Рекомендации по безопасности MBAM 2.0

Обновлено: Апрель 2013 г.

Назначение: Microsoft BitLocker Administration and Monitoring 2.0

В данном разделе приводится краткий обзор учетных записей и групп, файлов журналов и других аспектов обеспечения безопасности для Администрирование и мониторинг Microsoft BitLocker (MBAM). Для получения дополнительных сведений перейдите по ссылкам, приведенным в этой статье.

Общие рекомендации по безопасности

Осознавайте риски безопасности. Самый серьезный риск со стороны Администрирование и мониторинг Microsoft BitLocker представляет перехват его функциональных возможностей неуполномоченным пользователем, который может перенастроить шифрование BitLocker и получить доступ к данным ключей шифрования BitLocker для клиентов MBAM. Однако кратковременная потеря доступа к функциональным возможностям MBAM в результате атаки типа "отказ в обслуживании" обычно не оказывает существенного негативного влияния, в отличие от, например, атак на электронную почту, сетевые коммуникации, освещение или энергоснабжение.

Обеспечивайте физическую защиту своих компьютеров. Безопасность не может быть гарантирована, если она не обеспечена на физическом уровне. Злоумышленник с физическим доступом к серверу MBAM может использовать его для атаки на всю клиентскую базу. Любые потенциальные физические атаки следует относить к повышенному риску и соответствующим образом предотвращать. Серверы MBAM следует располагать в защищенной серверной с контролируемым доступом. На время отсутствия администраторов обеспечивайте защиту таких компьютеров с помощью блокировки компьютера операционной системой или заставки с функциями безопасности.

Примените самые актуальные обновления для системы безопасности на всех компьютерах. Будьте в курсе всех новых обновлений для операционных систем, Microsoft SQL Server и MBAM, подписавшись на службу уведомлений по безопасности (http://go.microsoft.com/fwlink/?LinkId=28819).

Используйте надежные пароли и парольные фразы. Всегда используйте надежные пароли, состоящие из 15 и более символов, для всех учетных записей администраторов MBAM и MBAM. Никогда не используйте пустые пароли. Дополнительные сведения о разных аспектах использования паролей см. в техническом документе о паролях учетных записей и политиках на сайте TechNet (http://go.microsoft.com/fwlink/?LinkId=30009).

Учетные записи и группы в MBAM

Лучшая методика управления учетными записями пользователей заключается в создании глобальных групп домена и добавлении в них учетных записей пользователей. После этого глобальные учетные записи домена необходимо добавить в требуемые локальные группы MBAM на серверах MBAM.

Группы доменных служб Active Directory

В процессе установки MBAM автоматическое создание групп Active Directory не выполняется. Однако для управления работой MBAM рекомендуется создать следующие глобальные группы доменных служб Active Directory.

 

Имя группы Подробности

Опытные пользователи службы поддержки MBAM

Создайте эту группу для управления членами локальной группы опытных пользователей службы технической поддержки MBAM (MBAM Advanced Helpdesk Users), которая была создана во время установки MBAM.

Доступ к базе данных аудита соответствия MBAM

Создайте эту группу для управления членами локальной группы доступа к базе данных аудита соответствия MBAM (MBAM Compliance Auditing DB Access), которая была создана во время установки MBAM.

Пользователи службы поддержки MBAM

Создайте эту группу для управления членами локальной группы пользователей службы технической поддержки MBAM (MBAM Helpdesk Users), которая была создана во время установки MBAM.

Доступ к базе данных восстановления и оборудования MBAM

Создайте эту группу для управления членами локальной группы доступа к базе данных восстановления и оборудования MBAM (MBAM Recovery and Hardware DB Access), которая была создана во время установки MBAM.

Пользователи отчетов MBAM

Создайте эту группу для управления членами локальной группы пользователей отчетов MBAM (MBAM Report Users), которая была создана во время установки MBAM.

Системные администраторы MBAM

Создайте эту группу для управления членами локальной группы системных администраторов MBAM (MBAM System Administrators), которая была создана во время установки MBAM.

Исключения для шифрования BitLocker

Создайте эту группу для управления учетными записями пользователей, которые следует исключить из шифрования BitLocker при его запуске на компьютере, куда такие пользователи выполняют вход.

Локальные группы серверов MBAM

Программа установки MBAM создает локальные группы для обеспечения работы MBAM. Чтобы настроить разрешения безопасности и доступа к данным MBAM, необходимо добавить глобальные группы доменных служб Active Directory в соответствующие локальные группы MBAM.

 

Имя группы Подробности

Опытные пользователи службы поддержки MBAM

Члены этой группы имеют расширенный доступ к возможностям службы технической поддержки в MBAM.

Доступ к базе данных аудита соответствия MBAM

Эта группа содержит компьютеры, которые имеют доступ к базе данных соответствия и аудита MBAM.

Пользователи службы поддержки MBAM

Члены этой группы имеют доступ к некоторым возможностям службы технической поддержки в MBAM.

Доступ к базе данных восстановления и оборудования MBAM

Эта группа содержит компьютеры, которые имеют доступ к базе данных восстановления MBAM.

Пользователи отчетов MBAM

Члены этой группы имеют доступ к отчетам о соответствии и аудите в MBAM.

Системные администраторы MBAM

Члены этой группы имеют доступ ко всем возможностям MBAM.

Учетная запись службы отчетов SSRS

Учетная запись службы отчетов SSRS обеспечивает контекст безопасности для запуска отчетов MBAM, доступных посредством SSRS. Она настраивается во время установки MBAM.

Во время настройки учетной записи службы отчетов SSRS необходимо указать учетную запись пользователя домена и настроить бессрочный пароль.

noteПримечание
Если после развертывания MBAM изменить имя учетной записи службы, необходимо перенастроить источник данных отчетов для использования новых учетных данных учетной записи службы. В противном случае вы не сможете получить доступ к порталу службы поддержки.

Файлы журналов MBAM

Следующие файлы журналов установки MBAM создаются во время установки MBAM в папке %temp% пользователя, запустившего установку.

Файлы журналов программы установки сервера MBAM

MSI<пять случайных знаков>.log
Регистрирует действия, предпринятые во время выполнения программы установки MBAM и во время установки серверного компонента MBAM.

InstallComplianceDatabase.log
Регистрирует действия, предпринятые для создания базы данных соответствия и аудита MBAM.

InstallKeyComplianceDatabase.log
Регистрирует действия, предпринятые для создания базы данных восстановления MBAM.

AddHelpDeskDbAuditUsers.log
Регистрирует действия, предпринятые для создания учетных данных SQL Server для базы данных соответствия и аудита MBAM и предоставления веб-службе службы поддержки доступа к этой базе данных для работы с отчетами.

AddHelpDeskDbUsers.log
Регистрирует действия, предпринятые для предоставления веб-службам доступа к базе данных для восстановления ключей и создания учетных данных для базы данных восстановления MBAM.

AddKeyComplianceDbUsers.log
Регистрирует действия, предпринятые для предоставления веб-службам доступа к базе данных соответствия и аудита MBAM для работы с отчетами о соответствии.

AddRecoveryAndHardwareDbUsers.log
Регистрирует действия, предпринятые для предоставления веб-службам доступа к базе данных восстановления MBAM для восстановления ключей.

noteПримечание
Чтобы получить дополнительные файлы журналов программы установки MBAM, для установки MBAM необходимо использовать пакет msiexec с параметром /L <расположение>. Файлы журнала создаются в указанном расположении.

Файлы журналов программы установки клиента MBAM

MSI<пять случайных знаков>.log
Регистрирует действия, предпринятые во время установки клиента MBAM.

Рекомендации по прозрачному шифрованию данных для базы данных MBAM

Доступный в SQL Server компонент прозрачного шифрования данных (Transparent Data Encryption — TDE) при необходимости можно установить для экземпляров баз данных, в которых будут размещаться компоненты баз данных MBAM.

С помощью прозрачного шифрования данных полное шифрование на уровне базы данных в режиме реального времени. Прозрачное шифрование данных оптимально подходит для массового шифрования, направленного на обеспечение соответствия нормативным требованиям или корпоративным стандартам безопасности данных. Прозрачное шифрование данных функционирует на уровне файлов, что похоже на работу двух других компонентов Windows — шифрованная файловая система (EFS) и шифрование диска BitLocker, которые также осуществляют шифрование данных на жестком диске. Прозрачное шифрование данных не заменяет собой шифрование на уровне ячеек, EFS или BitLocker.

Когда для базы данных включено прозрачное шифрование данных, выполняется шифрование всех резервных копий. Поэтому следует уделить особое внимание тому, чтобы резервная копия сертификата, использовавшегося для защиты ключа шифрования базы данных, была сохранена вместе с резервной копией базы данных. В случае утери сертификата (или сертификатов) чтение данных будет невозможно. Выполните резервное копирование сертификата вместе с базой данных. Каждая резервная копия сертификата должна содержать два файла. Оба файла должны быть заархивированы (из соображений безопасности лучше всего архивировать их отдельно от файла резервной копии базы данных). Для хранения и обслуживания ключей, используемых для прозрачного шифрования данных, также можно использовать функцию расширенного управления ключами (см. Расширенное управление ключами).

Пример включения прозрачного шифрования данных для экземпляров баз данных MBAM см. в разделе Оценка MBAM 2.0.

Дополнительные сведения о компоненте TDE в SQL Server 2008 см. в разделе Шифрование SQL Server.

См. также

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или следите за нами на таких ресурсах, как Facebook или Twitter.
-----
Показ: