Планирование защиты веб-сайтов MBAM

В этой статье описаны следующие методы защиты веб-сайта администрирования и мониторинга Microsoft BitLocker (MBAM) 2.5 и портала Self-Service:

Метод	Обязательный или необязательный?
Использование сертификатов для защиты веб-сайтов MBAM	Необязательный, но настоятельно рекомендуется
Регистрация имен субъектов-служб (SPN) для учетной записи пула приложений	Обязательный

Дополнительные сведения о том, как защитить развертывание MBAM, см. в статье Рекомендации по безопасности MBAM 2.5.

Использование сертификатов для защиты веб-сайтов MBAM

Используйте сертификат для защиты обмена данными между:

• Клиент MBAM и веб-службы

• Браузер, веб-сайт администрирования и мониторинга, а также веб-сайты портала Self-Service

Дополнительные сведения о запросе и установке сертификата см. в разделе Настройка сертификатов веб-сервера.

Примечание.

Вы можете настроить веб-сайты и веб-службы на разных серверах только при использовании Windows PowerShell. Если для настройки веб-сайтов используется мастер настройки сервера MBAM, необходимо настроить веб-сайты и веб-службы на одном сервере.

Чтобы защитить обмен данными между веб-службами и базами данных, также рекомендуется принудительное шифрование в SQL Server. Сведения о защите всех подключений к SQL Server, включая обмен данными между веб-службами и SQL Server, см. в статье Рекомендации по безопасности MBAM 2.5.

Регистрация имен субъектов-служб для учетной записи пула приложений

Чтобы позволить серверам MBAM проверять подлинность связи с веб-сайта администрирования и мониторинга и портала Self-Service, необходимо зарегистрировать имя субъекта-службы (SPN) для имени узла в учетной записи домена, используемой для пула веб-приложений.

В этом разделе содержатся инструкции по регистрации имен узлов следующих типов:

• Полное доменное имя

• Имя NetBIOS

• Виртуальное имя

Перед созданием имен субъектов-служб для начальной установки MBAM

Прежде чем приступать к созданию имен субъектов-служб, просмотрите сведения в следующей таблице.

• Создайте учетную запись службы в доменных службах Active Directory (ADDS). Учетная запись службы — это учетная запись пользователя, созданная в ADDS для обеспечения безопасности веб-сайтов MBAM. Веб-сайты MBAM выполняются в пуле приложений, идентификатором которого является имя учетной записи службы. Затем имена субъектов-служб регистрируются в учетной записи пула приложений.

  Примечание.

  Для всех веб-серверов необходимо использовать одну и ту же учетную запись пула приложений.

• Убедитесь, что учетной записи группы IIS-IUSRS или учетной записи пула приложений предоставлены необходимые права. Чтобы проверить этот доступ, выполните следующие действия.

  1. Откройте редактор локальной политики безопасности и разверните узел Локальные политики .
  2. Выберите узел Назначение прав пользователя и дважды щелкните параметры групповой политики Олицетворение клиента после проверки подлинности и Вход в качестве пакетного задания в правой области.

• Если вы настроите веб-сайты MBAM с помощью учетной записи администратора домена, MBAM создаст имена субъектов-служб. Если вы настраиваете веб-сайты MBAM с помощью учетной записи администратора домена, выполните действия, описанные в этой статье, чтобы вручную зарегистрировать имена субъектов-служб для используемого типа имени узла.

Регистрация имен субъектов-служб при использовании полного доменного имени узла

Если при настройке MBAM используется полное доменное имя узла, необходимо зарегистрировать только одно имя субъекта-службы, как показано в следующем примере.

• Зарегистрируйте имя субъекта-службы для полного доменного имени.
  • Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser
  • Полное имя узла — mybitlockerrecovery.contoso.com, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser.
• Настройте ограниченное делегирование для имени субъекта-службы, зарегистрированного для учетной записи пула приложений.
  • Настройка ограниченного делегирования
  • Это требование применяется только к MBAM 2.5. В MBAM 2.5 с пакетом обновления 1 (SP1) это не обязательно.

Регистрация имен субъектов-служб при использовании имени узла NetBIOS

Если при настройке MBAM используется имя узла NetBIOS, зарегистрируйте одно имя субъекта-службы для netBIOS-имени, а другое имя субъекта-службы для полного доменного имени, как показано в следующих примерах.

• Зарегистрируйте имя субъекта-службы для имени узла NetBIOS.
  • Setspn -s http/nbname01 contoso\mbamapppooluser
  • Имя узла NetBIOS — nbname01, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser.
• Зарегистрируйте имя субъекта-службы для полного доменного имени.
  • Setspn -s http/nbname01.corp.contoso.com contoso\mbamapppooluser
  • Полное доменное имя — nbname01.contoso.com, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser.
• Настройте ограниченное делегирование для имен субъектов-служб, зарегистрированных для учетной записи пула приложений.
  • Настройка ограниченного делегирования
  • Это требование применяется только к MBAM 2.5. В MBAM 2.5 с пакетом обновления 1 (SP1) это не обязательно.

Регистрация имен субъектов-служб при использовании имени виртуального узла

При настройке MBAM с именем виртуального узла, которое является полным доменным именем, зарегистрируйте только одно имя субъекта-службы для имени виртуального узла. Если настраиваемое имя виртуального узла не является полным доменным именем, необходимо создать второе имя субъекта-службы, указывающее полное доменное имя, как описано в следующих примерах.

• Если имя виртуального узла является полным доменным именем, как в этом примере, зарегистрируйте только одно имя субъекта-службы.
  • Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
  • В этом примере имя виртуального узла — mbamvirtual.contoso.com, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser.
• Зарегистрируйте это другое имя субъекта-службы, если имя виртуального узла не является полным доменным именем.
  • Setspn -s http/mbamvirtual contoso\mbamapppooluser
  • В этом примере имя виртуального узла — mbamvirtual, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser.
• Зарегистрируйте это другое имя субъекта-службы, если имя виртуального узла не является полным доменным именем.
  • Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
  • В этом примере имя виртуального узла — mbamvirtual.contoso.com, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser.
• На сервере доменных имен (DNS) создайте запись A для пользовательского имени узла и укажите ей веб-сервер или подсистему балансировки нагрузки.
  • Используйте записи A вместо CNAMES. Если вы используете CNAMES для указания адреса домена, необходимо также зарегистрировать имена субъектов-служб для имени веб-сервера в учетной записи пула приложений.
• Настройте ограниченное делегирование для имен субъектов-служб, зарегистрированных для учетной записи пула приложений.
  • Настройка ограниченного делегирования
  • Это требование применяется только к MBAM 2.5. В MBAM 2.5 с пакетом обновления 1 (SP1) это не обязательно.

Регистрация имени субъекта-службы при обновлении с предыдущих версий MBAM

Выполните действия, описанные в этом разделе, только если вы хотите:

• Обновление с предыдущей версии MBAM.

• Запустите веб-сайты в MBAM 2.5 в конфигурации с балансировкой нагрузки или распределенной конфигурацией, а в настоящее время выполняется в конфигурации, которая не является балансировкой нагрузки.

Если вы уже зарегистрировали имена субъектов-служб в учетной записи компьютера, а не в учетной записи пула приложений, MBAM использует существующие имена субъектов-служб, и вы не можете настроить веб-сайты в конфигурации с балансировкой нагрузки или распределенной конфигурацией.

• Создайте учетную запись пула приложений в доменных службах Active Directory.

• Удалите установленные веб-сайты и веб-службы. Дополнительные сведения см. в разделе Удаление компонентов или программного обеспечения сервера MBAM.

• Удалите имена субъектов-служб из учетной записи компьютера. Например, Setspn -d http/mbamwebserver mbamwebserver или Setspn -d http/mbamwebserver.contoso.com mbamwebserver

• Зарегистрируйте имена субъектов-служб в учетной записи пула приложений. При использовании имени виртуального узла выполните действия, описанные в разделе Регистрация имен субъектов-служб.

• Перенастройка веб-приложений и веб-служб. Дополнительные сведения см. в разделе Настройка веб-приложений MBAM 2.5.

• Выполните одно из следующих действий в зависимости от метода, используемого для настройки.

  • Мастер настройки сервера MBAM. Введите учетную запись пула приложений в поле Учетная запись домена пула приложений веб-службы .
  • КомандлетEnable-MbamWebApplication Windows PowerShell: введите учетную запись в параметре WebServiceApplicationPoolCredential .

  Важно.

  Имя узла, которое вы вводите, должно совпадать с именем виртуального узла, для которого создаются имена субъектов-служб. Кроме того, в веб-ферме имена узлов и учетные данные пула приложений должны быть одинаковыми на каждом настроенном сервере.

  Когда MBAM настраивает веб-приложения, он пытается зарегистрировать имена субъектов-служб для вас. Это можно сделать, только если у вас есть права администратора домена на сервере, на котором устанавливается MBAM. Если у вас нет этих прав, вы можете завершить настройку, но необходимо задать имена субъектов-служб до или после настройки MBAM.

Обязательные параметры фильтрации запросов

Чтобы приложение работало должным образом, необходимо разрешить расширения имен файлов без списка. Чтобы найти этот параметр, перейдите в раздел Microsoft BitLocker Administration and Monitoring -Request Filtering -Edit Feature Settings (Администрирование и мониторинг Microsoft BitLocker) ->Request Filtering ->Edit Feature Settings (Изменение параметров компонентов).

Связанные статьи

Подготовка среды для MBAM 2.5

Необходимые компоненты для сервера MBAM 2.5 для изолированных топологий интеграции с Configuration Manager