Planejar como proteger os sites da Web do MBAM
Aplica-se a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
Este tópico descreve os métodos seguintes de como proteger o Site da Web de Administração e Monitoramento do Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 e o Portal de Autoatendimento:
Método | Obrigatório ou opcional? |
---|---|
Usar os certificados para proteger os websites do MBAM |
Opcional, mas altamente recomendado |
Registrar os Nomes de Entidades de Serviços (SPN) para as contas do pool de aplicativos |
Obrigatório |
Para obter mais informações sobre como proteger a implantação do seu MBAM, consulte Considerações de Segurança do MBAM 2.5.
Usar os certificados para proteger os websites do MBAM
Recomendamos que use um certificado para proteger a comunicação entre o:
Cliente e os serviços web do MBAM
Navegador e o Website de Administração e Monitoramento e os Websites do Portal de Autoatendimento
Para obter mais sobre a solicitação e a instalação de um certificado, consulte Configuração dos Certificados de Servidor para a Internet.
Dica
Você pode configurar os websites e os serviços web em diferentes servidores apenas se você estiver usando o Windows PowerShell. Se você usar o assistente de Configuração do Servidor do MBAM para configurar os websites, você deve configurar os websites e os serviços web no mesmo servidor.
Para proteger a comunicação entre os serviços web e os banco de dados, recomendamos que você force a criptografia no SQL Server. Para obter mais informações sobre a proteção de todas as conexões do SQL Server, incluindo a comunicação entre os serviços web e o SQL Server, consulte Secure connections to SQL Server.
Registrar nomes de entidades de serviço (SPN) nas contas de pool de aplicativos
Para habilitar os sevidores do MBAM a autenticar a comunicação do Website de Administração e Monitoramento e o Portal de Autoatendimento, você deve registrar um nome de entidade de serviço (SPN) para o nome do host sob a conta de domínio que está sendo usada para o pool de aplicativos web.
Este tópico contém instruções de como registrar os nomes de entidades de serviço (SPN) para os seguintes tipos de nomes de host:
Nome de domínio totalmente qualificado
Nome NetBIOS
Nome virtual
Antes de criar nomes de entidades de serviço (SPN) para uma instalação inicial do MBAM
Consulte as informações na tabela a seguir antes de criar nomes de entidades de serviços (SPN).
Tarefa ou item | Mais informações |
---|---|
Criar uma conta de serviço no Serviço de Domínio Active Directory (AD DS). |
A conta de serviço é uma conta de usuário que você cria em AD DS para dar segurança para os websites do MBAM. Os websites do MBAM são executados sob um pool de aplicativos cuja identidade é o nome da conta de serviço. Os SPN são registrados na conta de pool de aplicativos. Dica Você deve usar a mesma conta de pool de aplicativo para todos os servidores web. |
Verifique se a conta de grupo IIS-IUSRS ou a conta de pool de aplicativos concedeu os direitos necessários. |
Para verificar isso, siga os seguintes passos:
|
Se você configirar os websites do MBAM usando a conta de administrador de domínio, oMBAM criará os nomes de entidade de serviço para você. |
Se você configirar os websites do MBAM usando a conta de administrador de domínio, siga os passos neste tópico para registrar os SPNs manualmente para o tipo de nome de host que está usando. |
Regitrar os SPNs quando você usa um nome de host totalmente qualificado
Se você usar um nome de host totalmente qualificado ao configurar o MBAM, você deve registrar apenas um SPN, como indicado no exemplo a seguir.
O que você deve fazer | Exemplos e mais informações |
---|---|
Registrar um SPN para o nome de domínio totalmente qualificado. |
O nome do host totalmente qualificado é mybitlockerrecovery.contoso.com e a conta de domínio usada para o pool de aplicativos é contoso\mbamapppooluser. |
Configure uma delegação restrita para o SPN que você está registrando para a conta de pool de aplicativos. |
Configurar uma delegação restrita Este requisito se aplica somente ao MBAM 2.5; ele não é necessário no MBAM 2.5 SP1. |
Registrar os SPNs quando você usa o nome de host NetBIOS
Se você usar um nome de host NetBIOS ao configurar o MBAM, registre um SPN para o nome NetBIOS e um outro SPN para um nome de domínio totalmente qualificado, como indicado nos exemplos a seguir.
O que você deve fazer | Exemplos e mais informações |
---|---|
Registrar um SPN para o nome de host NetBIOS. |
O nome de host NetBIOS é nbname01 e a conta domínio usada para o pool de aplicativos web écontoso\mbamapppooluser. |
Registrar um SPN para o nome de domínio totalmente qualificado. |
O nome do host totalmente qualificado é nbname01.contoso.com e a conta de domínio usada para o pool de aplicativos é contoso\mbamapppooluser. |
Configure uma delegação restrita para os SPNs que você está registrando para a conta de pool de aplicativos. |
Configurar uma delegação restrita Este requisito se aplica somente ao MBAM 2.5; ele não é necessário no MBAM 2.5 SP1. |
Registrar os SPNs quando você usa o nome de host virtual
Se você configurar o MBAM com um nome de host virtual que é um nome de domínio totalmente qualificado, registre apenas um SPN para o nome de host virtual. Se o nome de host virtual que você configurar não for um nome de domínio totalmente qualificado, você deve criar um segundo SPN que especifica um nome de domínio totalmente qualificado, como descrito nos exemplos a seguir.
O que você deve fazer | Exemplos e mais informações |
---|---|
Se o seu host virtual for um nome de domínio totalmente qualificado, como neste exemplo, registre apenas um SPN. |
No exemplo, o nome de host virtual mbamvirtual.contoso.com e a conta de domínio usada para o pool de aplicativos web écontoso\mbamapppooluser. |
Registre esse SPN adicional se o seu nome de host virtual não for um nome de domínio totalmente qualificado. |
No exemplo, o nome de host virtualmbamvirtual e a conta de domínio usada para o pool de aplicativos web é contoso\mbamapppooluser. |
Registre esse SPN adicional se o seu nome de host virtual não for um nome de domínio totalmente qualificado. |
No exemplo, o nome de host virtual mbamvirtual.contoso.com e a conta de domínio usada para o pool de aplicativos web écontoso\mbamapppooluser. |
No Servidor de Nome de Domínio (DNS), crie um “Registro” para o nome de host personalizado e aponte para o servidor web ou para um balanceador de carga. |
Consulte a seção “Para configurar um Registro de Um Servidor de Nome de Domínio (DNS)” em Configurar Registros de DNS. Recomendamos que use um registro em vez de CNAMES. Se você usa CNAMES para apontar para o endereço de domínio, você deve também registrar os SPNs para o nome do servidor web na conta de pool de aplicativos. |
Configure uma delegação restrita para os SPNs que você está registrando para a conta de pool de aplicativos. |
Configurar uma delegação restrita Este requisito se aplica somente ao MBAM 2.5; ele não é necessário no MBAM 2.5 SP1. |
Registrar um SPN ao atualizar o MBAMde versões anteriores
Complete os passos nesta seção se você quer:
Atualizar o MBAM de versões anteriores.
Executar os websites do MBAM em 2.5 em uma configuração de carga balanceada ou distribuida e você está atualmente executando em uma configuração que não é de carga balanceada.
Se você já registrou os SPNs na conta de máquina em vez de em uma conta de pool de aplicativos, o MBAM usa os SPNs atuais e você não pode configurar os websites em uma configuração de carga balanceada nem distribuida.
O que você deve fazer | Exemplos e mais informações | ||||||||
---|---|---|---|---|---|---|---|---|---|
Crie uma conta de pool de aplicativos no Serviço de Domínio Active Directory (AD DS). |
|||||||||
Remova os websites e serviços web atualmente instalados. |
|||||||||
Remova os SPNs das contas da máquina. |
|
||||||||
Registre os SPNs nas contas de pool de aplicativos. |
Siga os passos para Registrar os SPNs quando você usa o nome de host virtual. |
||||||||
Reconfigure os aplicativos e serviços web. |
|||||||||
Faça um dos seguintes procedimentos, dependendo do método que você usa para a configuração:
|
Quando o MBAM configura os aplicativos Web, ele tenta registrar os SPNs para você, mas isso só pode ser feito se você tiver os direitos de administrador do domínio no servidor em que você está instalando o MBAM. Se você não tiver esses direitos, pode concluir a configuração, mas terá que definir os SPNs antes ou depois de configurar o MBAM. |
Você tem uma sugestão para o MBAM?
Adicione ou vote em sugestões aqui. Para problemas com o MBAM, utilize o Fórum MBAM TechNet.
Consulte também
Outros recursos
Preparando seu ambiente para o MBAM 2.5
Pré-requisitos para implantação do MBAM 2.5