Planeación de la protección de los sitios web de MBAM

  • Artículo

Se aplica a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

En este tema se describen métodos de protección del sitio web de Administration and Monitoring y el portal de autoservicio de Microsoft BitLocker Administration and Monitoring (MBAM) 2.5:

Método Necesario u opcional

Uso de certificados para proteger los sitios web de MBAM

Opcional, pero muy recomendable

Registro de nombres de entidad de seguridad de servicio (SPN) para la cuenta del grupo de aplicaciones

Necesario

Para obtener más información sobre la protección de la implementación de MBAM, consulte Consideraciones sobre seguridad de MBAM 2.5.

Uso de certificados para proteger los sitios web de MBAM

Es recomendable usar un certificado para proteger la comunicación entre:

  • el cliente de MBAM y los servicios web

  • el explorador y el sitio web de Administration and Monitoring y los sitios web del portal de autoservicio

Para obtener información sobre la solicitud e instalación de un certificado, consulte Configuración de certificados del servidor de Internet.

Nota

Solo puede configurar los sitios web y los servicios web en servidores distintos si usa Windows PowerShell. Si usa el Asistente para la configuración del servidor de MBAM para configurar los sitios web, debe configurar los sitios web y los servicios web en el mismo servidor.

Para proteger la comunicación entre los servicios web y las bases de datos, es también aconsejable forzar el cifrado en SQL Server. Para obtener información sobre la protección de todas las conexiones con SQL Server, incluida la comunicación entre los servicios web y SQL Server, consulte Secure connections to SQL Server.

Registro de SPN para la cuenta del grupo de aplicaciones

Para que los servidores de MBAM puedan autenticar la comunicación desde el sitio web de Administration and Monitoring y el portal de autoservicio, debe registrar un nombre de entidad de seguridad de servicio (SPN) para el nombre de host en la cuenta de dominio que use para el grupo de aplicaciones web.

Este tema contiene instrucciones para registrar SPN para los siguientes tipos de nombres de host:

  • Nombre de dominio completo

  • Nombre NetBIOS

  • Nombre virtual

Antes de crear SPN para la primera instalación de MBAM

Revise la información de la tabla siguiente antes de empezar a crear SPN.

Tarea o elemento Más información

Cree una cuenta de servicio en Servicios de dominio de Active Directory (AD DS).

La cuenta de servicio es una cuenta de usuario que se crea en AD DS para proporcionar seguridad a los sitios web de MBAM. Los sitios web de MBAM se ejecutan en un grupo de aplicaciones, cuya identidad es el nombre de la cuenta de servicio. A continuación, los SPN se registran en la cuenta del grupo de aplicaciones.

Nota

Debe usar la misma cuenta del grupo de aplicaciones para todos los servidores web.

Compruebe que la cuenta del grupo IIS-IUSRS o la cuenta del grupo de aplicaciones dispone de los derechos necesarios.

Para ello, realice estos pasos:

  1. Abra el editor de directiva de seguridad local y expanda el nodo Directivas locales.

  2. Seleccione el nodo Asignación de derechos de usuario y haga doble clic en las opciones de directiva de grupo Suplantar a un cliente tras la autenticación e Iniciar sesión como proceso por lotes del panel derecho.

Si configura los sitios web de MBAM utilizando una cuenta administrativa de dominio, MBAM creará los SPN automáticamente.

Si configura los sitios web de MBAM utilizando una cuenta administrativa de dominio, realice los pasos de este tema para registrar SPN manualmente para el tipo de nombre de host que esté usando.

Registro de SPN cuando se usa un nombre de host de dominio completo

Si usa un nombre de host de dominio completo al configurar MBAM, solo tiene que registrar un SPN, como se indica en el ejemplo siguiente.

Haga lo siguiente Ejemplos y más información

Registre un SPN para el nombre de dominio completo.

Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser

El nombre de host de dominio completo es mybitlockerrecovery.contoso.com y la cuenta de dominio que se usa para el grupo de aplicaciones web es contoso\mbamapppooluser.

Configure la delegación restringida para el SPN que está registrando para la cuenta del grupo de aplicaciones.

Configuración de la delegación restringida

Este requisito solo se aplica a MBAM 2.5; no es necesario en MBAM 2.5 SP1.

Registro de SPN cuando se usa un nombre de host NetBIOS

Si usa un nombre de host NetBIOS al configurar MBAM, registre un SPN para el nombre NetBIOS y otro para el nombre de dominio completo, como se indica en los ejemplos siguientes.

Haga lo siguiente Ejemplos y más información

Registre un SPN para el nombre de host NetBIOS.

Setspn -s http/nbname01 contoso\mbamapppooluser

El nombre de host NetBIOS es nbname01 y la cuenta de dominio que se usa para el grupo de aplicaciones web es contoso\mbamapppooluser.

Registre un SPN para el nombre de dominio completo.

Setspn –s http/nbname01.corp.contoso.com contoso\mbamapppooluser

El nombre de host de dominio completo es nbname01.contoso.com y la cuenta de dominio que se usa para el grupo de aplicaciones web es contoso\mbamapppooluser.

Configure la delegación restringida para los SPN que está registrando para la cuenta del grupo de aplicaciones.

Configuración de la delegación restringida

Este requisito solo se aplica a MBAM 2.5; no es necesario en MBAM 2.5 SP1.

Registro de SPN cuando se usa un nombre de host virtual

Si configura MBAM con un nombre de host virtual que es un nombre de dominio completo, registre solo un SPN para el nombre de host virtual. Si el nombre de host virtual que configura no es un nombre de dominio completo, debe crear un segundo SPN que especifique el nombre de dominio completo, como se describe en los ejemplos siguientes.

Haga lo siguiente Ejemplos y más información

Si el nombre de host virtual es un nombre de dominio completo, como en este ejemplo, registre solo un SPN.

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

En el ejemplo, el nombre de host virtual es mbamvirtual.contoso.com y la cuenta de dominio que se usa para el grupo de aplicaciones web es contoso\mbamapppooluser.

Registre este SPN adicional si el nombre de host virtual no es un nombre de dominio completo.

Setspn -s http/mbamvirtual contoso\mbamapppooluser

En el ejemplo, el nombre de host virtual es mbamvirtual y la cuenta de dominio que se usa para el grupo de aplicaciones web es contoso\mbamapppooluser.

Registre este SPN adicional si el nombre de host virtual no es un nombre de dominio completo.

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

En el ejemplo, el nombre de host virtual es mbamvirtual.contoso.com y la cuenta de dominio que se usa para el grupo de aplicaciones web es contoso\mbamapppooluser.

En el Servidor de nombres de dominio (DNS), cree un “registro A” para el nombre de host personalizado y diríjalo a un servidor web o un equilibrador de carga.

Consulte la sección “Para configurar los registros de host DNS A” en Configurar registros de host DNS.

Se recomienda usar registros A en lugar de CNAMES. Si usa CNAMES para indicar la dirección del dominio, también debe registrar SPN para el nombre del servidor web en la cuenta del grupo de aplicaciones.

Configure la delegación restringida para los SPN que está registrando para la cuenta del grupo de aplicaciones.

Configuración de la delegación restringida

Este requisito solo se aplica a MBAM 2.5; no es necesario en MBAM 2.5 SP1.

Registro de un SPN al actualizar desde versiones anteriores de MBAM

Realice los pasos de esta sección solo si desea:

  • Actualizar desde una versión anterior de MBAM.

  • Ejecutar los sitios web de MBAM 2.5 en una configuración con equilibrio de carga o distribuida y, en la actualidad, utiliza una configuración sin equilibrio de carga.

Si ya ha registrado SPN en la cuenta del equipo y no en una cuenta del grupo de aplicaciones, MBAM usa los SPN existentes, y los sitios web no se pueden configurar en una configuración con equilibrio de carga o distribuida.

Haga lo siguiente Ejemplos y más información

Cree una cuenta del grupo de aplicaciones en Servicios de dominio de Active Directory (AD DS).

Desinstale los sitios web y los servicios web que estén instalados.

Quitar software o características de servidor de MBAM

Quite los SPN de la cuenta del equipo.

Setspn –d http/mbamwebserver mbamwebserver

Setspn –d http/mbamwebserver.contoso.com mbamwebserver

Registre SPN en la cuenta del grupo de aplicaciones

Realice estos pasos para el Registro de SPN cuando se usa un nombre de host virtual.

Vuelva a configurar las aplicaciones y los servicios web.

Configuración de las aplicaciones web de MBAM 2.5

Realice uno de los procedimientos siguientes, según el método de configuración que utilice:

 

Método Detalles

Asistente para la configuración del servidor de MBAM

Especifique la cuenta del grupo de aplicaciones en el campo Cuenta de dominio del grupo de aplicaciones del servicio web.

Cmdlet Enable-MbamWebApplication de Windows PowerShell

Especifique la cuenta en el parámetro WebServiceApplicationPoolCredential.
ImportantImportante
El nombre de host que especifique debe ser el nombre del host virtual para el que está creando los SPN. Además, en la granja de servidores web, los nombres de host y las credenciales del grupo de aplicación deben ser iguales en todos los servidores que configure.

Cuando MBAM configura las aplicaciones web, tratará de registrar los SPN automáticamente, pero solo puede hacerlo si usted dispone de derechos de administrador de dominio en el servidor en el que está instalando MBAM. Si no dispone de estos derechos, puede finalizar la configuración, pero tendrá que definir los SPN después de configurar MBAM.

¿Tiene alguna sugerencia sobre MBAM?

Agregue o vote sugerencias aquí. Para problemas de MBAM, use el foro de TechNet de MBAM.

Véase también

Otros recursos

Preparación del entorno para MBAM 2.5
Requisitos previos de implementación de MBAM 2.5