Необходимые компоненты для сервера MBAM 2.5 для изолированных топологий интеграции с Configuration Manager
Перед запуском установки Microsoft BitLocker Administration and Monitoring (MBAM) необходимо выполнить предварительные требования, перечисленные в этой статье. Эти предварительные требования применяются к изолированной топологии MBAM и топологии интеграции System Center Configuration Manager.
При развертывании MBAM с помощью System Center Configuration Manager необходимо выполнить другие предварительные требования, перечисленные в разделе Предварительные требования для сервера MBAM 2.5, которые применяются только к топологии интеграции Configuration Manager.
Список поддерживаемых оборудования и операционных систем для MBAM см. в статье Поддерживаемые конфигурации MBAM 2.5.
Важно.
Если BitLocker использовался без MBAM, необходимо расшифровать диск, а затем очистить TPM с помощью tpm.msc. Если устройство уже зашифровано и пароль владельца доверенного платформенного модуля создан, MBAM не может стать владельцем доверенного платформенного модуля.
Обязательные роли и учетные записи MBAM
Дополнительные сведения о группах, созданных в доменных службах Active Directory (ADDS), см. в разделе Планирование групп и учетных записей MBAM 2.5.
Предварительные требования для базы данных восстановления
| Предпосылка | Сведения |
|---|---|
| Поддерживаемая версия SQL Server | Установите Microsoft SQL Server с параметрами сортировки SQL_Latin1_General_CP1_CI_AS. Сведения о поддерживаемых версиях см. в статье Поддерживаемые конфигурации MBAM 2.5 . |
| Необходимые разрешения SQL Server | Необходимые разрешения: — роли сервера входа экземпляра SQL Server: - dbcreator- processadmin— права экземпляра служб SQL Server Reporting Services: — Создание папок — Публикация отчетов |
| Необязательно. Установка функции прозрачного шифрования данных (TDE), доступной в SQL Server | Функция TDE SQL Server выполняет шифрование операций ввода-вывода в режиме реального времени и расшифровку файлов данных и журналов, что позволяет соблюдать законы, нормативные акты и рекомендации, применимые к различным отраслям. Заметка: TDE выполняет расшифровку данных базы данных в режиме реального времени. Если вы просматриваете сведения о ключах восстановления в базе данных SQL Server и вошли в учетную запись с разрешениями на доступ к базе данных, будут отображаться сведения о ключе восстановления. Дополнительные сведения о TDE см. в статье Рекомендации по безопасности MBAM 2.5. |
| Службы ядра СУБД SQL Server | Службы ядра СУБД SQL Server должны быть установлены и запущены во время установки СЕРВЕРА MBAM. |
| Windows PowerShell 3.0 или более поздней версии | Windows PowerShell не обязательно устанавливать на сервере базы данных восстановления, если вы используете Windows PowerShell для настройки базы данных с удаленного компьютера. |
Предварительные требования для базы данных соответствия и аудита
| Предпосылка | Сведения |
|---|---|
| Поддерживаемая версия SQL Server | Установите SQL Server с параметрами сортировки SQL_Latin1_General_CP1_CI_AS. Сведения о поддерживаемых версиях см. в статье Поддерживаемые конфигурации MBAM 2.5 . |
| Необходимые разрешения SQL Server | Необходимые разрешения: — роли сервера входа экземпляра SQL Server: - dbcreator- processadmin— права экземпляра служб SQL Server Reporting Services: — Создание папок — Публикация отчетов |
| Необязательно. Установка функции прозрачного шифрования данных (TDE) в SQL Server | Функция TDE SQL Server выполняет шифрование операций ввода-вывода в режиме реального времени и расшифровку файлов данных и журналов, что позволяет соблюдать законы, нормативные акты и рекомендации, применимые к различным отраслям. TDE выполняет расшифровку данных базы данных в режиме реального времени. Это означает, что при просмотре сведений о ключе восстановления в базе данных SQL Server и входе в систему с учетной записью с разрешениями на доступ к базе данных будут отображаться сведения о ключе восстановления. Дополнительные сведения о TDE см. в статье Рекомендации по безопасности MBAM 2.5. |
| Службы ядра СУБД SQL Server | Службы ядра СУБД SQL Server должны быть установлены и запущены во время установки СЕРВЕРА MBAM. Однако SQL Server может работать удаленно; Он не должен находиться на том же сервере, на котором устанавливается программное обеспечение СЕРВЕРА MBAM. |
| Windows PowerShell 3.0 или более поздней версии | Если вы используете Windows PowerShell для настройки базы данных с удаленного компьютера, на сервере базы данных соответствия и аудита не требуется. |
Предварительные требования для отчетов
| Предпосылка | Сведения |
|---|---|
| Поддерживаемая версия SQL Server | Установите SQL Server с параметрами сортировки SQL_Latin1_General_CP1_CI_AS. Сведения о поддерживаемых версиях см. в статье Поддерживаемые конфигурации MBAM 2.5 . |
| СЛУЖБЫ SQL Server Reporting Services (службы SSRS) | Службы SSRS должны быть установлены и запущены во время установки сервера MBAM. Настройте службы SSRS в "собственном" режиме, а не в ненастроенном режиме или режиме SharePoint. |
| Права экземпляра SSRS — требуются для настройки отчетов только при установке баз данных на отдельном сервере от сервера, на котором настроены отчеты. | Необходимые права экземпляра: — Создание папок — Публикация отчетов |
| Windows PowerShell 3.0 или более поздней версии | Windows PowerShell не обязательно устанавливать на этом сервере базы данных, если вы используете Windows PowerShell для настройки базы данных с удаленного компьютера. |
Предварительные требования для сервера администрирования и мониторинга
В следующих разделах перечислены необходимые компоненты для установки сервера администрирования и мониторинга MBAM.
Роль веб-сервера Windows Server
Эта роль должна быть добавлена в операционную систему сервера, которая поддерживается для функции сервера администрирования и мониторинга.
Средства управления веб-сервером (IIS)
Выберите Скрипты и инструменты управления IIS.
SSL-сертификат
Необязательно. Чтобы защитить обмен данными между клиентскими компьютерами и веб-службами, необходимо получить и установить сертификат, подписанный доверенным центром безопасности.
Службы ролей веб-сервера
Общие компоненты HTTP
- Статическое содержимое
- Документ по умолчанию
Разработка приложений
- ASP.NET
- Расширяемость .NET
- Расширения ISAPI
- Фильтры ISAPI
Безопасность
- Проверка подлинности Windows
- Фильтрация запросов
Функции Windows Server
Функции .NET Framework 4.5
.NET Framework 4.5 или 4.6
- Windows Server 2016 — .NET Framework 4.6 уже установлена для этих версий Windows Server, но ее необходимо включить.
- Windows Server 2012 или Windows Server 2012 R2 — .NET Framework 4.5 уже установлена для этих версий Windows Server, но ее необходимо включить.
- Windows Server 2008 R2 — .NET Framework 4.5 не входит в состав Windows Server 2008 R2, поэтому необходимо скачать Microsoft .NET Framework 4.5 и установить ее отдельно.
Активация WCF
- Активация HTTP
- Активация без http (только для Windows Server 2008, 2012 и 2012 R2)
Активация TCP
Служба активации процессов Windows
- Модель процесса
- Среда .NET Framework
- API-интерфейсы конфигурации
ASP.NET MVC 4.0
Примечание.
ASP.NET MVC 4.0 больше не требуется после обновления обслуживания за январь 2023 г. (HF08).
Имя субъекта-службы
Веб-приложениям требуется имя субъекта-службы для имени виртуального узла в учетной записи домена, используемой для пулов веб-приложений.
Если права администратора позволяют создавать имена субъектов-служб в доменных службах Active Directory, MBAM создает имя субъекта-службы. Сведения о правах, необходимых для создания имен субъектов-служб, см. в разделе Setspn .
Если у вас нет прав администратора на создание имен субъектов-служб, необходимо попросить администраторов Active Directory в вашей организации создать имя субъекта-службы с помощью следующей команды:
Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
В примере кода имя виртуального узла — mbamvirtual.contoso.com, а учетная запись домена, используемая для пулов веб-приложений, — contoso\mbamapppooluser.
Примечание.
Если вы настроили балансировку нагрузки, используйте одну и ту же учетную запись пула приложений на всех серверах.
Дополнительные сведения о регистрации имен субъектов-служб для полных, NetBIOS и пользовательских имен узлов см. в статье Планирование защиты веб-сайтов MBAM.
Предварительные требования для портала Self-Service
Поддерживаемая версия Windows Server
Список поддерживаемых версий см. в статье Поддерживаемые конфигурации MBAM 2.5.
ASP.NET MVC 4.0
Примечание.
ASP.NET MVC 4.0 больше не требуется после обновления обслуживания за январь 2023 г. (HF08).
Средства управления IIS веб-службы
Выберите Скрипты и инструменты управления IIS.
Имя субъекта-службы
Веб-приложениям требуется имя субъекта-службы для имени виртуального узла в учетной записи домена, используемой для пулов веб-приложений.
Если права администратора позволяют создавать имена субъектов-служб в доменных службах Active Directory, MBAM создает имя субъекта-службы. Сведения о правах, необходимых для создания имен субъектов-служб, см. в разделе Setspn .
Если у вас нет прав администратора на создание имен субъектов-служб, необходимо попросить администраторов Active Directory в вашей организации создать имя субъекта-службы с помощью следующей команды:
Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
В примере кода имя виртуального узла — mbamvirtual.contoso.com, а учетная запись домена, используемая для пулов веб-приложений, — contoso\mbamapppooluser.
Примечание.
Если вы настроили балансировку нагрузки, используйте одну и ту же учетную запись пула приложений на всех серверах.
Дополнительные сведения о регистрации имен субъектов-служб для полных, NetBIOS и пользовательских имен узлов см. в статье Планирование защиты веб-сайтов MBAM.
Предварительные требования для рабочей станции управления
Перед установкой клиента MBAM скачайте шаблоны групповой политики MBAM. Настройте их с помощью параметров, которые необходимо реализовать в вашей среде для шифрования диска BitLocker.
Перед установкой клиента MBAM также сделайте следующее: