Considérations relatives à la sécurité pour MBAM 2.5

Mis à jour: août 2015

S'applique à: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Cette rubrique contient les informations suivantes sur la manière de sécuriser Microsoft BitLocker Administration and Monitoring (MBAM) :

• Configurer MBAM pour qu'il dépose le module de plateforme sécurisée (TPM) et stocke les mots de passe d'autorisation de propriétaire

• Configurer MBAM pour déverrouiller automatiquement le module de plateforme sécurisée (TPM) après un verrouillage

• Sécuriser les connexions à SQL Server

• Créer des comptes et des groupes

• Utiliser les fichiers journaux MBAM

• Examiner les considérations relatives au chiffrement de données transparent (TDE) des bases de données MBAM

• Comprendre les considérations générales de sécurité

Configurer MBAM pour qu'il dépose le module de plateforme sécurisée (TPM) et stocke les mots de passe d'autorisation de propriétaire

Selon sa configuration, le module de plateforme sécurisée (TPM) se verrouille dans certaines situations, par exemple quand trop de mots de passe incorrects ont été entrés, et peut rester verrouillé pendant un certain laps de temps. Lors du verrouillage du module TPM, BitLocker ne peut pas accéder aux clés de chiffrement pour effectuer des opérations de déchiffrement ou de déverrouillage, obligeant l'utilisateur à entrer sa clé de récupération BitLocker pour accéder au lecteur de système d'exploitation. Pour réinitialiser le verrouillage du module TPM, vous devez fournir le mot de passe d'authentification de propriétaire du module TPM.

MBAM peut stocker le mot de passe d'authentification du propriétaire du module TPM dans la base de données MBAM s'il est propriétaire du module TPM ou s'il dépose le mot de passe. Les mots de passe d'authentification du propriétaire sont alors facilement accessibles sur le site web d'administration et de surveillance quand vous devez récupérer suite à un verrouillage du module TPM, ce qui évite de devoir attendre que le verrouillage se résolve de lui-même.

Dépôt du mot de passe d'authentification du propriétaire du module TPM dans Windows 8 et versions ultérieures

Dans Windows 8 ou version ultérieure, MBAM ne doit plus être propriétaire du module TPM pour stocker le mot de passe d'authentification de propriétaire, tant que celui-ci est disponible sur l'ordinateur local.

Pour permettre à MBAM de déposer puis stocker les mots de passe d'authentification du propriétaire du module TPM, vous devez configurer les paramètres de stratégie de groupe suivants.

Ces paramètres de stratégie de groupe se trouvent dans Configuration ordinateur > Modèles d'administration > Système > Services de module de plateforme sécurisée.

Dépôt du mot de passe d'authentification du propriétaire du module TPM dans Windows 7

Dans Windows 7, MBAM doit être propriétaire du module TPM pour déposer automatiquement les informations d'authentification du propriétaire du module TPM dans la base de données MBAM. Si MBAM n'est pas propriétaire du TPM, vous devez utiliser les applets de commande MBAM d'importation de données Active Directory (AD) pour copier les informations d'authentification du propriétaire depuis Active Directory vers la base de données MBAM.

Applets de commande d'importation de données Active Directory MBAM

Les applets de commande d'importation de données Active Directory MBAM vous permettent d'extraire des packages de clés de récupération et des mots de passe d'authentification du propriétaire du module TPM stockés dans Active Directory.

Le serveur MBAM 2.5 SP1 est fourni avec quatre applets de commande PowerShell qui préremplissent les bases de données MBAM avec les informations de récupération de volume et de propriétaire de module TPM stockées dans Active Directory.

Pour les packages et les clés de récupération de volume :

• Read-ADRecoveryInformation

• Write-MbamRecoveryInformation

Pour les informations sur le propriétaire du module TPM :

• Read-ADTpmInformation

• Write-MbamTpmInformation

Pour associer des utilisateurs à des ordinateurs :

• Write-MbamComputerUser

Les applets de commande Read-AD* lisent les informations dans Active Directory. Les applets de commande Write-Mbam* « poussent » les données dans les bases de données MBAM. Pour obtenir des informations détaillées sur ces applets de commande, y compris sur la syntaxe et les paramètres, et pour obtenir des exemples, consultez Référence des applets de commande pour Microsoft Bitlocker Administration and Monitoring 2.5.

