Планирование защиты веб-сайтов MBAM

Обновлено: Май 2014 г.

Назначение: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

В этом разделе описываются указанные ниже способы защиты веб-сайта администрирования и мониторинга и портала самообслуживания Microsoft BitLocker Administration and Monitoring (MBAM) 2.5.

 

Способ Обязательный или необязательный

Защита веб-сайтов MBAM с помощью сертификатов

Необязательно, но настоятельно рекомендуется

Регистрация имен субъектов-служб для учетной записи пула приложений

Обязательно

Дополнительные сведения о защите развертывания MBAM см. в разделе Процедуры безопасности MBAM 2.5.

Защита веб-сайтов MBAM с помощью сертификатов

Мы рекомендуем использовать сертификат для защиты данных, передаваемых между следующими компонентами:

  • клиентом MBAM и веб-службами;

  • браузером с одной стороны и веб-сайтом администрирования и мониторинга и порталом самообслуживания с другой.

Сведения о запросе и установке сертификата см. в статье Настройка сертификатов Интернет-сервера.

noteПримечание
Настроить веб-сайты и веб-службы на разных серверах можно только с помощью Windows PowerShell. Если для настройки веб-сайтов используется мастер настройки серверов MBAM, веб-сайты и веб-службы должны настраиваться на одном сервере.

Для защиты данных, передаваемых между веб-службами и базами данных, также рекомендуется использовать принудительное шифрование в SQL Server. Сведения о защите всех подключений к SQL Server, включая данные, передаваемые между веб-службами и SQL Server, см. в разделе Secure connections to SQL Server.

Регистрация имен субъектов-служб для учетной записи пула приложений

Чтобы позволить серверам MBAM осуществлять проверку подлинности при взаимодействии с веб-сайтом администрирования и мониторинга, а также порталом самообслуживания, необходимо зарегистрировать имя субъекта-службы для домена узла в учетной записи домена, которая используется для пула веб-приложений.

В этом разделе приводятся инструкции по регистрации имен субъектов-служб для следующих типов имен узлов:

  • полное доменное имя;

  • имя NetBIOS;

  • виртуальное имя.

Перед созданием имен субъектов-служб для первоначальной установки MBAM

Перед созданием имен субъектов-служб ознакомьтесь с информацией в приведенной ниже таблице.

 

Задача или элемент Дополнительные сведения

Создайте учетную запись службы в доменных службах Active Directory (AD DS).

Учетная запись службы — это учетная запись пользователя, создаваемая в доменных службах Active Directory для обеспечения безопасности веб-сайтов MBAM. Веб-сайты MBAM работают в пуле приложений, идентификатором которого является имя учетной записи службы. Затем имена субъектов-служб регистрируются в учетной записи пула приложений.

noteПримечание
Для всех веб-серверов необходимо использовать одну и ту же учетную запись пула приложений.

Убедитесь в том, что учетной записи группы IIS-IUSRS или учетной записи пула приложений предоставлены необходимые права.

Для этого выполните указанные ниже действия.

  1. Откройте редактор локальной политики безопасности и разверните узел Локальные политики.

  2. Выберите узел Назначение прав пользователя и дважды щелкните параметры Имитация клиента после проверки подлинности и Вход в качестве пакетного задания в области справа.

Если веб-сайты MBAM настраиваются с помощью учетной записи администратора домена, MBAM создаст имена субъектов-служб автоматически.

Если веб-сайты MBAM настраиваются с помощью учетной записи администратора домена, выполните приведенные в этом разделе инструкции, чтобы зарегистрировать имена субъектов-служб вручную для используемого типа имени узла.

Регистрация имен субъектов-служб при использовании полного доменного имени узла

Если при настройке MBAM используется полное доменное имя узла, необходимо зарегистрировать только одно имя субъекта-службы, как показано в следующем примере.

 

Необходимые действия Примеры и дополнительные сведения

Зарегистрируйте имя субъекта-службы для полного доменного имени.

Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser

Полное доменное имя узла — mybitlockerrecovery.contoso.com, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser.

Настройте ограниченное делегирование для имени субъекта-службы, которое регистрируется для учетной записи пула приложений.

Настройка ограниченного делегирования

Это требование применяется только к MBAM 2.5; в MBAM 2.5 с пакетом обновления 1 (SP1) его использовать не нужно.

Регистрация имен субъектов-служб при использовании имени узла NetBIOS

Если при настройке MBAM используется имя узла NetBIOS, необходимо зарегистрировать одно имя субъекта-службы для имени NetBIOS и еще одно — для полного доменного имени, как показано в следующих примерах.

 

Необходимые действия Примеры и дополнительные сведения

Зарегистрируйте имя субъекта-службы для имени узла NetBIOS.

Setspn -s http/nbname01 contoso\mbamapppooluser

Имя узла NetBIOS — nbname01, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser.

Зарегистрируйте имя субъекта-службы для полного доменного имени.

Setspn –s http/nbname01.corp.contoso.com contoso\mbamapppooluser

Полное доменное имя — nbname01.contoso.com, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser.

Настройте ограниченное делегирование для имен субъектов-служб, которые регистрируются для учетной записи пула приложений.

Настройка ограниченного делегирования

Это требование применяется только к MBAM 2.5; в MBAM 2.5 с пакетом обновления 1 (SP1) его использовать не нужно.

Регистрация имен субъектов-служб при использовании виртуального имени узла

Если при настройке MBAM используется виртуальное имя узла, представляющее собой полное доменное имя, зарегистрируйте только одно имя субъекта-службы для виртуального имени узла. Если настраиваемое виртуальное имя узла не является полным доменным именем, необходимо создать второе имя субъекта-службы, определяющее полное доменное имя, как показано в следующих примерах.

 

Необходимые действия Примеры и дополнительные сведения

Если виртуальное имя узла представляет собой полное доменное имя, как в этом примере, зарегистрируйте только одно имя субъекта-службы.

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

В этом примере виртуальное имя узла — mbamvirtual.contoso.com, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser.

Зарегистрируйте дополнительное имя субъекта-службы, если виртуальное имя узла не является полным доменным именем.

Setspn -s http/mbamvirtual contoso\mbamapppooluser

В этом примере виртуальное имя узла — mbamvirtual, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser.

Зарегистрируйте дополнительное имя субъекта-службы, если виртуальное имя узла не является полным доменным именем.

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

В этом примере виртуальное имя узла — mbamvirtual.contoso.com, а учетная запись домена, используемая для пула веб-приложений, — contoso\mbamapppooluser.

На сервере доменных имен (DNS) создайте запись «A» для настраиваемого имени узла, указывающую на веб-сервер или подсистему балансировки нагрузки.

См. раздел "Настройка записей A узла DNS" в статье Настройка записей узлов DNS.

Мы рекомендуем использовать записи A вместо CNAME. При использовании записей CNAME для указания на адрес домена необходимо также зарегистрировать имена субъектов-служб для имени веб-сервера в учетной записи пула приложений.

Настройте ограниченное делегирование для имен субъектов-служб, которые регистрируются для учетной записи пула приложений.

Настройка ограниченного делегирования

Это требование применяется только к MBAM 2.5; в MBAM 2.5 с пакетом обновления 1 (SP1) его использовать не нужно.

Регистрация имени субъекта-службы при обновлении с предыдущих версий MBAM

Инструкции в этом разделе следует выполнить только в следующих ситуациях:

  • Выполняется обновление с предыдущей версии MBAM.

  • Веб-сайты MBAM 2.5 будут работать в конфигурации с балансировкой нагрузки или распределенной конфигурации, а в настоящее время используется конфигурация без балансировки нагрузки.

Если вы уже зарегистрировали имена субъектов-служб в учетной записи компьютера, а не в учетной записи пула приложений, MBAM использует существующие имена субъектов-служб и вы не можете настроить веб-сайты в конфигурации с балансировкой нагрузки или распределенной конфигурации.

 

Необходимые действия Примеры и дополнительные сведения

Создайте учетную запись пула приложений в доменных службах Active Directory (AD DS).

Удалите установленные веб-сайты и веб-службы.

Удаление компонентов или программного обеспечения MBAM Server

Удалите имена субъектов-служб из учетной записи компьютера.

Setspn –d http/mbamwebserver mbamwebserver

Setspn –d http/mbamwebserver.contoso.com mbamwebserver

Зарегистрируйте имена субъектов-служб в учетной записи пула приложений.

Выполните инструкции в разделе Регистрация имен субъектов-служб при использовании виртуального имени узла.

Перенастройте веб-приложения и веб-службы.

Настройка веб-приложений MBAM 2.5

Выполните одно из указанных ниже действий в зависимости от способа настройки.

 

Способ Сведения

Мастер настройки сервера MBAM

Введите учетную запись пула приложений в поле Учетная запись домена пула приложений для веб-служб.

Командлет Windows PowerShell Enable-MbamWebApplication

Укажите учетную запись в параметре WebServiceApplicationPoolCredential.

ImportantВажно
Вводимое имя узла должно совпадать с виртуальным именем узла, для которого создаются имена субъектов-служб. Кроме того, в веб-ферме имена узлов и учетные данные пула приложений должны быть одинаковыми на каждом настраиваемом сервере.

Когда MBAM настраивает веб-приложения, вначале выполняется попытка зарегистрировать имена субъектов-служб автоматически, но это возможно только в том случае, если у вас есть права администратора домена на сервере, на котором устанавливается MBAM. Если у вас нет этих прав, вы можете выполнить настройку, но потребуется задать имена субъектов-служб до или после настройки MBAM.

Есть предложение для MBAM?

Выдвигайте предложения и голосуйте за них здесь. Ответы на вопросы, возникающие при работе с MBAM, можно найти на форуме TechNet по MBAM.

См. также

 
Показ: