Планирование защиты веб-сайтов MBAM
Назначение: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
В этом разделе описываются указанные ниже способы защиты веб-сайта администрирования и мониторинга и портала самообслуживания Microsoft BitLocker Administration and Monitoring (MBAM) 2.5.
Способ | Обязательный или необязательный |
---|---|
Защита веб-сайтов MBAM с помощью сертификатов |
Необязательно, но настоятельно рекомендуется |
Регистрация имен субъектов-служб для учетной записи пула приложений |
Обязательно |
Дополнительные сведения о защите развертывания MBAM см. в разделе Процедуры безопасности MBAM 2.5.
Защита веб-сайтов MBAM с помощью сертификатов
Мы рекомендуем использовать сертификат для защиты данных, передаваемых между следующими компонентами:
клиентом MBAM и веб-службами;
браузером с одной стороны и веб-сайтом администрирования и мониторинга и порталом самообслуживания с другой.
Сведения о запросе и установке сертификата см. в статье Настройка сертификатов Интернет-сервера.
Примечание
Настроить веб-сайты и веб-службы на разных серверах можно только с помощью Windows PowerShell. Если для настройки веб-сайтов используется мастер настройки серверов MBAM, веб-сайты и веб-службы должны настраиваться на одном сервере.
Для защиты данных, передаваемых между веб-службами и базами данных, также рекомендуется использовать принудительное шифрование в SQL Server. Сведения о защите всех подключений к SQL Server, включая данные, передаваемые между веб-службами и SQL Server, см. в разделе Secure connections to SQL Server.
Регистрация имен субъектов-служб для учетной записи пула приложений
Чтобы позволить серверам MBAM осуществлять проверку подлинности при взаимодействии с веб-сайтом администрирования и мониторинга, а также порталом самообслуживания, необходимо зарегистрировать имя субъекта-службы для домена узла в учетной записи домена, которая используется для пула веб-приложений.
В этом разделе приводятся инструкции по регистрации имен субъектов-служб для следующих типов имен узлов:
полное доменное имя;
имя NetBIOS;
виртуальное имя.
Перед созданием имен субъектов-служб для первоначальной установки MBAM
Перед созданием имен субъектов-служб ознакомьтесь с информацией в приведенной ниже таблице.
Задача или элемент | Дополнительные сведения |
---|---|
Создайте учетную запись службы в доменных службах Active Directory (AD DS). |
Учетная запись службы — это учетная запись пользователя, создаваемая в доменных службах Active Directory для обеспечения безопасности веб-сайтов MBAM. Веб-сайты MBAM работают в пуле приложений, идентификатором которого является имя учетной записи службы. Затем имена субъектов-служб регистрируются в учетной записи пула приложений. Примечание Для всех веб-серверов необходимо использовать одну и ту же учетную запись пула приложений. |
Убедитесь в том, что учетной записи группы IIS-IUSRS или учетной записи пула приложений предоставлены необходимые права. |
Для этого выполните указанные ниже действия.
|
Если веб-сайты MBAM настраиваются с помощью учетной записи администратора домена, MBAM создаст имена субъектов-служб автоматически. |
Если веб-сайты MBAM настраиваются с помощью учетной записи администратора домена, выполните приведенные в этом разделе инструкции, чтобы зарегистрировать имена субъектов-служб вручную для используемого типа имени узла. |
Регистрация имен субъектов-служб при использовании полного доменного имени узла
Если при настройке MBAM используется полное доменное имя узла, необходимо зарегистрировать только одно имя субъекта-службы, как показано в следующем примере.
Необходимые действия | Примеры и дополнительные сведения |
---|---|
Зарегистрируйте имя субъекта-службы для полного доменного имени. |
Полное доменное имя узла — mybitlockerrecovery.contoso.com, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser. |
Настройте ограниченное делегирование для имени субъекта-службы, которое регистрируется для учетной записи пула приложений. |
Настройка ограниченного делегирования Это требование применяется только к MBAM 2.5; в MBAM 2.5 с пакетом обновления 1 (SP1) его использовать не нужно. |
Регистрация имен субъектов-служб при использовании имени узла NetBIOS
Если при настройке MBAM используется имя узла NetBIOS, необходимо зарегистрировать одно имя субъекта-службы для имени NetBIOS и еще одно — для полного доменного имени, как показано в следующих примерах.
Необходимые действия | Примеры и дополнительные сведения |
---|---|
Зарегистрируйте имя субъекта-службы для имени узла NetBIOS. |
Имя узла NetBIOS — nbname01, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser. |
Зарегистрируйте имя субъекта-службы для полного доменного имени. |
Полное доменное имя — nbname01.contoso.com, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser. |
Настройте ограниченное делегирование для имен субъектов-служб, которые регистрируются для учетной записи пула приложений. |
Настройка ограниченного делегирования Это требование применяется только к MBAM 2.5; в MBAM 2.5 с пакетом обновления 1 (SP1) его использовать не нужно. |
Регистрация имен субъектов-служб при использовании виртуального имени узла
Если при настройке MBAM используется виртуальное имя узла, представляющее собой полное доменное имя, зарегистрируйте только одно имя субъекта-службы для виртуального имени узла. Если настраиваемое виртуальное имя узла не является полным доменным именем, необходимо создать второе имя субъекта-службы, определяющее полное доменное имя, как показано в следующих примерах.
Необходимые действия | Примеры и дополнительные сведения |
---|---|
Если виртуальное имя узла представляет собой полное доменное имя, как в этом примере, зарегистрируйте только одно имя субъекта-службы. |
В этом примере виртуальное имя узла — mbamvirtual.contoso.com, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser. |
Зарегистрируйте дополнительное имя субъекта-службы, если виртуальное имя узла не является полным доменным именем. |
В этом примере виртуальное имя узла — mbamvirtual, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser. |
Зарегистрируйте дополнительное имя субъекта-службы, если виртуальное имя узла не является полным доменным именем. |
В этом примере виртуальное имя узла — mbamvirtual.contoso.com, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser. |
На сервере доменных имен (DNS) создайте запись «A» для настраиваемого имени узла, указывающую на веб-сервер или подсистему балансировки нагрузки. |
См. раздел "Настройка записей A узла DNS" в статье Настройка записей узлов DNS. Мы рекомендуем использовать записи A вместо CNAME. При использовании записей CNAME для указания на адрес домена необходимо также зарегистрировать имена субъектов-служб для имени веб-сервера в учетной записи пула приложений. |
Настройте ограниченное делегирование для имен субъектов-служб, которые регистрируются для учетной записи пула приложений. |
Настройка ограниченного делегирования Это требование применяется только к MBAM 2.5; в MBAM 2.5 с пакетом обновления 1 (SP1) его использовать не нужно. |
Регистрация имени субъекта-службы при обновлении с предыдущих версий MBAM
Инструкции в этом разделе следует выполнить только в следующих ситуациях:
Выполняется обновление с предыдущей версии MBAM.
Веб-сайты MBAM 2.5 будут работать в конфигурации с балансировкой нагрузки или распределенной конфигурации, а в настоящее время используется конфигурация без балансировки нагрузки.
Если вы уже зарегистрировали имена субъектов-служб в учетной записи компьютера, а не в учетной записи пула приложений, MBAM использует существующие имена субъектов-служб и вы не можете настроить веб-сайты в конфигурации с балансировкой нагрузки или распределенной конфигурации.
Необходимые действия | Примеры и дополнительные сведения | ||||||||
---|---|---|---|---|---|---|---|---|---|
Создайте учетную запись пула приложений в доменных службах Active Directory (AD DS). |
|||||||||
Удалите установленные веб-сайты и веб-службы. |
Удаление компонентов или программного обеспечения MBAM Server |
||||||||
Удалите имена субъектов-служб из учетной записи компьютера. |
|
||||||||
Зарегистрируйте имена субъектов-служб в учетной записи пула приложений. |
Выполните инструкции в разделе Регистрация имен субъектов-служб при использовании виртуального имени узла. |
||||||||
Перенастройте веб-приложения и веб-службы. |
|||||||||
Выполните одно из указанных ниже действий в зависимости от способа настройки.
|
Когда MBAM настраивает веб-приложения, вначале выполняется попытка зарегистрировать имена субъектов-служб автоматически, но это возможно только в том случае, если у вас есть права администратора домена на сервере, на котором устанавливается MBAM. Если у вас нет этих прав, вы можете выполнить настройку, но потребуется задать имена субъектов-служб до или после настройки MBAM. |
Есть предложение для MBAM?
Выдвигайте предложения и голосуйте за них здесь. Ответы на вопросы, возникающие при работе с MBAM, можно найти на форуме TechNet по MBAM.
См. также
Другие ресурсы
Подготовка среды для развертывания MBAM 2.5
Необходимые компоненты развертывания MBAM 2.5