Аспекты обеспечения безопасности для MBAM 1.0

Обновлено: Ноябрь 2012 г.

Назначение: Microsoft BitLocker Administration and Monitoring 1.0

В данном разделе приводится краткий обзор учетных записей и групп, файлов журналов и других аспектов обеспечения безопасности для Администрирование и мониторинг Microsoft BitLocker (MBAM). Для получения дополнительных сведений перейдите по ссылкам, приведенным в этой статье.

Общие требования к безопасности

Осознавайте риски безопасности. Самый серьезный риск для MBAM состоит в перехвате его функциональных возможностей неуполномоченным пользователем, который может перенастроить шифрование BitLocker и получить доступ к данным ключа шифрования BitLocker для клиентов MBAM. Однако кратковременная потеря доступа к функциональным возможностям MBAM в результате атаки типа «отказ в обслуживании» обычно не оказывает существенного негативного влияния.

Обеспечивайте физическую защиту своих компьютеров. Безопасность не будет полной без ее физического компонента. Любой человек с физическим доступом к серверу MBAM может провести атаку на всю клиентскую базу. Любые потенциальные физические атаки следует относить к повышенному риску и соответствующим образом предотвращать. Серверы MBAM следует располагать в физически защищенной серверной с контролируемым доступом. На время отсутствия администраторов обеспечивайте защиту таких компьютеров с помощью блокировки компьютера операционной системой или заставки с функциями безопасности.

Примените самые актуальные обновления для системы безопасности на всех компьютерах. Будьте в курсе о всех новых обновлениях для операционных систем, Microsoft SQL Server, и MBAM, подписавшись на службу уведомлений о безопасности Security Notification (http://go.microsoft.com/fwlink/p/?LinkId=28819).

Используйте надежные пароли и парольные фразы. Всегда используйте надежные пароли, состоящие из 15 и более символов, для всех учетных записей администраторов MBAM и MBAM. Никогда не используйте пустые пароли. Дополнительные сведения о разных аспектах использования паролей см. в техническом документе о паролях учетных записей и политиках на сайте TechNet (http://go.microsoft.com/fwlink/p/?LinkId=30009).

Учетные записи и группы в MBAM

Лучшая методика управления учетными записями пользователей заключается в создании глобальных доменных групп и добавлении в них учетных записей пользователей. После этого добавьте доменные глобальные учетные записи в требуемые локальные группы MBAM на серверах MBAM.

Группы доменных служб Active Directory

Во время установки MBAM автоматическое создание групп не выполняется. Однако для управления работой MBAM вам стоит создать следующие глобальные группы доменных служб Active Directory.

 

Имя группы Подробности

Опытные пользователи службы поддержки MBAM

Создайте эту группу для управления членами локальной группы опытных пользователей службы технической поддержки MBAM (MBAM Advanced Helpdesk Users), которая была создана во время установки MBAM.

Доступ к базе данных аудита соответствия MBAM

Создайте эту группу для управления членами локальной группы доступа к базе данных аудита соответствия MBAM (MBAM Compliance Auditing DB Access), которая была создана во время установки MBAM.

Пользователи оборудования MBAM

Создайте эту группу для управления членами локальной группы пользователей оборудования MBAM (MBAM Hardware Users), которая была создана во время установки MBAM.

Пользователи службы технической поддержки MBAM

Создайте эту группу для управления членами локальной группы пользователей службы технической поддержки MBAM (MBAM Helpdesk Users), которая была создана во время установки MBAM.

Доступ к базе данных восстановления и оборудования MBAM

Создайте эту группу для управления членами локальной группы доступа к базе данных восстановления и оборудования MBAM (MBAM Recovery and Hardware DB Access), которая была создана во время установки MBAM.

Пользователи отчетов MBAM

Создайте эту группу для управления членами локальной группы пользователей отчетов MBAM (MBAM Report Users), которая была создана во время установки MBAM.

Системные администраторы MBAM

Создайте эту группу для управления членами локальной группы системных администраторов MBAM (MBAM System Administrators), которая была создана во время установки MBAM.

Исключения для шифрования BitLocker

Создайте эту группу для управления учетными записями пользователей, которые следует исключить из шифрования BitLocker при его запуске на компьютере, куда такие пользователи выполняют вход.

Локальные группы серверов MBAM

Программа установки MBAM создает локальные группы для обеспечения работы MBAM. Вам следует добавить глобальные группы доменных служб Active Directory в соответствующие локальные группы MBAM, чтобы настроить безопасность MBAM и разрешения на доступ к данным.

 

Имя группы Подробности

Опытные пользователи службы поддержки MBAM

Члены этой группы имеют расширенный доступ к возможностям службы технической поддержки компонента администрирования и мониторинга BitLocker корпорации Майкрософт.

Доступ к базе данных аудита соответствия MBAM

Эта группа включает в себя компьютеры, которые имеют доступ к базе данных аудита соответствия MBAM.

Пользователи оборудования MBAM

Члены этой группы имеют доступ к некоторым возможностям оборудования компонента администрирования и мониторинга BitLocker корпорации Майкрософт.

Пользователи службы технической поддержки MBAM

Члены этой группы имеют доступ к некоторым возможностям службы технической поддержки компонента администрирования и мониторинга BitLocker корпорации Майкрософт.

Доступ к базе данных восстановления и оборудования MBAM

Эта группа включает в себя компьютеры, которые имеют доступ к базе данных восстановления и оборудования MBAM.

Пользователи отчетов MBAM

Члены этой группы имеют доступ к отчетам о соответствии и аудите компонента администрирования и мониторинга BitLocker корпорации Майкрософт.

Системные администраторы MBAM

Члены этой группы имеют доступ ко всем возможностям компонента администрирования и мониторинга BitLocker корпорации Майкрософт.

Учетная запись доступа к отчетам SSRS

Учетная запись службы отчетов SQL Server Reporting Services (SSRS) предоставляет контекст безопасности для запуска отчетов MBAM, доступных через SSRS. Эта учетная запись настраивается во время установки MBAM.

Файлы журналов MBAM

Следующие файлы журналов создаются во время установки MBAM в папке %temp% пользователя, выполняющего установку

Файлы журналов программы установки сервера MBAM

MSI<пять случайных знаков>.log
Регистрирует действия, предпринятые во время выполнения программы установки MBAM и во время установки серверного компонента MBAM.

InstallComplianceDatabase.log
Регистрирует действия, предпринятые для создания программы установки базы данных состояния соответствия MBAM.

InstallKeyComplianceDatabase.log
Регистрирует действия, предпринятые для создания базы данных восстановления и оборудования MBAM.

AddHelpDeskDbAuditUsers.log
Регистрирует действия, предпринятые для создания учетных данных SQL Server в базе данных состояния соответствия MBAM и предоставления веб-службе технической поддержки доступа к этой базе данных для работы с отчетами.

AddHelpDeskDbUsers.log
Регистрирует действия, предпринятые для предоставления веб-службам доступа к базе данных для восстановления ключей и создания учетных данных для базы данных восстановления и оборудования MBAM.

AddKeyComplianceDbUsers.log
Регистрирует действия, предпринятые для предоставления веб-службам доступа к базе данных состояния соответствия MBAM для ведения отчетов о соответствии.

AddRecoveryAndHardwareDbUsers.log
Регистрирует действия, предпринятые для предоставления веб-службам доступа к базе данных восстановления и оборудования MBAM для восстановления ключей.

noteПримечание
Чтобы получить дополнительные файлы журналов программы установки MBAM, необходимо установить компонент администрирования и мониторинга BitLocker корпорации Майкрософт с помощью пакета msiexec с параметром /l <расположение>. Файлы журнала создаются в указанном расположении.

Файлы журналов программы установки клиента MBAM

MSI<пять случайных знаков>.log
Регистрирует действия, предпринятые во время установки клиента MBAM.

Вопросы, связанные с прозрачным шифрованием данных, для базы данных MBAM

Доступный в SQL Server 2008 компонент прозрачного шифрования данных (Transparent Data Encryption — TDE) является необходимым условием для установки экземпляров баз данных, в которых будут размещаться компоненты базы данных MBAM.

С помощью прозрачного шифрования данных полное шифрование на уровне базы данных в режиме реального времени. Прозрачное шифрование данных хорошо подходит для массового шифрования, направленного на обеспечение соответствия нормативным требованиям или корпоративным стандартам безопасности данных. Прозрачное шифрование данных функционирует на уровне файлов, что похоже на работу двух других компонентов Windows — шифрованная файловая система (EFS) и шифрование диска BitLocker, которые также осуществляют шифрование данных на жестком диске. Прозрачное шифрование данных не заменяет собой шифрование на уровне ячеек, EFS или BitLocker.

Когда для базы данных включено прозрачное шифрование данных, выполняется шифрование всех резервных копий. Поэтому следует уделить особое внимание тому, чтобы сертификат, использованный для защиты ключа шифрования базы данных (DEK), был сохранен вместе с резервной копией базы данных. Без сертификата чтение данных будет невозможно. Выполните резервное копирование сертификата вместе с базой данных. Каждая резервная копия сертификата должна состоять из двух файлов; которые следует заархивировать. Из соображений безопасности лучше всего архивировать их по отдельности из файла резервной копии базы данных.

Пример включения прозрачного шифрования данных для экземпляров баз данных MBAM см. в статье Проверка MBAM 1.0.

Дополнительные сведения о прозрачном шифровании данных в SQL Server 2008 см. в статье о шифровании баз данных в SQL Server 2008 Enterprise Edition.

См. также

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или следите за нами на таких ресурсах, как Facebook или Twitter.
-----
Показ: