Планирование защиты веб-сайтов MBAM
В этом разделе описываются следующие методы защиты веб-сайта администрирования и мониторинга Microsoft BitLocker (MBAM) 2.5 и портала Self-Service.
Метод | Обязательный или необязательный? |
---|---|
Использование сертификатов для защиты веб-сайтов MBAM |
Необязательный, но настоятельно рекомендуемый |
Регистрация имен субъектов-служб (SPN) для учетной записи пула приложений |
Обязательный |
Дополнительные сведения о том, как защитить развертывание MBAM, см. в разделе "Вопросы безопасности MBAM 2.5".
Использование сертификатов для защиты веб-сайтов MBAM
Мы рекомендуем использовать сертификат для защиты обмена данными между:
Клиент MBAM и веб-службы
Браузер, веб-сайт администрирования и мониторинга, а также веб-Self-Service портала
Сведения о запросе и установке сертификата см. в разделе "Настройка сертификатов Internet Server".
Примечание.
Веб-сайты и веб-службы на разных серверах можно настроить только при использовании Windows PowerShell. Если для настройки веб-сайтов используется мастер настройки сервера MBAM, необходимо настроить веб-сайты и веб-службы на том же сервере.
Для защиты обмена данными между веб-службами и базами данных также рекомендуется принудительно использовать шифрование в SQL Server. Сведения о защите всех подключений к SQL Server, включая обмен данными между веб-службами и SQL Server, см. в статье "Вопросы безопасности MBAM 2.5".
Регистрация имен субъектов-служб для учетной записи пула приложений
Чтобы серверы MBAM могут выполнять проверку подлинности при обмене данными с веб-сайта администрирования и мониторинга и портала Self-Service, необходимо зарегистрировать имя субъекта-службы (SPN) для имени узла в учетной записи домена, которая используется для пула веб-приложений.
В этом разделе содержатся инструкции по регистрации имен субъектов-служб для следующих типов имен узлов:
Полное доменное имя
NetBIOS name
Виртуальное имя
Перед созданием имен субъектов-служб для начальной установки MBAM
Прежде чем приступить к созданию имен субъектов-служб, просмотрите сведения из следующей таблицы.
Задача или элемент | Дополнительные сведения |
---|---|
Создайте учетную запись службы в доменные службы Active Directory (AD DS). |
Учетная запись службы — это учетная запись пользователя, которую вы создаете в AD DS для обеспечения безопасности веб-сайтов MBAM. Веб-сайты MBAM выполняются в пуле приложений, удостоверением которого является имя учетной записи службы. Затем имена субъектов-служб регистрируются в учетной записи пула приложений.
Примечание.
Для всех веб-серверов необходимо использовать ту же учетную запись пула приложений. |
Убедитесь, что учетной записи группы IIS-IUSRS или учетной записи пула приложений предоставлены необходимые права. |
Чтобы проверить это, выполните следующие действия.
|
Если вы настроите веб-сайты MBAM с помощью учетной записи администратора домена, MBAM создаст имена субъектов-служб. |
Если вы настраиваете веб-сайты MBAM с помощью учетной записи администратора домена, выполните действия, описанные в этом разделе, чтобы зарегистрировать имена субъектов-служб вручную для типа имени узла, которое вы используете. |
Регистрация имен субъектов-служб при использовании полного имени узла домена
Если при настройке MBAM используется полное доменное имя узла, необходимо зарегистрировать только одно имя субъекта-службы, как показано в следующем примере.
Что необходимо сделать | Примеры и дополнительные сведения |
---|---|
Зарегистрируйте имя субъекта-службы для полного доменного имени. |
Полное имя узла — mybitlockerrecovery.contoso.com, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser. |
Настройте ограниченное делегирование для имени субъекта-службы, которое вы регистрируете для учетной записи пула приложений. |
Настройка ограниченного делегирования Это требование применяется только к MBAM 2.5; Это необязательно в MBAM 2.5 с пакетом обновления 1 (SP1). |
Регистрация имен субъектов-служб при использовании имени узла NetBIOS
Если при настройке MBAM используется имя узла NetBIOS, зарегистрируйте одно имя субъекта-службы для netBIOS, а другое имя субъекта-службы для полного доменного имени, как показано в следующих примерах.