Créer des associations entre ordinateur et utilisateur : les applets de commande d'importation de données Active Directory MBAM rassemblent des informations à partir d'Active Directory et insèrent les données dans la base de données MBAM. Toutefois, elles n'associent pas les utilisateurs aux volumes. Vous pouvez télécharger le script PowerShell Add-ComputerUser.ps1 pour créer des associations entre ordinateur et utilisateur, qui permettent aux utilisateurs de récupérer l'accès à un ordinateur via le site web d'administration et de surveillance ou à l'aide du portail libre-service pour la récupération. Le script Add-ComputerUser.ps1 rassemble des données à partir de l'attribut Géré par dans Active Directory (AD), de l'objet de propriétaire dans Active Directory ou d'un fichier CSV personnalisé. Le script ajoute ensuite les utilisateurs découverts à l'objet de pipeline d'informations de récupération, qui doit être transmis à Write-MbamRecoveryInformation pour insérer les données dans la base de données de récupération.

Téléchargez le script PowerShell Add-ComputerUser.ps1 à partir du Centre de téléchargement Microsoft.

Vous pouvez spécifier help Add-ComputerUser.ps1 pour obtenir de l'aide pour le script, y compris des exemples montrant comment utiliser les applets de commande et le script.

Pour créer des associations entre ordinateur et utilisateur après avoir installé le serveur MBAM, utilisez l'applet de commande PowerShell Write-MbamComputerUser. Comme pour le script PowerShell Add-ComputerUser.ps1, cette applet de commande vous permet de spécifier les utilisateurs qui peuvent utiliser le portail libre-service pour obtenir des informations sur l'authentification du propriétaire du module TPM ou des mots de passe de récupération de volume pour l'ordinateur spécifié.

Conditions préalables : les applets de commande Read-AD* peuvent récupérer des informations à partir d'Active Directory uniquement si elles sont exécutées sous un compte d'utilisateur disposant de privilèges élevés, par exemple un administrateur de domaine, ou sous un compte appartenant à un groupe de sécurité personnalisé disposant d'un accès en lecture aux informations (recommandé).

Guide des opérations de Chiffrement du lecteur BitLocker : Récupération de volumes chiffrés avec AD DS fournit des détails sur la création d'un (ou plusieurs) groupe de sécurité personnalisé avec accès en lecture aux informations Active Directory.

Autorisations d'écriture sur le service web de matériel et de récupération MBAM : les applets de commande Write-Mbam* acceptent l'URL du service de matériel et de récupération MBAM, qui sert à publier les informations de module TPM ou de récupération. En général, seul un compte de service d'ordinateur de domaine peut communiquer avec le service de matériel et de récupération MBAM. Dans MBAM 2.5 SP1, vous pouvez configurer le service de matériel et de récupération MBAM avec un groupe de sécurité nommé DataMigrationAccessGroup, dont les membres sont autorisés à contourner la vérification du compte de service d'ordinateur de domaine. Les applets de commande Write-Mbam* doivent être exécutées en tant qu'utilisateur appartenant à ce groupe configuré. (En guise d'alternative, vous pouvez configurer les informations d'identification d'un utilisateur spécifique dans le groupe configuré en utilisant le paramètre –Credential dans les applets de commande Write-Mbam*.)

Vous pouvez configurer le service de matériel et de récupération MBAM avec le nom de ce groupe de sécurité de l'une des manières suivantes :

• Indiquez le nom du groupe de sécurité (ou de l'individu) dans le paramètre -DataMigrationAccessGroup de l'applet de commande Powershell Enable-MbamWebApplication –AgentService.

• Configurez le groupe une fois que le service de matériel et de récupération MBAM a été installé en modifiant le fichier web.config dans le dossier <inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\.

  <add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />
  

  où <groupName> est remplacé par le domaine et le nom du groupe (ou l'utilisateur spécifique) qui sera utilisé pour autoriser la migration des données à partir d'Active Directory.

• Utilisez l'Éditeur de Configuration dans le Gestionnaire des services Internet (IIS) pour modifier ce paramètre d'application.

Dans l'exemple suivant, la commande, quand elle est exécutée en tant que membre du groupe ADRecoveryInformation et du groupe Utilisateurs de migration des données, extrait les informations de récupération de volume à partir des ordinateurs de l'unité d'organisation WORKSTATIONS dans le domaine contoso.com et les écrit dans MBAM à l'aide du service de matériel et de récupération MBAM en cours d'exécution sur le serveur mbam.contoso.com.

PS C:\> Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"

Les applets de commande Read-AD* acceptent le nom ou l'adresse IP d'un ordinateur serveur hébergeant Active Directory pour interroger les informations de récupération ou du module TPM. Nous vous recommandons de fournir les noms uniques des conteneurs Active Directory dans lesquels l'objet ordinateur réside comme valeur du paramètre SearchBase. Si les ordinateurs sont stockés dans plusieurs unités d'organisation, les applets de commande peuvent accepter une entrée de pipeline pour s'exécuter une fois pour chaque conteneur. Le nom unique d'un conteneur Active Directory doit ressembler à OU=Machines,DC=contoso,DC=com. L'exécution d'une recherche ciblée sur des conteneurs spécifiques offre les avantages suivants :

• Elle permet de réduire les risques de dépassement de délai d'attente lors de l'interrogation d'un dataset Active Directory volumineux pour les objets ordinateur.

• Vous pouvez omettre les unités d'organisation contenant des serveurs de centre de données ou d'autres classes d'ordinateurs pour lesquelles la sauvegarde peut ne pas être souhaitable ou nécessaire.

Une autre option consiste à fournir l'indicateur –Recurse avec ou sans le paramètre SearchBase facultatif pour rechercher des objets ordinateur respectivement dans tous les conteneurs sous la base de recherche spécifiée ou dans l'intégralité du domaine. Lorsque vous utilisez l'indicateur -Recurse, vous pouvez également utiliser le paramètre -MaxPageSize pour contrôler la quantité de mémoire locale et distante nécessaire pour répondre à la requête.

Ces applets de commande écrivent dans les objets de pipeline de type PsObject. Chaque instance de PsObject contient une seule clé de récupération de volume ou une seule chaîne de propriétaire du module de plateforme sécurisée, avec son nom d'ordinateur associé, son horodateur et d'autres informations nécessaires à sa publication dans le magasin de données MBAM.

Les applets de commande Write-Mbam* acceptent des valeurs de paramètres d'informations de récupération à partir du pipeline par nom de propriété. Cela leur permet d'accepter la sortie du pipeline des applets de commande Read-AD* (par exemple, Read-ADRecoveryInformation –Server contoso.com –Recurse | Write-MbamRecoveryInformation –RecoveryServiceEndpoint mbam.contoso.com).

Les applets de commande Write-Mbam* incluent des paramètres facultatifs qui fournissent des options pour la tolérance de panne, la journalisation détaillée et les préférences pour WhatIf et Confirm.

Les applets de commande Write-Mbam* incluent également un paramètre Time facultatif dont la valeur est un objet DateTime. Cet objet comprend un attribut Kind qui peut prendre la valeur Local, UTC ou Unspecified. Quand le paramètre Time est rempli à partir de données extraites d'Active Directory, l'heure est convertie au format UTC et cet attribut Kind prend automatiquement la valeur UTC. Toutefois, lors du remplissage du paramètre Time à l'aide d'une autre source, telle qu'un fichier texte, vous devez affecter la valeur appropriée à l'attribut Kind de manière explicite.

Configurer MBAM pour déverrouiller automatiquement le module de plateforme sécurisée (TPM) après un verrouillage

Vous pouvez configurer MBAM 2.5 SP1 pour déverrouiller automatiquement le module de plateforme sécurisée en cas de verrouillage. Si la réinitialisation automatique du verrouillage de TPM est activée, MBAM peut détecter qu'un utilisateur est verrouillé, puis obtenir le mot de passe d'authentification de propriétaire à partir de la base de données MBAM pour déverrouiller automatiquement le TPM pour l'utilisateur. La réinitialisation automatique du verrouillage du module de plateforme sécurisée n'est disponible que si la clé de récupération du système d'exploitation pour cet ordinateur a été récupérée à l'aide du portail libre-service ou du site web d'administration et de surveillance.

