Жан де Клерк (jan.declercq@hp.com) — сотрудник Security Office компании HP. Специализируется на управлении идентификационными параметрами и безопасностью в продуктах Microsoft
.
Первая версия BitLocker, которая поставлялась с Windows Server 2008 и Windows Vista, защищала только один том: содержащий операционную систему. В Server 2008 и Vista SP1 защита BitLocker была распространена на различные тома, в том числе локальные тома данных. В Server 2008 R2 and Windows 7 защита BitLocker охватывает сменные тома данных — устройства памяти и внешние накопители данных. Это новшество именуется BitLocker To Go.
BitLocker — ценное дополнение к арсеналу обеспечения безопасности операционной системы Windows. Благодаря ему можно сэкономить, так как отпадает необходимость в специализированных сторонних программах шифрования дисков. Но компании часто неохотно внедряют BitLocker из-за сложности развертывания и управления.
Для устранения этих проблем выпущен инструмент Microsoft BitLocker Administration and Monitoring (MBAM), составная часть пакета Microsoft Desktop Optimization Pack (MDOP). В этой статье приводится обзор MBAM и его архитектуры и объясняется, как с помощью этого инструмента упростить развертывание и управление благодаря усовершенствованным функциям подготовки, восстановления и создания отчетов.
Архитектура MBAM
MBAM — приложение клиент/сервер, состоящее из клиентского агента и серверных компонентов. На момент подготовки статьи компания Microsoft выпускала 32- и 64-разрядные версии клиента MBAM только для платформы Windows 7. Клиентский агент MBAM задает настройки BitLocker для клиентов Windows 7, собирает пароли восстановления BitLocker и данные о конфигурации и соответствии требованиям и передает эти данные на центральный сервер MBAM.
64-разрядный сервер MBAM состоит из пяти компонентов, которые можно разместить на одном или нескольких серверах:
* сервер администрирования и мониторинга;
* база данных соответствия требованиям;
* база данных восстановления и аппаратных средств;
* шаблоны отчетов о соответствии требованиям;
* шаблон объекта групповой политики (GPO) сервера MBAM.
Мастер установки сервера MBAM позволяет указать, какие компоненты устанавливаются на каждом компьютере, как показано на экране 1. Специалисты Microsoft рекомендуют использовать трех- или пятикомпьютерные конфигурации при развертывании MBAM в производственной среде. В пятикомпьютерной конфигурации каждый компонент MBAM размещается на отдельном компьютере. В трехкомпьютерной конфигурации база данных восстановления и аппаратных средств, база данных соответствия требованиям и аудита, а также компоненты отчетов соответствия требованиям и аудита находятся на одном сервере.
Экран 1. Мастер установки сервера MBAM |
Серверный компонент администрирования и мониторинга MBAM предоставляет веб-консоль управления и веб-службы сбора данных. Компонент основан на роли IIS Web Server в Server 2008. С помощью консоли управления администраторы создают отчеты, проверяют статус соответствия клиента BitLocker и получают доступ к паролям восстановления BitLocker. Устанавливая сервер администрирования и мониторинга MBAM, можно заметить, что в Active Directory (AD) автоматически добавляется пять специфических групп безопасности MBAM. С помощью этих групп можно выполнить точную настройку делегирования административных полномочий MBAM.
В качестве дополнительного подкомпонента сервера администрирования и мониторинга можно установить диспетчер аппаратной совместимости MBAM. Этот подкомпонент позволяет администратору MBAM определить клиентов с аппаратными средствами, пригодными для BitLocker, для централизованного управления через объект групповой политики MBAM BitLocker. При включенном диспетчере аппаратной совместимости на всех клиентах MBAM используется централизованно сформированный список аппаратной совместимости, определяющий, совместим ли клиентский компьютер с BitLocker. Затем клиенты MBAM передают эту информацию в центральный сервер отчетов MBAM.
Серверный компонент администрирования и мониторинга MBAM связан с двумя базами данных Microsoft SQL Server: базой данных соответствия требованиям и аудита и базой данных восстановления и аппаратных средств. В первой из них хранятся данные соответствия требованиям BitLocker для всех MBAM-совместимых клиентских компьютеров. Во второй хранятся пароли восстановления BitLocker. Для обеих требуются отдельные экземпляры базы данных SQL Server 2008 R2, которые можно разместить на одном компьютере SQL Server 2008 R2 (вариант конфигурации с тремя компьютерами).
Сервер MBAM также располагает набором шаблонов отчетов соответствия требованиям и аудита, которые можно использовать в сочетании со службами SQL Server Reporting Services (SSRS). Доступ к отчетам соответствия и аудита возможен через веб-консоль управления MBAM или напрямую из сервера SSRS.
Последний, но от этого не менее важный, сервер MBAM поставляется с шаблоном объекта групповой политики (GPO) MBAM для расширения централизованного управления конфигурацией клиентов BitLocker. Администраторы могут использовать этот шаблон (файл *.admx) из консоли управления групповой политикой (GPMC) или консоли расширенного управления групповыми политиками (AGPM).
Упрощенная подготовка
После развертывания серверной инфраструктуры MBAM и активизации BitLocker на клиентах Windows 7 работа с инструментом MBAM представляет собой двухступенчатый процесс. Прежде всего, необходимо развернуть клиент MBAM на рабочих станциях пользователей. Затем требуется настроить относящиеся к MBAM параметры GPO.
Клиент MBAM — типовой файл установщика Windows (*.msi), который можно развернуть с использованием любого инструмента распространения программного обеспечения. Можно применить компонент GPO Software Installation, Center Configuration Manager (SCCM) 2007 или 2012, либо аналогичные инструменты.
После успешного развертывания клиента MBAM на клиенте Windows 7 можно заметить, что новая служба — BitLocker Management Client Service — настроена на автоматический запуск в списке Services. В панели управления появляется новый раздел, Windows BitLocker Administration, в котором пользователи могут проверить статус BitLocker на томах компьютеров и без труда изменить идентификатор PIN разблокировки или пароль BitLocker. Доступ к Windows BitLocker Administration также можно получить, щелкнув кнопкой мыши на соответствующем элементе в контекстном меню защищенного с помощью BitLocker устройства в Windows Explorer.
Клиентом MBAM также активизируется новый мастер, с помощью которого пользователям не составит труда защитить свои компьютеры. Если в центральном объекте групповой политики (GPO) MBAM указано, что компьютер следует защитить с помощью BitLocker, то клиент MBAM выдает пользователю приглашение включить BitLocker, как показано на экране 2. Если пользователь соглашается, MBAM запускает мастер, проводящий пользователя по процессу шифрования. Мастер может запросить у пользователя идентификатор PIN и выполнить конфигурацию TPM, в зависимости от содержимого центрального GPO MBAM.
Экран 2. Взаимодействие клиента и пользователя MBAM |
Еще одна интересная особенность клиента MBAM — возможность обычных пользователей инициировать шифрование томов BitLocker. В старых версиях BitLocker для этого требуются административные права. После развертывания клиентских агентов можно централизованно настроить их с использованием новых параметров GPO MBAM. Помните, что прежде чем использовать эти параметры GPO, необходимо установить административный шаблон из установщика сервера MBAM на рабочей станции управления GPO.
В MBAM добавлено около 20 новых параметров GPO, связанных с BitLocker. Они находятся в GPO-контейнере \Computer Configuration\Administrative Templates\Windows Components\MDOP MBAM (BitLocker Management), как показано на экране 3. Обратите внимание, что новый контейнер отличается от контейнера BitLocker Drive Encryption. Среди новых параметров GPO — параметры для настройки клиента MBAM, адресов компонентов восстановления пароля и подготовки отчетов сервера MBAM и правила шифрования BitLocker для фиксированных, сменных и содержащих операционную систему дисков.
Экран 3. Параметры объекта групповой политики (GPO) MBAM |
Выше было показано, как использовать MBAM, чтобы задействовать BitLocker после распределения клиентских компьютеров. Помимо этого метода подготовки, существует другой вариант для компаний, в которых новые компьютеры централизованно настраиваются перед передачей пользователям. В этой ситуации можно зашифровать каждый компьютер, прежде чем на него будут записаны данные пользователя. Для этого применяются обычные инструменты развертывания Windows 7.
Упрощенное восстановление
Для BitLocker требуется надежный метод восстановления. Пользователю необходимо определить метод восстановления в процессе установки BitLocker. Эти требования позволяют пользователям восстановить доступ к данным, если зашифрованный накопитель оказывается недоступен. На диске с операционной системой нужен метод восстановления для случаев, когда пользователи забывают свой идентификатор PIN, теряют устройство USB, содержащее ключ запуска BitLocker или модуль TPM обнаруживает нарушение целостности системных файлов. Для накопителей с данными требуется метод восстановления для случаев, когда пользователи забывают пароли или теряют смарт-карты. Кроме того, если защищенный накопитель данных настроен для автоматического разблокирования, метод восстановления необходим, если по какой-то причине утерян ключ автоматического разблокирования, сохраненный в компьютере (например, из-за отказа или переустановки жесткого диска).
