Planen der Sicherung der MBAM-Websites

  • Artikel

In diesem Artikel werden die folgenden Methoden zum Schützen der Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 Administration and Monitoring Website und Self-Service Portal beschrieben:

Methode Erforderlich oder optional?
Verwenden von Zertifikaten zum Schützen von MBAM-Websites Optional, aber dringend empfohlen
Registrieren von Dienstprinzipalnamen (SPN) für das Anwendungspoolkonto Erforderlich

Weitere Informationen zum Schützen Ihrer MBAM-Bereitstellung finden Sie unter Überlegungen zur Sicherheit von MBAM 2.5.

Verwenden von Zertifikaten zum Schützen von MBAM-Websites

Verwenden Sie ein Zertifikat, um die Kommunikation zwischen den:

  • MBAM-Client und die Webdienste

  • Browser und die Administration and Monitoring Website und die Self-Service Portal-Websites

Weitere Informationen zum Anfordern und Installieren eines Zertifikats finden Sie unter Konfigurieren von Internetserverzertifikaten.

Hinweis

Sie können die Websites und Webdienste auf verschiedenen Servern nur konfigurieren, wenn Sie Windows PowerShell verwenden. Wenn Sie den MBAM-Serverkonfigurations-Assistenten verwenden, um die Websites zu konfigurieren, müssen Sie die Websites und die Webdienste auf demselben Server konfigurieren.

Um die Kommunikation zwischen den Webdiensten und den Datenbanken zu schützen, wird auch empfohlen, die Verschlüsselung in SQL Server zu erzwingen. Informationen zum Schützen aller Verbindungen mit SQL Server, einschließlich der Kommunikation zwischen den Webdiensten und SQL Server, finden Sie unter MBAM 2.5-Sicherheitsüberlegungen.

Registrieren von SPNs für das Anwendungspoolkonto

Damit die MBAM-Server die Kommunikation über die Verwaltungs- und Überwachungswebsite und das Self-Service-Portal authentifizieren können, müssen Sie einen Dienstprinzipalnamen (Service Principal Name, SPN) für den Hostnamen unter dem Domänenkonto registrieren, das Sie für den Webanwendungspool verwenden.

Dieser Abschnitt enthält Anweisungen zum Registrieren von SPNs für die folgenden Hostnamentypen:

  • Vollqualifizierter Domänenname

  • NetBIOS-Name

  • Virtueller Name

Vor dem Erstellen von SPNs für eine erste MBAM-Installation

Überprüfen Sie die Informationen in der folgenden Tabelle, bevor Sie mit dem Erstellen von SPNs beginnen.

  • Erstellen Sie ein Dienstkonto in Active Directory Domain Services (ADDS). Das Dienstkonto ist ein Benutzerkonto, das Sie in ADDS erstellen, um Sicherheit für die MBAM-Websites bereitzustellen. Die MBAM-Websites werden unter einem Anwendungspool ausgeführt, dessen Identität der Name des Dienstkontos ist. Die SPNs werden dann im Anwendungspoolkonto registriert.

    Hinweis

    Sie müssen dasselbe Anwendungspoolkonto für alle Webserver verwenden.

  • Vergewissern Sie sich, dass entweder dem IIS-IUSRS-Gruppenkonto oder dem Anwendungspoolkonto die erforderlichen Rechte erteilt wurden. Führen Sie die folgenden Schritte aus, um diesen Zugriff zu überprüfen:

    1. Öffnen Sie den Editor für lokale Sicherheitsrichtlinien , und erweitern Sie den Knoten Lokale Richtlinien .
    2. Wählen Sie den Knoten Zuweisung von Benutzerrechten aus, und doppelklicken Sie im rechten Bereich auf die Gruppenrichtlinieneinstellungen Clientidentität annehmen und Als Batchauftrag anmelden .

  • Wenn Sie die MBAM-Websites mithilfe eines Domänenadministratorkontos konfigurieren, erstellt MBAM die SPNs für Sie. Wenn Sie die MBAM-Websites mithilfe eines Domänenadministratorkontos konfigurieren, führen Sie die Schritte in diesem Artikel aus, um SPNs manuell für den verwendeten Hostnamentyp zu registrieren.

Registrieren von SPNs bei Verwendung eines vollqualifizierten Domänenhostnamens

Wenn Sie beim Konfigurieren von MBAM einen vollqualifizierten Domänenhostnamen verwenden, müssen Sie nur einen SPN registrieren, wie im folgenden Beispiel gezeigt.

  • Registrieren Sie einen SPN für den vollqualifizierten Domänennamen.
    • Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser
    • Der vollqualifizierte Hostname ist mybitlockerrecovery.contoso.com, und das Domänenkonto, das für den Webanwendungspool verwendet wird, ist contoso\mbamapppooluser.
  • Konfigurieren Sie die eingeschränkte Delegierung für den SPN, den Sie für das Anwendungspoolkonto registrieren.

Registrieren von SPNs bei Verwendung eines NetBIOS-Hostnamens

Wenn Sie beim Konfigurieren von MBAM einen NetBIOS-Hostnamen verwenden, registrieren Sie einen SPN für den NetBIOS-Namen und einen weiteren SPN für den vollqualifizierten Domänennamen, wie in den folgenden Beispielen gezeigt.

  • Registrieren Sie einen SPN für den NetBIOS-Hostnamen.
    • Setspn -s http/nbname01 contoso\mbamapppooluser
    • Der NetBIOS-Hostname ist nbname01, und das Domänenkonto, das für den Webanwendungspool verwendet wird, ist contoso\mbamapppooluser.
  • Registrieren Sie einen SPN für den vollqualifizierten Domänennamen.
    • Setspn -s http/nbname01.corp.contoso.com contoso\mbamapppooluser
    • Der vollqualifizierte Domänenname lautet nbname01.contoso.com, und das Domänenkonto, das für den Webanwendungspool verwendet wird, ist contoso\mbamapppooluser.
  • Konfigurieren Sie die eingeschränkte Delegierung für die SPNs, die Sie für das Anwendungspoolkonto registrieren.

Registrieren von SPNs bei Verwendung eines virtuellen Hostnamens

Wenn Sie MBAM mit einem virtuellen Hostnamen konfigurieren, bei dem es sich um einen vollqualifizierten Domänennamen handelt, registrieren Sie nur einen SPN für den virtuellen Hostnamen. Wenn der virtuelle Hostname, den Sie konfigurieren, kein vollqualifizierter Domänenname ist, müssen Sie einen zweiten SPN erstellen, der den vollqualifizierten Domänennamen angibt, wie in den folgenden Beispielen beschrieben.

  • Wenn Ihr virtueller Hostname ein vollqualifizierter Domänenname ist, wie in diesem Beispiel, registrieren Sie nur einen SPN.
    • Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
    • Im Beispiel lautet mbamvirtual.contoso.comder virtuelle Hostname , und das Domänenkonto, das für den Webanwendungspool verwendet wird, ist contoso\mbamapppooluser.
  • Registrieren Sie diesen anderen SPN, wenn Ihr virtueller Hostname kein vollqualifizierter Domänenname ist.
    • Setspn -s http/mbamvirtual contoso\mbamapppooluser
    • Im Beispiel lautet mbamvirtualder virtuelle Hostname , und das Domänenkonto, das für den Webanwendungspool verwendet wird, ist contoso\mbamapppooluser.
  • Registrieren Sie diesen anderen SPN, wenn Ihr virtueller Hostname kein vollqualifizierter Domänenname ist.
    • Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
    • Im Beispiel lautet mbamvirtual.contoso.comder virtuelle Hostname , und das Domänenkonto, das für den Webanwendungspool verwendet wird, ist contoso\mbamapppooluser.
  • Erstellen Sie auf dem DNS-Server (Domain Name Server) einen "A-Eintrag" für den benutzerdefinierten Hostnamen, und verweisen Sie ihn auf einen Webserver oder einen Lastenausgleich.
    • Verwenden Sie A-Einträge anstelle von CNAMES. Wenn Sie CNAMES verwenden, um auf die Domänenadresse zu verweisen, müssen Sie auch SPNs für den Webservernamen im Anwendungspoolkonto registrieren.
  • Konfigurieren Sie die eingeschränkte Delegierung für die SPNs, die Sie für das Anwendungspoolkonto registrieren.

Registrieren eines SPN beim Upgrade von früheren MBAM-Versionen

Führen Sie die Schritte in diesem Abschnitt nur aus, wenn Sie Folgendes ausführen möchten:

  • Führen Sie ein Upgrade von einer früheren MbaM-Version durch.

  • Führen Sie die Websites in MBAM 2.5 in einer Konfiguration mit Lastenausgleich oder verteilt aus, und Sie führen derzeit in einer Konfiguration aus, für die kein Lastenausgleich besteht.

Wenn Sie bereits SPNs im Computerkonto und nicht in einem Anwendungspoolkonto registriert haben, verwendet MBAM die vorhandenen SPNs, und Sie können die Websites nicht in einer Konfiguration mit Lastenausgleich oder verteilt konfigurieren.

  • Erstellen Sie ein Anwendungspoolkonto in Active Directory Domain Services.

  • Entfernen Sie die aktuell installierten Websites und Webdienste. Weitere Informationen finden Sie unter Entfernen von MBAM-Serverfeatures oder -Software.

  • Entfernen Sie SPNs aus dem Computerkonto. Beispiel: Setspn -d http/mbamwebserver mbamwebserver oder Setspn -d http/mbamwebserver.contoso.com mbamwebserver

  • Registrieren Sie SPNs im Anwendungspoolkonto. Führen Sie die Schritte zum Registrieren von SPNs aus, wenn Sie einen virtuellen Hostnamen verwenden.

  • Konfigurieren Sie die Webanwendungen und Webdienste neu. Weitere Informationen finden Sie unter Konfigurieren der MBAM 2.5-Webanwendungen.

  • Führen Sie abhängig von der Methode, die Sie für die Konfiguration verwenden, einen der folgenden Schritte aus:

    • MBAM-Serverkonfigurations-Assistent: Geben Sie das Anwendungspoolkonto im Feld Domänenkonto des Webdienstanwendungspools ein .
    • Windows PowerShell-CmdletEnable-MbamWebApplication: Geben Sie das Konto im WebServiceApplicationPoolCredential Parameter ein.

    Wichtig

    Der von Ihnen eingegebene Hostname muss mit dem Namen des virtuellen Hostnamens identisch sein, für den Sie die SPNs erstellen. Außerdem müssen in Ihrer Webfarm die Hostnamen und die Anmeldeinformationen des Anwendungspools auf jedem Server, den Sie konfigurieren, identisch sein.

    Wenn MBAM die Webanwendungen konfiguriert, versucht es, die SPNs für Sie zu registrieren. Dies ist nur möglich, wenn Sie über Domänenadministratorrechte auf dem Server verfügen, auf dem Sie MBAM installieren. Wenn Sie nicht über diese Rechte verfügen, können Sie die Konfiguration abschließen, aber Sie müssen die SPNs vor oder nach dem Konfigurieren von MBAM festlegen.

Erforderliche Einstellungen für die Anforderungsfilterung

Nicht aufgelistete Dateinamenerweiterungen zulassen ist erforderlich, damit die Anwendung wie erwartet funktioniert. Um diese Einstellung zu finden, wechseln Sie zu Microsoft BitLocker-Verwaltung und -Überwachung ->Anforderungsfilterung ->Featureeinstellungen bearbeiten.

Vorbereiten Ihrer Umgebung für MBAM 2.5

MBAM 2.5-Servervoraussetzungen für eigenständige Und Configuration Manager-Integrationstopologien