規劃如何保護 MBAM 網站
本文說明下列方法來保護 MBAM) 2.5 系統管理與監視網站和 Self-Service 入口網站) Microsoft BitLocker 管理與監視 (:
方法 | 必要或選擇性? |
---|---|
使用憑證保護 MBAM 網站 | 選擇性,但強烈建議使用 |
為應用程式集區帳戶註冊 SPN) (服務主體名稱 | 必要 |
如需如何保護 MBAM 部署的詳細資訊,請參閱 MBAM 2.5 安全性考慮。
使用憑證保護 MBAM 網站
使用憑證來保護下列專案之間的通訊:
MBAM 用戶端和 Web 服務
瀏覽器、系統管理與監視網站,以及 Self-Service 入口網站
如需要求和安裝憑證的詳細資訊,請參閱 設定因特網伺服器證書。
注意
只有當您使用 Windows PowerShell 時,才能在不同的伺服器上設定網站和 Web 服務。 如果您使用 MBAM 伺服器組態精靈來設定網站,您必須在相同的伺服器上設定網站和 Web 服務。
若要保護 Web 服務與資料庫之間的通訊,我們也建議您在 SQL Server 中強制加密。 如需保護所有 SQL Server 連線的資訊,包括 Web 服務與 SQL Server 之間的通訊,請參閱 MBAM 2.5 安全性考慮。
註冊應用程式集區帳戶的SPN
若要讓 MBAM 伺服器能夠驗證來自 Administration and Monitoring Website 和 Self-Service Portal 的通訊,您必須在用於 Web 應用程式集區的網域帳戶下,為主機名註冊服務主體名稱 (SPN) 。
本節包含如何為下列類型的主機名註冊 SPN 的指示:
完整功能變數名稱
NetBIOS 名稱
虛擬名稱
建立初始 MBAM 安裝的 SPN 之前
開始建立SPN之前,請先檢閱下表中的資訊。
在 Active Directory 網域服務中建立服務帳戶 (ADDS) 。 服務帳戶是您在 ADDS 中建立的用戶帳戶,可為 MBAM 網站提供安全性。 MBAM 網站會在應用程式集區下執行,其身分識別是服務帳戶的名稱。 SPN 接著會在應用程式集區帳戶中註冊。
注意
所有網頁伺服器都必須使用相同的應用程式集區帳戶。
確認 IIS-IUSRS 組帳戶或應用程式集區帳戶已獲授與必要的許可權。 若要檢查此存取權,請遵循下列步驟:
- 開啟 [ 本機安全策略編輯 器],然後展開 [ 本機原則] 節點。
- 選取 [ 用戶權力指派 ] 節點,然後在驗證之後按兩下 [ 模擬客戶 端],然後在右窗格中以 批次作業 組策略設定登入。
如果您使用網域系統管理帳戶來設定 MBAM 網站,MBAM 會為您建立 SPN。 如果您使用網域系統管理帳戶來設定 MBAM 網站,請遵循本文中的步驟,手動註冊您所使用主機名類型的 SPN。
當您使用完整域主機名時註冊 SPN
如果您在設定 MBAM 時使用完整域主機名,則只需要註冊一個 SPN,如下列範例所示。
- 註冊完整功能變數名稱的SPN。
Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser
- 完整主機名稱是
mybitlockerrecovery.contoso.com
,而用於 Web 應用程式集區的網域帳戶是contoso\mbamapppooluser
。
- 為您為應用程式集區帳戶註冊的SPN設定限制委派。
- 設定限制委派
- 此需求僅適用於 MBAM 2.5。 在 MBAM 2.5 SP1 中並非必要。
當您使用 NetBIOS 主機名時註冊 SPN
如果您在設定 MBAM 時使用 NetBIOS 主機名,請為 NetBIOS 名稱註冊一個 SPN,併為完整功能變數名稱註冊另一個 SPN,如下列範例所示。
- 註冊 NetBIOS 主機名的 SPN。
Setspn -s http/nbname01 contoso\mbamapppooluser
- NetBIOS 主機名稱是
nbname01
,而用於 Web 應用程式集區的網域帳戶是contoso\mbamapppooluser
。
- 註冊完整功能變數名稱的SPN。
Setspn -s http/nbname01.corp.contoso.com contoso\mbamapppooluser
- 完整功能變數名稱是
nbname01.contoso.com
,而用於 Web 應用程式集區的網域帳戶是contoso\mbamapppooluser
。
- 為您為應用程式集區帳戶註冊的SPN設定限制委派。
- 設定限制委派
- 此需求僅適用於 MBAM 2.5。 在 MBAM 2.5 SP1 中並非必要。
當您使用虛擬主機名時註冊SPN
如果您使用完整功能變數名稱的虛擬主機名來設定 MBAM,請只註冊一個 SPN 作為虛擬主機名。 如果您設定的虛擬主機名不是完整功能變數名稱,您必須建立第二個SPN來指定完整功能變數名稱,如下列範例所述。
- 如果您的虛擬主機名是完整功能變數名稱,如本範例所示,請只註冊一個SPN。
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
- 在這裡範例中,虛擬主機名稱是
mbamvirtual.contoso.com
,而用於 Web 應用程式集區的網域帳戶是contoso\mbamapppooluser
。
- 如果您的虛擬主機名不是完整功能變數名稱,請註冊這個其他SPN。
Setspn -s http/mbamvirtual contoso\mbamapppooluser
- 在這裡範例中,虛擬主機名稱是
mbamvirtual
,而用於 Web 應用程式集區的網域帳戶是contoso\mbamapppooluser
。
- 如果您的虛擬主機名不是完整功能變數名稱,請註冊這個其他SPN。
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
- 在這裡範例中,虛擬主機名稱是
mbamvirtual.contoso.com
,而用於 Web 應用程式集區的網域帳戶是contoso\mbamapppooluser
。
- 在 [功能變數名稱伺服器] (DNS) 伺服器上,建立自定義主機名的「A 記錄」,並將其指向網頁伺服器或負載平衡器。
- 使用 A 記錄,而不是 CNAMES。 如果您使用 CNAMES 指向網域位址,您也必須在應用程式集區帳戶中註冊 Web 伺服器名稱的 SPN。
- 為您為應用程式集區帳戶註冊的SPN設定限制委派。
- 設定限制委派
- 此需求僅適用於 MBAM 2.5。 在 MBAM 2.5 SP1 中並非必要。
從舊版 MBAM 升級時註冊 SPN
只有在您想要下列情況下,才完成本節中的步驟:
從舊版 MBAM 升級。
以負載平衡或分散式組態在 MBAM 2.5 中執行網站,而您目前是在未負載平衡的組態中執行。
如果您已在電腦帳戶上註冊SPN,而不是在應用程式集區帳戶中註冊SPN,則MBAM會使用現有的SPN,而且您無法在負載平衡或分散式設定中設定網站。
在 Active Directory 網域服務中建立應用程式集區帳戶。
拿掉目前安裝的網站和 Web 服務。 如需詳細資訊,請 參閱移除 MBAM 伺服器功能或軟體。
從電腦帳戶移除 SPN。 例如:
Setspn -d http/mbamwebserver mbamwebserver
或Setspn -d http/mbamwebserver.contoso.com mbamwebserver
在應用程式集區帳戶中註冊SPN。 當 您使用虛擬主機名時,請遵循註冊 SPN 的步驟。
重新設定 Web 應用程式和 Web 服務。 如需詳細資訊,請參閱 如何設定 MBAM 2.5 Web 應用程式。
根據您用於設定的方法,執行下列其中一個步驟:
- MBAM 伺服器設定精靈:在 [Web 服務應用程式集區網域帳戶] 欄位中輸入應用程式 集區帳戶 。
-
Windows PowerShell Cmdlet
Enable-MbamWebApplication
:在 參數中WebServiceApplicationPoolCredential
輸入帳戶。
重要
您輸入的主機名必須與您要建立 SPN 的虛擬主機名同名。 此外,在 Web 伺服陣列中,主機名和應用程式集區認證在您設定的每部伺服器上都必須相同。
當 MBAM 設定 Web 應用程式時,它會嘗試為您註冊 SPN。 只有當您在安裝 MBAM 的伺服器上具有 Domain Admin 許可權時,才能執行此動作。 如果您沒有這些許可權,您可以完成設定,但必須在設定 MBAM 之前或之後設定 SPN。
必要的要求篩選設定
應用程式必須允許未列出的擴展名 ,才能如預期般運作。 若要尋找此設定,請移 至 Microsoft BitLocker Administration and Monitoring ->Request Filtering ->Edit Feature Settings。