Considérations relatives à la sécurité de MBAM 2.5
Cet article contient des informations sur la sécurisation de Microsoft BitLocker Administration and Monitoring (MBAM).
Configurer MBAM pour mettre sous séquestre le module de plateforme sécurisée et stocker les mots de passe OwnerAuth
Remarque
Pour Windows 10, version 1607 ou ultérieure, seul Windows peut prendre possession du TPM. Windows ne conserve pas le mot de passe du propriétaire du module de plateforme sécurisée lorsqu’il provisionne le module de plateforme sécurisée. Pour plus d’informations, consultez Mot de passe du propriétaire du module de plateforme sécurisée.
Selon sa configuration, le module de plateforme sécurisée (TPM) se verrouille dans certaines situations et peut rester verrouillé. Par exemple, lorsqu’un utilisateur entre trop de mots de passe incorrects. Pendant le verrouillage TPM, BitLocker ne peut pas accéder aux clés de chiffrement pour déverrouiller ou déchiffrer le lecteur. Cet état nécessite que l’utilisateur entre sa clé de récupération BitLocker pour accéder au lecteur du système d’exploitation. Pour réinitialiser le verrouillage TPM, vous devez fournir le mot de passe OwnerAuth du module de plateforme sécurisée.
MBAM peut stocker le mot de passe PropriétaireAuth du module de plateforme sécurisée dans la base de données MBAM s’il est propriétaire du module de plateforme sécurisée ou s’il supprime le mot de passe. Les mots de passe OwnerAuth sont ensuite facilement accessibles sur le site web d’administration et de surveillance lorsque vous devez récupérer à partir d’un verrouillage TPM, ce qui élimine la nécessité d’attendre que le verrouillage se résolve lui-même.
Création d’un propriétaire de module de plateforme sécurisée (TPM) dans Windows 8 et versions ultérieures
Remarque
Pour Windows 10, version 1607 ou ultérieure, seul Windows peut prendre possession du TPM. Windows ne conserve pas le mot de passe du propriétaire du module de plateforme sécurisée lorsqu’il provisionne le module de plateforme sécurisée. Pour plus d’informations, consultez Mot de passe du propriétaire du module de plateforme sécurisée.
Dans Windows 8 ou version ultérieure, MBAM ne doit plus être propriétaire du module de plateforme sécurisée pour stocker le mot de passe OwnerAuth, tant que ownerAuth est disponible sur l’ordinateur local.
Pour permettre à MBAM de mettre sous séquestre, puis de stocker les mots de passe PropriétaireAuth du module de plateforme sécurisée, vous devez configurer ces paramètres de stratégie de groupe.
| Paramètre de stratégie de groupe | Configuration |
|---|---|
| Activer la sauvegarde TPM sur les services de domaine Active Directory | Désactivé ou non configuré |
| Configurer le niveau d’autorisation du propriétaire du module de plateforme sécurisée (TPM) disponible pour le système d’exploitation | Délégué/Aucun ou Non configuré |
L’emplacement de ces paramètres de stratégie de groupe est Configuration> ordinateurModèles> d’administrationServices> demodule de plateforme sécurisée système.
Remarque
Windows supprime l’objet OwnerAuth localement une fois que MBAM l’a correctement séquestre avec ces paramètres.
Création d’un propriétaire de module de plateforme sécurisée (TPM) dans Windows 7
Dans Windows 7, MBAM doit être propriétaire du module de plateforme sécurisée (TPM) pour supprimer automatiquement les informations Propriétaire du module de plateforme sécurisée (TPM) dans la base de données MBAM. Si MBAM n’est pas propriétaire du module TPM, vous devez utiliser les applets de commande d’importation de données MBAM Active Directory (AD) pour copier le TPM OwnerAuth d’Active Directory dans la base de données MBAM.
Applets de commande d’importation de données MBAM Active Directory
Les applets de commande d’importation de données MBAM Active Directory vous permettent de récupérer les packages de clé de récupération et les mots de passe OwnerAuth stockés dans Active Directory.
Le serveur MBAM 2.5 SP1 est fourni avec quatre applets de commande PowerShell qui préremplir les bases de données MBAM avec les informations de récupération de volume et de propriétaire TPM stockées dans Active Directory.
Pour les clés et packages de récupération de volume :
Read-ADRecoveryInformation
Write-MbamRecoveryInformation
Pour les informations sur le propriétaire du module de plateforme sécurisée :
Read-ADTpmInformation
Write-MbamTpmInformation
Pour associer des utilisateurs à des ordinateurs :
- Write-MbamComputerUser
Les Read-AD* applets de commande lisent les informations d’Active Directory. Les Write-Mbam* applets de commande poussent les données dans les bases de données MBAM. Pour plus d’informations sur ces applets de commande, notamment sur la syntaxe, les paramètres et les exemples, consultez Référence sur les applets de commande pour Microsoft BitLocker Administration and Monitoring 2.5.
Créer des associations d’utilisateur à ordinateur : Les applets de commande MBAM Active Directory Data Import collectent des informations à partir d’Active Directory et insèrent les données dans la base de données MBAM. Toutefois, ils n’associent pas les utilisateurs aux volumes. Vous pouvez télécharger le script PowerShell Add-ComputerUser.ps1 pour créer des associations utilisateur-à-machine, qui permettent aux utilisateurs de récupérer l’accès à un ordinateur via le site web d’administration et de surveillance ou à l’aide du portail Self-Service pour la récupération. Le script Add-ComputerUser.ps1 collecte des données à partir de l’attribut Managed By dans Active Directory (AD), du propriétaire de l’objet dans AD ou d’un fichier CSV personnalisé. Le script ajoute ensuite les utilisateurs découverts à l’objet pipeline d’informations de récupération, qui doit être passé à Write-MbamRecoveryInformation pour insérer les données dans la base de données de récupération.
Vous pouvez spécifier des Add-ComputerUser.ps1d’aide pour obtenir de l’aide pour le script, notamment des exemples d’utilisation des applets de commande et du script.
Pour créer des associations d’utilisateur à ordinateur après avoir installé le serveur MBAM, utilisez l’applet de commande PowerShell Write-MbamComputerUser. À l’instar du script PowerShell Add-ComputerUser.ps1, cette applet de commande vous permet de spécifier les utilisateurs qui peuvent utiliser le portail Self-Service pour obtenir des informations TPM OwnerAuth ou des mots de passe de récupération de volume pour l’ordinateur spécifié.
Remarque
L’agent MBAM remplace les associations utilisateur-à-ordinateur lorsque cet ordinateur commence à signaler au serveur.
Conditions préalables: Les Read-AD* applets de commande peuvent récupérer des informations à partir d’AD uniquement si elles sont exécutées en tant que compte d’utilisateur à privilèges élevés, par exemple un administrateur de domaine, ou si elles sont exécutées en tant que compte dans un groupe de sécurité personnalisé disposant d’un accès en lecture aux informations (recommandé).
Guide des opérations de chiffrement de lecteur BitLocker : Récupération de volumes chiffrés avec ADDS fournit des détails sur la création d’un groupe de sécurité personnalisé (ou de plusieurs groupes) avec accès en lecture aux informations AD.
Autorisations d’écriture du service web matériel et de récupération MBAM : Les Write-Mbam* applets de commande acceptent l’URL du service de récupération et de matériel MBAM, utilisée pour publier les informations de récupération ou de TPM. En règle générale, seul un compte de service d’ordinateur de domaine peut communiquer avec le service de récupération et de matériel MBAM. Dans MBAM 2.5 SP1, vous pouvez configurer le service de récupération et de matériel MBAM avec un groupe de sécurité appelé DataMigrationAccessGroup. Les membres de ce groupe peuvent contourner la vérification du compte de service d’ordinateur de domaine. Les Write-Mbam* applets de commande doivent être exécutées en tant qu’utilisateur appartenant à ce groupe configuré. (Vous pouvez également spécifier les informations d’identification d’un utilisateur individuel dans le groupe configuré à l’aide du paramètre -Credential dans les Write-Mbam* applets de commande.)
Vous pouvez configurer le service de récupération et de matériel MBAM avec le nom de ce groupe de sécurité de l’une des manières suivantes :
Indiquez le nom du groupe de sécurité (ou de l’individu) dans le paramètre -DataMigrationAccessGroup de l’applet de commande PowerShell Enable-MbamWebApplication -AgentService.
Configurez le groupe après avoir installé le service de récupération et de matériel MBAM. Modifiez le fichier web.config dans le
<inetpub>\Microsoft Bitlocker Management Solution\Recovery and Hardware Service\dossier .<add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />où
<groupName>est remplacé par le domaine et le nom de groupe (ou l’utilisateur individuel) que vous utilisez pour autoriser la migration des données à partir d’Active Directory.Pour modifier cette appSetting, utilisez l’Éditeur de configuration dans le Gestionnaire des services Internet.
Dans l’exemple suivant, lorsque vous exécutez la commande en tant que membre des groupes ADRecoveryInformations et Utilisateurs de migration de données, elle extrait les informations de récupération de volume à partir des ordinateurs de l’unité d’organisation WORKSTATIONS dans le domaine contoso.com. Il les écrit ensuite dans MBAM à l’aide du service de récupération et de matériel MBAM exécuté sur le serveur mbam.contoso.com.
Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"
Read-AD* Les applets de commande acceptent le nom ou l’adresse IP d’un ordinateur serveur d’hébergement Active Directory pour interroger les informations de récupération ou de TPM. Nous vous recommandons de fournir les noms uniques des conteneurs AD dans lesquels l’objet ordinateur réside en tant que valeur du paramètre SearchBase. Si les ordinateurs sont stockés dans plusieurs unités d’organisation, les applets de commande peuvent accepter l’entrée de pipeline pour s’exécuter une fois pour chaque conteneur. Le nom unique d’un conteneur AD ressemble à OU=Machines,DC=contoso,DC=com.
Lorsque vous exécutez une recherche ciblée sur des conteneurs spécifiques, elle offre les avantages suivants :
Réduit le risque de délai d’expiration lors de l’interrogation d’un jeu de données AD volumineux pour les objets ordinateur.
Peut omettre les unités d’organisation contenant des serveurs de centre de données ou d’autres classes d’ordinateurs pour lesquels la sauvegarde n’est peut-être pas souhaitée ou nécessaire.
Une autre option consiste à fournir l’indicateur -Recurse avec ou sans searchBase facultatif pour rechercher des objets ordinateur dans tous les conteneurs sous le SearchBase spécifié ou l’ensemble du domaine respectivement. Lorsque vous utilisez l’indicateur -Recurse, vous pouvez également utiliser le paramètre -MaxPageSize pour contrôler la quantité de mémoire locale et distante requise pour traiter la requête.
Ces applets de commande écrivent dans les objets de pipeline de type PsObject. Chaque instance PsObject contient une clé de récupération de volume unique ou une chaîne de propriétaire TPM avec son nom d’ordinateur associé, son horodatage et d’autres informations requises pour la publier dans le magasin de données MBAM.
Write-Mbam* Les applets de commande** acceptent les valeurs des paramètres d’informations de récupération du pipeline par nom de propriété. Ce comportement permet aux applets de Write-Mbam* commande d’accepter la sortie du pipeline des applets de Read-AD* commande. Par exemple Read-ADRecoveryInformation -Server contoso.com -Recurse | Write-MbamRecoveryInformation -RecoveryServiceEndpoint mbam.contoso.com
Les Write-Mbam* applets de commande incluent des paramètres facultatifs qui fournissent des options de tolérance de panne, de journalisation détaillée et de préférences pour WhatIf et Confirm.
Les Write-Mbam* applets de commande incluent également un paramètre Time facultatif dont la valeur est un objet DateTime . Cet objet inclut un attribut Kind qui peut être défini sur Local, UTCou Unspecified. Lorsque le paramètre Time est rempli à partir de données provenant d’Active Directory, l’heure est convertie en UTC et cet attribut Kind est automatiquement UTCdéfini sur . Toutefois, lors du remplissage du paramètre Time à l’aide d’une autre source, telle qu’un fichier texte, vous devez définir explicitement l’attribut Kind sur sa valeur appropriée.
Remarque
Les Read-AD* applets de commande ne peuvent pas détecter les comptes d’utilisateur qui représentent les utilisateurs de l’ordinateur. Les associations de comptes d’utilisateur sont nécessaires pour les éléments suivants :
Les utilisateurs peuvent récupérer des mots de passe ou des packages de volume à l’aide du portail Self-Service.
Les utilisateurs qui ne sont pas dans le groupe de sécurité Utilisateurs du support technique avancé MBAM tel que défini lors de l’installation, récupérant au nom d’autres utilisateurs.