В инструменте MBAM метод восстановления на основе пароля заметно усовершенствован. Для BitLocker предусмотрены три метода восстановления:
* пароль восстановления;
* ключ восстановления;
* агент восстановления данных (DRA).
Пароль восстановления представляет собой 48-разрядный числовой пароль, создаваемый во время установки BitLocker. Пароль восстановления можно сохранить в файле, распечатать или автоматически сохранить в AD. Дополнительную информацию о методах восстановления BitLocker можно найти в разделе о стратегии восстановления в статье «Развертывание BitLocker», опубликованной в Windows IT Pro/RE № 8 за 2011 год.
MBAM — предпочтительная альтернатива хранению пароля восстановления BitLocker в AD. Компании редко соглашаются хранить данные восстановления в AD, поскольку это подразумевает, что все администраторы AD могут прямо или косвенно обращаться к данным. В AD данные восстановления хранятся в виде простого текста. MBAM хранит данные восстановления BitLocker в отдельной зашифрованной базе данных SQL Server.
Для перехода к странице восстановления пароля MBAM можно обратиться из браузера к основной странице администрирования и мониторинга MBAM. Затем в левой навигационной области выберите Drive Recovery, как показано на экране 4. Необходимо указать идентификатор и домен пользователя AD, причину, по которой требуется восстановить пароль, и первые восемь символов идентификатора пароля восстановления. Последние отображаются после того, как пользователь или оператор справочной службы перезагружает клиентскую систему в режиме восстановления диска. После нажатия кнопки Submit MBAM извлекает пароль восстановления из базы данных восстановления. Затем администратор или оператор службы поддержки передают пароль пользователю, который вводит пароль на клиентской системе, чтобы разблокировать диск компьютера.
Экран 4. Веб-страница восстановления накопителей MBAM |
Важная деталь: в MBAM используются и одноразовые пароли восстановления. Пароль восстановления для накопителя автоматически сбрасывается, и старый пароль нельзя использовать повторно. Таким образом можно предотвратить доступ несанкционированных пользователей к защищенному BitLocker жесткому диску, если они завладеют ранее использовавшимся ключом восстановления.
Усовершенствованные отчеты
Администраторов, которые испытывали затруднения при подготовке отчетов BitLocker на клиентских компьютерах, наверняка обрадуют функции отчетности MBAM. С помощью отчетов MBAM можно быстро определить уровень соответствия клиентов Windows 7 политике BitLocker. Например, если потерян или украден ноутбук пользователя, содержащий корпоративные данные, то с помощью отчета MBAM можно быстро определить степень угрозы: в отчете о соответствии требованиям указано, защищены ли тома данных ноутбука с использованием BitLocker.
По умолчанию в консоли управления MBAM предоставляются следующие отчеты:
* отчет соответствия компании;
* отчет соответствия компьютера;
* отчет аудита аппаратных средств;
* отчет аудита восстановления.
В дополнение к четырем основным отчетам можно подготовить специальные отчеты о соответствии требованиям с использованием инструментов SSRS.
В отчете соответствия компании указывается статус соответствия BitLocker всех клиентов в данной компании. Показано, какие компьютеры соответствуют, не соответствуют и исключены из политики BitLocker. Выполнив поиск в отчете по компьютерам или именам пользователей, можно выяснить, соответствует ли конкретный компьютер или компьютеры пользователя политике BitLocker. С помощью отчета можно быстро проверить статус BitLocker потерянного ноутбука. В отчете аудита восстановления показано, кто обращался или пытался получить доступ к информации о пароле восстановления в базе данных ключей восстановления MBAM. Наконец, в отчете аудита аппаратных средств указано, кто изменял список совместимости оборудования и когда клиент MBAM обнаружил новые устройства. Этот отчет полезен только если в компании установлены и используются средства проверки соответствия аппаратных средств.
Для доступа к основным отчетам нужно перейти к странице администрирования и мониторинга MBAM в браузере. В левой области навигации выберите Reports, а затем конкретный отчет, который нужно создать. Готовый отчет отображается на веб-странице. Результаты можно сохранить в другом формате (например, в документе Word, электронной таблице Excel). Создавать отчеты могут члены группы MBAM Report Users в AD на сервере или серверах, на которых установлены сервер администрирования и мониторинга MBAM и база данных статуса соответствия.
Новый уровень управления BitLocker
Инструмент MBAM будет очень полезен администраторам. Особенно привлекательны возможность без труда создавать отчеты об использовании BitLocker и быстро возобновлять пароли восстановления BitLocker из базы данных SQL Server (не в AD).