Share via

Planejar como proteger os sites da Web do MBAM

  • Artigo

Aplica-se a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Este tópico descreve os métodos seguintes de como proteger o Site da Web de Administração e Monitoramento do Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 e o Portal de Autoatendimento:

Método Obrigatório ou opcional?

Usar os certificados para proteger os websites do MBAM

Opcional, mas altamente recomendado

Registrar os Nomes de Entidades de Serviços (SPN) para as contas do pool de aplicativos

Obrigatório

Para obter mais informações sobre como proteger a implantação do seu MBAM, consulte Considerações de Segurança do MBAM 2.5.

Usar os certificados para proteger os websites do MBAM

Recomendamos que use um certificado para proteger a comunicação entre o:

  • Cliente e os serviços web do MBAM

  • Navegador e o Website de Administração e Monitoramento e os Websites do Portal de Autoatendimento

Para obter mais sobre a solicitação e a instalação de um certificado, consulte Configuração dos Certificados de Servidor para a Internet.

Dica

Você pode configurar os websites e os serviços web em diferentes servidores apenas se você estiver usando o Windows PowerShell. Se você usar o assistente de Configuração do Servidor do MBAM para configurar os websites, você deve configurar os websites e os serviços web no mesmo servidor.

Para proteger a comunicação entre os serviços web e os banco de dados, recomendamos que você force a criptografia no SQL Server. Para obter mais informações sobre a proteção de todas as conexões do SQL Server, incluindo a comunicação entre os serviços web e o SQL Server, consulte Secure connections to SQL Server.

Registrar nomes de entidades de serviço (SPN) nas contas de pool de aplicativos

Para habilitar os sevidores do MBAM a autenticar a comunicação do Website de Administração e Monitoramento e o Portal de Autoatendimento, você deve registrar um nome de entidade de serviço (SPN) para o nome do host sob a conta de domínio que está sendo usada para o pool de aplicativos web.

Este tópico contém instruções de como registrar os nomes de entidades de serviço (SPN) para os seguintes tipos de nomes de host:

  • Nome de domínio totalmente qualificado

  • Nome NetBIOS

  • Nome virtual

Antes de criar nomes de entidades de serviço (SPN) para uma instalação inicial do MBAM

Consulte as informações na tabela a seguir antes de criar nomes de entidades de serviços (SPN).

Tarefa ou item Mais informações

Criar uma conta de serviço no Serviço de Domínio Active Directory (AD DS).

A conta de serviço é uma conta de usuário que você cria em AD DS para dar segurança para os websites do MBAM. Os websites do MBAM são executados sob um pool de aplicativos cuja identidade é o nome da conta de serviço. Os SPN são registrados na conta de pool de aplicativos.

Dica

Você deve usar a mesma conta de pool de aplicativo para todos os servidores web.

Verifique se a conta de grupo IIS-IUSRS ou a conta de pool de aplicativos concedeu os direitos necessários.

Para verificar isso, siga os seguintes passos:

  1. Abra o Editor de Política de Segurança Local e expanda os nós de Políticas Locais.

  2. Selecione o nó de Atribuição de Direitos de Usuárioe clique duas vezes em Representar um cliente após autenticação e Registrar como trabalho em lotes no painel direito das configurações do Painel de Controle.

Se você configirar os websites do MBAM usando a conta de administrador de domínio, oMBAM criará os nomes de entidade de serviço para você.

Se você configirar os websites do MBAM usando a conta de administrador de domínio, siga os passos neste tópico para registrar os SPNs manualmente para o tipo de nome de host que está usando.

Regitrar os SPNs quando você usa um nome de host totalmente qualificado

Se você usar um nome de host totalmente qualificado ao configurar o MBAM, você deve registrar apenas um SPN, como indicado no exemplo a seguir.

O que você deve fazer Exemplos e mais informações

Registrar um SPN para o nome de domínio totalmente qualificado.

Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser

O nome do host totalmente qualificado é mybitlockerrecovery.contoso.com e a conta de domínio usada para o pool de aplicativos é contoso\mbamapppooluser.

Configure uma delegação restrita para o SPN que você está registrando para a conta de pool de aplicativos.

Configurar uma delegação restrita

Este requisito se aplica somente ao MBAM 2.5; ele não é necessário no MBAM 2.5 SP1.

Registrar os SPNs quando você usa o nome de host NetBIOS

Se você usar um nome de host NetBIOS ao configurar o MBAM, registre um SPN para o nome NetBIOS e um outro SPN para um nome de domínio totalmente qualificado, como indicado nos exemplos a seguir.

O que você deve fazer Exemplos e mais informações

Registrar um SPN para o nome de host NetBIOS.

Setspn -s http/nbname01 contoso\mbamapppooluser

O nome de host NetBIOS é nbname01 e a conta domínio usada para o pool de aplicativos web écontoso\mbamapppooluser.

Registrar um SPN para o nome de domínio totalmente qualificado.

Setspn –s http/nbname01.corp.contoso.com contoso\mbamapppooluser

O nome do host totalmente qualificado é nbname01.contoso.com e a conta de domínio usada para o pool de aplicativos é contoso\mbamapppooluser.

Configure uma delegação restrita para os SPNs que você está registrando para a conta de pool de aplicativos.

Configurar uma delegação restrita

Este requisito se aplica somente ao MBAM 2.5; ele não é necessário no MBAM 2.5 SP1.

Registrar os SPNs quando você usa o nome de host virtual

Se você configurar o MBAM com um nome de host virtual que é um nome de domínio totalmente qualificado, registre apenas um SPN para o nome de host virtual. Se o nome de host virtual que você configurar não for um nome de domínio totalmente qualificado, você deve criar um segundo SPN que especifica um nome de domínio totalmente qualificado, como descrito nos exemplos a seguir.

O que você deve fazer Exemplos e mais informações

Se o seu host virtual for um nome de domínio totalmente qualificado, como neste exemplo, registre apenas um SPN.

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

No exemplo, o nome de host virtual mbamvirtual.contoso.com e a conta de domínio usada para o pool de aplicativos web écontoso\mbamapppooluser.

Registre esse SPN adicional se o seu nome de host virtual não for um nome de domínio totalmente qualificado.

Setspn -s http/mbamvirtual contoso\mbamapppooluser

No exemplo, o nome de host virtualmbamvirtual e a conta de domínio usada para o pool de aplicativos web é contoso\mbamapppooluser.

Registre esse SPN adicional se o seu nome de host virtual não for um nome de domínio totalmente qualificado.

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

No exemplo, o nome de host virtual mbamvirtual.contoso.com e a conta de domínio usada para o pool de aplicativos web écontoso\mbamapppooluser.

No Servidor de Nome de Domínio (DNS), crie um “Registro” para o nome de host personalizado e aponte para o servidor web ou para um balanceador de carga.

Consulte a seção “Para configurar um Registro de Um Servidor de Nome de Domínio (DNS)” em Configurar Registros de DNS.

Recomendamos que use um registro em vez de CNAMES. Se você usa CNAMES para apontar para o endereço de domínio, você deve também registrar os SPNs para o nome do servidor web na conta de pool de aplicativos.

Configure uma delegação restrita para os SPNs que você está registrando para a conta de pool de aplicativos.

Configurar uma delegação restrita

Este requisito se aplica somente ao MBAM 2.5; ele não é necessário no MBAM 2.5 SP1.

Registrar um SPN ao atualizar o MBAMde versões anteriores

Complete os passos nesta seção se você quer:

  • Atualizar o MBAM de versões anteriores.

  • Executar os websites do MBAM em 2.5 em uma configuração de carga balanceada ou distribuida e você está atualmente executando em uma configuração que não é de carga balanceada.

Se você já registrou os SPNs na conta de máquina em vez de em uma conta de pool de aplicativos, o MBAM usa os SPNs atuais e você não pode configurar os websites em uma configuração de carga balanceada nem distribuida.

O que você deve fazer Exemplos e mais informações

Crie uma conta de pool de aplicativos no Serviço de Domínio Active Directory (AD DS).

Remova os websites e serviços web atualmente instalados.

Remover os recursos ou o software do servidor MBAM

Remova os SPNs das contas da máquina.

Setspn –d http/mbamwebserver mbamwebserver

Setspn –d http/mbamwebserver.contoso.com mbamwebserver

Registre os SPNs nas contas de pool de aplicativos.

Siga os passos para Registrar os SPNs quando você usa o nome de host virtual.

Reconfigure os aplicativos e serviços web.

Como configurar os aplicativos da Web do MBAM 2.5

Faça um dos seguintes procedimentos, dependendo do método que você usa para a configuração:

 

Método Detalhes

Assistente de Configuração do Servidor do MBAM

Insira a conta de pool de aplicativo no campo Conta de domínio do pool do aplicativo do serviço da Web.

Enable-MbamWebApplication cmdlet do Windows PowerShell

Insira a conta no parâmetro WebServiceApplicationPoolCredential.
ImportantImportante
O nome de host que você inseriu deve ser o mesmo que o nome de host virtual para o qual você está criando os SPNs. Também, em sua web farm, os nomes de host e de credenciais de pool de aplicativos devem ser os mesmos em todos os servidores que você configurar.

Quando o MBAM configura os aplicativos Web, ele tenta registrar os SPNs para você, mas isso só pode ser feito se você tiver os direitos de administrador do domínio no servidor em que você está instalando o MBAM. Se você não tiver esses direitos, pode concluir a configuração, mas terá que definir os SPNs antes ou depois de configurar o MBAM.

Você tem uma sugestão para o MBAM?

Adicione ou vote em sugestões aqui. Para problemas com o MBAM, utilize o Fórum MBAM TechNet.

Consulte também

Outros recursos

Preparando seu ambiente para o MBAM 2.5
Pré-requisitos para implantação do MBAM 2.5