Configurer MBAM pour déverrouiller automatiquement le module de plateforme sécurisée après un verrouillage
Vous pouvez configurer MBAM 2.5 SP1 pour déverrouiller automatiquement le TPM s’il est verrouillé. Si la réinitialisation automatique du verrouillage TPM est activée, MBAM peut détecter qu’un utilisateur est verrouillé, puis obtenir le mot de passe OwnerAuth à partir de la base de données MBAM pour déverrouiller automatiquement le module de plateforme sécurisée pour l’utilisateur. La réinitialisation automatique du verrouillage TPM n’est disponible que si la clé de récupération du système d’exploitation de cet ordinateur a été récupérée à l’aide du portail libre-service ou du site web d’administration et de surveillance.
Important
Pour activer la réinitialisation automatique du verrouillage TPM, vous devez configurer cette fonctionnalité côté serveur et dans la stratégie de groupe côté client.
Pour activer la réinitialisation automatique du verrouillage TPM côté client, configurez le paramètre de stratégie de groupe « Configurer la réinitialisation automatique du verrouillage TPM » situé dans Configuration> ordinateurModèles> d’administrationComposants> WindowsMDOP MBAM>Client Management.
Pour activer la réinitialisation automatique du verrouillage TPM côté serveur, vous pouvez cocher « Activer la réinitialisation automatique du verrouillage TPM » dans l’Assistant Configuration du serveur MBAM pendant l’installation.
Vous pouvez également activer la réinitialisation automatique du verrouillage TPM dans PowerShell en spécifiant le
-TPMcommutateur « Réinitialisation automatique du verrouillage » lors de l’activation du composant web du service d’agent.
Une fois qu’un utilisateur a entré la clé de récupération BitLocker qu’il a obtenue à partir du portail libre-service ou du site web d’administration et de surveillance, l’agent MBAM détermine si le module TPM est verrouillé. S’il est verrouillé, il tente de récupérer le TPM OwnerAuth pour l’ordinateur à partir de la base de données MBAM. Si le TPM OwnerAuth est récupéré avec succès, il est utilisé pour déverrouiller le module de plateforme sécurisée. Le déverrouillage du module TPM rend le module de plateforme sécurisée entièrement fonctionnel et l’utilisateur n’est pas obligé d’entrer le mot de passe de récupération lors des redémarrages suivants à partir d’un verrouillage TPM.
La réinitialisation automatique du verrouillage TPM est désactivée par défaut.
Remarque
La réinitialisation automatique du verrouillage TPM est prise en charge uniquement sur les ordinateurs exécutant TPM version 1.2. TPM 2.0 fournit la fonctionnalité de réinitialisation automatique de verrouillage intégrée.
Le rapport d’audit de récupération inclut les événements liés à la réinitialisation automatique du verrouillage TPM. Si une demande est effectuée à partir du client MBAM pour récupérer un mot de passe PropriétaireAuth du module de plateforme sécurisée, un événement est enregistré pour indiquer la récupération. Les entrées d’audit incluent les événements suivants :
| Entrée | Valeur |
|---|---|
| Source de la demande d’audit | Déverrouillage du module de plateforme sécurisée (TPM) de |
| Type de clé | Hachage du mot de passe TPM |
| Description de la raison | Réinitialisation du module de plateforme sécurisée (TPM) |
Sécuriser les connexions à SQL Server
Dans MBAM, SQL Server communique avec SQL Server Reporting Services et avec les services web pour le site web d’administration et de surveillance et le portail Self-Service. Nous vous recommandons de sécuriser la communication avec SQL Server. Pour plus d’informations, consultez Chiffrement des connexions à SQL Server.
Pour plus d’informations sur la sécurisation des sites web MBAM, consultez Planification de la sécurisation des sites web MBAM.
Créer des comptes et des groupes
La meilleure pratique pour la gestion des comptes d’utilisateur consiste à créer des groupes globaux de domaine et à y ajouter des comptes d’utilisateur. Pour obtenir une description des comptes et groupes recommandés, consultez Planification des groupes et comptes MBAM 2.5.
Utiliser les fichiers journaux MBAM
Cette section décrit le serveur MBAM et les fichiers journaux du client MBAM.