Что необходимо сделать | Примеры и дополнительные сведения |
---|---|
Зарегистрируйте имя субъекта-службы для имени узла NetBIOS. |
Имя узла NetBIOS — nbname01, а учетная запись домена, используемая для пула веб-приложений , — contoso\mbamapppooluser. |
Зарегистрируйте имя субъекта-службы для полного доменного имени. |
Полное доменное имя nbname01.contoso.com, а учетная запись домена, используемая для пула веб-приложений , — contoso\mbamapppooluser. |
Настройте ограниченное делегирование для имен субъектов-служб, которые регистрируются для учетной записи пула приложений. |
Настройка ограниченного делегирования Это требование применяется только к MBAM 2.5; Это необязательно в MBAM 2.5 с пакетом обновления 1 (SP1). |
Регистрация имен субъектов-служб при использовании имени виртуального узла
Если вы настроите MBAM с именем виртуального узла, которое является полным доменным именем, зарегистрируйте только одно имя субъекта-службы для имени виртуального узла. Если настраиваемое имя виртуального узла не является полным доменным именем, необходимо создать второе имя субъекта-службы, указывающее полное доменное имя, как описано в следующих примерах.
Что необходимо сделать | Примеры и дополнительные сведения |
---|---|
Если имя виртуального узла является полным доменным именем, как в этом примере, зарегистрируйте только одно имя субъекта-службы. |
В этом примере имя виртуального узла mbamvirtual.contoso.com, а учетная запись домена, используемая для пула веб-приложений , — contoso\mbamapppooluser. |
Зарегистрируйте это дополнительное имя субъекта-службы, если имя виртуального узла не является полным доменным именем. |
В этом примере имя виртуального узла — mbamvirtual, а учетная запись домена, используемая для пула веб-приложений , — contoso\mbamapppooluser. |
Зарегистрируйте это дополнительное имя субъекта-службы, если имя виртуального узла не является полным доменным именем. |
В этом примере имя виртуального узла mbamvirtual.contoso.com, а учетная запись домена, используемая для пула веб-приложений , — contoso\mbamapppooluser. |
На DNS-сервере создайте запись A для имени пользовательского узла и наведите указатель на веб-сервер или подсистему балансировки нагрузки. |
См. раздел "Настройка записей A узла DNS" в разделе "Настройка записей узла DNS". Вместо CNAMES рекомендуется использовать записи A. Если вы используете CNAMES для указать адрес домена, необходимо также зарегистрировать имена субъектов-служб для имени веб-сервера в учетной записи пула приложений. |
Настройте ограниченное делегирование для имен субъектов-служб, которые регистрируются для учетной записи пула приложений. |
Настройка ограниченного делегирования Это требование применяется только к MBAM 2.5; Это необязательно в MBAM 2.5 с пакетом обновления 1 (SP1). |
Регистрация имени субъекта-службы при обновлении предыдущих версий MBAM
Выполните действия, описанные в этом разделе, только если хотите:
Обновление с предыдущей версии MBAM.
Запустите веб-сайты в MBAM 2.5 в конфигурации с балансировкой нагрузки или распределенной конфигурацией. В настоящее время вы работаете в конфигурации без балансировки нагрузки.
Если имена субъектов-служб уже зарегистрированы в учетной записи компьютера, а не в учетной записи пула приложений, MBAM использует существующие имена субъектов-служб, и вы не можете настроить веб-сайты в конфигурации с балансировкой нагрузки или распределенной конфигурацией.
Что необходимо сделать | Примеры и дополнительные сведения | ||||||
---|---|---|---|---|---|---|---|
Создайте учетную запись пула приложений в доменные службы Active Directory (AD DS). |
|||||||
Удалите установленные в настоящее время веб-сайты и веб-службы. |
Удаление компонентов или программного обеспечения MBAM Server |
||||||
Удалите имена субъектов-служб из учетной записи компьютера. |
|
||||||
Зарегистрируйте имена субъектов-служб в учетной записи пула приложений. |
Выполните действия по регистрации имен субъектов-служб при использовании имени виртуального узла. |
||||||
Перенастройте веб-приложения и веб-службы. |
|||||||
Выполните одно из следующих действий в зависимости от метода, используемого для конфигурации:
|
Важно.
Имя узла, которое вы вводите, должно совпадать с именем виртуального узла, для которого создаются имена субъектов-служб. Кроме того, в веб-ферме имена узлов и учетные данные пула приложений должны быть одинаковыми на каждом настраиваемом сервере. Когда MBAM настраивает веб-приложения, он попытается зарегистрировать имена субъектов-служб, но это можно сделать, только если у вас есть права доменных Администратор на сервере, на котором устанавливается MBAM. Если у вас нет этих прав, можно завершить настройку, но необходимо задать имена субъектов-служб до или после настройки MBAM. |
Обязательные параметры фильтрации запросов
Для правильной работы приложения требуется "Разрешить расширения имен файлов, не указанных в списке". Это можно найти, перейдя к элементу "Администрирование и мониторинг Microsoft BitLocker —> фильтрация запросов —> изменение параметров компонентов".
Связанные статьи
Подготовка среды для развертывания MBAM 2.5
Необходимые условия для развертывания MBAM 2.5
Есть предложение по MBAM?
Для решения проблем MBAM используйте форум TechNet MBAM.