Рекомендации по безопасности MBAM 2.0
Назначение: Microsoft BitLocker Administration and Monitoring 2.0
В данном разделе приводится краткий обзор учетных записей и групп, файлов журналов и других аспектов обеспечения безопасности для Администрирование и мониторинг Microsoft BitLocker (MBAM). Для получения дополнительных сведений перейдите по ссылкам, приведенным в этой статье.
Общие рекомендации по безопасности
Осознавайте риски безопасности. Самый серьезный риск со стороны Администрирование и мониторинг Microsoft BitLocker представляет перехват его функциональных возможностей неуполномоченным пользователем, который может перенастроить шифрование BitLocker и получить доступ к данным ключей шифрования BitLocker для клиентов MBAM. Однако кратковременная потеря доступа к функциональным возможностям MBAM в результате атаки типа "отказ в обслуживании" обычно не оказывает существенного негативного влияния, в отличие от, например, атак на электронную почту, сетевые коммуникации, освещение или энергоснабжение.
Обеспечивайте физическую защиту своих компьютеров. Безопасность не может быть гарантирована, если она не обеспечена на физическом уровне. Злоумышленник с физическим доступом к серверу MBAM может использовать его для атаки на всю клиентскую базу. Любые потенциальные физические атаки следует относить к повышенному риску и соответствующим образом предотвращать. Серверы MBAM следует располагать в защищенной серверной с контролируемым доступом. На время отсутствия администраторов обеспечивайте защиту таких компьютеров с помощью блокировки компьютера операционной системой или заставки с функциями безопасности.
Примените самые актуальные обновления для системы безопасности на всех компьютерах. Будьте в курсе всех новых обновлений для операционных систем, Microsoft SQL Server и MBAM, подписавшись на службу уведомлений по безопасности (https://go.microsoft.com/fwlink/?LinkId=28819).
Используйте надежные пароли и парольные фразы. Всегда используйте надежные пароли, состоящие из 15 и более символов, для всех учетных записей администраторов MBAM и MBAM. Никогда не используйте пустые пароли. Дополнительные сведения о разных аспектах использования паролей см. в техническом документе о паролях учетных записей и политиках на сайте TechNet (https://go.microsoft.com/fwlink/?LinkId=30009).
Учетные записи и группы в MBAM
Лучшая методика управления учетными записями пользователей заключается в создании глобальных групп домена и добавлении в них учетных записей пользователей. После этого глобальные учетные записи домена необходимо добавить в требуемые локальные группы MBAM на серверах MBAM.
Группы доменных служб Active Directory
В процессе установки MBAM автоматическое создание групп Active Directory не выполняется. Однако для управления работой MBAM рекомендуется создать следующие глобальные группы доменных служб Active Directory.
| Имя группы | Подробности |
|---|---|
Опытные пользователи службы поддержки MBAM |
Создайте эту группу для управления членами локальной группы опытных пользователей службы технической поддержки MBAM (MBAM Advanced Helpdesk Users), которая была создана во время установки MBAM. |
Доступ к базе данных аудита соответствия MBAM |
Создайте эту группу для управления членами локальной группы доступа к базе данных аудита соответствия MBAM (MBAM Compliance Auditing DB Access), которая была создана во время установки MBAM. |
Пользователи службы поддержки MBAM |
Создайте эту группу для управления членами локальной группы пользователей службы технической поддержки MBAM (MBAM Helpdesk Users), которая была создана во время установки MBAM. |
Доступ к базе данных восстановления и оборудования MBAM |
Создайте эту группу для управления членами локальной группы доступа к базе данных восстановления и оборудования MBAM (MBAM Recovery and Hardware DB Access), которая была создана во время установки MBAM. |
Пользователи отчетов MBAM |
Создайте эту группу для управления членами локальной группы пользователей отчетов MBAM (MBAM Report Users), которая была создана во время установки MBAM. |
Системные администраторы MBAM |
Создайте эту группу для управления членами локальной группы системных администраторов MBAM (MBAM System Administrators), которая была создана во время установки MBAM. |
Исключения для шифрования BitLocker |
Создайте эту группу для управления учетными записями пользователей, которые следует исключить из шифрования BitLocker при его запуске на компьютере, куда такие пользователи выполняют вход. |
Локальные группы серверов MBAM
Программа установки MBAM создает локальные группы для обеспечения работы MBAM. Чтобы настроить разрешения безопасности и доступа к данным MBAM, необходимо добавить глобальные группы доменных служб Active Directory в соответствующие локальные группы MBAM.
| Имя группы | Подробности |
|---|---|
Опытные пользователи службы поддержки MBAM |
Члены этой группы имеют расширенный доступ к возможностям службы технической поддержки в MBAM. |
Доступ к базе данных аудита соответствия MBAM |
Эта группа содержит компьютеры, которые имеют доступ к базе данных соответствия и аудита MBAM. |
Пользователи службы поддержки MBAM |
Члены этой группы имеют доступ к некоторым возможностям службы технической поддержки в MBAM. |
Доступ к базе данных восстановления и оборудования MBAM |
Эта группа содержит компьютеры, которые имеют доступ к базе данных восстановления MBAM. |
Пользователи отчетов MBAM |
Члены этой группы имеют доступ к отчетам о соответствии и аудите в MBAM. |
Системные администраторы MBAM |
Члены этой группы имеют доступ ко всем возможностям MBAM. |
Учетная запись службы отчетов SSRS
Учетная запись службы отчетов SSRS обеспечивает контекст безопасности для запуска отчетов MBAM, доступных посредством SSRS. Она настраивается во время установки MBAM.
Во время настройки учетной записи службы отчетов SSRS необходимо указать учетную запись пользователя домена и настроить бессрочный пароль.
Примечание
Если после развертывания MBAM изменить имя учетной записи службы, необходимо перенастроить источник данных отчетов для использования новых учетных данных учетной записи службы. В противном случае вы не сможете получить доступ к порталу службы поддержки.
Файлы журналов MBAM
Следующие файлы журналов установки MBAM создаются во время установки MBAM в папке %temp% пользователя, запустившего установку.
Файлы журналов программы установки сервера MBAM
- MSI<пять случайных знаков>.log**
Регистрирует действия, предпринятые во время выполнения программы установки MBAM и во время установки серверного компонента MBAM.
- InstallComplianceDatabase.log
Регистрирует действия, предпринятые для создания базы данных соответствия и аудита MBAM.
- InstallKeyComplianceDatabase.log
Регистрирует действия, предпринятые для создания базы данных восстановления MBAM.
- AddHelpDeskDbAuditUsers.log
Регистрирует действия, предпринятые для создания учетных данных SQL Server для базы данных соответствия и аудита MBAM и предоставления веб-службе службы поддержки доступа к этой базе данных для работы с отчетами.
- AddHelpDeskDbUsers.log
Регистрирует действия, предпринятые для предоставления веб-службам доступа к базе данных для восстановления ключей и создания учетных данных для базы данных восстановления MBAM.
- AddKeyComplianceDbUsers.log
Регистрирует действия, предпринятые для предоставления веб-службам доступа к базе данных соответствия и аудита MBAM для работы с отчетами о соответствии.
- AddRecoveryAndHardwareDbUsers.log
Регистрирует действия, предпринятые для предоставления веб-службам доступа к базе данных восстановления MBAM для восстановления ключей.
Примечание
Чтобы получить дополнительные файлы журналов программы установки MBAM, для установки MBAM необходимо использовать пакет msiexec с параметром /L <расположение>. Файлы журнала создаются в указанном расположении.
Файлы журналов программы установки клиента MBAM
- MSI<пять случайных знаков>.log**
Регистрирует действия, предпринятые во время установки клиента MBAM.
Рекомендации по прозрачному шифрованию данных для базы данных MBAM
Доступный в SQL Server компонент прозрачного шифрования данных (Transparent Data Encryption — TDE) при необходимости можно установить для экземпляров баз данных, в которых будут размещаться компоненты баз данных MBAM.
С помощью прозрачного шифрования данных полное шифрование на уровне базы данных в режиме реального времени. Прозрачное шифрование данных оптимально подходит для массового шифрования, направленного на обеспечение соответствия нормативным требованиям или корпоративным стандартам безопасности данных. Прозрачное шифрование данных функционирует на уровне файлов, что похоже на работу двух других компонентов Windows — шифрованная файловая система (EFS) и шифрование диска BitLocker, которые также осуществляют шифрование данных на жестком диске. Прозрачное шифрование данных не заменяет собой шифрование на уровне ячеек, EFS или BitLocker.
Когда для базы данных включено прозрачное шифрование данных, выполняется шифрование всех резервных копий. Поэтому следует уделить особое внимание тому, чтобы резервная копия сертификата, использовавшегося для защиты ключа шифрования базы данных, была сохранена вместе с резервной копией базы данных. В случае утери сертификата (или сертификатов) чтение данных будет невозможно. Выполните резервное копирование сертификата вместе с базой данных. Каждая резервная копия сертификата должна содержать два файла. Оба файла должны быть заархивированы (из соображений безопасности лучше всего архивировать их отдельно от файла резервной копии базы данных). Для хранения и обслуживания ключей, используемых для прозрачного шифрования данных, также можно использовать функцию расширенного управления ключами (см. Расширенное управление ключами).
Пример включения прозрачного шифрования данных для экземпляров баз данных MBAM см. в разделе Оценка MBAM 2.0.
Дополнительные сведения о компоненте TDE в SQL Server 2008 см. в разделе Шифрование SQL Server.
См. также
Другие ресурсы
Безопасность и конфиденциальность для MBAM 2.0
-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или следите за нами на таких ресурсах, как Facebook или Twitter.
-----