MBAM 2.5 安全性考量

適用於: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

本主題包含下列相關資訊，說明如何保護 Microsoft BitLocker Administration and Monitoring (MBAM)：

• 將 MBAM 設定為委付 TPM 並儲存 OwnerAuth 密碼

• 將 MBAM 設定為鎖定之後自動解除鎖定 TPM

• 保護與 SQL Server 的連線

• 建立帳戶和群組

• 使用 MBAM 記錄檔

• 檢閱 MBAM 資料庫 TDE 考量

• 了解一般安全性考量

將 MBAM 設定為委付 TPM 並儲存 OwnerAuth 密碼

根據其組態而定，信賴平台模組 (TPM) 會在某些情況下自行鎖定 (例如輸入太多次錯誤密碼時)，且會維持鎖定狀態一段時間。在 TPM 鎖定期間，BitLocker 無法存取加密金鑰來執行解除鎖定或解密作業，因此需要使用者輸入他們的 BitLocker 修復金鑰來存取作業系統磁碟機。若要重設 TPM 鎖定，您必須提供 TPM OwnerAuth 密碼。

MBAM 可以將 TPM OwnerAuth 密碼儲存在 MBAM 資料庫中，前提是它擁有 TPM 或可委付密碼。當您必須從 TPM 鎖定中復原時，就能在 Administration and Monitoring Website 上輕鬆存取 OwnerAuth 密碼，而不必等待鎖定自己解決。

在 Windows 8 和更新版本中委付 TPM OwnerAuth

在 Windows 8 或更新版本中，只要能在本機電腦上取得 OwnerAuth，MBAM 即可不需 TPM 也能儲存 OwnerAuth 密碼。

若要啟用 MBAM 來委付並儲存 TPM OwnerAuth 密碼，您必須設定這些群組原則設定。

這些群組原則設定的位置為：[電腦設定]>[系統管理範本]>[系統]>[信賴平台模組服務]。

在 Windows 7 中委付 TPM OwnerAuth

在 Windows 7 中，MBAM 必須擁有 TPM 才能在 MBAM 資料庫中自動委付 TPM OwnerAuth 資訊。如果 MBAM 並未擁有 TPM，您必須使用 MBAM Active Directory (AD) 資料匯入 Cmdlet 將 TPM OwnerAuth 從 Active Directory 複製到 MBAM 資料庫中。

MBAM Active Directory 資料匯入 Cmdlet

MBAM Active Directory 資料匯入 Cmdlet 可讓您擷取儲存在 Active Directory 中的修復金鑰封裝和 OwnerAuth 密碼。

MBAM 2.5 SP1 伺服器隨附四個 PowerShell Cmdlet，這些 Cmdlet 會將磁碟區復原與儲存在 Active Directory 中的 TPM 擁有者資訊預先填入 MBAM 資料庫。

針對磁碟區修復金鑰和封裝：

• Read-ADRecoveryInformation

• Write-MbamRecoveryInformation

針對 TPM 擁有者資訊：

• Read-ADTpmInformation

• Write-MbamTpmInformation

針對建立使用者與電腦的關聯：

• Write-MbamComputerUser

Read-AD* Cmdlet 會讀取 Active Directory 中的資訊。Write-Mbam* Cmdlet 會將資料推送到 MBAM 資料庫。請參閱 Microsoft Bitlocker Administration and Monitoring 2.5 的 Cmdlet 參考以獲得包括語法、參數和範例的 cmdlet 詳細資訊。

建立使用者對電腦的關聯： MBAM Active Directory 資料匯入 Cmdlet 會從 Active Directory 收集資訊，並將資料插入 MBAM 資料庫。不過，它們不會建立使用者與磁碟區的關聯。您可以下載 Add-ComputerUser.ps1 PowerShell 指令碼來建立使用者對電腦的關聯，如此可讓使用者透過 Administration and Monitoring Website 或使用自助入口網站進行復原，來重新取得電腦存取權。Add-ComputerUser.ps1 指令碼會從 Active Directory (AD) 中的 Managed By 屬性、AD 中的物件擁有者，或從自訂的 CSV 檔案中蒐集資料。指令碼就會將所發現的使用者新增到修復資訊管線物件，其必須傳遞至 Write-MbamRecoveryInformation 來將資料插入修復資料庫中。

從 Microsoft 下載中心下載 Add-ComputerUser.ps1 PowerShell 指令碼。

您可以指定說明 Add-ComputerUser.ps1 來取得指令碼的說明，其中包括如何使用 Cmdlet 和指令碼的範例。

若要在安裝 MBAM 伺服器之後建立使用者對電腦的關聯，請使用 Write-MbamComputerUser PowerShell Cmdlet。與 Add-ComputerUser.ps1 PowerShell 指令碼類似，這個 Cmdlet 可讓您指定使用者，使其能夠使用自助入口網站來取得 TPM OwnerAuth 資訊或指定之電腦的磁碟區修復密碼。

**先決條件：**只有當 Read-AD* Cmdlet 以具有高特殊權限的使用者帳戶 (例如網域系統管理員) 執行，或以獲授與讀取權限之自訂安全性群組中的帳戶執行時 (建議選項)，才可以從 AD 擷取資訊。

BitLocker 磁碟機加密操作指南：利用 AD DS 來復原加密磁碟區提供如何以 AD 資訊讀取權限來建立自訂安全性群組 (或多個群組) 的詳細說明。

**MBAM Recovery and Hardware Web 服務寫入權限：**The Write-Mbam* Cmdlet 接受 MBAM Recovery and Hardware服務的 URL，其用來發行復原或 TPM 資訊。一般來說，只有網域電腦服務帳戶可以與 MBAM Recovery and Hardware服務通訊。在 MBAM 2.5 SP1 中，您可以透過名為 DataMigrationAccessGroup 安全性群組來設定 MBAM Recovery and Hardware 服務，該群組的成員會獲允許略過網域電腦服務帳戶的檢查。Write-Mbam* Cmdlet 必須以屬於此設定群組的使用者身分執行。(或者，設定群組中個別使用者的認證可以利用 Write-Mbam* Cmdlet 中的 –Credential 參數來指定。)

您可以透過下列其中一種方法使用這個安全性群組的名稱來設定 MBAM Recovery and Hardware 服務：

• 提供 Enable-MbamWebApplication –AgentService Powershell Cmdlet 的 -DataMigrationAccessGroup 參數中安全性群組 (或個別使用者) 的名稱。

• 安裝 MBAM Recovery and Hardware 服務後，編輯 <inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\ 資料夾中的 web.config 檔案來設定群組。

  <add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />
  

  其中網域及群組名稱 (或個別使用者)會取代 <groupName>，且會用來允許將資料從 Active Directory 移轉出去。

• 請使用 IIS 管理員中的組態編輯器來編輯這個 appSetting。

在下列範例中，以 ADRecoveryInformation 群組和資料移轉使用者群組之成員身分執行的命令會從 contoso.com 網域中 WORKSTATIONS 組織單位 (OU) 的電腦提取磁碟區復原資訊，並使用在 mbam.contoso.com 伺服器上執行的 MBAM Recovery and Hardware服務將其寫入至 MBAM。

PS C:\> Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"

Read-AD* Cmdlet 接受 Active Directory 主控伺服器電腦的名稱或 IP 位址來查詢復原或 TPM 資訊。我們建議您提供做為 SearchBase 參數值之電腦物件所在的 AD 容器辨別名稱。如果電腦儲存在數個 OU 中，則 Cmdlet 可以接受管線輸入在每個容器中執行一次。AD 容器的辨別名稱看起來會類似 OU=Machines,DC=contoso,DC=com。執行以特定容器為目標的搜尋具有下列益處：

• 減少在查詢電腦物件之大型 AD 資料集時逾時的風險。

• 可以讓 OU 省略包含資料中心伺服器或其他電腦類別可能不想要或不需要的備份。

另一個選擇是以包含或不含選擇性 SearchBase 的方式提供 –Recurse 旗標，分別在指定之 SearchBase 底下的所有容器或整個網域來搜尋電腦物件。在使用 -Recurse 旗標時，您也可以使用 -MaxPageSize 參數來控制處理查詢所需的本機和遠端記憶體數量。

這些 Cmdlet 會寫入 PsObject 類型的管線物件。每一個 PsObject 執行個體包含單一磁碟區修復金鑰或 TPM 擁有者字串，而字串具有相關聯的電腦名稱、時間戳記，以及將其發佈至 MBAM 資料存放區所需的其他資訊。

Write-Mbam* cmdlets 接受來自管線以屬性名稱排列的修復資訊參數值。這可讓 Write-Mbam* Cmdlet 接受 Read-AD* Cmdlet 的管線輸出 (例如，Read-ADRecoveryInformation –Server contoso.com –Recurse | Write-MbamRecoveryInformation –RecoveryServiceEndpoint mbam.contoso.com)。

Write-Mbam* cmdlets 包含選擇性參數，而該參數可提供容錯、詳細資訊記錄以及 WhatIf 和 Confirm 的喜好設定等選項。

Write-Mbam* cmdlets 也包含選擇性 Time 參數，其值為 DateTime 物件。此物件包含 Kind 屬性，其可設定為 Local、UTC 或 Unspecified。當 Time 參數從取自 Active Directory 的資料填入時，時間會轉換成 UTC 且此 Kind 屬性會自動設定為 UTC。不過，使用另一個來源 (例如文字檔案) 填入 Time 參數時，您必須明確地將 Kind 屬性設定為其適當的值。

將 MBAM 設定為鎖定之後自動解除鎖定 TPM

您可以將 MBAM 2.5 SP1 設定為鎖定時自動解除鎖定 TPM。如果已啟用 TPM 鎖定自動重設，則 MBAM 便可偵測到使用者遭到鎖定並從 MBAM 資料庫取得 OwnerAuth 密碼來自動為使用者解除鎖定 TPM。只有在該電腦的作業系統修復金鑰已使用自助入口網站或 Administration and Monitoring Website 來擷取時，才可以使用 TPM 鎖定自動重設。

• 若要在用戶端上啟用 TPM 鎖定自動重設，請設定位於 [電腦設定] > [系統管理範本] > [Windows 元件] > [MDOP MBAM] > [用戶端管理] 的群組原則設定「設定 TPM 鎖定自動重設」。

• 若要在伺服器端上啟用 TPM 鎖定自動重設，您可以在安裝期間於 MBAM 伺服器設定精靈中查看「啟用 TPM 鎖定自動重設」。

  您也可以在啟用代理程式服務 Web 元件時，於 PowerShell 中透過指定「-TPM lockout auto reset」參數來啟用 TPM 鎖定自動重設。

在使用者輸入他們從自助入口網站或 Administration and Monitoring Website 取得的 BitLocker 修復金鑰之後，MBAM 代理程式將會判斷 TPM 是否為鎖定。如果為鎖定，其會嘗試從 MBAM 資料庫擷取電腦的 TPM OwnerAuth。如果成功擷取 TPM OwnerAuth，則將會使用其來解除鎖定 TPM。解除鎖定 TPM 可使 TPM 完全正常運作，並且不會強制使用者在解除鎖定 TPM 後的重新開機期間輸入修復密碼。

根據預設，TPM 鎖定自動重設為停用。

修復稽核報告包含與 TPM 鎖定自動重設相關的事件。如果從 MBAM 用戶端提出要求擷取 TPM OwnerAuth 密碼，則會記錄事件來指出復原。稽核項目將包含下列事件：

保護與 SQL Server 的連線

在 MBAM 中，SQL Server 將會與 SQL Server Reporting Services 以及 Administration and Monitoring Website 和自助入口網站的 Web 服務進行通訊。我們建議您要保護與 SQL Server 的通訊。如需詳細資訊，請參閱加密 SQL Server 的連接。

如需保護 MBAM 網站的詳細資訊，請參閱如何保護 MBAM 網站的規劃。

建立帳戶和群組

管理使用者帳戶的最佳作法是建立網域全域群組並新增使用者帳戶到這些群組。如需建議的帳戶和群組的說明，請參閱MBAM 2.5 群組與帳戶規劃。

使用 MBAM 記錄檔

本節說明 MBAM 伺服器與 MBAM 用戶端記錄檔。

MBAM 伺服器安裝記錄檔

MBAMServerSetup.exe 檔案將會於 MBAM 安裝期間，在使用者的 %temp% 資料夾中產生下列記錄檔：

• Microsoft_BitLocker_Administration_and_Monitoring_<14 個數字>.log

  記錄 MBAM 安裝期間和 MBAM 伺服器功能設定期間所採取的動作。

• Microsoft_BitLocker_Administration_and_Monitoring_<14_numbers>_0_MBAMServer.msi.log

  記錄安裝期間所採取的其他動作。

MBAM 伺服器設定記錄檔

• Applications and Services Logs/Microsoft Windows/MBAM-Setup

  記錄使用 Windows Powershell Cmdlet 或 [MBAM 伺服器設定精靈] 來設定 MBAM 伺服器功能時，所發生的錯誤。

MBAM 用戶端安裝記錄檔

• MSI<五個隨機字元>.log**

  記錄在 MBAM 用戶端安裝期間採取的動作。

MBAM-Web 記錄檔

• 顯示來自入口網站和服務的活動。

檢閱 MBAM 資料庫 TDE 考量

您可以針對將裝載 MBAM 資料庫功能的資料庫執行個體，選擇性地安裝 SQL Server 提供的無感資料加密 (TDE) 功能。

您可以利用 TDE 執行即時、完整的資料庫層級加密。TDE 是適合大量加密以符合法規規範或公司資料安全性標準的絕佳選擇。TDE 適用於檔案層級，而這種層級與兩種 Windows 功能類似：加密檔案系統 (EFS) 和 BitLocker 磁碟機加密。這兩種功能也會加密硬碟的資料。TDE 不會取代儲存格層級加密、EFS 或 BitLocker。

當資料庫已啟用 TDE 時，所有的備份都會加密。因此，您必須特別小心，以確保用來保護資料庫加密金鑰的憑證會與資料庫備份一起備份及維護。如果您遺失憑證，將無法讀取資料。

請在備份資料庫時一併備份憑證。每個憑證備份都應該有兩個檔案。這兩個檔案都應該封存。為求安全起見，最理想的作法是應將這兩個檔案與資料庫備份檔案分開備份。您也可以考慮使用 Extensible Key Management (EKM) 功能 (請參閱 Extensible Key Management) 來儲存及維護用於 TDE 的金鑰。

如需如何對 MBAM 資料庫執行個體啟用 TDE 的範例，請參閱了解透明資料加密 (TDE)。

了解一般安全性考量

**了解安全性風險。**使用 Microsoft BitLocker Administration and Monitoring 時最嚴重的風險，是其功能可能遭到未經授權的使用者損害，接著該使用者便可重新設定 BitLocker 磁碟機加密，並取得 MBAM 用戶端上的 BitLocker 加密金鑰資料。不過，阻斷服務攻擊所造成短暫無法使用 MBAM 功能，通常並不會產生災難性的影響，並不會像遺失電子郵件、無法進行網路通訊或斷電一般。

實際保護您的電腦。如果缺少實體安全性，就等於沒有安全防護。攻擊者只要能夠存取 MBAM 伺服器實體，便有可能利用伺服器攻擊整個用戶端群。您必須將所有可能的實體攻擊視為高度風險，並採取適當措施來避免這些攻擊。MBAM 伺服器應存放在安全且設有進出管制的伺服器機房中。請透過作業系統鎖定電腦或使用安全的螢幕保護裝置，在系統管理員離開時保護這些電腦。

將最新的安全性更新套用到所有電腦。訂閱資訊安全技術中心上的安全性通知服務，可隨時掌握 Windows 作業系統、SQL Server 與 MBAM 的最新更新資訊。

使用強式密碼或複雜密碼。所有 MBAM 系統管理員帳戶應一律使用具有 15 個字元或更多字元的強式密碼。絕對不要使用空白密碼。如需密碼概念的詳細資訊，請參閱密碼原則 (英文)。

您對於 MBAM 有任何建議嗎？

您可以在這裡加入您的建議，或對建議進行票選。您如有 MBAM 方面的問題，可利用 MBAM TechNet 論壇。

另請參閱

其他資源

規劃部署 MBAM 2.5