Процедуры безопасности MBAM 2.5

Обновлено: Август 2015 г.

Назначение: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

В этом разделе содержатся следующие сведения о том, как защитить Администрирование и мониторинг Microsoft BitLocker (MBAM):

Настройка MBAM для депонирования модуля TPM и хранения паролей OwnerAuth

В зависимости от своей конфигурации доверенный платформенный модуль (TPM) будет блокировать себя сам в определенных ситуациях (например, при вводе слишком большого количества неверных паролей) и оставаться заблокированным в течение некоторого времени. Во время блокировки модуля TPM BitLocker не сможет получить доступ к ключам шифрования с целью выполнения операций разблокировки или расшифровки, поэтому для доступа к диску операционной системы пользователю будет необходимо ввести свой ключ восстановления BitLocker. Для сброса состояния блокировки модуля TPM необходимо ввести пароль TPM OwnerAuth.

MBAM может хранить пароль TPM OwnerAuth в базе данных MBAM, если он является владельцем модуля TPM или если он депонирует пароль. Затем пароли OwnerAuth можно будет легко найти на сайте Administration and Monitoring, если будет нужно снять состояния блокировки модуля TPM, что избавит от необходимости ожидания автоматического снятия блокировки.

Депонирование TPM OwnerAuth в Windows 8 и более поздних версиях

В Windows 8 или более поздней версии MBAM больше не должен быть владельцем TPM для хранения пароля OwnerAuth при условии, что OwnerAuth доступна на локальном компьютере.

Чтобы MBAM мог депонировать и сохранять пароли TPM OwnerAuth, необходимо настроить следующие параметры групповой политики.

 

Параметры групповой политики Конфигурация

Включить резервное копирование TPM в доменные службы Active Directory

Отключен или не настроен

Настроить уровень сведений авторизации владельца TMP, доступных операционной системе

Делегирован/отсутствует или не настроен

Эти параметры групповой политики находятся в разделе Конфигурация компьютера > Административные шаблоны > Система > Службы доверенного платформенного модуля.

noteПримечание
Windows удаляет OwnerAuth локально после того, как MBAM успешно депонирует ее с помощью этих параметров.

Депонирование TPM OwnerAuth в Windows 7

В Windows 7 MBAM должен быть владельцем доверенного платформенного модуля, чтобы автоматически депонировать сведения OwnerAuth доверенного платформенного модуля в базе данных MBAM. Если MBAM не является владельцем доверенного платформенного модуля, для копирования TPM OwnerAuth из Active Directory в базу данных MBAM необходимо использовать командлеты импорта данных Active Directory (AD) MBAM.

Командлеты импорта данных Active Directory MBAM

Командлеты импорта данных Active Directory MBAM позволяют получить пакеты ключей восстановления и паролей OwnerAuth, которые хранятся в Active Directory.

Сервер MBAM 2.5 с пакетом обновления 1 (SP1) поставляется вместе с четырьмя командлетами PowerShell, которые заранее помещают в базы данных MBAM данные о восстановлении томов и о владельце доверенного платформенного модуля, которые хранятся в Active Directory.

Ключи восстановления тома и пакеты:

  • Read-ADRecoveryInformation

  • Write-MbamRecoveryInformation

Данные о владельце доверенного платформенного модуля:

  • Read-ADTpmInformation

  • Write-MbamTpmInformation

Связывание пользователей с компьютерами:

  • Write-MbamComputerUser

Командлеты Read-AD* считывают данные из Active Directory. Командлеты Write-Mbam* помещают данные в базы данных MBAM. Подробные сведения об этих командлетах, включая синтаксис, параметры и примеры, см. в документе Справочник по командлетам для Microsoft Bitlocker Administration and Monitoring 2.5.

Создание сопоставлений «пользователь — компьютер»: Командлеты импорта данных Active Directory MBAM собирают данные из Active Directory и вставляют их в базу данных MBAM. Тем не менее они не связывают пользователей с томами. Для создания сопоставлений «пользователь — компьютер», с помощью которых пользователи смогут получить доступ к компьютеру через сайт Administration and Monitoring или с помощью портала самообслуживания для восстановления, можно скачать скрипт PowerShell Add-ComputerUser.ps1. Скрипт Add-ComputerUser.ps1 собирает данные из атрибута Managed By (Кем управляется) в Active Directory (AD), владельца объекта в AD, или из пользовательского CSV-файла. Затем скрипт добавляет обнаруженных пользователей в объект конвейера данных о восстановлении, который необходимо отправить в командлет Write-MbamRecoveryInformation для вставки данных в базу данных восстановления.

Скачайте скрипт PowerShell Add-ComputerUser.ps1 из Центра загрузки Майкрософт.

Для получения справки по скрипту, включая примеры использования командлетов и самого скрипта, можно выполнить команду help Add-ComputerUser.ps1.

Для создания сопоставлений «пользователь — компьютер» после установки сервера MBAM используйте командлет PowerShell Write-MbamComputerUser. По аналогии со скриптом PowerShell Add-ComputerUser.ps1 этот командлет позволяет указать пользователей, которые могут использовать портал самообслуживания для получения данных TPM OwnerAuth или пароли восстановления тома для указанного компьютера.

noteПримечание
Агент MBAM переопределит сопоставления «пользователь — компьютер», когда этот компьютер начнет отправлять отчеты на сервер.

Предварительные требования: командлеты Read-AD* могут получить данные из AD только в том случае, если они запускаются от имени привилегированной учетной записи пользователя, например администратором домена, или от имени учетной записи в пользовательской группе безопасности, которой предоставлен доступ на чтение данных (рекомендуется).

Руководство по работе с шифрованием диска BitLocker: восстановление зашифрованных томов при помощи AD DS содержит подробные сведения о создании пользовательской группы безопасности (или нескольких групп) с доступом на чтение для данных AD.


Разрешения на запись для веб-службы восстановления и оборудования MBAM: командлеты Write-Mbam* принимают URL-адрес службы восстановления и оборудования MBAM, которая используется для публикации данных о восстановлении или доверенном платформенном модуле. Как правило, со службой восстановления и оборудования MBAM может взаимодействовать только учетная запись службы компьютеров домена. В MBAM 2.5 с пакетом обновления 1 (SP1) можно настроить для службы восстановления и оборудования MBAM группу безопасности под именем DataMigrationAccessGroup, члены которой могут обходить проверку учетной записи службы компьютеров домена. Командлеты Write-Mbam* необходимо запускать от имени пользователя, являющегося членом данной группы (кроме того, для указания учетных данных отдельного пользователя в настроенной группе можно использовать параметр –Credential в командлетах Write-Mbam*).

Эту группу безопасности для службы восстановления и оборудования MBAM можно настроить одним из следующих способов.

  • Укажите имя группы безопасности (или пользователя) в параметре -DataMigrationAccessGroup командлета Powershell Enable-MbamWebApplication –AgentService.

  • Настройте группу после установки службы восстановления и оборудования MBAM путем изменения файла web.config в папке <inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\.

    <add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />
    
    Где <groupName> заменяется на домен и имя группы (или отдельного пользователя), которые будут использоваться для миграции данных из Active Directory.

  • Для изменения значения параметра appSetting используйте редактор конфигурации в диспетчере IIS.

В следующем примере команда, выполняемая от имени члена группы ADRecoveryInformation и группы Data Migration Users, будет извлекать данные для восстановления тома с компьютеров в подразделении (OU) WORKSTATIONS (Рабочие станции) в домене contoso.com и записывать их в MBAM с помощью службы восстановления и оборудования MBAM, работающей на сервере mbam.contoso.com.

