen gewährt wurde (empfohlen), ausgeführt werden.
Betriebshandbuch für die BitLocker-Laufwerkverschlüsselung: Wiederherstellen verschlüsselter Volumes mit AD DS enthält Details zum Erstellen einer benutzerdefinierten Sicherheitsgruppe (oder mehreren Gruppen) mit Lesezugriff auf die Active Directory-Informationen.
Schreibberechtigungen für den MBAM-Wiederherstellungs- und Hardwarewebdienst: Die Write-Mbam*-Cmdlets übernehmen die URL des MBAM-Wiederherstellungs- und Hardwarewebdiensts zum Veröffentlichen der Wiederherstellung oder der TPM-Informationen. In der Regel kann nur ein Domänencomputer-Dienstkonto mit dem MBAM-Wiederherstellungs- und Hardwarewebdienst kommunizieren. In MBAM 2.5 SP1 können Sie den MBAM-Wiederherstellungs- und Hardwaredienst mit einer Sicherheitsgruppe namens DataMigrationAccessGroup konfigurieren, deren Mitglieder die Überprüfung des Domänencomputer-Dienstkontos umgehen können. Die Write-Mbam*-Cmdlets müssen Sie als Benutzer ausführen, der zu dieser konfigurierten Gruppe gehört. (Alternativ können die Anmeldeinformationen eines einzelnen Benutzers in der konfigurierten Gruppe unter Verwendung des Parameters "–Credential" in den Write-Mbam*-Cmdlets angegeben werden.)
Sie können den MBAM-Wiederherstellungs- und Hardwaredienst mit dem Namen dieser Sicherheitsgruppe auf eine der folgenden Arten konfigurieren:
Geben Sie den Namen der Sicherheitsgruppe (oder des einzelnen Benutzers) im Parameter "–DataMigrationAccessGroup" des PowerShell-Cmdlets "Enable-MbamWebApplication –AgentService" an.
Konfigurieren Sie die Gruppe nach der Installation des MBAM-Wiederherstellungs- und Hardwarediensts durch Bearbeiten der Datei "Web.config" im Ordner "<inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\".
<add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />Hierbei wird <groupName> durch die Domäne und den Namen der Gruppe (oder des einzelnen Benutzers) ersetzt, die verwendet werden, um die Migration von Daten aus Active Directory zu ermöglichen.
Verwenden Sie den Konfigurations-Editor im IIS-Manager, um diese Anwendungseinstellung zu bearbeiten.
Im folgenden Beispiel ruft der Befehl, wenn er von einem Benutzer ausgeführt wird, der Mitglied der Gruppen "ADRecoveryInformation" und Datenmigrationsbenutzer ist, Volumewiederherstellungsinformationen von Computern in der Organisationseinheit (OE) WORKSTATIONS in der Domäne "contoso.com" ab und schreibt diese unter Verwendung des auf dem "mbam.contoso.com"-Server ausgeführten MBAM-Wiederherstellungs- und Hardwarewebdiensts in MBAM.
PS C:\> Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"
Read-AD*-Cmdlets akzeptieren den Namen oder die IP-Adresse eines Active Directory-Hostservercomputers für die Abfrage nach Wiederherstellungs- oder TPM-Informationen. Es empfiehlt sich, die definierten Namen der AD-Container, in denen sich das Computerobjekt befindet, als der Wert des Parameters "SearchBase" bereitzustellen. Wenn Computer über mehrere Organisationseinheiten hinweg gespeichert wurden, können die Cmdlets Pipelineeingaben akzeptieren, die einmal für jeden Container ausgeführt werden. Der definierte Name eines AD-Containers sieht in etwa folgendermaßen aus: OU=Machines,DC=contoso,DC=com. Das Ausführen einer Suche über bestimmte Container bietet die folgenden Vorteile:
Das Risiko einer Zeitüberschreitung beim Abfragen von großen AD-Datasets für Computerobjekte verringert sich.
Sie können Organisationseinheiten auslassen, die Rechenzentrumsserver oder andere Klassen von Computern enthalten, für die keine Sicherung erwünscht oder erforderlich ist.
Eine weitere Möglichkeit besteht darin, das "–Recurse"-Flag mit oder ohne den optionalen Parameter "SearchBase" bereitzustellen, um nach Computerobjekten in allen Containern unter der angegebenen "SearchBase" bzw. in der gesamten Domäne zu durchsuchen. Bei Verwendung des Flags "–Recurse" können Sie zudem mithilfe des Parameters "–MaxPageSize" die Menge an zur Ausführung der Abfrage erforderlichem lokalem Speicher und Remotespeicher steuern.
Diese Cmdlets schreiben in Pipelineobjekte des Typs "PsObject". Jede "PsObject"-Instanz enthält einen einzelnen Volumewiederherstellungsschlüssel oder eine TPM-Besitzerzeichenfolge mit dem zugehörigen Computernamen, Zeitstempel und anderen Informationen, die zu ihrer Veröffentlichung im MBAM-Datenspeicher erforderlich sind.
Write-Mbam*-Cmdlets akzeptieren Wiederherstellungsinformationen-Parameterwerte aus der Pipeline nach Eigenschaftsnamen. Dadurch können die Write-Mbam*-Cmdlets die Pipelineausgabe der Read-AD*-Cmdlets akzeptieren (z. B. Read-ADRecoveryInformation –Server contoso.com –Recurse | Write-MbamRecoveryInformation –RecoveryServiceEndpoint mbam.contoso.com).
Die Write-Mbam*-Cmdlets enthalten optionale Parameter, die Optionen für Fehlertoleranz, ausführliche Protokollierung und Voreinstellungen für "WhatIf" und "Confirm" bereitstellen.
Die Write-Mbam*-Cmdlets enthalten zudem einen optionalen Time-Parameter, dessen Wert ein DateTime-Objekt ist. Dieses Objekt enthält ein Kind-Attribut, das auf Local, UTC oder Unspecified festgelegt werden kann. Wenn der Parameter Time mit Daten aus Active Directory gefüllt wird, wird die Zeit in UTC konvertiert, und dieses Kind-Attribut wird automatisch auf UTC festgelegt. Wird der Parameter Time jedoch unter Verwendung einer anderen Quelle aufgefüllt, z. B. einer Textdatei, müssen Sie das Attribut Kindexplizit auf den entsprechenden Wert festlegen.
Hinweis
Die Read-AD*-Cmdlets sind nicht in der Lage, die Benutzerkonten zu ermitteln, die die Benutzer eines Computers darstellen. Benutzerkontozuordnungen sind für Folgendes erforderlich:
- Für Benutzer, um Volumekennwörter/-pakete mithilfe des Self-Service-Portals wiederherzustellen
- Für Benutzer, die nicht Mitglied der während der Installation definierten Sicherheitsgruppe "Fortgeschrittene MBAM-Helpdeskbenutzer" sind und im Namen anderer Benutzer wiederhergestellt werden
Konfigurieren von MBAM zum automatischen Entsperren des TPM nach einer Sperre
Sie können MBAM 2.5 SP1 so konfigurieren, dass das TPM im Falle einer Sperre automatisch entsperrt wird. Bei aktiviertem automatischen Zurücksetzen der TPM-Sperre kann MBAM erkennen, dass ein Benutzer gesperrt ist, und dann das OwnerAuth-Kennwort aus der MBAM-Datenbank abrufen, um das TPM für den Benutzer automatisch zu entsperren. Das automatische Zurücksetzen der TPM-Sperre ist nur verfügbar, wenn der Betriebssystem-Wiederherstellungsschlüssel für diesen Computer über das Self-Service-Portal oder die Administration and Monitoring-Website abgerufen wurde.
Wichtig
Um das automatische Zurücksetzen der TPM-Sperre zu aktivieren, müssen Sie dieses Feature auf dem Server und in der Gruppenrichtlinie auf dem Client konfigurieren.
Zum Aktivieren des automatischen Zurücksetzens der TPM-Sperre auf der Clientseite konfigurieren Sie die Gruppenrichtlinieneinstellung "Automatisches Zurücksetzen der TPM-Sperre konfigurieren" unter Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > MDOP MBAM > Clientverwaltung.
Zum Aktivieren des automatischen Zurücksetzens der TPM-Sperre auf der Serverseite aktivieren Sie im MBAM-Serverkonfigurations-Assistenten während des Setups die Option "Automatisches Zurücksetzen der TPM-Sperre aktivieren".
Sie können das automatische Zurücksetzen der TPM-Sperre auch in PowerShell aktivieren, indem Sie den Switch "-TPM lockout auto reset" beim Aktivieren der Agent-Dienstwebkomponente angeben.
