Planeamiento de cómo proteger los sitios web de MBAM
En este artículo se describen los siguientes métodos para proteger el sitio web de administración y supervisión de Microsoft BitLocker (MBAM) 2.5 y Self-Service Portal:
| Método | ¿Obligatorio u opcional? |
|---|---|
| Uso de certificados para proteger sitios web de MBAM | Opcional, pero muy recomendable |
| Registro de nombres de entidad de seguridad de servicio (SPN) para la cuenta del grupo de aplicaciones | Obligatorio |
Para obtener más información sobre cómo proteger la implementación de MBAM, consulte Consideraciones de seguridad de MBAM 2.5.
Uso de certificados para proteger sitios web de MBAM
Use un certificado para proteger la comunicación entre:
Cliente de MBAM y los servicios web
El explorador y el sitio web de administración y supervisión y los sitios web del Portal de Self-Service
Para obtener más información sobre cómo solicitar e instalar un certificado, consulte Configuración de certificados de servidor de Internet.
Nota
Solo puede configurar los sitios web y los servicios web en servidores diferentes si usa Windows PowerShell. Si usa el Asistente para configuración del servidor MBAM para configurar los sitios web, debe configurar los sitios web y los servicios web en el mismo servidor.
Para proteger la comunicación entre los servicios web y las bases de datos, también se recomienda forzar el cifrado en SQL Server. Para obtener información sobre cómo proteger todas las conexiones a SQL Server, incluida la comunicación entre los servicios web y SQL Server, vea Consideraciones de seguridad de MBAM 2.5.
Registro de SPN para la cuenta del grupo de aplicaciones
Para permitir que los servidores MBAM autentiquen la comunicación desde el sitio web de administración y supervisión y el portal de Self-Service, debe registrar un nombre de entidad de seguridad de servicio (SPN) para el nombre de host en la cuenta de dominio que use para el grupo de aplicaciones web.
Esta sección contiene instrucciones sobre cómo registrar SPN para los siguientes tipos de nombres de host:
Nombre de dominio completo
Nombre netBIOS
Nombre virtual
Antes de crear SPN para una instalación inicial de MBAM
Revise la información de la tabla siguiente antes de empezar a crear SPN.
Cree una cuenta de servicio en Active Directory Domain Services (ADDS). La cuenta de servicio es una cuenta de usuario que se crea en ADDS para proporcionar seguridad para los sitios web de MBAM. Los sitios web de MBAM se ejecutan en un grupo de aplicaciones, cuya identidad es el nombre de la cuenta de servicio. A continuación, los SPN se registran en la cuenta del grupo de aplicaciones.
Nota
Debe usar la misma cuenta de grupo de aplicaciones para todos los servidores web.
Compruebe que se han concedido los derechos necesarios a la cuenta de grupo IIS-IUSRS o a la cuenta del grupo de aplicaciones. Para comprobar este acceso, siga estos pasos:
- Abra el editor de directivas de seguridad local y expanda el nodo Directivas locales .
- Seleccione el nodo Asignación de derechos de usuario y haga doble clic en la configuración Suplantar un cliente después de la autenticación e Iniciar sesión como un trabajo por lotes Directiva de grupo en el panel derecho.
Si configura los sitios web de MBAM mediante una cuenta administrativa de dominio, MBAM creará los SPN automáticamente. Si configura los sitios web de MBAM mediante una cuenta administrativa de dominio, siga los pasos de este artículo para registrar manualmente los SPN para el tipo de nombre de host que use.
Registro de SPN cuando se usa un nombre de host de dominio completo
Si usa un nombre de host de dominio completo al configurar MBAM, solo tiene que registrar un SPN, como se muestra en el ejemplo siguiente.
- Registre un SPN para el nombre de dominio completo.
Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser- El nombre de host completo es
mybitlockerrecovery.contoso.comy la cuenta de dominio usada para el grupo de aplicaciones web escontoso\mbamapppooluser.
- Configure la delegación restringida para el SPN que se registra para la cuenta del grupo de aplicaciones.
- Configuración de la delegación restringida
- Este requisito solo se aplica a MBAM 2.5. No es necesario en MBAM 2.5 SP1.
Registro de SPN cuando se usa un nombre de host de NetBIOS
Si usa un nombre de host de NetBIOS al configurar MBAM, registre un SPN para el nombre de NetBIOS y otro SPN para el nombre de dominio completo, como se muestra en los ejemplos siguientes.
- Registre un SPN para el nombre de host de NetBIOS.
Setspn -s http/nbname01 contoso\mbamapppooluser- El nombre de host de NetBIOS es
nbname01y la cuenta de dominio usada para el grupo de aplicaciones web escontoso\mbamapppooluser.
- Registre un SPN para el nombre de dominio completo.
Setspn -s http/nbname01.corp.contoso.com contoso\mbamapppooluser- El nombre de dominio completo es
nbname01.contoso.comy la cuenta de dominio usada para el grupo de aplicaciones web escontoso\mbamapppooluser.
- Configure la delegación restringida para los SPN que registre para la cuenta del grupo de aplicaciones.
- Configuración de la delegación restringida
- Este requisito solo se aplica a MBAM 2.5. No es necesario en MBAM 2.5 SP1.
Registro de SPN cuando se usa un nombre de host virtual
Si configura MBAM con un nombre de host virtual que sea un nombre de dominio completo, registre solo un SPN para el nombre de host virtual. Si el nombre de host virtual que configura no es un nombre de dominio completo, debe crear un segundo SPN que especifique el nombre de dominio completo, como se describe en los ejemplos siguientes.
- Si el nombre de host virtual es un nombre de dominio completo, como en este ejemplo, registre solo un SPN.
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser- En el ejemplo, el nombre de host virtual es
mbamvirtual.contoso.comy la cuenta de dominio usada para el grupo de aplicaciones web escontoso\mbamapppooluser.
- Registre este otro SPN si el nombre de host virtual no es un nombre de dominio completo.
Setspn -s http/mbamvirtual contoso\mbamapppooluser- En el ejemplo, el nombre de host virtual es
mbamvirtualy la cuenta de dominio usada para el grupo de aplicaciones web escontoso\mbamapppooluser.
- Registre este otro SPN si el nombre de host virtual no es un nombre de dominio completo.
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser- En el ejemplo, el nombre de host virtual es
mbamvirtual.contoso.comy la cuenta de dominio usada para el grupo de aplicaciones web escontoso\mbamapppooluser.
- En el servidor de servidor de nombres de dominio (DNS), cree un "registro A" para el nombre de host personalizado y apunte a un servidor web o un equilibrador de carga.
- Use registros A en lugar de CNAMES. Si usa CNAMES para apuntar a la dirección de dominio, también debe registrar los SPN para el nombre del servidor web en la cuenta del grupo de aplicaciones.
- Configure la delegación restringida para los SPN que registre para la cuenta del grupo de aplicaciones.
- Configuración de la delegación restringida
- Este requisito solo se aplica a MBAM 2.5. No es necesario en MBAM 2.5 SP1.
Registro de un SPN al actualizar desde versiones anteriores de MBAM
Complete los pasos de esta sección solo si desea:
Actualice desde una versión anterior de MBAM.
Ejecute los sitios web en MBAM 2.5 en una configuración de carga equilibrada o distribuida y actualmente se ejecuta en una configuración que no tiene equilibrio de carga.
Si ya ha registrado SPN en la cuenta de equipo en lugar de en una cuenta de grupo de aplicaciones, MBAM usa los SPN existentes y no puede configurar los sitios web en una configuración distribuida o con equilibrio de carga.
Cree una cuenta de grupo de aplicaciones en Active Directory Domain Services.
Quite los sitios web y los servicios web instalados actualmente. Para obtener más información, consulte Eliminación de software o características del servidor MBAM.
Quite los SPN de la cuenta de equipo. Por ejemplo:
Setspn -d http/mbamwebserver mbamwebserveroSetspn -d http/mbamwebserver.contoso.com mbamwebserverRegistre LOS SPN en la cuenta del grupo de aplicaciones. Siga los pasos para Registrar SPN cuando use un nombre de host virtual.
Vuelva a configurar las aplicaciones web y los servicios web. Para obtener más información, consulte Configuración de las aplicaciones web de MBAM 2.5.
Realice uno de los pasos siguientes, en función del método que use para la configuración:
- Asistente para configuración del servidor MBAM: escriba la cuenta del grupo de aplicaciones en el campo Cuenta de dominio del grupo de aplicaciones del servicio web .
- Cmdlet
Enable-MbamWebApplicationde Windows PowerShell: escriba la cuenta en elWebServiceApplicationPoolCredentialparámetro .
Importante
El nombre de host que escriba debe ser el mismo nombre que el nombre de host virtual para el que va a crear los SPN. Además, en la granja de servidores web, los nombres de host y las credenciales del grupo de aplicaciones deben ser los mismos en cada servidor que configure.
Cuando MBAM configura las aplicaciones web, intenta registrar los SPN automáticamente. Solo puede hacerlo si tiene derechos de administrador de dominio en el servidor en el que instala MBAM. Si no tiene estos derechos, puede completar la configuración, pero debe establecer los SPN antes o después de configurar MBAM.
Configuración de filtrado de solicitudes necesaria
Se requiere permitir extensiones de nombre de archivo no publicadas para que la aplicación funcione según lo esperado. Para encontrar esta configuración, vaya a Administración y supervisión de Microsoft BitLocker ->Filtrado de solicitudes ->Editar configuración de características.