Considerações sobre segurança do MBAM 2.5

Este tópico contém as seguintes informações sobre como proteger o Microsoft BitLocker Administration and Monitoring (MBAM):

• Configurar o MBAM para armazenar o TPM e armazenar senhas ownerAuth

• Configurar o MBAM para desbloquear automaticamente o TPM após um bloqueio

• Conexões seguras para SQL Server

• Criar contas e grupos

• Usar arquivos de log MBAM

• Analisar considerações do TDE do banco de dados do MBAM

• Compreender considerações gerais de segurança

Configurar o MBAM para armazenar o TPM e armazenar senhas ownerAuth

Observação Para Windows 10, versão 1607 ou posterior, somente Windows pode assumir a propriedade do TPM. Além disso, Windows manterá a senha do proprietário do TPM ao provisionar o TPM. Consulte A senha do proprietário do TPM para obter mais detalhes.

Dependendo de sua configuração, o Módulo de Plataforma Confiável (TPM) se bloqueará em determinadas situações ─ como quando muitas senhas incorretas são inseridas ─ e podem permanecer bloqueadas por um período de tempo. Durante o bloqueio do TPM, o BitLocker não pode acessar as chaves de criptografia para executar operações de desbloqueio ou descriptografia, exigindo que o usuário insira sua chave de recuperação do BitLocker para acessar a unidade do sistema operacional. Para redefinir o bloqueio TPM, você deve fornecer a senha TPM OwnerAuth.

O MBAM pode armazenar a senha do TPM OwnerAuth no banco de dados do MBAM se ele possuir o TPM ou se ele escrows a senha. As senhas ownerAuth são facilmente acessíveis no Site de Administração e Monitoramento quando você deve se recuperar de um bloqueio TPM, eliminando a necessidade de aguardar que o bloqueio seja resolvido por conta própria.

Escrowing TPM OwnerAuth em Windows 8 e superior

Observação Para Windows 10, versão 1607 ou posterior, somente Windows pode assumir a propriedade do TPM. Em addiiton, Windows manterá a senha do proprietário do TPM ao provisionar o TPM. Consulte A senha do proprietário do TPM para obter mais detalhes.

Em Windows 8 ou superior, o MBAM não deve mais possuir o TPM para armazenar a senha OwnerAuth, desde que o OwnerAuth está disponível no computador local.

Para habilitar o MBAM para armazenar e armazenar senhas do TPM OwnerAuth, você deve definir essas configurações de Política de Grupo.

Configuração da Política de Grupo	Configuração
Ativar o backup do TPM nos Serviços de Domínio do Active Directory	Desabilitado ou Não Configurado
Configurar o nível de informações de autorização do proprietário do TPM disponíveis para o sistema operacional	Delegado/Nenhum ou Não Configurado

O local dessas configurações da Política de Grupo é Configuração > do Computador Modelos Administrativos > Serviços de Módulo > de Plataforma Confiável do Sistema.

Observação
Windows remove o OwnerAuth localmente após o MBAM escrows-lo com êxito com essas configurações.

Escrowing TPM OwnerAuth no Windows 7

No Windows 7, o MBAM deve ser proprietário do TPM para obter automaticamente as informações do TPM OwnerAuth no banco de dados do MBAM. Se o MBAM não possuir o TPM, você deverá usar os cmdlets de Importação de Dados do MBAM Active Directory (AD) para copiar o TPM OwnerAuth do Active Directory para o banco de dados mbam.

Cmdlets de Importação de Dados do Active Directory do MBAM

Os cmdlets de Importação de Dados do Active Directory do MBAM permitem recuperar pacotes de chaves de recuperação e senhas ownerAuth armazenadas no Active Directory.

O servidor MBAM 2.5 SP1 vem com quatro cmdlets do PowerShell que preenchem previamente bancos de dados do MBAM com as informações de recuperação de volume e proprietário do TPM armazenadas no Active Directory.

Para chaves e pacotes de Recuperação de Volume:

• Read-ADRecoveryInformation

• Write-MbamRecoveryInformation

Para informações sobre o proprietário do TPM:

• Read-ADTpmInformation

• Write-MbamTpmInformation

Para associar usuários a computadores:

• Write-MbamComputerUser

Os cmdlets Read-AD* leem informações do Active Directory. Os cmdlets Write-Mbam* empurram os dados para os bancos de dados do MBAM. Consulte Cmdlet Reference for Microsoft Bitlocker Administration and Monitoring 2.5 para obter informações detalhadas sobre esses cmdlets, incluindo sintaxe, parâmetros e exemplos.

Criar associações de usuário para computador: Os cmdlets de Importação de Dados do Active Directory do MBAM coletam informações do Active Directory e inseram os dados no banco de dados do MBAM. No entanto, eles não associam usuários a volumes. Você pode baixar o script Add-ComputerUser.ps1 do PowerShell para criar associações de usuário para máquina, que permitem que os usuários recuperem o acesso a um computador por meio do Site de Administração e Monitoramento ou usando o portal Self-Service para recuperação. O Add-ComputerUser.ps1 coleta dados do atributo Managed By no Active Directory (AD), o proprietário do objeto no AD ou de um arquivo CSV personalizado. Em seguida, o script adiciona os usuários descobertos ao objeto pipeline de informações de recuperação, que deve ser passado para Write-MbamRecoveryInformation inserir os dados no banco de dados de recuperação.

Baixe o Add-ComputerUser.ps1 do PowerShell do Centro de Download da Microsoft.

Você pode especificar a ajuda Add-ComputerUser.ps1 obter ajuda para o script, incluindo exemplos de como usar os cmdlets e o script.

Para criar associações de usuário para computador depois de instalar o servidor MBAM, use o cmdlet Write-MbamComputerUser PowerShell. Semelhante ao script do Add-ComputerUser.ps1 PowerShell, este cmdlet permite especificar usuários que podem usar o Portal Self-Service para obter informações do TPM OwnerAuth ou senhas de recuperação de volume para o computador especificado.

Observação
O agente do MBAM substituirá associações de usuário para computador quando o computador começar a relatar para o servidor.

Pré-requisitos: Os cmdlets Read-AD* só poderão recuperar informações do AD se eles são executados como uma conta de usuário altamente privilegiada, como um Administrador de Domínio, ou executados como uma conta em um grupo de segurança personalizado com acesso de leitura às informações (recomendado).

Guia de operações de criptografia de unidade do BitLocker: a recuperação de volumes criptografados com o AD DS fornece detalhes sobre a criação de um grupo de segurança personalizado (ou vários grupos) com acesso de leitura às informações do AD.

Permissões de gravação de serviço Web de recuperação e hardware do MBAM: Os cmdlets Write-Mbam* aceitam a URL do Serviço de Recuperação e Hardware do MBAM, usado para publicar as informações de recuperação ou TPM. Normalmente, somente uma conta de serviço de computador de domínio pode se comunicar com o MBAM Recovery and Hardware Service. No MBAM 2.5 SP1, você pode configurar o Serviço de Recuperação e Hardware do MBAM com um grupo de segurança chamado DataMigrationAccessGroup cujos membros têm permissão para ignorar a verificação da conta de serviço do computador de domínio. Os cmdlets Write-Mbam* devem ser executados como um usuário pertencente a esse grupo configurado. (Como alternativa, as credenciais de um usuário individual no grupo configurado podem ser especificadas usando o parâmetro –Credential nos cmdlets Write-Mbam*.

Você pode configurar o MBAM Recovery and Hardware Service com o nome desse grupo de segurança de uma destas maneiras:

• Forneça o nome do grupo de segurança (ou individual) no parâmetro -DataMigrationAccessGroup do cmdlet Enable-MbamWebApplication –AgentService Powershell.

• Configure o grupo após a instalação do MBAM Recovery and Hardware Service editando o <arquivo web.config na pasta inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\ .