Sobald ein Benutzer den vom Self-Service-Portal oder der Administration and Monitoring-Website erhaltenen BitLocker-Wiederherstellungsschlüssel eingibt, ermittelt der MBAM-Agent, ob das TPM gesperrt ist. Wenn es gesperrt ist, wird versucht, das TPM OwnerAuth-Kennwort für den Computer aus der MBAM Datenbank abzurufen. Wenn das TPM OwnerAuth-Kennwort erfolgreich abgerufen werden konnte, wird es zum Entsperren des TPM verwendet. Durch Entsperren des TPM wird es wieder voll funktionsfähig, und der Benutzer ist während der nachfolgenden Neustarts nach einer TPM-Sperre nicht gezwungen, das Wiederherstellungskennwort einzugeben.
Das automatische Zurücksetzen der TPM-Sperre ist standardmäßig deaktiviert.
Hinweis
Das automatische Zurücksetzen der TPM-Sperre wird nur auf Computern mit TPM 1.2 unterstützt. TPM 2.0 bietet die integrierte Funktion zum automatischen Zurücksetzen einer Sperre.
Der Überwachungsbericht für die Wiederherstellung enthält Ereignisse im Zusammenhang mit dem automatischen Zurücksetzen der TPM-Sperre. Wenn der MBAM-Client das Abrufen eines TPM OwnerAuth-Kennworts anfordert, wird ein Ereignis für die Wiederherstellung protokolliert. Überwachungseinträge enthalten die folgenden Ereignisse:
| Eintrag | Wert |
|---|---|
Audit Request Source |
Agent TPM unlock |
Schlüsseltyp |
TPM Password Hash |
Beschreibung des Grunds |
TPM-Zurücksetzung |
Sichere Verbindungen mit SQL Server
In MBAM kommuniziert SQL Server mit den SQL Server Reporting Services und mit den Webdiensten für die Administration and Monitoring-Website und das Self-Service-Portal. Es wird empfohlen, die Kommunikation mit SQL Server zu sichern. Weitere Informationen finden Sie unter Verschlüsseln von Verbindungen zu SQL Server.
Weitere Informationen zum Sichern der MBAM-Websites finden Sie unter Planen der Sicherung von MBAM-Websites.
Erstellen von Konten und Gruppen
Die bewährte Methode beim Verwalten von Benutzerkonten besteht im Erstellen globaler Domänengruppen, denen die Benutzerkonten hinzugefügt werden. Eine Beschreibung der empfohlenen Konten und Gruppen finden Sie unter Planen der Gruppen und Konten für MBAM 2.5.
Verwenden von MBAM-Protokolldateien
In diesem Abschnitt werden die Protokolldateien für MBAM-Server und MBAM-Client beschrieben.
MBAM Serversetup: Protokolldateien
Die Datei MBAMServerSetup.exe generiert die folgenden Protokolldateien im Ordner %temp% des Benutzers während der MBAM-Installation:
Microsoft_BitLocker_Administration_and_Monitoring_<14 numbers>.log
In dieser Datei werden die Aktionen protokolliert, die beim Setup von MBAM und bei der Konfiguration der MBAM-Serverfunktion ausgeführt werden.
Microsoft_BitLocker_Administration_and_Monitoring_<14_numbers>_0_MBAMServer.msi.log
In dieser Datei werden zusätzliche Aktionen während der Installation protokolliert.
MBAM Serverkonfiguration: Protokolldateien
Applications and Services Logs/Microsoft Windows/MBAM-Setup
In dieser Datei werden Fehler protokolliert, die auftreten, wenn Sie Windows Powershell-Cmdlets oder den MBAM-Serverkonfigurationsassistenten für die Konfiguration der MBAM-Serverfunktionen verwenden.
MBAM Clientsetup: Protokolldateien
MSI<fünf zufällige Zeichen>.log**
In dieser Datei werden die Aktionen protokolliert, die während der MBAM-Clientinstallation ausgeführt werden.
MBAM-Web log files
- Zeigt Aktivitäten in Webportalen und -diensten an.
Prüfen der Überlegungen zu TDE für MBAM-Datenbanken
Die Funktion „Transparente Datenverschlüsselung“ (Transparent Data Encryption, TDE) in SQL Server ist optional für die Datenbankinstanzen, von denen die MBAM-Datenbankfunktionen gehostet werden sollen.