Fichiers journaux d’installation du serveur MBAM
Le fichier MBAMServerSetup.exe génère les fichiers journaux suivants dans le dossier %temp% de l’utilisateur pendant l’installation de MBAM :
Microsoft_BitLocker_Administration_and_Monitoring_<14 numbers>.logEnregistre les actions pendant l’installation de MBAM et la configuration des fonctionnalités du serveur MBAM.
Microsoft_BitLocker_Administration_and_Monitoring_<14_numbers>_0_MBAMServer.msi.logJournalise les autres actions pendant l’installation.
Fichiers journaux de configuration du serveur MBAM
Applications and Services Logs/Microsoft Windows/MBAM-SetupEnregistre les erreurs lorsque vous utilisez des applets de commande Windows PowerShell ou l’Assistant Configuration du serveur MBAM pour configurer les fonctionnalités du serveur MBAM.
Fichiers journaux d’installation du client MBAM
MSI<five random characters>.logEnregistre les actions effectuées pendant l’installation du client MBAM.
MBAM-Web fichiers journaux
- Affiche l’activité à partir des services et portails web.
Passer en revue les considérations relatives au chiffrement TDE de la base de données MBAM
La fonctionnalité transparent data encryption (TDE) disponible dans SQL Server est une installation facultative pour les instances de base de données qui hébergent les fonctionnalités de base de données MBAM.
Avec TDE, vous pouvez effectuer un chiffrement complet au niveau de la base de données en temps réel. TDE est le choix optimal pour le chiffrement en bloc afin de répondre aux normes de conformité réglementaire ou de sécurité des données d’entreprise. TDE fonctionne au niveau du fichier, ce qui est similaire à deux fonctionnalités Windows : le système de fichiers EFS (Encrypting File System) et le chiffrement de lecteur BitLocker. Les deux fonctionnalités chiffrent également les données sur le disque dur. TDE ne remplace pas le chiffrement au niveau de la cellule, EFS ou BitLocker.
Lorsque TDE est activé sur une base de données, toutes les sauvegardes sont chiffrées. Par conséquent, vous devez veiller particulièrement à ce que le certificat utilisé pour protéger la clé de chiffrement de base de données soit sauvegardé et conservé avec la sauvegarde de la base de données. Si ce certificat est perdu, les données sont illisibles.
Sauvegardez le certificat avec la base de données. Chaque sauvegarde de certificat doit avoir deux fichiers. Ces deux fichiers doivent être archivés. Dans l’idéal, pour des questions de sécurité, elles doivent être sauvegardées séparément du fichier de sauvegarde de base de données. Vous pouvez également envisager d’utiliser la fonctionnalité de gestion de clés extensible (EKM) pour le stockage et la maintenance des clés utilisées pour TDE.
Pour obtenir un exemple d’activation de TDE pour les instances de base de données MBAM, consultez Chiffrement transparent des données (TDE).
Comprendre les considérations générales relatives à la sécurité
Comprendre les risques de sécurité. Le risque le plus grave lorsque vous utilisez MBAM est que ses fonctionnalités peuvent être compromises par un utilisateur non autorisé. Cet utilisateur peut ensuite reconfigurer le chiffrement de lecteur BitLocker et obtenir des données de clé de chiffrement BitLocker sur les clients MBAM. La perte de fonctionnalités MBAM pendant une courte période en raison d’une attaque par déni de service n’a généralement pas d’effet catastrophique.
Sécuriser physiquement vos ordinateurs. Il n’y a pas de sécurité sans sécurité physique. Un attaquant qui obtient un accès physique à un serveur MBAM peut potentiellement l’utiliser pour attaquer l’ensemble de la base de clients. Toutes les attaques physiques potentielles doivent être considérées comme à haut risque et atténuées de manière appropriée. Les serveurs MBAM doivent être stockés dans une salle de serveurs sécurisée avec un accès contrôlé. Sécurisez ces ordinateurs lorsque les administrateurs ne sont pas physiquement présents en demandant au système d’exploitation de verrouiller l’ordinateur ou en utilisant un économiseur d’écran sécurisé.
Appliquez les mises à jour de sécurité les plus récentes à tous les ordinateurs.
Utilisez des mots de passe forts ou des phrases de passe. Utilisez toujours des mots de passe forts avec 15 caractères ou plus pour tous les comptes d’administrateur MBAM. N’utilisez jamais de mots de passe vides. Pour plus d’informations sur les concepts de mot de passe, consultez Stratégie de mot de passe.