规划如何保护 MBAM 网站

  • 项目

本文介绍用于保护 Microsoft BitLocker 管理和监视 (MBAM) 2.5 管理和监视网站和 Self-Service 门户的以下方法:

方法 必需还是可选?
使用证书保护 MBAM 网站 可选,但强烈建议
(应用程序池帐户的 SPN) 注册服务主体名称 必需

有关如何保护 MBAM 部署的详细信息,请参阅 MBAM 2.5 安全注意事项

使用证书保护 MBAM 网站

使用证书保护以下项之间的通信:

  • MBAM 客户端和 Web 服务

  • 浏览器、管理和监视网站以及 Self-Service 门户网站

有关请求和安装证书的详细信息,请参阅 配置 Internet 服务器证书

注意

仅当使用 Windows PowerShell 时,才能在不同的服务器上配置网站和 Web 服务。 如果使用 MBAM 服务器配置向导配置网站,则必须在同一服务器上配置网站和 Web 服务。

为了保护 Web 服务与数据库之间的通信,我们还建议在 SQL Server 中强制加密。 有关保护与 SQL Server 的所有连接(包括 Web 服务与 SQL Server 之间的通信)的信息,请参阅 MBAM 2.5 安全注意事项

为应用程序池帐户注册 SPN

若要使 MBAM 服务器能够对来自管理和监视网站和 Self-Service 门户的通信进行身份验证,必须在用于 Web 应用程序池的域帐户下为主机名注册服务主体名称 (SPN) 。

本部分包含有关如何为以下类型的主机名注册 SPN 的说明:

  • 完全限定的域名

  • NetBIOS 名称

  • 虚拟名称

在为初始 MBAM 安装创建 SPN 之前

在开始创建 SPN 之前,请查看下表中的信息。

  • 在 Active Directory 域服务中创建服务帐户, (ADDS) 。 服务帐户是在 ADDS 中创建的用户帐户,用于为 MBAM 网站提供安全性。 MBAM 网站在应用程序池下运行,其标识是服务帐户的名称。 然后,在应用程序池帐户中注册 SPN。

    注意

    必须对所有 Web 服务器使用相同的应用程序池帐户。

  • 验证是否已授予 IIS-IUSRS 组帐户或应用程序池帐户所需的权限。 若要检查此访问权限,请执行以下步骤:

    1. 打开 “本地安全策略”编辑器 并展开“ 本地策略” 节点。
    2. 选择“ 用户权限分配 ”节点,并在右窗格中双击“ 身份验证后模拟客户端 ”和“ 以批处理作业身份登录 ”组策略设置。

  • 如果使用域管理帐户配置 MBAM 网站,MBAM 将为你创建 SPN。 如果使用域管理帐户配置 MBAM 网站,请按照本文中的步骤手动为使用的主机名类型注册 SPN。

使用完全限定的域主机名时注册 SPN

如果在配置 MBAM 时使用完全限定的域主机名,则只需注册一个 SPN,如以下示例所示。

  • 为完全限定的域名注册 SPN。
    • Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser
    • 完全限定的主机名为 mybitlockerrecovery.contoso.com,用于 Web 应用程序池的域帐户为 contoso\mbamapppooluser
  • 为应用程序池帐户注册的 SPN 配置约束委派。

使用 NetBIOS 主机名时注册 SPN

如果在配置 MBAM 时使用 NetBIOS 主机名,请为 NetBIOS 名称注册一个 SPN,为完全限定的域名注册另一个 SPN,如以下示例所示。

  • 为 NetBIOS 主机名注册 SPN。
    • Setspn -s http/nbname01 contoso\mbamapppooluser
    • NetBIOS 主机名为 nbname01,用于 Web 应用程序池的域帐户为 contoso\mbamapppooluser
  • 为完全限定的域名注册 SPN。
    • Setspn -s http/nbname01.corp.contoso.com contoso\mbamapppooluser
    • 完全限定的域名为 nbname01.contoso.com,用于 Web 应用程序池的域帐户为 contoso\mbamapppooluser
  • 为应用程序池帐户注册的 SPN 配置约束委派。

使用虚拟主机名时注册 SPN

如果使用完全限定域名的虚拟主机名配置 MBAM,则只为虚拟主机名注册一个 SPN。 如果配置的虚拟主机名不是完全限定的域名,则必须创建另一个 SPN 来指定完全限定的域名,如以下示例中所述。

  • 如果虚拟主机名是完全限定的域名,如本示例所示,则仅注册一个 SPN。
    • Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
    • 在此示例中,虚拟主机名为 mbamvirtual.contoso.com,用于 Web 应用程序池的域帐户为 contoso\mbamapppooluser
  • 如果虚拟主机名不是完全限定的域名,请注册其他 SPN。
    • Setspn -s http/mbamvirtual contoso\mbamapppooluser
    • 在此示例中,虚拟主机名为 mbamvirtual,用于 Web 应用程序池的域帐户为 contoso\mbamapppooluser
  • 如果虚拟主机名不是完全限定的域名,请注册其他 SPN。
    • Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
    • 在此示例中,虚拟主机名为 mbamvirtual.contoso.com,用于 Web 应用程序池的域帐户为 contoso\mbamapppooluser
  • 在域名服务器 (DNS) 服务器上,为自定义主机名创建“A 记录”,并将其指向 Web 服务器或负载均衡器。
    • 使用 A 记录而不是 CNAMES。 如果使用 CNAMES 指向域地址,还必须在应用程序池帐户中为 Web 服务器名称注册 SPN。
  • 为应用程序池帐户注册的 SPN 配置约束委派。

从以前版本的 MBAM 升级时注册 SPN

仅当需要以下操作时,才完成本部分中的步骤:

  • 从以前版本的 MBAM 升级。

  • 在负载均衡或分布式配置中运行 MBAM 2.5 中的网站,并且当前在未进行负载均衡的配置中运行。

如果已在计算机帐户而不是应用程序池帐户中注册了 SPN,则 MBAM 将使用现有的 SPN,并且不能在负载均衡或分布式配置中配置网站。

  • 在 Active Directory 域服务中创建应用程序池帐户。

  • 删除当前安装的网站和 Web 服务。 有关详细信息,请参阅 删除 MBAM 服务器功能或软件

  • 从计算机帐户中删除 SPN。 例如: Setspn -d http/mbamwebserver mbamwebserverSetspn -d http/mbamwebserver.contoso.com mbamwebserver

  • 在应用程序池帐户中注册 SPN。 使用虚拟主机名时,请遵循注册 SPN 的步骤。

  • 重新配置 Web 应用程序和 Web 服务。 有关详细信息,请参阅 如何配置 MBAM 2.5 Web 应用程序

  • 根据用于配置的方法,执行以下步骤之一:

    • MBAM 服务器配置向导:在“Web 服务应用程序池域帐户”字段中输入 应用程序池帐户
    • Windows PowerShell cmdletEnable-MbamWebApplication:在 参数中 WebServiceApplicationPoolCredential 输入帐户。

    重要提示

    输入的主机名必须与要为其创建 SPN 的虚拟主机名同名。 此外,在 Web 场中,主机名和应用程序池凭据在配置的每个服务器上都必须相同。

    当 MBAM 配置 Web 应用程序时,它会尝试为你注册 SPN。 仅当在安装 MBAM 的服务器上具有域管理员权限时,它才能执行此操作。 如果没有这些权限,可以完成配置,但必须在配置 MBAM 之前或之后设置 SPN。

所需的请求筛选设置

需要允许未列出的文件扩展名 ,应用程序才能按预期运行。 若要查找此设置,请转到 Microsoft BitLocker 管理和监视 ->请求筛选 ->编辑功能设置

为 MBAM 2.5 准备环境

独立和 Configuration Manager 集成拓扑的 MBAM 2.5 服务器先决条件