如何保護 MBAM 網站的規劃
適用於: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
本主題說明下列保護 Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 Administration and Monitoring Website 和自助入口網站安全的方法:
| 方法 | 必要或選擇性? |
|---|---|
使用憑證保護 MBAM 網站的安全 |
選擇性,但強烈建議使用 |
為應用程式集區帳戶登錄服務主體名稱 (SPN) |
必要 |
如需如何保護 MBAM 部署安全的詳細資訊,請參閱 MBAM 2.5 安全性考量。
使用憑證保護 MBAM 網站的安全
建議您使用憑證保護下列兩者之間的通訊安全:
MBAM 用戶端與 Web 服務
瀏覽器與 Administration and Monitoring Website 和自助入口網站
如需要求及安裝憑證的詳細資訊,請參閱設定網際網路伺服器憑證。
注意
如果使用 Windows PowerShell,您可以在不同的伺服器上設定網站和 Web 服務。如果使用 [MBAM 伺服器設定精靈] 設定網站,您必須在相同的伺服器上設定網站和 Web 服務。
若要保護 Web 服務與資料庫之間的通訊安全,也建議您在 SQL Server 中強制使用加密。如需保護 SQL Server 之所有連線安全的詳細資訊,包括 Web 服務與 SQL Server 之間的通訊,請參閱 Secure connections to SQL Server。
為應用程式集區帳戶登錄 SPN
若要啟用 MBAM 伺服器驗證來自 Administration and Monitoring Website 和自助入口網站的通訊,您必須為 Web 應用程式集區使用的網域帳戶下的主機名稱登錄服務主體名稱 (SPN)。
本主題包含如何為下列主機名稱類型登錄 SPN 的指示:
完整網域名稱
NetBIOS 名稱
虛擬名稱
為初始 MBAM 安裝建立 SPN 之前
開始建立 SPN 之前,請檢閱下表中的資訊。
| 工作或項目 | 詳細資訊 |
|---|---|
在 Active Directory 網域服務 (AD DS) 中建立服務帳戶。 |
此服務帳戶是為了提供 MBAM 網站安全性而在 AD DS 中建立的使用者帳戶。MBAM 網站在應用程式集區下執行,其識別即為此服務帳戶的名稱。因此會接著為應用程式集區帳戶登錄 SPN。 注意 您必須為所有網頁伺服器使用相同的應用程式集區帳戶。 |
確認已授與必要權限給 IIS-IUSRS 群組帳戶或應用程式集區帳戶。 |
若要進行確認,請遵循下列步驟:
|
如果使用網域系統管理帳戶設定 MBAM 網站,MBAM 會為您建立 SPN。 |
如果使用網域系統管理帳戶設定 MBAM 網站,請遵循本主題中的步驟為您使用的主機名稱類型手動登錄 SPN。 |
使用完整網域主機名稱時登錄 SPN
如果設定 MBAM 時使用完整網域主機名稱,您必須只登錄一個 SPN,如下列範例所示。
| 您必須執行的作業 | 範例和詳細資訊 |
|---|---|
為完整網域名稱登錄 SPN。 |
完整主機名稱為 mybitlockerrecovery.contoso.com,而 Web 應用程式集區使用的網域帳戶為 contoso\mbamapppooluser。 |
設定您為應用程式集區帳戶登錄之 SPN 的限制委派。 |
這項要求僅適用於 MBAM 2.5,對 MBAM 2.5 SP1 而言為非必要。 |
使用 NetBIOS 主機名稱時登錄 SPN
如果設定 MBAM 時使用 NetBIOS 主機名稱,請為 NetBIOS 名稱登錄一個 SPN,並為完整網域名稱登錄另一個 SPN,如下列範例所示。
| 您必須執行的作業 | 範例和詳細資訊 |
|---|---|
為 NetBIOS 主機名稱登錄 SPN。 |
NetBIOS 主機名稱為 nbname01,而 Web 應用程式集區使用的網域帳戶為 contoso\mbamapppooluser。 |
為完整網域名稱登錄 SPN。 |
完整網域名稱為 nbname01.contoso.com,而 Web 應用程式集區使用的網域帳戶為 contoso\mbamapppooluser。 |
設定您為應用程式集區帳戶登錄之 SPN 的限制委派。 |
這項要求僅適用於 MBAM 2.5,對 MBAM 2.5 SP1 而言為非必要。 |
使用虛擬主機名稱時登錄 SPN
如果設定 MBAM 時所使用的虛擬主機名稱即為完整網域名稱,請為虛擬主機名稱只登錄一個 SPN。如果您設定的虛擬主機名稱不是完整網域名稱,您必須建立第二個 SPN 以指定完整網域名稱,如下列範例所述。
| 您必須執行的作業 | 範例和詳細資訊 |
|---|---|
如果虛擬主機名稱為完整網域名稱 (如此範例所示),請只登錄一個 SPN。 |
在此範例中,虛擬主機名稱為 mbamvirtual.contoso.com,而 Web 應用程式集區使用的網域帳戶為 contoso\mbamapppooluser。 |
如果虛擬主機名稱不是完整網域名稱,請登錄此額外的 SPN。 |
在此範例中,虛擬主機名稱為 mbamvirtual,而 Web 應用程式集區使用的網域帳戶為 contoso\mbamapppooluser。 |
如果虛擬主機名稱不是完整網域名稱,請登錄此額外的 SPN。 |
在此範例中,虛擬主機名稱為 mbamvirtual.contoso.com,而 Web 應用程式集區使用的網域帳戶為 contoso\mbamapppooluser。 |
在網域名稱伺服器 (DNS) 上,為自訂主機名稱建立「A 記錄」,並指向網頁伺服器或負載平衡器。 |
請參閱設定 DNS 主機記錄中的<若要設定 DNS 主機 A 記錄>一節。 建議您使用 A 記錄,而不是使用 CNAMES。如果使用 CNAMES 指向網域位址,您還必須為應用程式集區帳戶中的網頁伺服器名稱登錄 SPN。 |
設定您為應用程式集區帳戶登錄之 SPN 的限制委派。 |
這項要求僅適用於 MBAM 2.5,對 MBAM 2.5 SP1 而言為非必要。 |
從舊版 MBAM 升級時登錄 SPN
只有在您想執行下列作業時,才完成本節中的步驟:
從舊版 MBAM 升級。
在負載平衡或分散式設定的 MBAM 2.5 中執行網站,但目前不是在平衡負載的設定中執行。
如果已為電腦帳戶 (而不是應用程式集區帳戶) 登錄 SPN,MBAM 會使用現有的 SPN,且您無法在負載平衡或分散式設定中設定網站。
| 您必須執行的作業 | 範例和詳細資訊 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
在 Active Directory 網域服務 (AD DS) 中建立應用程式集區帳戶。 |
|||||||||
移除目前安裝的網站和 Web 服務。 |
|||||||||
從電腦帳戶移除 SPN。 |
|
||||||||
為應用程式集區帳戶登錄 SPN。 |
遵循使用虛擬主機名稱時登錄 SPN 中的步驟。 |
||||||||
重新設定 Web 應用程式和 Web 服務。 |
|||||||||
根據您設定所使用的方法,執行下列其中一個動作:
|
如果您具有 MBAM 安裝所在之伺服器的網域系統管理員權限,當 MBAM 設定 Web 應用程式時,會嘗試為您登錄 SPN。如果您沒有這些權限,仍可以完成設定,但必須在設定 MBAM 之前或之後設定 SPN。 |
.gif "Important")
重要您對於 MBAM 有任何建議嗎?
您可以在這裡加入您的建議,或對建議進行票選。您如有 MBAM 方面的問題,可利用 MBAM TechNet 論壇。