  <add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />
  

  onde <groupName> é substituído pelo domínio e o nome do grupo (ou o usuário individual) que será usado para permitir a migração de dados do Active Directory.

• Use o Editor de Configuração no Gerenciador do IIS para editar esse appSetting.

No exemplo a seguir, o comando, quando executado como membro do grupo ADRecoveryInformation e do grupo Usuários de Migração de Dados, puxará as informações de recuperação de volume de computadores na unidade organizacional WORKSTATIONS (OU) no domínio contoso.com e as gravará no MBAM usando o MBAM Recovery and Hardware Service em execução no servidor mbam.contoso.com.

PS C:\> Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"

Os cmdlets Read-AD* aceitam o nome ou o endereço IP de uma máquina de servidor de hospedagem do Active Directory para consultar informações de recuperação ou TPM. Recomendamos fornecer os nomes diferenciados dos contêineres do AD nos quais o objeto do computador reside como o valor do parâmetro SearchBase. Se os computadores são armazenados em várias OUs, os cmdlets podem aceitar entrada de pipeline para executar uma vez para cada contêiner. O nome diferenciado de um contêiner AD será semelhante a OU=Machines,DC=contoso,DC=com. Executar uma pesquisa direcionada a contêineres específicos oferece os seguintes benefícios:

• Reduz o risco de tempo-de-tempo ao consultar um grande conjuntos de dados do AD para objetos do computador.

• Pode omitir as OUs que contêm servidores de datacenter ou outras classes de computadores para os quais o backup pode não ser desejado ou necessário.

Outra opção é fornecer o sinalizador –Recurse com ou sem o SearchBase opcional para pesquisar objetos de computador em todos os contêineres no SearchBase especificado ou em todo o domínio, respectivamente. Ao usar o sinalizador -Recurse, você também pode usar o parâmetro -MaxPageSize para controlar a quantidade de memória local e remota necessária para a consulta.

Esses cmdlets escrevem nos objetos de pipeline do tipo PsObject. Cada instância PsObject contém uma única chave de recuperação de volume ou uma cadeia de caracteres de proprietário do TPM com seu nome de computador associado, o timestamp e outras informações necessárias para publicá-la no armazenamento de dados do MBAM.

Cmdlets Write-Mbam* aceitam valores de parâmetros de informações de recuperação do pipeline pelo nome da propriedade. Isso permite que os cmdlets Write-Mbam* aceitem a saída de pipeline dos cmdlets Read-AD* (por exemplo, Read-ADRecoveryInformation –Server contoso.com –Recurse | Write-MbamRecoveryInformation –RecoveryServiceEndpoint mbam.contoso.com).

Os cmdlets Write-Mbam* incluem parâmetros opcionais que fornecem opções para tolerância a falhas, log detalhado e preferências para WhatIf e Confirm.

Os cmdlets Write-Mbam* também incluem um parâmetro Time opcional cujo valor é um objeto DateTime . Este objeto inclui um atributo Kind que pode ser definido como Local, UTCou Unspecified. Quando o parâmetro Time é preenchido de dados retirados do Active Directory, o tempo é convertido em UTC e esse atributo Kind é definido automaticamente como UTC. No entanto, ao preencher o parâmetro Time usando outra fonte, como um arquivo de texto, você deve definir explicitamente o atributo Kind como seu valor apropriado.

Observação
Os cmdlets Read-AD* não têm a capacidade de descobrir as contas de usuário que representam os usuários do computador. Associações de conta de usuário são necessárias para o seguinte:

• Usuários para recuperar senhas/pacotes de volume usando o portal Self-Service de volume

• Usuários que não estão no grupo de segurança Usuários Avançados do Helpdesk do MBAM conforme definido durante a instalação, recuperando em nome de outros usuários

Configurar o MBAM para desbloquear automaticamente o TPM após um bloqueio

Você pode configurar o MBAM 2.5 SP1 para desbloquear automaticamente o TPM em caso de bloqueio. Se a redefinição automática de bloqueio do TPM estiver habilitada, o MBAM poderá detectar que um usuário está bloqueado e obter a senha OwnerAuth do banco de dados MBAM para desbloquear automaticamente o TPM para o usuário. A redefinição automática de bloqueio do TPM só estará disponível se a chave de recuperação do sistema operacional desse computador for recuperada usando o Portal de Autoatendência ou o Site de Administração e Monitoramento.

Importante
Para habilitar a redefinição automática de bloqueio do TPM, você deve configurar esse recurso no lado do servidor e na Política de Grupo no lado do cliente.

• Para habilitar a redefinição automática de bloqueio do TPM no lado do cliente, configure a > configuração de Política de Grupo "Configurar a redefinição automática de bloqueio do TPM" localizada em Modelos > Administrativos de Configuração do Computador Windows Componentes > gerenciamento de cliente MDOP MBAM > .

• Para habilitar a redefinição automática de bloqueio do TPM no lado do servidor, você pode verificar "Habilitar a redefinição automática do bloqueio TPM" no assistente de Configuração do Servidor DO MBAM durante a instalação.

  Você também pode habilitar a redefinição automática de bloqueio do TPM no PowerShell especificando a opção "Redefinição automática de bloqueio do TPM" ao habilitar o componente web do serviço do agente.

Depois que um usuário inserir a chave de recuperação do BitLocker obtida no Portal de AutoAtendados ou no Site de Administração e Monitoramento, o agente do MBAM determinará se o TPM está bloqueado. Se estiver bloqueado, ele tentará recuperar o Proprietário do TPMAuth para o computador do banco de dados MBAM. Se o Proprietário do TPMAuth for recuperado com êxito, ele será usado para desbloquear o TPM. Desbloquear o TPM torna o TPM totalmente funcional e o usuário não será forçado a inserir a senha de recuperação durante as reinicializações subsequentes de um bloqueio TPM.

A redefinição automática de bloqueio do TPM está desabilitada por padrão.

Observação
A redefinição automática de bloqueio do TPM só é suportada em computadores que executam o TPM versão 1.2. O TPM 2.0 fornece a funcionalidade de redefinição automática de bloqueio integrado.

O Relatório de Auditoria de Recuperação inclui eventos relacionados à redefinição automática de bloqueio do TPM. Se uma solicitação for feita do cliente MBAM para recuperar uma senha do TPM OwnerAuth, um evento será registrado para indicar a recuperação. As entradas de auditoria incluirão os seguintes eventos:

Entrada	Value
Fonte de solicitação de auditoria	Desbloqueio do Agente TPM
Tipo de chave	Hash de senha do TPM
Descrição do motivo	Redefinição do TPM

Conexões seguras para SQL Server

No MBAM, SQL Server se comunica com SQL Server Reporting Services e com os serviços Web para o Site de Administração e Monitoramento e Self-Service Portal. Recomendamos que você proteja a comunicação com SQL Server. Para obter mais informações, consulte Encrypting Connections to SQL Server.

Para obter mais informações sobre como proteger os sites do MBAM, consulte Planning How to Secure the MBAM Websites.

Criar contas e grupos

A prática mais prática para gerenciar contas de usuário é criar grupos globais de domínio e adicionar contas de usuário a elas. Para uma descrição das contas e grupos recomendados, consulte Planning for MBAM 2.5 Groups and Accounts.

Usar arquivos de log MBAM

Esta seção descreve os arquivos de log do cliente do MBAM Server e do MBAM.

Arquivos de log de Instalação do MbaM Server

O MBAMServerSetup.exe gera os seguintes arquivos de log na pasta %temp% do usuário durante a instalação do MBAM:

• Microsoft_BitLocker_Administration_and_Monitoring_<14 numbers.log>

  Registra as ações realizadas durante a configuração do MBAM e a configuração de recurso do MBAM Server.

• Microsoft_BitLocker_Administration_and_Monitoring_<14_numbers>_0_MBAMServer.msi.log

  Registra ações adicionais realizadas durante a instalação.