Mithilfe von TDE können Sie eine vollständige Echtzeitverschlüsselung auf Datenbankebene durchführen. TDE ist die optimale Lösung für die Massenverschlüsselung zur Einhaltung von gesetzlichen Bestimmungen und Sicherheitsstandards für Unternehmensdaten. TDE arbeitet auf Dateiebene, was auch für zwei Windows-Funktionen gilt: das verschlüsselnde Dateisystem (Encrypting File System, EFS) und die BitLocker-Laufwerkverschlüsselung. Beide Funktionen verschlüsseln auch Daten auf dem Festplattenlaufwerk. Die Verschlüsselung auf Zellenebene, EFS oder BitLocker werden durch TDE nicht ersetzt.
Wenn TDE für eine Datenbank aktiviert ist, werden alle Sicherungen verschlüsselt. Daher muss besonders darauf geachtet werden, dass das Zertifikat, das zum Schützen des Verschlüsselungsschlüssels für die Datenbank verwendet wurde, gesichert und bei der Datenbanksicherung beibehalten wird. Wenn dieses Zertifikat verloren geht, können die Daten nicht mehr gelesen werden.
Sichern Sie das Zertifikat zusammen mit der Datenbank. Jede Zertifikatsicherung muss zwei Dateien enthalten. Beide Dateien sollten archiviert werden. Für Sicherheitszwecke sollten sie idealerweise getrennt von der Datenbanksicherungsdatei gesichert werden. Alternativ können Sie zum Speichern und Warten der Schlüssel, die für TDE verwendet werden, die Funktion zur erweiterbaren Schlüsselverwaltung verwenden (siehe Erweiterbare Schlüsselverwaltung).
Ein Beispiel für das Aktivieren von TDE für MBAM-Datenbankinstanzen finden Sie unter Grundlegendes zur transparenten Datenverschlüsselung (TDE).
Allgemeine Sicherheitsaspekte
Seien Sie sich der Sicherheitsrisiken bewusst. Das schwerwiegendste Risiko bei Verwendung von Microsoft BitLocker Administration and Monitoring besteht darin, dass die Funktionen von einem nicht autorisierten Benutzer beeinträchtigt werden könnten, da ein solcher Benutzer die BitLocker-Laufwerkverschlüsselung neu konfigurieren und sich Zugriff auf die BitLocker-Verschlüsselungsschlüsseldaten auf den MBAM-Clients verschaffen könnte. Ein kurzzeitiger Verlust von MBAM-Funktionen aufgrund eines Denial-of-Service-Angriffs würde jedoch nicht grundsätzlich folgenschwere Auswirkungen haben – anders als der Verlust von z. B. E-Mail, Netzwerkkommunikation oder Energieversorgung.
Computer physisch sichern. Es gibt keine Sicherheit ohne physische Sicherheit. Jeder Angreifer, der über physischen Zugriff auf einen MBAM-Server verfügt, kann den Server potenziell verwenden, um einen Angriff auf die gesamte Clientbasis auszuführen. Potenzielle Angriffe auf physischer Basis sind als hohes Risiko einzustufen, und es müssen geeignete Maßnahmen ergriffen werden. MBAM-Server müssen in einem gesicherten Serverraum mit kontrolliertem Zugang untergebracht sein. Sichern Sie die Computer bei Abwesenheit von Administratoren durch Betriebssystemsperren oder geschützte Bildschirmschoner.
Führen Sie die neuesten Sicherheitsupdates auf allen Computern durch. Abonnieren Sie den Sicherheitsbenachrichtigungsdienst (TechCenter für Sicherheit), um stets aktuelle Informationen zu neuen Updates für Windows-Betriebssysteme, SQL Server und MBAM zu erhalten.
Verwenden Sie sichere Kennwörter oder Passphrasen. Verwenden Sie für MBAM-Administratorkonten grundsätzlich sichere Kennwörter mit 15 oder mehr Zeichen. Verwenden Sie niemals leere Kennwörter. Weitere Informationen zu Kennwortkonzepten finden Sie unter Password Policy (Kennwortrichtlinie, in englischer Sprache).
Haben Sie einen Vorschlag für MBAM?
Fügen Sie hier Vorschläge hinzu, oder stimmen Sie über Vorschläge ab. Verwenden Sie bei Problemen mit MBAM das MBAM-TechNet-Forum.