• Pour activer la réinitialisation automatique du verrouillage du module de plateforme sécurisée côté client, configurez le paramètre de stratégie de groupe « Configurer la réinitialisation automatique du verrouillage du module de plateforme sécurisée » qui se trouve dans Configuration ordinateur > Modèles d'administration > Composants Windows > MDOP MBAM > Gestion des clients.

• Pour activer la réinitialisation automatique du verrouillage du module de plateforme sécurisée côté serveur, vous pouvez activer l'option « Activer la réinitialisation automatique du verrouillage du module de plateforme sécurisée (TPM) » dans l'Assistant Configuration du serveur MBAM lors de l'installation.

  Vous pouvez également activer la réinitialisation automatique du verrouillage du module de plateforme sécurisée dans PowerShell en spécifiant le commutateur « -TPM lockout auto reset » lors de l'activation du composant web du service agent.

Une fois qu'un utilisateur a entré la clé de récupération BitLocker qu'il a obtenue à partir du portail libre-service ou du site web d'administration et de surveillance, l'agent MBAM détermine si le TPM est verrouillé. Si c'est le cas, il tente d'extraire le mot de passe d'authentification du propriétaire de module de plateforme sécurisée pour l'ordinateur à partir de la base de données MBAM. Si le mot de passe d'authentification du propriétaire de module de plateforme sécurisée est récupérée, il est utilisé pour déverrouiller le module de plateforme sécurisée. Le déverrouillage du module de plateforme sécurisée le rend entièrement opérationnel et l'utilisateur ne sera pas obligé d'entrer le mot de passe de récupération lors des redémarrages ultérieurs suite à un verrouillage du module de plateforme sécurisée.

La réinitialisation automatique du verrouillage du module de plateforme sécurisée est désactivée par défaut.

Le rapport d'audit de récupération inclut les événements liés à la réinitialisation automatique du verrouillage du module de plateforme sécurisée. Si une demande est effectuée à partir du client MBAM pour récupérer un mot de passe d'authentification du propriétaire de module de plateforme sécurisée, un événement est enregistré pour indiquer la récupération. Les entrées d'audit comprennent les événements suivants :

Sécuriser les connexions à SQL Server

Dans MBAM, SQL Server communique avec SQL Server Reporting Services et avec les services Web pour le site Web d'administration et de surveillance et le portail libre-service. Nous vous recommandons de sécuriser la communication avec SQL Server. Pour plus d'informations, consultez Chiffrement des connexions à SQL Server.

Pour plus d'informations sur la sécurisation des sites Web de MBAM, consultez Planification de la sécurisation des sites web MBAM.

Créer des comptes et des groupes

Pour la gestion des comptes d'utilisateur, la meilleure solution consiste à créer des groupes globaux de domaines et à leur ajouter des comptes d'utilisateurs. Pour obtenir une description des comptes et des groupes recommandés, consultez Planification des comptes et groupes MBAM 2.5.

Utiliser les fichiers journaux MBAM

Cette section décrit les fichiers journaux du serveur MBAM et du client MBAM.

MBAM – fichiers journaux d'installation du serveur

Le fichier MBAMServerSetup.exe génère les fichiers journaux suivants dans le dossier %temp% de l'utilisateur au cours de l'installation MBAM :

• Microsoft_BitLocker_Administration_and_Monitoring_<14 chiffres>.log

  Enregistre les actions effectuées au cours de l'installation MBAM et de la configuration des fonctionnalités du serveur MBAM.

• Microsoft_BitLocker_Administration_and_Monitoring_<14_chiffres>_0_MBAMServer.msi.log

  Enregistre les actions supplémentaires effectuées au cours de l'installation.

MBAM – fichiers journaux de configuration du serveur

• Journaux des applications et des services/Microsoft Windows/MBAM-Setup

  Enregistre les erreurs qui se produisent lorsque vous utilisez les applets de commande Windows PowerShell ou l'Assistant Configuration du serveur MBAM pour configurer les fonctionnalités du serveur MBAM.

MBAM – fichiers journaux d'installation du client

• MSI<cinq caractères aléatoires>.log**

  Enregistre les actions effectuées pendant l'installation du client MBAM.

MBAM-Fichiers journaux web

• Affiche l'activité des services et des portails web.

Examiner les considérations relatives au chiffrement de données transparent (TDE) des bases de données MBAM

Le composant de chiffrement TDE (Transparent Data Encryption) disponible dans SQL Server est une option d'installation des instances de base de données qui hébergeront les composants de base de données MBAM.

Avec TDE, vous pouvez effectuer un chiffrement complet en temps réel au niveau de la base de données. TDE est le meilleur choix pour le chiffrement en bloc qui permet de respecter les normes de sécurité pour les données d'entreprise ou la conformité aux réglementations. TDE fonctionne au niveau des fichiers, de la même façon que deux composants Windows : le système de fichiers EFS (Encrypting File System) et le chiffrement de lecteur BitLocker. Ces deux composants chiffrent également les données sur le disque dur. TDE ne remplace pas le chiffrement au niveau des cellules, le système EFS ou BitLocker.

Lorsque TDE est activé sur une base de données, toutes les sauvegardes sont chiffrées. Ainsi, vous devez vous assurer que le certificat, qui a été utilisé pour protéger la clé de chiffrement de la base de données, a bien été sauvegardé et qu'il a été conservé lors de la sauvegarde de la base de données. Si ce certificat (ou ces certificats) sont perdus, les données seront illisibles.

Sauvegardez le certificat avec la base de données. Chaque sauvegarde de certificat doit avoir deux fichiers. Ces deux fichiers doivent être archivés. Dans l'idéal, ils doivent être sauvegardés séparément du fichier de sauvegarde de base de données pour des raisons de sécurité. Vous pouvez également envisager d'utiliser le composant de gestion de clés extensible (EKM) (voir Gestion de clés extensible) pour le stockage et la maintenance des clés utilisées pour TDE.

Pour obtenir un exemple illustrant comment activer TDE pour des instances de base de données MBAM, consultez Présentation du chiffrement de données transparent (TDE).

Comprendre les considérations générales de sécurité

Comprendre les risques de sécurité. Le risque le plus important lorsque vous utilisez Microsoft BitLocker Administration and Monitoring est le fait que ses fonctionnalités pourraient être compromises par un utilisateur non autorisé qui pourrait ensuite reconfigurer le chiffrement de lecteur BitLocker et obtenir les données de clé de chiffrement BitLocker sur les clients MBAM. Cependant, la perte des fonctionnalités MBAM pendant une courte période en raison d'une attaque par déni de service n'aura pas en général un impact catastrophique, contrairement, par exemple, à la perte des fonctionnalités de messagerie ou des communications réseau, ou à une panne d'alimentation.

Sécurisez physiquement vos ordinateurs. Il n'y a pas de sécurité sans sécurité physique. Un attaquant qui obtient l'accès physique à un serveur MBAM peut potentiellement l'utiliser pour attaquer tous les clients. Toutes les attaques physiques potentielles doivent être considérées comme des risques majeurs et réduites de façon appropriée. Les serveurs MBAM doivent être stockés dans une salle de serveurs sécurisée à l'aide d'un accès contrôlé. Sécurisez ces ordinateurs lorsque les administrateurs ne sont pas physiquement présents en faisant en sorte que le système d'exploitation verrouille l'ordinateur, ou à l'aide d'un économiseur d'écran sécurisé.

Appliquez les dernières mises à jour de sécurité à tous les ordinateurs. Restez informé des nouvelles mises à jour pour les systèmes d'exploitation Windows, SQL Server et MBAM en vous abonnant aux services de notification sur la sécurité sur le site TechCenter sur la sécurité.

Utiliser des mots de passe forts ou des phrases secrètes. Utilisez toujours des mots de passe forts d'au moins 15 caractères pour tous les comptes d'administrateur MBAM. N'utilisez jamais des mots de passe vides. Pour plus d'informations sur les concepts de mot de passe, consultez Stratégie de mots de passe.

Vous avez une suggestion pour MBAM ?

Ajoutez des suggestions ou votez pour les meilleures ici. Pour les problèmes relatifs à MBAM, utilisez le Forum TechNet MBAM.

Voir aussi

Autres ressources

Planification du déploiement de MBAM 2.5