Considerazioni sulla sicurezza per MBAM 2.5
Questo argomento contiene le informazioni seguenti su come proteggere l'amministrazione e il monitoraggio di Microsoft BitLocker :This topic contains the following information about how to secure Microsoft BitLocker Administration and Monitoring (MBAM):
Configurare MBAM per il deposito del TPM e l'archiviazione delle password OwnerAuth
Configurare MBAM per sbloccare automaticamente il TPM dopo un blocco
Configurare MBAM per il deposito del TPM e l'archiviazione delle password OwnerAuth
Nota Per Windows 10 versione 1607 o successiva, solo Windows può assumere la proprietà del TPM. Inoltre, Windows non manterrà la password del proprietario del TPM durante il provisioning del TPM. Per altri dettagli, vedere la password del proprietario di TPM .
A seconda della configurazione, il modulo TPM (Trusted Platform Module) si bloccherà in determinate situazioni , ad esempio quando vengono immesse troppe password errate e possono rimanere bloccate per un periodo di tempo. Durante il blocco TPM, BitLocker non può accedere alle chiavi di crittografia per eseguire operazioni di sblocco o decrittografia, richiedendo all'utente di immettere la chiave di ripristino di BitLocker per accedere all'unità del sistema operativo. Per reimpostare il blocco TPM, è necessario specificare la password ownerAuth TPM.
MBAM può archiviare la password OwnerAuth TPM nel database MBAM se è proprietario del TPM o se la deposita. Le password OwnerAuth sono quindi facilmente accessibili nel sito Web di amministrazione e monitoraggio quando è necessario eseguire il ripristino da un blocco TPM, eliminando la necessità di attendere che il blocco venga risolto autonomamente.
Deposito di TPM OwnerAuth in Windows 8 e versioni successive
Nota Per Windows 10 versione 1607 o successiva, solo Windows può assumere la proprietà del TPM. In addiiton Windows non manterrà la password del proprietario del TPM durante il provisioning del TPM. Per altri dettagli, vedere la password del proprietario di TPM .
In Windows 8 o versioni successive, MBAM non deve più essere proprietario del TPM per archiviare la password OwnerAuth, purché ownerAuth sia disponibile nel computer locale.
Per abilitare MBAM per il deposito e quindi archiviare le password TPM OwnerAuth, è necessario configurare queste impostazioni di Criteri di gruppo.
| impostazione Criteri di gruppo | Configurazione |
|---|---|
Attivare il backup TPM in Active Directory Domain Services |
Disabilitato o non configurato |
Configurare il livello di informazioni sull'autorizzazione del proprietario di TPM disponibili per il sistema operativo |
Delegato/None o Non configurato |
Il percorso di queste impostazioni di Criteri di gruppo è Configurazione> computerModelli> amministrativiSistema>Trusted Platform Module Services.
Nota Windows rimuove il proprietarioAuth in locale dopo che MBAM lo ha escrows correttamente con queste impostazioni.
Deposito proprietario TPMAuth in Windows 7
In Windows 7 MBAM deve essere il proprietario del TPM per depositare automaticamente le informazioni di TPM OwnerAuth nel database MBAM. Se MBAM non è proprietario del TPM, è necessario usare i cmdlet di importazione dati di MBAM Active Directory (AD) per copiare TPM OwnerAuth da Active Directory nel database MBAM.
Mbam Active Directory Data Import cmdlets
I cmdlet di importazione dati di Active Directory di MBAM consentono di recuperare i pacchetti di chiavi di ripristino e le password OwnerAuth archiviate in Active Directory.
Il server MBAM 2.5 SP1 viene fornito con quattro cmdlet di PowerShell che precompila i database MBAM con le informazioni sul ripristino del volume e sul proprietario del TPM archiviate in Active Directory.
Per le chiavi e i pacchetti di Ripristino volume:
Read-ADRecoveryInformation
Write-MbamRecoveryInformation
Per informazioni sul proprietario di TPM:
Read-ADTpmInformation
Write-MbamTpmInformation
Per l'associazione degli utenti ai computer:
- Write-MbamComputerUser
I cmdlet Read-AD* leggono informazioni da Active Directory. I cmdlet Write-Mbam* eseguono il push dei dati nei database MBAM. Per informazioni dettagliate su questi cmdlet, tra cui sintassi, parametri ed esempi, vedere Informazioni di riferimento sui cmdlet per Amministrazione e monitoraggio di Microsoft Bitlocker 2.5 .
Creare associazioni da utente a computer: I cmdlet MBAM Active Directory Data Import raccolgono informazioni da Active Directory e inseriscono i dati nel database MBAM. Tuttavia, non associano gli utenti ai volumi. È possibile scaricare lo script di PowerShell Add-ComputerUser.ps1 per creare associazioni da utente a computer, che consentono agli utenti di ottenere nuovamente l'accesso a un computer tramite il sito Web di amministrazione e monitoraggio o tramite il portale di Self-Service per il ripristino. Lo script Add-ComputerUser.ps1 raccoglie i dati dall'attributo Managed By in Active Directory (AD), dal proprietario dell'oggetto in AD o da un file CSV personalizzato. Lo script aggiunge quindi gli utenti individuati all'oggetto pipeline delle informazioni di ripristino, che deve essere passato a Write-MbamRecoveryInformation per inserire i dati nel database di ripristino.
Scaricare lo script Add-ComputerUser.ps1 PowerShell dall'Area download Microsoft.
È possibile specificare Add-ComputerUser.ps1della Guida per ottenere assistenza per lo script, inclusi esempi di come usare i cmdlet e lo script.
Per creare associazioni da utente a computer dopo aver installato il server MBAM, usare il cmdlet di PowerShell Write-MbamComputerUser. Analogamente allo script di PowerShell Add-ComputerUser.ps1, questo cmdlet consente di specificare gli utenti che possono usare il portale di Self-Service per ottenere le informazioni di TPM OwnerAuth o le password di ripristino del volume per il computer specificato.
Nota L'agente di MBAM eseguirà l'override delle associazioni da utente a computer quando il computer inizia a segnalare fino al server.
Prerequisiti: I cmdlet Read-AD* possono recuperare informazioni da Active Directory solo se vengono eseguiti come account utente con privilegi elevati, ad esempio un amministratore di dominio, o eseguiti come account in un gruppo di sicurezza personalizzato a cui è stato concesso l'accesso in lettura alle informazioni (scelta consigliata).
Guida alle operazioni di crittografia delle unità BitLocker: il ripristino dei volumi crittografati con Active Directory Domain Services fornisce informazioni dettagliate sulla creazione di un gruppo di sicurezza personalizzato (o più gruppi) con accesso in lettura alle informazioni di Active Directory.
Autorizzazioni di scrittura del servizio Web hardware e di ripristino di MBAM: I cmdlet Write-Mbam* accettano l'URL del servizio di ripristino e hardware di MBAM, usato per pubblicare le informazioni di ripristino o TPM. In genere, solo un account del servizio computer di dominio può comunicare con il servizio di ripristino e hardware di MBAM. In MBAM 2.5 SP1 è possibile configurare il servizio di ripristino e hardware di MBAM con un gruppo di sicurezza denominato DataMigrationAccessGroup i cui membri possono ignorare il controllo dell'account del servizio computer di dominio. I cmdlet Write-Mbam* devono essere eseguiti come utente appartenente a questo gruppo configurato. In alternativa, è possibile specificare le credenziali di un singolo utente nel gruppo configurato usando il parametro –Credential nei cmdlet Write-Mbam*.
È possibile configurare il servizio di ripristino e hardware di MBAM con il nome di questo gruppo di sicurezza in uno dei modi seguenti:
Specificare il nome del gruppo di sicurezza (o singolo) nel parametro -DataMigrationAccessGroup del cmdlet powershell Enable-MbamWebApplication –AgentService.
Configurare il gruppo dopo l'installazione di MBAM Recovery and Hardware Service modificando il file web.config nella <cartella inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\.
<add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />dove <groupName> viene sostituito con il dominio e il nome del gruppo (o il singolo utente) che verranno usati per consentire la migrazione dei dati da Active Directory.
Usare l'editor di configurazione in Gestione IIS per modificare l'appSetting.
Nell'esempio seguente, quando viene eseguito come membro del gruppo ADRecoveryInformation e del gruppo Utenti migrazione dati, il comando eseguirà il pull delle informazioni sul ripristino del volume dai computer dell'unità organizzativa WORKSTATIONS nel dominio contoso.com e le scriverà in MBAM usando il servizio di ripristino e hardware di MBAM in esecuzione nel server mbam.contoso.com.
PS C:\> Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"
I cmdlet Read-AD* accettano il nome o l'indirizzo IP di un computer server di hosting active directory per eseguire query per il ripristino o le informazioni TPM. È consigliabile specificare i nomi distinti dei contenitori di Active Directory in cui risiede l'oggetto computer come valore del parametro SearchBase. Se i computer vengono archiviati in più unità organizzative, i cmdlet possono accettare l'input della pipeline da eseguire una volta per ogni contenitore. Il nome distinto di un contenitore AD sarà simile a OU=Machines,DC=contoso,DC=com. L'esecuzione di una ricerca destinata a contenitori specifici offre i vantaggi seguenti:
Riduce il rischio di timeout durante l'esecuzione di query su un set di dati di Active Directory di grandi dimensioni per gli oggetti computer.
Può omettere unità organizzative contenenti server data center o altre classi di computer per cui il backup potrebbe non essere desiderato o necessario.
Un'altra opzione consiste nel fornire il flag –Recurse con o senza SearchBase facoltativo per cercare oggetti computer in tutti i contenitori rispettivamente nell'oggetto SearchBase specificato o nell'intero dominio. Quando si usa il flag -Recurse, è anche possibile usare il parametro -MaxPageSize per controllare la quantità di memoria locale e remota necessaria per gestire la query.
Questi cmdlet scrivono negli oggetti pipeline di tipo PsObject. Ogni istanza di PsObject contiene una singola chiave di ripristino del volume o una stringa del proprietario del TPM con il nome del computer, il timestamp e altre informazioni associati necessari per pubblicarla nell'archivio dati MBAM.
I cmdlet Write-Mbam* accettano i valori dei parametri delle informazioni di ripristino dalla pipeline in base al nome della proprietà. Ciò consente ai cmdlet Write-Mbam* di accettare l'output della pipeline dei cmdlet Read-AD*, ad esempio Read-ADRecoveryInformation –Server contoso.com –Recurse | Write-MbamRecoveryInformation –RecoveryServiceEndpoint mbam.contoso.com).
I cmdlet Write-Mbam* includono parametri facoltativi che forniscono opzioni per la tolleranza di errore, la registrazione dettagliata e le preferenze per WhatIf e Confirm.
I cmdlet Write-Mbam* includono anche un parametro Time facoltativo il cui valore è un oggetto DateTime . Questo oggetto include un attributo Kind che può essere impostato su Local, UTCo Unspecified. Quando il parametro Time viene popolato dai dati tratti da Active Directory, l'ora viene convertita in UTC e questo attributo Kind viene impostato automaticamente UTCsu . Tuttavia, quando si popola il parametro Time usando un'altra origine, ad esempio un file di testo, è necessario impostare in modo esplicito l'attributo Kind sul valore appropriato.
Nota I cmdlet Read-AD* non hanno la possibilità di individuare gli account utente che rappresentano gli utenti del computer. Le associazioni di account utente sono necessarie per quanto segue:
Utenti per ripristinare password/pacchetti del volume tramite il portale di Self-Service
Utenti che non fanno parte del gruppo di sicurezza MBAM Advanced Helpdesk Users come definito durante l'installazione, ripristino per conto di altri utenti
Configurare MBAM per sbloccare automaticamente il TPM dopo un blocco
È possibile configurare MBAM 2.5 SP1 per sbloccare automaticamente il TPM in caso di blocco. Se la reimpostazione automatica del blocco TPM è abilitata, MBAM può rilevare che un utente è bloccato e quindi ottenere la password OwnerAuth dal database MBAM per sbloccare automaticamente il TPM per l'utente. La reimpostazione automatica del blocco TPM è disponibile solo se la chiave di ripristino del sistema operativo per il computer è stata recuperata tramite il portale self-service o il sito Web di amministrazione e monitoraggio.
Importante Per abilitare la reimpostazione automatica del blocco TPM, è necessario configurare questa funzionalità sia sul lato server che in Criteri di gruppo sul lato client.
Per abilitare la reimpostazione automatica del blocco TPM sul lato client, configurare l'impostazione di Criteri di gruppo "Configurare la reimpostazione automatica del blocco TPM" disponibile in Configurazione> computerModelli> amministrativiComponenti> di Windows GestioneclientMDOP MBAM>.
Per abilitare la reimpostazione automatica del blocco TPM sul lato server, è possibile controllare "Abilita reimpostazione automatica del blocco TPM" nella Configurazione guidata server di MBAM durante l'installazione.
È anche possibile abilitare la reimpostazione automatica del blocco TPM in PowerShell specificando l'opzione "-TPM lockout auto reset" mentre si abilita il componente Web del servizio agente.
Dopo che un utente immette la chiave di ripristino di BitLocker ottenuta dal portale self-service o dal sito Web di amministrazione e monitoraggio, l'agente MBAM determinerà se il TPM è bloccato. Se è bloccato, tenterà di recuperare il TPM OwnerAuth per il computer dal database MBAM. Se il TPM OwnerAuth viene recuperato correttamente, verrà usato per sbloccare il TPM. Lo sblocco del TPM rende il TPM completamente funzionante e l'utente non sarà costretto a immettere la password di ripristino durante i riavvii successivi da un blocco TPM.
La reimpostazione automatica del blocco TPM è disabilitata per impostazione predefinita.
Nota La reimpostazione automatica del blocco TPM è supportata solo nei computer che eseguono TPM versione 1.2. TPM 2.0 offre funzionalità predefinite per la reimpostazione automatica del blocco.
Il report di controllo del ripristino include eventi correlati alla reimpostazione automatica del blocco TPM. Se viene effettuata una richiesta dal client MBAM per recuperare una password TPM OwnerAuth, viene registrato un evento per indicare il ripristino. Le voci di controllo includeranno gli eventi seguenti:
| Voce | Value |
|---|---|
Origine richiesta di controllo |
Sblocco TPM dell'agente |
Tipo di chiave |
TPM Password Hash |
Descrizione motivo |
Reimpostazione TPM |
Proteggere le connessioni a SQL Server
In MBAM SQL Server comunica con SQL Server Reporting Services e con i servizi Web per il sito Web di amministrazione e monitoraggio e il portale di Self-Service. È consigliabile proteggere la comunicazione con SQL Server. Per altre informazioni, vedere Crittografia delle connessioni a SQL Server.
Per altre informazioni sulla protezione dei siti Web MBAM, vedere Pianificazione di come proteggere i siti Web MBAM.
Creare account e gruppi
La procedura consigliata per la gestione degli account utente consiste nel creare gruppi globali di dominio e aggiungervi account utente. Per una descrizione degli account e dei gruppi consigliati, vedere Planning for MBAM 2.5 Groups and Accounts (Pianificazione per gruppi e account MBAM 2.5).
Usare i file di log di MBAM
Questa sezione descrive i file di log del server MBAM e del client MBAM.
File di log del programma di installazione del server MBAM
Il fileMBAMServerSetup.exe genera i file di log seguenti nella cartella %temp% dell'utente durante l'installazione di MBAM:
<Microsoft_BitLocker_Administration_and_Monitoring_14 numbers.log>
Registra le azioni eseguite durante l'installazione di MBAM e la configurazione della funzionalità del server MBAM.
<Microsoft_BitLocker_Administration_and_Monitoring_14_numbers>_0_MBAMServer.msi.log
Registra l'azione aggiuntiva eseguita durante l'installazione.
File di log di configurazione del server MBAM
Registri applicazioni e servizi/Microsoft Windows/MBAM-Setup
Registra gli errori che si verificano quando si usano i cmdlet di Windows PowerShell o la configurazione guidata del server MBAM per configurare le funzionalità del server MBAM.
Mbam Client setup log files (File di log di installazione client di MBAM)
MSI<cinque caratteri> casuali.log
Registra le azioni eseguite durante l'installazione del client MBAM.
File di log MBAM-Web
- Mostra l'attività dai portali Web e dai servizi.
Esaminare le considerazioni sul TDE del database MBAM
La funzionalità Transparent Data Encryption (TDE) disponibile in SQL Server è un'installazione facoltativa per le istanze del database che ospiteranno le funzionalità del database MBAM.
Con TDE è possibile eseguire la crittografia completa a livello di database in tempo reale. TDE è la scelta ottimale per la crittografia in blocco per soddisfare gli standard di conformità alle normative o di sicurezza dei dati aziendali. TDE funziona a livello di file, che è simile a due funzionalità di Windows: Encrypting File System (EFS) e Crittografia unità BitLocker. Entrambe le funzionalità crittografare anche i dati sul disco rigido. TDE non sostituisce la crittografia a livello di cella, EFS o BitLocker.
Quando TDE è abilitato in un database, tutti i backup vengono crittografati. È quindi necessario prestare particolare attenzione per garantire che il certificato usato per proteggere la chiave di crittografia del database venga sottoposto a backup e gestito con il backup del database. Se questo certificato (o certificati) viene perso, i dati saranno illeggibili.
Eseguire il backup del certificato con il database. Ogni backup del certificato deve avere due file. Entrambi questi file devono essere archiviati. Idealmente per motivi di sicurezza, è consigliabile eseguirne il backup separatamente dal file di backup del database. In alternativa, è possibile prendere in considerazione l'uso della funzionalità EKM (Extensible Key Management) per l'archiviazione e la manutenzione delle chiavi usate per TDE.
Per un esempio di come abilitare TDE per le istanze del database MBAM, vedere Informazioni su Transparent Data Encryption (TDE).
Informazioni sulle considerazioni generali sulla sicurezza
Comprendere i rischi per la sicurezza. Il rischio più grave quando si usa l'amministrazione e il monitoraggio di Microsoft BitLocker è che la sua funzionalità potrebbe essere compromessa da un utente non autorizzato che potrebbe quindi riconfigurare Crittografia unità BitLocker e ottenere i dati della chiave di crittografia BitLocker nei client MBAM. Tuttavia, la perdita di funzionalità di MBAM per un breve periodo di tempo, a causa di un attacco Denial of Service, non ha in genere un impatto catastrofico, a differenza, ad esempio, della perdita di posta elettronica o comunicazioni di rete o alimentazione.
Proteggere fisicamente i computer. Non esiste sicurezza senza sicurezza fisica. Un utente malintenzionato che ottiene l'accesso fisico a un server MBAM potrebbe potenzialmente usarlo per attaccare l'intera base client. Tutti i potenziali attacchi fisici devono essere considerati ad alto rischio e mitigati in modo appropriato. I server MBAM devono essere archiviati in una sala server sicura con accesso controllato. Proteggere questi computer quando gli amministratori non sono fisicamente presenti facendo in modo che il sistema operativo blocchi il computer o usando uno screen saver protetto.
Applicare gli aggiornamenti della sicurezza più recenti a tutti i computer. Rimanere informati sui nuovi aggiornamenti per i sistemi operativi Windows, SQL Server e MBAM sottoscrivendo il servizio Di notifica di sicurezza al TechCenter di sicurezza.
Usare password complesse o frasi pass. Usare sempre password complesse con 15 o più caratteri per tutti gli account amministratore di MBAM. Non usare mai password vuote. Per altre informazioni sui concetti relativi alle password, vedere Criteri password.
Argomenti correlati
Pianificazione della distribuzione di MBAM 2.5
Hai un suggerimento per MBAM?
Per i problemi di MBAM, usare il forum technet di MBAM.