Необходимые условия MBAM 2.5 Server для изолированной топологии и топологии интеграции Configuration Manager

  • Статья

Назначение: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Перед началом установки Администрирование и мониторинг Microsoft BitLocker (MBAM) следует выполнить необходимые условия, указанные в данном разделе. Эти необходимые условия распространяются как на изолированную топологию MBAM, так и на топологию интеграции System Center Configuration Manager.

Если вы развертываете MBAM с использованием System Center Configuration Manager, следует выполнить дополнительные необходимые требования, указанные в разделе Необходимые условия MBAM 2.5 Server, которые применяются только к топологии интеграции Configuration Manager.

Список поддерживаемых операционных систем и оборудования для MBAM см. в разделе Поддерживаемые конфигурации MBAM 2.5.

Требуемые роли и учетные записи MBAM

Предварительное условие Сведения

Группы, созданные в доменных службах Active Directory (AD DS)

Описание этих групп и учетных записей см. в разделе Планирование для групп и учетных записей MBAM 2.5.

Необходимые условия для базы данных восстановления

Предварительное условие Сведения

Поддерживаемая версия SQL Server

Установите Microsoft SQL Server с параметрами сортировки SQL_Latin1_General_CP1_CI_AS.

Сведения о поддерживаемых версиях см. в разделе Поддерживаемые конфигурации MBAM 2.5.

Требуемые разрешения SQL Server

Требуемые разрешения:

  • Роли сервера входа экземпляра SQL Server:

    • dbcreator

    • processadmin

  • Права на экземпляр SQL Server Reporting Services:

    • Создание папок

    • Публикация отчетов

Необязательно: установите компонент прозрачного шифрования данных (TDE), доступный в SQL Server

Компонент TDE в SQL Server в режиме реального времени выполняет шифрование и расшифровку ввода-вывода файлов данных и журналов, что помогает обеспечить соответствие законам, нормам и рекомендациям, установленным для разных отраслей

Примечание

TDE выполняет расшифровку содержимого базы данных в режиме реального времени. Поэтому сведения о ключе восстановления будут видны, если при просмотре сведений о ключе восстановления в базе данных SQL Server учетная запись, от имени которой выполнен вход, имеет разрешения на работу с этой базой данных. Дополнительные сведения о TDE см. в разделе Процедуры безопасности MBAM 2.5.

Службы компонента Database Engine SQL Server

Во время установки сервера MBAM должны быть установлены и запущены службы компонента Database Engine SQL Server.

Windows PowerShell 3.0 или более поздней версии

Windows PowerShell не требуется устанавливать на сервере базы данных восстановления, если Windows PowerShell используется для настройки базы данных с удаленного компьютера.

Необходимые условия для базы данных соответствия и аудита

Предварительное условие Сведения

Поддерживаемая версия SQL Server

Установите SQL Server с параметрами сортировки SQL_Latin1_General_CP1_CI_AS.

Сведения о поддерживаемых версиях см. в разделе Поддерживаемые конфигурации MBAM 2.5.

Требуемые разрешения SQL Server

Требуемые разрешения:

  • Роли сервера входа экземпляра SQL Server:

    • dbcreator

    • processadmin

  • Права на экземпляр SQL Server Reporting Services:

    • Создание папок

    • Публикация отчетов

Необязательно: установите компонент прозрачного шифрования данных (TDE) в SQL Server

Компонент TDE в SQL Server в режиме реального времени выполняет шифрование и расшифровку ввода-вывода файлов данных и журналов, что помогает обеспечить соответствие законам, нормам и рекомендациям, установленным для разных отраслей

TDE выполняет расшифровку содержимого базы данных в режиме реального времени. Поэтому сведения о ключе восстановления будут видны, если при просмотре сведений о ключе восстановления в базе данных SQL Server учетная запись, от имени которой выполнен вход, имеет разрешения на работу с этой базой данных. Дополнительные сведения о TDE см. в разделе Процедуры безопасности MBAM 2.5.

Службы компонента Database Engine SQL Server

Во время установки сервера MBAM должны быть установлены и запущены службы компонента Database Engine SQL Server. Однако SQL Server может выполняться удаленно — он необязательно должен присутствовать на том же сервере, где вы устанавливаете программное обеспечение сервера MBAM.

Windows PowerShell 3.0 или более поздней версии

Windows PowerShell не требуется устанавливать на сервере базы данных соответствия и аудита, если Windows PowerShell используется для настройки базы данных с удаленного компьютера.

Необходимые условия для отчетов

Предварительное условие Сведения

Поддерживаемая версия SQL Server

Установите SQL Server с параметрами сортировки SQL_Latin1_General_CP1_CI_AS.

Сведения о поддерживаемых версиях см. в разделе Поддерживаемые конфигурации MBAM 2.5.

SQL Server Reporting Services (SSRS)

Во время установки сервера MBAM службы SSRS должны быть установлены и запущены.

Настройте SSRS в основном режиме, а не в режиме "не настроено" или режиме SharePoint.

Права на экземпляр SSRS — необходимы для настройки компонента "Отчеты" только в том случае, если вы устанавливаете базы данных не на том сервере, где настроен компонент "Отчеты".

Требуемые права на экземпляр:

  • Создание папок

  • Публикация отчетов

Windows PowerShell 3.0 или более поздней версии

Windows PowerShell не требуется устанавливать на этом сервере базы данных, если Windows PowerShell используется для настройки базы данных с удаленного компьютера.

Необходимые условия для сервера администрирования и мониторинга

В следующей таблице перечислены необходимые условия для установки сервера администрирования и мониторинга MBAM.

Предварительное условие Сведения

Роль веб-сервера Windows Server

Эту роль необходимо добавить в операционную систему сервера, поддерживаемую компонентом сервера администрирования и наблюдения.

Средства управления веб-сервера (IIS)

Щелкните Скрипты и средства управления IIS.

SSL-сертификат

Необязателен. Для защиты обмена данными между клиентскими компьютерами и веб-службами необходимо получить и установить сертификат, подписанный доверенным администратором безопасности.

Службы роли веб-сервера

Общие компоненты HTTP:

  • Статическое содержимое

  • Документ по умолчанию

Разработка приложений:

  • ASP.NET

  • Расширяемость .NET

  • Расширения ISAPI

  • Фильтры ISAPI

Безопасность:

  • Проверка подлинности Windows

  • Фильтрация запросов

Компоненты Windows Server

Компоненты платформы .NET Framework 4.5:

  • Платформа .NET Framework 4.5

    • Windows Server 2012 или Windows Server 2012 R2 — платформа .NET Framework 4.5 уже установлена для этих версий Windows Server, однако ее нужно включить.

    • Windows Server 2008 R2 — платформа .NET Framework 4.5 не входит в состав Windows Server 2008 R2, поэтому нужно загрузить Microsoft .NET Framework 4.5 и установить ее отдельно.

      Примечание

      Если выполняется обновление с версии MBAM 2.0 или MBAM 2.0 с пакетом обновления 1 (SP1) и требуется установить .NET Framework 4.5, обратитесь к разделу Заметки о выпуске для MBAM 2.5 с описанием обязательного дополнительного действия, позволяющего заставить веб-сайты работать.

  • Активация WCF

    • Активация по протоколам HTTP

    • Активация по отличным от HTTP протоколам



  • Активация по TCP

Служба активации Windows:

  • Модель процессов

  • Среда .NET Framework

  • API-интерфейсы конфигурации

Имя субъекта-службы (SPN)

Веб-приложениям требуется имя субъекта-службы для имени виртуального узла в учетной записи домена, которую вы используете для пулов веб-приложений.

Если права администратора позволяют создавать имена участников-служб в доменных службах Active Directory, имя участника-службы создается в MBAM автоматически. О правах, необходимых для создания имен участников-служб, см. в разделе Setspn.

Если вы не обладаете правами администратора для создания имен субъектов-служб, вам следует попросить администраторов Active Directory своей организации создать для вас такое имя субъекта-службы с помощью следующей команды.

Setspn -s http/mbamvirtual contoso\mbamapppooluser

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

В этом примере кода в качестве имени виртуальны узла используется mbamvirtual.contoso.com, а для пулов веб-приложений используется учетная запись домена contoso\mbamapppooluser.

Примечание

Если вы настраиваете балансировку нагрузки, используйте одну и ту же учетную запись пула приложений на всех серверах.

Дополнительные сведения о регистрации имен субъекта-службы для полного имени, NetBIOS-имени и пользовательского имени узла см. в разделе Планирование защиты веб-сайтов MBAM.

Необходимые условия для портала самообслуживания

Предварительное условие Сведения

Поддерживаемая версия Windows Server

Сведения о поддерживаемых версиях см. в разделе Поддерживаемые конфигурации MBAM 2.5.

ASP.NET MVC 4.0

Загрузка ASP.NET MVC 4

Средства управления IIS для веб-служб

Имя субъекта-службы (SPN)

Веб-приложениям требуется имя субъекта-службы для имени виртуального узла в учетной записи домена, которую вы используете для пулов веб-приложений.

Если права администратора позволяют создавать имена участников-служб в доменных службах Active Directory, имя участника-службы создается в MBAM автоматически. О правах, необходимых для создания имен участников-служб, см. в разделе Setspn.

Если вы не обладаете правами администратора для создания имен субъектов-служб, вам следует попросить администраторов Active Directory своей организации создать для вас такое имя субъекта-службы с помощью следующей команды.

Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

В этом примере кода в качестве имени виртуальны узла используется mbamvirtual.contoso.com, а для пулов веб-приложений используется учетная запись домена contoso\mbamapppooluser.

Примечание

Если вы настраиваете балансировку нагрузки, используйте одну и ту же учетную запись пула приложений на всех серверах.

Дополнительные сведения о регистрации имен субъекта-службы для полного имени, NetBIOS-имени и пользовательского имени узла см. в разделе Планирование защиты веб-сайтов MBAM.

Необходимые условия для рабочей станции управления

Предварительное условие Сведения

Перед установкой клиента MBAM загрузите шаблоны групповой политики MBAM со страницы получения шаблонов (ADMX) групповой политики MDOP и настройте их в соответствии с параметрами, которые требуется внедрить на предприятии для шифрования дисков BitLocker.

Перед установкой клиента MBAM выполните следующие действия:

 

Что делать Где получить инструкции

Копирование шаблонов групповой политики MBAM

Копирование шаблонов групповой политики MBAM 2.5

Изменение параметров групповой политики

Изменение параметров групповой политики MBAM 2.5

Есть предложение для MBAM?

Выдвигайте предложения и голосуйте за них здесь. Ответы на вопросы, возникающие при работе с MBAM, можно найти на форуме TechNet по MBAM.

См. также

Концепции

Поддерживаемые конфигурации MBAM 2.5

Другие ресурсы

Подготовка среды для развертывания MBAM 2.5
Планирование развертывания MBAM 2.5