Arquivos de log de Configuração do Servidor MBAM

• Logs de aplicativos e serviços/Microsoft Windows/MBAM-Setup

  Registra os erros que ocorrem quando você está usando Windows cmdlets do Powershell ou o assistente de Configuração do Servidor MBAM para configurar os recursos do MBAM Server.

Arquivos de log de configuração do cliente MBAM

• MSIfive< random characters.log>

  Registra as ações realizadas durante a instalação do Cliente MBAM.

MBAM-Web de log

• Mostra a atividade dos portais e serviços da Web.

Analisar considerações do TDE do banco de dados do MBAM

O recurso de criptografia de dados transparente (TDE) que está disponível no SQL Server é uma instalação opcional para as instâncias de banco de dados que hospedarão os recursos do banco de dados mbam.

Com o TDE, você pode executar criptografia de nível de banco de dados em tempo real. O TDE é a opção ideal para criptografia em massa para atender aos padrões de conformidade regulamentar ou segurança de dados corporativos. O TDE funciona no nível de arquivo, que é semelhante a dois recursos Windows: o Sistema de Arquivos de Criptografia (EFS) e a Criptografia de Unidade do BitLocker. Ambos os recursos também criptografam dados no disco rígido. O TDE não substitui a criptografia de nível de célula, EFS ou BitLocker.

Quando o TDE é habilitado em um banco de dados, todos os backups são criptografados. Portanto, é necessário ter cuidado especial para garantir que o certificado usado para proteger a chave de criptografia do banco de dados seja feito com backup e manutenção com o backup do banco de dados. Se esse certificado (ou certificados) for perdido, os dados serão ilegíveis.

Fazer o back-up do certificado com o banco de dados. Cada backup de certificado deve ter dois arquivos. Ambos os arquivos devem ser arquivados. Idealmente para segurança, eles devem fazer backup separadamente do arquivo de backup do banco de dados. Você também pode considerar o uso do recurso de gerenciamento de chave extensível (EKM) (consulte Gerenciamento de Chaves Extensíveis) para armazenamento e manutenção de chaves usadas para TDE.

Para ver um exemplo de como habilitar o TDE para instâncias de banco de dados do MBAM, consulte Understanding Transparent Data Encryption (TDE).

Compreender considerações gerais de segurança

Entenda os riscos de segurança. O risco mais grave quando você usa a Administração e o Monitoramento do Microsoft BitLocker é que sua funcionalidade pode ser comprometida por um usuário não autorizado que poderia reconfigurar a Criptografia de Unidade do BitLocker e obter dados importantes de criptografia do BitLocker em Clientes MBAM. No entanto, a perda da funcionalidade do MBAM por um curto período de tempo, devido a um ataque de negação de serviço, geralmente não tem um impacto catastrófico, ao contrário, por exemplo, de perder emails ou comunicações de rede ou energia.

Proteja fisicamente seus computadores. Não há segurança sem segurança física. Um invasor que obtém acesso físico a um servidor MBAM pode usá-lo para atacar toda a base de clientes. Todos os possíveis ataques físicos devem ser considerados de alto risco e atenuados adequadamente. Os servidores MBAM devem ser armazenados em uma sala de servidor seguro com acesso controlado. Proteja esses computadores quando os administradores não estão fisicamente presentes fazendo com que o sistema operacional bloqueie o computador ou usando um protetor de tela protegido.

Aplique as atualizações de segurança mais recentes a todos os computadores. Mantenha-se informado sobre as novas atualizações para Windows sistemas operacionais, SQL Server e MBAM, assinando o serviço de Notificação de Segurança no TechCenter de Segurança.

Use senhas fortes ou frases de passagem. Sempre use senhas fortes com 15 ou mais caracteres para todas as contas de administrador do MBAM. Nunca use senhas em branco. Para obter mais informações sobre conceitos de senha, consulte Password Policy.

Tópicos relacionados

Planejando a implantação do MBAM 2.5

Tem uma sugestão para MBAM?

Para problemas de MBAM, use o Fórum techNet do MBAM.