PS C:\> Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"



Командлеты Read-AD* принимают имя или IP-адрес размещающего Active Directory сервера для запроса данных о восстановлении или модуле TPM. Мы рекомендуем предоставлять различающиеся имена контейнеров AD, в которых находится объект-компьютер, в качестве значения параметра SearchBase. Если компьютеры хранятся в нескольких подразделениях, командлеты могут принимать входные данные конвейера, чтобы запускаться один раз для каждого контейнера. Различающееся имя контейнера AD будет выглядеть примерно следующим образом: OU=Machines,DC=contoso,DC=com. Выполнение поиска, ориентированного на конкретные контейнеры, имеет следующие преимущества.

  • Снижает риск истечения времени ожидания при запросе большого набора данных AD для объектов-компьютеров.

  • Подразделения, содержащие серверы центра обработки данных или другие классы компьютеров, для которых резервное копирование может быть нежелательным или не требуется, можно опустить.

Другой вариант заключается в указании флага –Recurse с необязательным параметром SearchBase (или без него) для поиска объектов-компьютеров по всем контейнерам под указанным SearchBase или по всему домену соответственно. При использовании флага -Recurse также можно применять параметр -MaxPageSize для контроля объема локальной и удаленной памяти, требуемого для обработки запроса.

Эти командлеты выполняют запись в объекты конвейера типа PsObject. Каждый экземпляр PsObject содержит один ключ восстановления тома или строку владельца доверенного платформенного модуля с именем связанного компьютера, меткой времени и другими данными, которые необходимы для его публикации в хранилище данных MBAM.

Командлеты Write-Mbam* принимают значения параметра данных о восстановлении из конвейера по имени свойства. Это позволяет командлетам Write-Mbam* принимать выходные данные конвейера от командлетов Read-AD* (например, Read-ADRecoveryInformation –Server contoso.com –Recurse | Write-MbamRecoveryInformation –RecoveryServiceEndpoint mbam.contoso.com).

Командлеты Write-Mbam* имеют необязательные параметры, которые предоставляют возможности для обеспечения отказоустойчивости, подробного ведения журнала и предпочтений для WhatIf и Confirm.

Командлеты Write-Mbam* также содержат необязательный параметр Time, значением которого является объект DateTime. Этот объект включает атрибут Kind, для которого можно установить значение Local, UTC или Unspecified. Когда параметр Time получает данные, извлеченные из Active Directory, время преобразуется в формат UTC и для этого атрибута Kind автоматически задается значение UTC. Однако если параметр Time получает данные из другого источника, например из текстового файла, для этого атрибута Kind необходимо явно задать соответствующее значение.

noteПримечание
Командлеты Read-AD* не могут искать учетные записи пользователей, которые представляют собой пользователей компьютера. Сопоставления учетных записей пользователей требуются в следующих целях.

  • Чтобы пользователи могли восстанавливать пароли для тома или пакеты с помощью портала самообслуживания.

  • Чтобы пользователи, не входящие в группу безопасности Advanced Helpdesk Users MBAM, как указано во время установки, могли выполнять восстановление от имени других пользователей.

Настройка MBAM на автоматическое снятие блокировки доверенного платформенного модуля

MBAM 2.5 с пакетом обновления 1 (SP1) можно настроить так, чтобы он автоматически снимал блокировку доверенного платформенного модуля. Если включен автоматический сброс блокировки доверенного платформенного модуля, MBAM может обнаружить, что пользователь вызвал блокировку, и получить пароль OwnerAuth из базы данных MBAM для автоматического снятия блокировки доверенного платформенного модуля для пользователя. Автоматический сброс блокировки доверенного платформенного модуля доступен только в том случае, если ключ восстановления операционной системы для конкретного компьютера был получен с помощью портала самообслуживания или веб-сайта Administration and Monitoring.

ImportantВажно
Чтобы включить автоматический сброс блокировки доверенного платформенного модуля, необходимо настроить эту функцию на сервере, а также в групповой политике на клиенте.

  • Чтобы включить автоматический сброс блокировки доверенного платформенного модуля на клиенте, настройте параметр групповой политики Configure TPM lockout auto reset (Настройка автоматического сброса блокировки доверенного платформенного модуля), который находится в разделе Конфигурация компьютера > Административные шаблоны > Компоненты Windows > MDOP MBAM > Управление клиентами.

  • Чтобы включить автоматический сброс блокировки доверенного платформенного модуля на сервере, установите флажок Enable TPM lockout auto reset (Включить автоматический сброс блокировки доверенного платформенного модуля) в мастере настройки сервера MBAM во время установки.

    Функцию автоматического сброса блокировки доверенного платформенного модуля также можно включить из PowerShell с помощью параметра -TPM lockout auto reset при включении веб-компонента службы агента.

После ввода пользователем ключа восстановления BitLocker, полученного с портала самообслуживания или веб-сайта Administration and Monitoring, агент MBAM определит, заблокирован ли доверенный платформенный модуль. Если он заблокирован, агент попытается получить TPM OwnerAuth для компьютера из базы данных MBAM. Если TPM OwnerAuth будет успешно получен, он будет использоваться для разблокировки доверенного платформенного модуля. Снятие блокировки доверенного платформенного модуля делает его полностью функциональным, и пользователю будет не нужно вводить пароль восстановления в ходе последующих перезагрузок для снятия блокировки такого модуля.

По умолчанию функция автоматического сброса блокировки доверенного платформенного модуля отключена.

noteПримечание
Автоматический сброс блокировки доверенного платформенного модуля поддерживается только на компьютерах с TPM версии 1.2. TPM 2.0 содержит встроенную функцию автоматического сброса блокировки.

Отчет аудита восстановления включает события, связанные с автоматическим сбросом блокировки доверенного платформенного модуля. Если запрос выполняется из клиента MBAM для получения пароля TPM OwnerAuth, регистрируется событие, которое указывает на восстановление. Записи в журнале аудита будут включать следующие события.

 

Запись Параметр

Источник запроса аудита

Разблокировка доверенного платформенного модуля агентом

Тип ключа

Хэш пароля TPM

Описание причины

Сброс TPM

Безопасные подключения к SQL Server

В MBAM сервер SQL Server взаимодействует с SQL Server Reporting Services, веб-службами для веб-сайта администрирования и мониторинга и порталом самообслуживания. Рекомендуется защитить взаимодействие с SQL Server. Дополнительные сведения см. в разделе Шифрование подключений к SQL Server.

Дополнительные сведения о безопасности веб-сайтов MBAM см. в разделе Планирование защиты веб-сайтов MBAM.

Создание учетных записей и групп

Лучшая методика управления учетными записями пользователей заключается в создании глобальных групп домена и добавлении в них учетных записей пользователей. Описание рекомендуемых учетных записей и групп см. в разделе Планирование для групп и учетных записей MBAM 2.5.

Использование файлов журнала MBAM

В этом разделе описываются файлы журнала MBAM Server и клиента MBAM.

MBAM Файлы журнала установки сервера

Файл MBAMServerSetup.exe создает следующие файлы журнала в папке %temp% пользователя во время установки MBAM:

  • Microsoft_BitLocker_Administration_and_Monitoring_<14 цифр>.log

    Регистрирует действия, предпринятые во время выполнения установки MBAM и во время настройки серверного компонента MBAM.

  • Microsoft_BitLocker_Administration_and_Monitoring_<14_цифр>_0_MBAMServer.msi.log

    Регистрирует дополнительные действия, предпринятые во время установки.

MBAM Файлы журнала настройки сервера

  • Журналы приложений и служб/Microsoft Windows/MBAM-Setup

    Регистрирует ошибки, происходящие при использовании командлетов Windows Powershell или мастера настройки MBAM Server для настройки функций MBAM Server.

MBAM Файлы журнала установки клиента

  • MSI<пять случайных символов>.log

    Регистрирует действия, предпринятые во время установки клиента MBAM.

MBAM-Web log files

  • Показывает действия из веб-порталов и служб.

Обзор вопросов, связанных с прозрачным шифрованием данных, для базы данных MBAM

Доступный в SQL Server компонент прозрачного шифрования данных при необходимости можно установить для экземпляров баз данных, в которых будут размещаться компоненты баз данных MBAM.

С помощью прозрачного шифрования данных полное шифрование на уровне базы данных в режиме реального времени. Прозрачное шифрование данных оптимально подходит для массового шифрования, направленного на обеспечение соответствия нормативным требованиям или корпоративным стандартам безопасности данных. Прозрачное шифрование данных функционирует на уровне файлов, что похоже на работу двух других компонентов Windows — шифрованной файловой системы и шифрования диска BitLocker. Оба компонента также шифруют данные на жестком диске. Прозрачное шифрование данных не заменяет собой шифрование на уровне ячеек, EFS или BitLocker.

Когда для базы данных включено прозрачное шифрование данных, выполняется шифрование всех резервных копий. Поэтому следует уделить особое внимание тому, чтобы резервная копия сертификата, использовавшегося для защиты ключа шифрования базы данных, была сохранена вместе с резервной копией базы данных. В случае утери сертификата (или сертификатов) чтение данных будет невозможно.

Выполните резервное копирование сертификата с базой данных. Каждая резервная копия сертификата должна содержать два файла. Оба файла должны быть заархивированы. Для оптимальной безопасности их резервная копия должна находиться отдельно от файла резервной копии базы данных. Для хранения и обслуживания ключей, используемых для прозрачного шифрования данных, также можно использовать функцию расширенного управления ключами (см. раздел "Расширенное управление ключами").

Пример включения прозрачного шифрования данных для экземпляров баз данных MBAM см. в разделе Общие сведения о прозрачном шифровании данных.

Общие сведения о безопасности

Осознавайте риски безопасности. Самый серьезный риск со стороны Администрирование и мониторинг Microsoft BitLocker представляет компрометация его функциональных возможностей неуполномоченным пользователем, который может перенастроить шифрование диска BitLocker и получить доступ к данным ключей шифрования BitLocker для клиентов MBAM. Однако кратковременная потеря доступа к функциональным возможностям MBAM в результате атаки типа "отказ в обслуживании" обычно не оказывает существенного негативного влияния, в отличие от, например, потери сообщений электронной почты или сетевых сообщений либо прекращения энергоснабжения.

Физическая защита компьютеров. Безопасность не может быть гарантирована, если она не обеспечена на физическом уровне. Злоумышленник с физическим доступом к серверу MBAM может использовать его для атаки на всю клиентскую базу. Все потенциальные физические атаки следует относить к повышенному риску и соответствующим образом предотвращать. Серверы MBAM следует располагать в защищенной серверной с контролируемым доступом. На время отсутствия администраторов обеспечивайте защиту таких компьютеров с помощью блокировки компьютера операционной системой или заставки с функциями безопасности.

Установка последних обновлений на все компьютеры. Будьте в курсе всех новых обновлений для операционных систем Windows, SQL Server и MBAM, подписавшись на службу уведомлений по безопасности в Техническом центре безопасности.

Используйте надежные пароли и парольные фразы. Всегда используйте надежные пароли, состоящие из 15 и более символов, для всех учетных записей администраторов MBAM. Никогда не используйте пустые пароли. Дополнительные сведения о разных аспектах использования паролей см. в разделе Политика паролей.

Есть предложение для MBAM?

Выдвигайте предложения и голосуйте за них здесь. Ответы на вопросы, возникающие при работе с MBAM, можно найти на форуме TechNet по MBAM.

См. также

 
Показ: