MBAM und sichere Netzwerkkommunikation

In diesem Artikel wird erläutert, wie Sie die BitLocker-Verwaltung und -Überwachung (MBAM) von Microsoft mit sicherer Netzwerkkommunikation konfigurieren.

Ursprüngliche KB-Nummer: 2754259

Übersicht

MBAM kann die Kommunikation zwischen der MBAM-Wiederherstellungs- und Hardwaredatenbank, den Verwaltungs- und Überwachungsservern und den MBAM-Clients verschlüsseln. Wenn Sie sich entscheiden, die Kommunikation zu verschlüsseln, werden Sie aufgefordert, das von der Zertifizierungsstelle bereitgestellte Zertifikat auszuwählen, das für die Verschlüsselung verwendet wird.

Der Kanal zwischen MBAM Administration & Monitoring Server und SQL SSRS kann ebenfalls verschlüsselt werden. Ein Administrator benötigt ein von der Zertifizierungsstelle genehmigtes Zertifikat oder ein selbstsigniertes Zertifikat, bevor MBAM bereitgestellt wird.

Notiz

Wenn Sie sich für SSL entscheiden, stellen Sie sicher, dass Sie über das richtige Zertifikat verfügen, um SSL zu konfigurieren, bevor Sie MBAM Setup auf Ihrem Server ausführen.

Schritt 1: Verschlüsseln des Kanals zwischen MBAM-Client und Administration & Monitoring Server.

1. Verwenden des selbstsignierten Zertifikats.

   1. Stellen Sie eine Verbindung mit dem Server her, auf dem die MBAM-Verwaltungs- und Überwachungsrolle installiert wird.
   2. Stellen Sie sicher, dass Iis installiert ist.
   3. Öffnen Sie Server-Manager, und klicken Sie auf Rollen.
   4. Wählen Sie webserver aus, und klicken Sie auf IIS.
   5. Doppelklicken Sie in der Featureansicht auf Serverzertifikate.
   6. Wählen Sie im Bereich "Aktionen" das selbstsignierte Zertifikat aus.
   7. Geben Sie auf der Seite "Selbstsigniertes Zertifikat erstellen" einen Anzeigenamen für das Zertifikat im Feld "Anzeigename für das Zertifikat angeben" ein, und klicken Sie dann auf "OK".

   Notiz

   • Dieses Verfahren generiert ein selbstsigniertes Zertifikat, das nicht aus einer allgemein vertrauenswürdigen Quelle stammt. Daher sollten Sie dieses Zertifikat nicht verwenden, um die Datenübertragung zwischen Internetclients und Ihrem Server zu sichern.
   • Selbstsignierte Zertifikate können dazu führen, dass Ihr Webbrowser Phishingwarnungen ausstellen kann.

2. Verwenden des von der Zertifizierungsstelle genehmigten Zertifikats

   Es gibt zwei Möglichkeiten zum Importieren eines Zertifikats.

   1. Anfordern oder Importieren eines Zertifikats aus einer Zertifizierungsstelle mithilfe von IIS:

      • Anfordern eines Internetserverzertifikats in IIS
      • Importieren eines Serverzertifikats in IIS

   2. Anfordern oder Importieren eines Zertifikats in den persönlichen Zertifikatspeicher mithilfe des Zertifikat-Managers:
      Windows-Hilfe und -Lernen

      Zu verwendende Zertifikatvorlagen:

      MBAM-Client zu MBAM Administration & Monitoring Server: Standardwebservervorlage verwenden.

      Nachdem Sie das Zertifikat bereit haben, zeigen wir Ihnen beim Ausführen des MBAM-Setups den Fingerabdruck des Zertifikats im Assistenten "Netzwerkkommunikationssicherheit konfigurieren" für MBAM-Setup an.

      

Schritt 2: Verschlüsseln des Kanals zwischen MBAM Administration & Monitoring Server und MBAM Recovery & Hardware SQL DB.

Von MBAM kann die Kommunikation zwischen der Wiederherstellungs- und Hardwaredatenbank und den Administration and Monitoring-Servern verschlüsselt werden. Wenn Sie die Option zum Verschlüsseln der Kommunikation auswählen, werden Sie aufgefordert, das für die Verschlüsselung verwendete Zertifikat der Zertifizierungsstelle auszuwählen.

Zu verwendende Zertifikatvorlagen:

MBAM SQL DB Server zu Admin & Monitoring Server: Standard Server Authentication Template

Wenn Sie MBAM Setup Program auf einem Server ausführen, auf dem Sie MBAM Recovery & Hardware DB Role installieren, sehen Sie den Zertifikatfingerabdruck im Assistenten "Netzwerkkommunikationssicherheit konfigurieren" für MBAM-Setupprogramm.

Schritt 3: Konfigurieren von SSL für SQL Compliance and Audit DB Server.

Notiz

Sie müssen SSL für SQL konfigurieren, bevor Sie MBAM Setup auf Ihrem Server ausführen.

1. Öffnen Sie SQL Reporting Services Configuration Manager auf dem Server, auf dem Sie die Rolle "MBAM-Überwachungsberichte" installiert haben.

2. Stellen Sie eine Verbindung mit Ihrem Server her, und klicken Sie auf die Webdienst-URL.

   

3. Klicken Sie auf "Erweitert", und wählen Sie dann Ihr Zertifikat aus. Siehe Abbildung unten:

   

4. Wiederholen Sie "Schritt 3" für die Berichts-Manager-URL in SQL Reporting Services Configuration Manager.

5. Beim Öffnen von MBAM-Berichten wird SSL zum Herstellen einer Verbindung mit SQL-SSRS verwendet.

Schritt 4: Konfigurieren Sie SQL so, dass die Verschlüsselung für alle Protokolle erzwungen wird.

1. Melden Sie sich bei SQL Server an, und öffnen Sie SQL Server-Konfigurations-Manager.

2. Erweitern Sie die SQL Server-Netzwerkkonfiguration, und wählen Sie "Protokolle für MSSQLSERVER" aus.

3. Klicken Sie mit der rechten Maustaste auf "Protokolle für MSSQLSERVER", und wählen Sie "Ja" aus, um die Verschlüsselung zu erzwingen.

   

4. Wählen Sie die Registerkarte "Zertifikate" aus, und wählen Sie ihr Zertifikat aus der Dropdownliste aus.

5. Klicken Sie auf "Anwenden", und starten Sie Ihre SQL Services neu.

6. Wenn Sie versuchen, SQL Services neu zu starten, wird eine Fehlermeldung angezeigt: "Die Anforderung ist fehlgeschlagen, oder der Dienst reagierte nicht rechtzeitig. Weitere Informationen finden Sie im Ereignisprotokoll oder in anderen zutreffenden Fehlerprotokollen."

7. Es schlägt fehl, da das SQL-Konto keine Rechte für private Schlüssel des Zertifikats hat.

8. Öffnen Sie die MMC-Konsole des Zertifikat-Managers, und weisen Sie dem SQL-Konto, das für SQL-Dienste verwendet wird, vollzugriff auf das Zertifikat zu.

   

9. Starten Sie die SQL Server Services jetzt neu, und es sollte erfolgreich sein.

Weitere Informationen

• Erstellen eines selbstsignierten Serverzertifikats in IIS
• Konfigurieren eines Berichtsservers für SSL-Verbindungen (Secure Sockets Layer)