Planification de la sécurisation des sites web MBAM

  • Article

Mis à jour: mai 2014

S'applique à: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Cette rubrique décrit les méthodes de sécurisation du site web d'administration et de surveillance et du portail libre-service Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 suivantes :

Méthode Obligatoire ou facultatif ?

Utilisation de certificats pour sécuriser les sites web MBAM

Facultatif, mais fortement recommandé

Inscription des noms de principal du service (SPN) pour le compte du pool d'applications

Obligatoire

Pour plus d'informations sur la sécurisation de votre déploiement MBAM, consultez Considérations relatives à la sécurité pour MBAM 2.5.

Utilisation de certificats pour sécuriser les sites web MBAM

Il est recommandé d'utiliser un certificat pour sécuriser les communications entre :

  • le client MBAM et les services web

  • le navigateur, le site web d'administration et de surveillance et les sites web du portail libre-service

Pour plus d'informations sur la demande et l'installation d'un certificat, consultez Configuration des certificats de serveur Internet.

Notes

Vous pouvez configurer les sites web et les services web sur des serveurs différents uniquement si vous utilisez Windows PowerShell. Si vous utilisez l'Assistant Configuration du serveur MBAM pour configurer les sites web, vous devez configurer les sites web et les services web sur le même serveur.

Pour sécuriser les communications entre les services web et les bases de données, il est également recommandé de forcer le chiffrement dans SQL Server. Pour plus d'informations sur la sécurisation de toutes les connexions à SQL Server, notamment les communications entre les services web et SQL Server, consultez Secure connections to SQL Server.

Inscription des noms de principal du service (SPN) pour le compte du pool d'applications

Pour permettre aux serveurs MBAM d'authentifier les communications provenant du site web d'administration et de surveillance et du portail libre-service, vous devez inscrire un nom de principal du service (SPN) pour le nom d'hôte sous le compte de domaine que vous utilisez pour le pool d'applications web.

Cette rubrique contient des instructions sur l'inscription des noms de principal du service (SPN) pour les types de noms d'hôtes suivants :

  • Nom de domaine complet

  • Nom NetBIOS

  • Nom de virtuel

Avant de créer des noms de principal du service (SPN) pour une installation de MBAM initiale

Passez en revue les informations contenues dans le tableau suivant avant de commencer à créer des noms de principal du service.

Tâche ou élément Plus d'informations

Créez un compte de service dans les services de domaine Active Directory (AD DS).

Le compte de service est un compte d'utilisateur que vous créez dans AD DS pour garantir la sécurité des sites web MBAM. Les sites web MBAM s'exécutent sous un pool d'applications, dont l'identité est le nom du compte de service. Les noms de principal du service (SPN) sont alors inscrits dans le compte du pool d'applications.

Notes

Vous devez utiliser le même compte du pool d'applications pour tous les serveurs web.

Vérifiez que les droits nécessaires ont été octroyés au compte de groupe IIS-IUSRS ou au compte du pool d'applications.

Pour le vérifier, procédez comme suit :

  1. Ouvrez l'éditeur de stratégie de sécurité locale, puis développez le nœud Stratégies locales.

  2. Sélectionnez le nœud Attribution des droits utilisateur, puis double-cliquez sur les paramètres de stratégie de groupe Emprunter l'identité d'un client après l'authentification et Ouvrir une session en tant que tâche dans le volet droit.

Si vous configurez les sites web MBAM en utilisant un compte administratif de domaine, MBAM créera automatiquement les noms de principal du service (SPN).

Si vous configurez les sites web MBAM en utilisant un compte administratif de domaine, suivez la procédure indiquée dans cette rubrique pour inscrire les noms de principal du service manuellement pour le type de nom d'hôte que vous utilisez.

Inscription des noms de principal du service (SPN) lorsque vous utilisez un nom d'hôte de domaine complet

Si vous utilisez un nom d'hôte de domaine complet lorsque vous configurez MBAM, vous devez inscrire un seul nom de principal du service (SPN), comme indiqué dans l'exemple suivant.

Opérations à effectuer Exemples et informations complémentaires

Inscrire un nom de principal du service (SPN) pour le nom de domaine complet.

Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser

Le nom d'hôte complet est mybitlockerrecovery.contoso.com, et le compte de domaine utilisé pour le pool d'applications web est contoso\mbamapppooluser.

Configurer la délégation contrainte pour le nom de principal du service que vous inscrivez pour le compte du pool d'applications.

Configuration de la délégation contrainte

Cette exigence s'applique uniquement à MBAM 2.5 ; elle ne concerne pas MBAM 2.5 SP1.

Inscription des noms de principal du service (SPN) lorsque vous utilisez un nom d'hôte NetBIOS

Si vous utilisez un nom d'hôte NetBIOS lorsque vous configurez MBAM, inscrivez un nom de principal du service pour le nom NetBIOS, et un autre nom de principal du service pour le nom de domaine complet, comme indiqué dans les exemples suivants.

Opérations à effectuer Exemples et informations complémentaires

Inscrire un nom de principal du service (SPN) pour le nom d'hôte NetBIOS.

Setspn -s http/nbname01 contoso\mbamapppooluser

Le nom d'hôte NetBIOS est nbname01, et le compte de domaine utilisé pour le pool d'applications web est contoso\mbamapppooluser.

Inscrire un nom de principal du service (SPN) pour le nom de domaine complet.

Setspn –s http/nbname01.corp.contoso.com contoso\mbamapppooluser

Le nom de domaine complet est nbname01.contoso.com, et le compte de domaine utilisé pour le pool d'applications web est contoso\mbamapppooluser.

Configurer la délégation contrainte pour les noms de principal du service que vous inscrivez pour le compte du pool d'applications.

Configuration de la délégation contrainte

Cette exigence s'applique uniquement à MBAM 2.5 ; elle ne concerne pas MBAM 2.5 SP1.

Inscription des noms de principal du service (SPN) lorsque vous utilisez un nom d'hôte virtuel

Si vous configurez MBAM avec un nom d'hôte virtuel qui est un nom de domaine complet, inscrivez un seul nom de principal du service pour le nom d'hôte virtuel. Si le nom d'hôte virtuel que vous configurez n'est pas un nom de domaine complet, vous devez créer un deuxième nom de principal du service qui spécifie le nom de domaine complet, comme indiqué dans les exemples suivants.

Opérations à effectuer Exemples et informations complémentaires

Si votre nom d'hôte virtuel est un nom de domaine complet, comme dans cet exemple, inscrivez un seul nom de principal du service.

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

Dans l'exemple, le nom d'hôte virtuel est mbamvirtual.contoso.com, et le compte de domaine utilisé pour le pool d'applications web est contoso\mbamapppooluser.

Inscrivez ce nom de principal du service supplémentaire si votre nom d'hôte virtuel n'est pas un nom de domaine complet.

Setspn -s http/mbamvirtual contoso\mbamapppooluser

Dans l'exemple, le nom d'hôte virtuel est mbamvirtua, et le compte de domaine utilisé pour le pool d'applications web est contoso\mbamapppooluser.

Inscrivez ce nom de principal du service supplémentaire si votre nom d'hôte virtuel n'est pas un nom de domaine complet.

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

Dans l'exemple, le nom d'hôte virtuel est mbamvirtual.contoso.com, et le compte de domaine utilisé pour le pool d'applications web est contoso\mbamapppooluser.

Sur le serveur DNS (Domain Name Server), créez un « Enregistrement A » pour le nom d'hôte personnalisé et faites-le pointer vers un serveur web ou un équilibrage de charge.

Voir la section « Pour configurer des enregistrements d'hôte DNS (A) » dans la rubrique Configurer les enregistrements DNS hébergés.

Il est conseillé d'utiliser des enregistrements A records plutôt que des enregistrements CNAMES. Si vous utilisez des enregistrements CNAMES pour pointer vers l'adresse du domaine, vous devez également inscrire des noms de principal du service (SPN) pour le nom de serveur web dans le compte du pool d'applications.

Configurer la délégation contrainte pour les noms de principal du service que vous inscrivez pour le compte du pool d'applications.

Configuration de la délégation contrainte

Cette exigence s'applique uniquement à MBAM 2.5 ; elle ne concerne pas MBAM 2.5 SP1.

Inscription d'un nom de principal du service (SPN) lorsque vous effectuez une mise à niveau à partir de versions antérieures de MBAM

Suivez les étapes de cette section uniquement si vous voulez :

  • effectuer une mise à niveau à partir d'une précédente version de MBAM ;

  • exécuter des sites web dans MBAM 2.5 dans une configuration distribuée ou à charge équilibrée, alors que l'exécution s'effectue actuellement dans une configuration qui n'est pas à charge équilibrée.

Si vous avez déjà inscrit des noms de principal du service (SPN) sur le compte d'ordinateur plutôt que dans un compte du pool d'applications, MBAM utilise les noms de principal du service existant. Dans ce cas, vous ne pouvez pas configurer les sites web dans une configuration distribuée ou à charge équilibrée.

Opérations à effectuer Exemples et informations complémentaires

Créez un compte du pool d'applications dans les services de domaine Active Directory (AD DS).

Supprimez les sites web et services web actuellement installés.

Suppression du logiciel ou des composants serveur de MBAM

Supprimez les noms de principal du service (SPN) du compte d'ordinateur.

Setspn –d http/mbamwebserver mbamwebserver

Setspn –d http/mbamwebserver.contoso.com mbamwebserver

Inscription des noms de principal du service (SPN) dans le compte du pool d'applications

Suivez les étapes indiquées pour l'Inscription des noms de principal du service (SPN) lorsque vous utilisez un nom d'hôte virtuel.

Reconfigurez les applications web et les services web.

Comment configurer les applications Web MBAM 2.5

Effectuez l'une des opérations suivantes, en fonction de la méthode utilisée pour la configuration :

 

Méthode Détails

Assistant Configuration du serveur MBAM

Entrez le compte du pool d'applications dans le champ Compte de domaine du pool d'applications de services web.

Applet de commande Windows PowerShell Enable-MbamWebApplication

Entrez le compte dans le paramètre WebServiceApplicationPoolCredential.
ImportantImportant
Le nom d'hôte entré doit être identique au nom d'hôte virtuel pour lequel vous créez les noms de principal du service (SPN). De plus, dans votre batterie de serveurs web, les noms d'hôtes et les informations d'identification du pool d'applications doivent être identiques sur chaque serveur que vous configurez.

Lorsque MBAM configurera les applications web, il tentera d'inscrire automatiquement les noms de principal du service (SPN), mais ce n'est possible que si vous disposez de droits d'administrateur de domaine sur le serveur sur lequel vous installez MBAM. Si vous ne disposez pas de ces droits, vous pouvez effectuer la configuration, mais vous devrez définir les noms de principal du service avant et après avoir configuré MBAM.

Vous avez une suggestion pour MBAM ?

Ajoutez des suggestions ou votez pour les meilleures ici. Pour les problèmes relatifs à MBAM, utilisez le Forum TechNet MBAM.

Voir aussi

Autres ressources

Préparation de votre environnement pour MBAM 2.5
Conditions préalables au déploiement de MBAM 2.5