Sicherheitsüberlegungen zu MBAM 2.0
Dieses Thema enthält eine kurze Übersicht über die Konten und Gruppen, Protokolldateien und andere sicherheitsrelevante Überlegungen für Microsoft BitLocker Administration and Monitoring (MBAM). Weitere Informationen finden Sie unter den Links in diesem Artikel.
Allgemeine Sicherheitsüberlegungen
Verstehen Sie die Sicherheitsrisiken. Das schwerwiegendste Risiko von Microsoft BitLocker Administration and Monitoring besteht darin, dass seine Funktionalität von einem nicht autorisierten Benutzer übernommen werden könnte, der dann die BitLocker-Verschlüsselung neu konfigurieren und BitLocker-Verschlüsselungsschlüsseldaten auf MBAM-Clients erhalten könnte. Der Verlust der MBAM-Funktionalität für einen kurzen Zeitraum aufgrund eines Denial-of-Service-Angriffs hat jedoch im Allgemeinen keine katastrophalen Auswirkungen, im Gegensatz zu z. B. E-Mail, Netzwerkkommunikation, Licht und Leistung.
Sichern Sie Ihre Computer physisch. Es gibt keine Sicherheit ohne physische Sicherheit. Ein Angreifer, der physischen Zugriff auf einen MBAM-Server erhält, könnte ihn potenziell verwenden, um die gesamte Clientbasis anzugreifen. Alle potenziellen physischen Angriffe müssen als hohes Risiko betrachtet und entsprechend abgemildert werden. MBAM-Server sollten in einem sicheren Serverraum mit kontrolliertem Zugriff gespeichert werden. Sichern Sie diese Computer, wenn Administratoren nicht physisch anwesend sind, indem Sie das Betriebssystem den Computer sperren lassen oder indem Sie einen gesicherten Bildschirmschoner verwenden.
Wenden Sie die neuesten Sicherheitsupdates auf alle Computer an. Bleiben Sie über neue Updates für Betriebssysteme, Microsoft SQL Server und MBAM informiert, indem Sie den Sicherheitsbenachrichtigungsdienst (https://go.microsoft.com/fwlink/?LinkId=28819) abonnieren.
Verwenden Sie sichere Kennwörter oder übergeben Sie Ausdrücke. Verwenden Sie immer sichere Kennwörter mit 15 oder mehr Zeichen für alle MBAM- und MBAM-Administratorkonten. Verwenden Sie niemals leere Kennwörter. Weitere Informationen zu Kennwortkonzepten finden Sie im Whitepaper "Kontokennwörter und -richtlinien" auf TechNet (https://go.microsoft.com/fwlink/?LinkId=30009).
Konten und Gruppen in MBAM
Die bewährte Methode zum Verwalten von Benutzerkonten besteht darin, globale Domänengruppen zu erstellen und ihnen Benutzerkonten hinzuzufügen. Fügen Sie dann die globalen Domänenkonten den erforderlichen lokalen MBAM-Gruppen auf den MBAM-Servern hinzu.
Active Directory Domain Services Gruppen
Während des MBAM-Setupprozesses werden keine Active Directory-Gruppen automatisch erstellt. Es wird jedoch empfohlen, die folgenden Active Directory Domain Services globalen Gruppen zum Verwalten von MBAM-Vorgängen zu erstellen.
| Gruppenname | Details |
|---|---|
MBAM Advanced Helpdesk-Benutzer |
Erstellen Sie diese Gruppe, um Mitglieder der lokalen Gruppe "MBAM Advanced Helpdesk Users" zu verwalten, die während des MBAM-Setups erstellt wurde. |
DB-Zugriff für MBAM-Complianceüberwachung |
Erstellen Sie diese Gruppe, um Mitglieder der lokalen Gruppe "MBAM Compliance Auditing DB Access" zu verwalten, die während des MBAM-Setups erstellt wurde. |
MBAM Helpdesk-Benutzer |
Erstellen Sie diese Gruppe, um Mitglieder der lokalen Gruppe "MBAM Helpdesk Users" zu verwalten, die während des MBAM-Setups erstellt wurde. |
MBAM-Wiederherstellung und Hardware-DB-Zugriff |
Erstellen Sie diese Gruppe, um Mitglieder der lokalen Gruppe "MBAM Recovery and Hardware DB Access" zu verwalten, die während des MBAM-Setups erstellt wurde. |
MBAM-Berichtsbenutzer |
Erstellen Sie diese Gruppe, um Mitglieder der lokalen Gruppe "MBAM-Berichtsbenutzer" zu verwalten, die während des MBAM-Setups erstellt wurde. |
MBAM-Systemadministratoren |
Erstellen Sie diese Gruppe, um Mitglieder der lokalen Gruppe "MBAM-Systemadministratoren" zu verwalten, die während des MBAM-Setups erstellt wurde. |
BitLocker-Verschlüsselungsausnahmen |
Erstellen Sie diese Gruppe, um Benutzerkonten zu verwalten, die von der BitLocker-Verschlüsselung ausgenommen werden sollen, beginnend auf Computern, bei denen sie sich anmelden. |
Lokale MBAM Server-Gruppen
MBAM Setup erstellt lokale Gruppen zur Unterstützung von MBAM-Vorgängen. Sie sollten die Active Directory Domain Services globalen Gruppen den entsprechenden lokalen MBAM-Gruppen hinzufügen, um MBAM-Sicherheits- und Datenzugriffsberechtigungen zu konfigurieren.
| Gruppenname | Details |
|---|---|
MBAM Advanced Helpdesk-Benutzer |
Mitglieder dieser Gruppe haben den Zugriff auf die Helpdesk-Funktionen von MBAM erhöht. |
DB-Zugriff für MBAM-Complianceüberwachung |
Enthält die Computer, die Zugriff auf die MBAM-Kompatibilitäts- und Überwachungsdatenbank haben. |
MBAM Helpdesk-Benutzer |
Mitglieder dieser Gruppe haben Zugriff auf einige der Helpdesk-Funktionen von MBAM. |
MBAM-Wiederherstellung und Hardware-DB-Zugriff |
Enthält die Computer, die Zugriff auf die MBAM-Wiederherstellungsdatenbank haben. |
MBAM-Berichtsbenutzer |
Mitglieder dieser Gruppe haben Zugriff auf die Compliance- und Überwachungsberichte von MBAM. |
MBAM-Systemadministratoren |
Mitglieder dieser Gruppe haben Zugriff auf alle MBAM-Features. |
SSRS-Berichtsdienstkonto
Das SSRS-Berichtsdienstkonto stellt den Sicherheitskontext bereit, um die über SSRS verfügbaren MBAM-Berichte auszuführen. Sie wird während des MBAM-Setups konfiguriert.
Wenn Sie das Dienstkonto für SSRS-Berichte konfigurieren, geben Sie ein Domänenbenutzerkonto an, und konfigurieren Sie das Kennwort so, dass es nie abläuft.
Hinweis Wenn Sie den Namen des Dienstkontos nach der Bereitstellung von MBAM ändern, müssen Sie die Berichtsdatenquelle neu konfigurieren, um die anmeldeinformationen des neuen Dienstkontos zu verwenden. Andernfalls können Sie nicht auf das Helpdesk-Portal zugreifen.
MBAM-Protokolldateien
Die folgenden Protokolldateien für das MBAM-Setup werden während des MBAM-Setups im Ordner %temp% des installierenden Benutzers erstellt:
Protokolldateien für das MBAM Server-Setup
MSI<fünf zufällige Characters.log>
Protokolliert die Aktionen, die während der Installation von MBAM-Setup und MBAM-Serverfeatures ausgeführt werden.
InstallComplianceDatabase.log
Protokolliert die Aktionen, die zum Erstellen des MBAM-Compliance- und Überwachungsdatenbanksetups ausgeführt wurden.
InstallKeyComplianceDatabase.log
Protokolliert Aktionen zum Erstellen der MBAM-Wiederherstellungsdatenbank.
AddHelpDeskDbAuditUsers.log
Protokolliert die Aktionen zum Erstellen der SQL Server Anmeldungen in der MBAM Compliance- und Überwachungsdatenbank und autorisiert den HelpDesk-Webdienst in der Datenbank für Berichte.
AddHelpDeskDbUsers.log
Protokolliert Aktionen, die ausgeführt werden, um Webdienste für die Datenbank für die Schlüsselwiederherstellung zu autorisieren und Anmeldungen bei der MBAM-Wiederherstellungsdatenbank zu erstellen.
AddKeyComplianceDbUsers.log
Protokolliert Aktionen, die zur Autorisierung von Webdiensten in der MBAM-Compliance- und Überwachungsdatenbank für die Complianceberichterstattung ergriffen wurden.
AddRecoveryAndHardwareDbUsers.log
Protokolliert Aktionen zur Autorisierung von Webdiensten in der MBAM-Wiederherstellungsdatenbank für die Schlüsselwiederherstellung.
Hinweis Um zusätzliche MBAM-Setupprotokolldateien zu erhalten, müssen Sie MBAM mithilfe des msiexec-Pakets und der Option "/L-Speicherort<>" installieren. Protokolldateien werden an dem angegebenen Speicherort erstellt.
Protokolldateien für das MBAM-Clientsetup
MSI<fünf zufällige Characters.log>
Protokolliert die Während der MBAM-Clientinstallation ausgeführten Aktionen.
Überlegungen zu MBAM-Datenbank-TDE
Das TDE-Feature (Transparente Datenverschlüsselung), das in SQL Server verfügbar ist, ist eine optionale Installation für die Datenbankinstanzen, die MBAM-Datenbankfeatures hosten.
Mit TDE können Sie die Verschlüsselung auf Datenbankebene in Echtzeit durchführen. TDE ist die optimale Wahl für die Massenverschlüsselung, um die Einhaltung gesetzlicher Vorschriften oder sicherheitsrelevanter Standards für Unternehmensdaten zu erfüllen. TDE funktioniert auf Dateiebene, was zwei Windows-Features ähnelt: dem Verschlüsselnden Dateisystem (Encrypting File System, EFS) und der BitLocker-Laufwerkverschlüsselung, die beide auch Daten auf der Festplatte verschlüsseln. TDE ersetzt keine Verschlüsselung auf Zellenebene, EFS oder BitLocker.
Wenn TDE für eine Datenbank aktiviert ist, werden alle Sicherungen verschlüsselt. Daher muss besonders darauf geachtet werden, dass das Zertifikat, das zum Schutz des Datenbankverschlüsselungsschlüssels verwendet wurde, gesichert und mit der Datenbanksicherung verwaltet wird. Wenn dieses Zertifikat (oder zertifikate) verloren geht, sind die Daten unlesbar. Sichern Sie das Zertifikat zusammen mit der Datenbank. Jede Zertifikatsicherung sollte über zwei Dateien verfügen. Beide Dateien sollten archiviert werden (idealerweise getrennt von der Datenbanksicherungsdatei aus Sicherheitsgründen). Alternativ können Sie die Verwendung des EKM-Features (Extensible Key Management) für die Speicherung und Wartung von Schlüsseln, die für TDE verwendet werden, in Betracht ziehen.
Ein Beispiel zum Aktivieren von TDE für MBAM-Datenbankinstanzen finden Sie unter Evaluating MBAM 2.0.
Weitere Informationen zu TDE in SQL Server 2008 finden Sie unter SQL Server Verschlüsselung.