Partager via

Planification de la sécurisation des sites web MBAM

  • Article

Cet article décrit les méthodes suivantes pour sécuriser le site web d’administration et de surveillance de Microsoft BitLocker (MBAM) 2.5 et le portail Self-Service :

Méthode Obligatoire ou facultatif ?
Utilisation de certificats pour sécuriser les sites web MBAM Facultatif, mais fortement recommandé
Inscription de noms de principal de service (SPN) pour le compte du pool d’applications Requis

Pour plus d’informations sur la sécurisation de votre déploiement MBAM, consultez Considérations relatives à la sécurité MBAM 2.5.

Utilisation de certificats pour sécuriser les sites web MBAM

Utilisez un certificat pour sécuriser la communication entre :

  • Client MBAM et services web

  • Navigateur, site web d’administration et de surveillance et sites web du portail Self-Service

Pour plus d’informations sur la demande et l’installation d’un certificat, consultez Configuration des certificats de serveur Internet.

Remarque

Vous pouvez configurer les sites web et les services web sur différents serveurs uniquement si vous utilisez Windows PowerShell. Si vous utilisez l’Assistant Configuration du serveur MBAM pour configurer les sites web, vous devez configurer les sites web et les services web sur le même serveur.

Pour sécuriser la communication entre les services web et les bases de données, nous vous recommandons également de forcer le chiffrement dans SQL Server. Pour plus d’informations sur la sécurisation de toutes les connexions à SQL Server, y compris la communication entre les services web et SQL Server, consultez Considérations relatives à la sécurité MBAM 2.5.

Inscription de SPN pour le compte du pool d’applications

Pour permettre aux serveurs MBAM d’authentifier la communication à partir du site web d’administration et de surveillance et du portail Self-Service, vous devez inscrire un nom de principal de service (SPN) pour le nom d’hôte sous le compte de domaine que vous utilisez pour le pool d’applications web.

Cette section contient des instructions sur l’inscription des noms de service pour les types de noms d’hôte suivants :

  • Nom de domaine complet

  • Nom NetBIOS

  • Nom virtuel

Avant de créer des noms de service pour une installation MBAM initiale

Passez en revue les informations contenues dans le tableau suivant avant de commencer à créer des spN.

  • Créez un compte de service dans Active Directory Domain Services (ADDS). Le compte de service est un compte d’utilisateur que vous créez dans ADDS pour assurer la sécurité des sites web MBAM. Les sites web MBAM s’exécutent sous un pool d’applications, dont l’identité est le nom du compte de service. Les SPN sont ensuite inscrits dans le compte du pool d’applications.

    Remarque

    Vous devez utiliser le même compte de pool d’applications pour tous les serveurs web.

  • Vérifiez que le compte de groupe IIS-IUSRS ou le compte du pool d’applications a reçu les droits nécessaires. Pour vérifier cet accès, procédez comme suit :

    1. Ouvrez l’éditeur de stratégie de sécurité locale et développez le nœud Stratégies locales .
    2. Sélectionnez le nœud Attribution des droits de l’utilisateur , puis double-cliquez sur les paramètres de stratégie de groupe Emprunter l’identité d’un client après l’authentification et Se connecter en tant que tâche de traitement par lots dans le volet droit.

  • Si vous configurez les sites web MBAM à l’aide d’un compte d’administration de domaine, MBAM crée les spn pour vous. Si vous configurez les sites web MBAM à l’aide d’un compte d’administration de domaine, suivez les étapes décrites dans cet article pour inscrire manuellement des noms de principal du service pour le type de nom d’hôte que vous utilisez.

Inscription de spN lorsque vous utilisez un nom d’hôte de domaine complet

Si vous utilisez un nom d’hôte de domaine complet lorsque vous configurez MBAM, vous devez inscrire un seul SPN, comme illustré dans l’exemple suivant.

  • Inscrivez un SPN pour le nom de domaine complet.
    • Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser
    • Le nom d’hôte complet est mybitlockerrecovery.contoso.com, et le compte de domaine utilisé pour le pool d’applications web est contoso\mbamapppooluser.
  • Configurez la délégation contrainte pour le SPN que vous inscrivez pour le compte du pool d’applications.

Inscription de spN lorsque vous utilisez un nom d’hôte NetBIOS

Si vous utilisez un nom d’hôte NetBIOS lorsque vous configurez MBAM, inscrivez un SPN pour le nom NetBIOS et un autre spn pour le nom de domaine complet, comme indiqué dans les exemples suivants.

  • Inscrivez un SPN pour le nom d’hôte NetBIOS.
    • Setspn -s http/nbname01 contoso\mbamapppooluser
    • Le nom d’hôte NetBIOS est nbname01, et le compte de domaine utilisé pour le pool d’applications web est contoso\mbamapppooluser.
  • Inscrivez un SPN pour le nom de domaine complet.
    • Setspn -s http/nbname01.corp.contoso.com contoso\mbamapppooluser
    • Le nom de domaine complet est nbname01.contoso.com, et le compte de domaine utilisé pour le pool d’applications web est contoso\mbamapppooluser.
  • Configurez la délégation contrainte pour les spN que vous inscrivez pour le compte du pool d’applications.

Inscription de SPN lorsque vous utilisez un nom d’hôte virtuel

Si vous configurez MBAM avec un nom d’hôte virtuel qui est un nom de domaine complet, inscrivez un seul SPN pour le nom d’hôte virtuel. Si le nom d’hôte virtuel que vous configurez n’est pas un nom de domaine complet, vous devez créer un deuxième SPN qui spécifie le nom de domaine complet, comme décrit dans les exemples suivants.

  • Si votre nom d’hôte virtuel est un nom de domaine complet, comme dans cet exemple, n’inscrivez qu’un seul SPN.
    • Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
    • Dans l’exemple, le nom d’hôte virtuel est mbamvirtual.contoso.comet le compte de domaine utilisé pour le pool d’applications web est contoso\mbamapppooluser.
  • Inscrivez cet autre SPN si votre nom d’hôte virtuel n’est pas un nom de domaine complet.
    • Setspn -s http/mbamvirtual contoso\mbamapppooluser
    • Dans l’exemple, le nom d’hôte virtuel est mbamvirtualet le compte de domaine utilisé pour le pool d’applications web est contoso\mbamapppooluser.
  • Inscrivez cet autre SPN si votre nom d’hôte virtuel n’est pas un nom de domaine complet.
    • Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
    • Dans l’exemple, le nom d’hôte virtuel est mbamvirtual.contoso.comet le compte de domaine utilisé pour le pool d’applications web est contoso\mbamapppooluser.
  • Sur le serveur DNS (Domain Name Server), créez un « enregistrement A » pour le nom d’hôte personnalisé et pointez-le vers un serveur web ou un équilibreur de charge.
    • Utilisez des enregistrements A au lieu de CNAMES. Si vous utilisez CNAMES pour pointer vers l’adresse du domaine, vous devez également inscrire des noms de service pour le nom du serveur web dans le compte du pool d’applications.
  • Configurez la délégation contrainte pour les spN que vous inscrivez pour le compte du pool d’applications.

Inscription d’un SPN lors de la mise à niveau à partir de versions précédentes de MBAM

Effectuez les étapes de cette section uniquement si vous souhaitez :

  • Mettez à niveau à partir d’une version précédente de MBAM.

  • Exécutez les sites web dans MBAM 2.5 dans une configuration distribuée ou à charge équilibrée, et vous exécutez actuellement dans une configuration qui n’est pas à charge équilibrée.

Si vous avez déjà inscrit des SPN sur le compte d’ordinateur plutôt que dans un compte de pool d’applications, MBAM utilise les SPN existants et vous ne pouvez pas configurer les sites web dans une configuration distribuée ou à charge équilibrée.

  • Créez un compte de pool d’applications dans les services de domaine Active Directory.

  • Supprimez les sites web et services web actuellement installés. Pour plus d’informations, consultez Suppression des fonctionnalités ou logiciels du serveur MBAM.

  • Supprimez les SPN du compte d’ordinateur. Par exemple : Setspn -d http/mbamwebserver mbamwebserver ou Setspn -d http/mbamwebserver.contoso.com mbamwebserver

  • Inscrivez des noms de service dans le compte du pool d’applications. Suivez les étapes de l’inscription de spN lorsque vous utilisez un nom d’hôte virtuel.

  • Reconfigurez les applications web et les services web. Pour plus d’informations, consultez Guide pratique pour configurer les applications web MBAM 2.5.

  • Effectuez l’une des étapes suivantes, en fonction de la méthode que vous utilisez pour la configuration :

    • Assistant Configuration du serveur MBAM : entrez le compte du pool d’applications dans le champ Compte de domaine du pool d’applications du service web .
    • Applet de commandeEnable-MbamWebApplication Windows PowerShell : entrez le compte dans le WebServiceApplicationPoolCredential paramètre .

    Important

    Le nom d’hôte que vous entrez doit être le même nom que le nom d’hôte virtuel pour lequel vous créez les SPN. En outre, dans votre batterie de serveurs web, les noms d’hôte et les informations d’identification du pool d’applications doivent être identiques sur chaque serveur que vous configurez.

    Lorsque MBAM configure les applications web, il tente d’inscrire les SPN pour vous. Il ne peut le faire que si vous disposez de droits d’administrateur de domaine sur le serveur sur lequel vous installez MBAM. Si vous ne disposez pas de ces droits, vous pouvez terminer la configuration, mais vous devez définir les SPN avant ou après avoir configuré MBAM.

Paramètres de filtrage des requêtes requis

Autoriser les extensions de nom de fichier non répertoriées est nécessaire pour que l’application fonctionne comme prévu. Pour trouver ce paramètre, accédez à Administration et surveillance de Microsoft BitLocker ->Filtrage des demandes ->Modifier les paramètres de fonctionnalité.

Préparation de votre environnement pour MBAM 2.5

Prérequis du serveur MBAM 2.5 pour les topologies d’intégration autonomes et Configuration Manager