Planification de la sécurisation des sites web MBAM
Mis à jour: mai 2014
S'applique à: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
Cette rubrique décrit les méthodes de sécurisation du site web d'administration et de surveillance et du portail libre-service Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 suivantes :
Méthode | Obligatoire ou facultatif ? |
---|---|
Utilisation de certificats pour sécuriser les sites web MBAM |
Facultatif, mais fortement recommandé |
Inscription des noms de principal du service (SPN) pour le compte du pool d'applications |
Obligatoire |
Pour plus d'informations sur la sécurisation de votre déploiement MBAM, consultez Considérations relatives à la sécurité pour MBAM 2.5.
Utilisation de certificats pour sécuriser les sites web MBAM
Il est recommandé d'utiliser un certificat pour sécuriser les communications entre :
le client MBAM et les services web
le navigateur, le site web d'administration et de surveillance et les sites web du portail libre-service
Pour plus d'informations sur la demande et l'installation d'un certificat, consultez Configuration des certificats de serveur Internet.
Notes
Vous pouvez configurer les sites web et les services web sur des serveurs différents uniquement si vous utilisez Windows PowerShell. Si vous utilisez l'Assistant Configuration du serveur MBAM pour configurer les sites web, vous devez configurer les sites web et les services web sur le même serveur.
Pour sécuriser les communications entre les services web et les bases de données, il est également recommandé de forcer le chiffrement dans SQL Server. Pour plus d'informations sur la sécurisation de toutes les connexions à SQL Server, notamment les communications entre les services web et SQL Server, consultez Secure connections to SQL Server.
Inscription des noms de principal du service (SPN) pour le compte du pool d'applications
Pour permettre aux serveurs MBAM d'authentifier les communications provenant du site web d'administration et de surveillance et du portail libre-service, vous devez inscrire un nom de principal du service (SPN) pour le nom d'hôte sous le compte de domaine que vous utilisez pour le pool d'applications web.
Cette rubrique contient des instructions sur l'inscription des noms de principal du service (SPN) pour les types de noms d'hôtes suivants :
Nom de domaine complet
Nom NetBIOS
Nom de virtuel
Avant de créer des noms de principal du service (SPN) pour une installation de MBAM initiale
Passez en revue les informations contenues dans le tableau suivant avant de commencer à créer des noms de principal du service.
Tâche ou élément | Plus d'informations |
---|---|
Créez un compte de service dans les services de domaine Active Directory (AD DS). |
Le compte de service est un compte d'utilisateur que vous créez dans AD DS pour garantir la sécurité des sites web MBAM. Les sites web MBAM s'exécutent sous un pool d'applications, dont l'identité est le nom du compte de service. Les noms de principal du service (SPN) sont alors inscrits dans le compte du pool d'applications. Notes Vous devez utiliser le même compte du pool d'applications pour tous les serveurs web. |
Vérifiez que les droits nécessaires ont été octroyés au compte de groupe IIS-IUSRS ou au compte du pool d'applications. |
Pour le vérifier, procédez comme suit :
|
Si vous configurez les sites web MBAM en utilisant un compte administratif de domaine, MBAM créera automatiquement les noms de principal du service (SPN). |
Si vous configurez les sites web MBAM en utilisant un compte administratif de domaine, suivez la procédure indiquée dans cette rubrique pour inscrire les noms de principal du service manuellement pour le type de nom d'hôte que vous utilisez. |
Inscription des noms de principal du service (SPN) lorsque vous utilisez un nom d'hôte de domaine complet
Si vous utilisez un nom d'hôte de domaine complet lorsque vous configurez MBAM, vous devez inscrire un seul nom de principal du service (SPN), comme indiqué dans l'exemple suivant.
Opérations à effectuer | Exemples et informations complémentaires |
---|---|
Inscrire un nom de principal du service (SPN) pour le nom de domaine complet. |
Le nom d'hôte complet est mybitlockerrecovery.contoso.com, et le compte de domaine utilisé pour le pool d'applications web est contoso\mbamapppooluser. |
Configurer la délégation contrainte pour le nom de principal du service que vous inscrivez pour le compte du pool d'applications. |
Configuration de la délégation contrainte Cette exigence s'applique uniquement à MBAM 2.5 ; elle ne concerne pas MBAM 2.5 SP1. |
Inscription des noms de principal du service (SPN) lorsque vous utilisez un nom d'hôte NetBIOS
Si vous utilisez un nom d'hôte NetBIOS lorsque vous configurez MBAM, inscrivez un nom de principal du service pour le nom NetBIOS, et un autre nom de principal du service pour le nom de domaine complet, comme indiqué dans les exemples suivants.
Opérations à effectuer | Exemples et informations complémentaires |
---|---|
Inscrire un nom de principal du service (SPN) pour le nom d'hôte NetBIOS. |
Le nom d'hôte NetBIOS est nbname01, et le compte de domaine utilisé pour le pool d'applications web est contoso\mbamapppooluser. |
Inscrire un nom de principal du service (SPN) pour le nom de domaine complet. |
Le nom de domaine complet est nbname01.contoso.com, et le compte de domaine utilisé pour le pool d'applications web est contoso\mbamapppooluser. |
Configurer la délégation contrainte pour les noms de principal du service que vous inscrivez pour le compte du pool d'applications. |
Configuration de la délégation contrainte Cette exigence s'applique uniquement à MBAM 2.5 ; elle ne concerne pas MBAM 2.5 SP1. |
Inscription des noms de principal du service (SPN) lorsque vous utilisez un nom d'hôte virtuel
Si vous configurez MBAM avec un nom d'hôte virtuel qui est un nom de domaine complet, inscrivez un seul nom de principal du service pour le nom d'hôte virtuel. Si le nom d'hôte virtuel que vous configurez n'est pas un nom de domaine complet, vous devez créer un deuxième nom de principal du service qui spécifie le nom de domaine complet, comme indiqué dans les exemples suivants.
Opérations à effectuer | Exemples et informations complémentaires |
---|---|
Si votre nom d'hôte virtuel est un nom de domaine complet, comme dans cet exemple, inscrivez un seul nom de principal du service. |
Dans l'exemple, le nom d'hôte virtuel est mbamvirtual.contoso.com, et le compte de domaine utilisé pour le pool d'applications web est contoso\mbamapppooluser. |
Inscrivez ce nom de principal du service supplémentaire si votre nom d'hôte virtuel n'est pas un nom de domaine complet. |
Dans l'exemple, le nom d'hôte virtuel est mbamvirtua, et le compte de domaine utilisé pour le pool d'applications web est contoso\mbamapppooluser. |
Inscrivez ce nom de principal du service supplémentaire si votre nom d'hôte virtuel n'est pas un nom de domaine complet. |
Dans l'exemple, le nom d'hôte virtuel est mbamvirtual.contoso.com, et le compte de domaine utilisé pour le pool d'applications web est contoso\mbamapppooluser. |
Sur le serveur DNS (Domain Name Server), créez un « Enregistrement A » pour le nom d'hôte personnalisé et faites-le pointer vers un serveur web ou un équilibrage de charge. |
Voir la section « Pour configurer des enregistrements d'hôte DNS (A) » dans la rubrique Configurer les enregistrements DNS hébergés. Il est conseillé d'utiliser des enregistrements A records plutôt que des enregistrements CNAMES. Si vous utilisez des enregistrements CNAMES pour pointer vers l'adresse du domaine, vous devez également inscrire des noms de principal du service (SPN) pour le nom de serveur web dans le compte du pool d'applications. |
Configurer la délégation contrainte pour les noms de principal du service que vous inscrivez pour le compte du pool d'applications. |
Configuration de la délégation contrainte Cette exigence s'applique uniquement à MBAM 2.5 ; elle ne concerne pas MBAM 2.5 SP1. |
Inscription d'un nom de principal du service (SPN) lorsque vous effectuez une mise à niveau à partir de versions antérieures de MBAM
Suivez les étapes de cette section uniquement si vous voulez :
effectuer une mise à niveau à partir d'une précédente version de MBAM ;
exécuter des sites web dans MBAM 2.5 dans une configuration distribuée ou à charge équilibrée, alors que l'exécution s'effectue actuellement dans une configuration qui n'est pas à charge équilibrée.
Si vous avez déjà inscrit des noms de principal du service (SPN) sur le compte d'ordinateur plutôt que dans un compte du pool d'applications, MBAM utilise les noms de principal du service existant. Dans ce cas, vous ne pouvez pas configurer les sites web dans une configuration distribuée ou à charge équilibrée.
Opérations à effectuer | Exemples et informations complémentaires | ||||||||
---|---|---|---|---|---|---|---|---|---|
Créez un compte du pool d'applications dans les services de domaine Active Directory (AD DS). |
|||||||||
Supprimez les sites web et services web actuellement installés. |
|||||||||
Supprimez les noms de principal du service (SPN) du compte d'ordinateur. |
|
||||||||
Inscription des noms de principal du service (SPN) dans le compte du pool d'applications |
Suivez les étapes indiquées pour l'Inscription des noms de principal du service (SPN) lorsque vous utilisez un nom d'hôte virtuel. |
||||||||
Reconfigurez les applications web et les services web. |
|||||||||
Effectuez l'une des opérations suivantes, en fonction de la méthode utilisée pour la configuration :
|
Lorsque MBAM configurera les applications web, il tentera d'inscrire automatiquement les noms de principal du service (SPN), mais ce n'est possible que si vous disposez de droits d'administrateur de domaine sur le serveur sur lequel vous installez MBAM. Si vous ne disposez pas de ces droits, vous pouvez effectuer la configuration, mais vous devrez définir les noms de principal du service avant et après avoir configuré MBAM. |
Vous avez une suggestion pour MBAM ?
Ajoutez des suggestions ou votez pour les meilleures ici. Pour les problèmes relatifs à MBAM, utilisez le Forum TechNet MBAM.
Voir aussi
Autres ressources
Préparation de votre environnement pour MBAM 2.5
Conditions préalables au déploiement de MBAM 2.5