Partager via


MBAM et communication réseau sécurisée

Cet article explique comment configurer l’administration et la supervision BitLocker (MBAM) de Microsoft avec la communication réseau sécurisée.

Numéro de base de connaissances d’origine : 2754259

Résumé

MBAM peut chiffrer la communication entre la base de données matérielle et la récupération MBAM, les serveurs d’administration et de surveillance et les clients MBAM. Si vous décidez de chiffrer la communication, vous êtes invité à sélectionner le certificat approvisionné par l’autorité de certification qui sera utilisé pour le chiffrement.

Le canal entre MBAM Administration & Monitoring Server et SQL SSRS peut également être chiffré. Un administrateur a besoin d’un certificat approuvé à partir de l’autorité de certification (autorité de certification) ou d’un certificat auto-signé avant de déployer MBAM.

Note

Si vous décidez d’utiliser SSL, vérifiez que vous disposez du certificat approprié pour configurer SSL avant d’exécuter le programme d’installation MBAM sur votre serveur.

Étape 1 : Chiffrer le canal entre le client MBAM et le serveur d’administration et d’analyse.

  1. Utilisation d’un certificat auto-signé.

    1. Connectez-vous au serveur où le rôle d’administration et de surveillance MBAM sera installé.
    2. Vérifiez que vous avez installé IIS.
    3. Ouvrez Gestionnaire de serveur et cliquez sur rôles.
    4. Sélectionnez le serveur web, puis cliquez sur IIS.
    5. En mode Fonctionnalité, double-cliquez sur Certificats de serveur.
    6. Dans le volet Actions, sélectionnez Certificat auto-signé.
    7. Dans la page Créer un certificat auto-signé, tapez un nom convivial pour le certificat dans la zone Spécifier un nom convivial pour le certificat, puis cliquez sur OK.

    Note

    • Cette procédure génère un certificat auto-signé qui ne provient pas d’une source généralement approuvée ; Par conséquent, vous ne devez pas utiliser ce certificat pour sécuriser les transferts de données entre les clients Internet et votre serveur.
    • Les certificats auto-signés peuvent entraîner l’émission d’avertissements d’hameçonnage dans votre navigateur web.
  2. Utilisation du certificat approuvé par l’autorité de certification

    Il existe deux façons d’importer un certificat

    1. Demandez ou importez un certificat à partir d’une autorité de certification à l’aide d’IIS :

    2. Demandez ou importez un certificat dans le magasin de certificats personnels à l’aide du Gestionnaire de certificats :
      Aide et apprentissage Windows

      Modèles de certificat à utiliser :

      Client MBAM vers le serveur d’administration et de surveillance MBAM : utilisez le modèle de serveur web standard.

      Une fois le certificat prêt, lorsque vous exécutez le programme d’installation de MBAM, nous vous montrerons l’empreinte numérique du certificat dans l’Assistant « Configurer la sécurité des communications réseau » pour le programme d’installation de MBAM.

      Capture d’écran de la fenêtre Administration et surveillance De Microsoft BitLocker, qui affiche le certificat pour le chiffrement de communication réseau.

Étape 2 : Chiffrer le canal entre l’administration ET le serveur de surveillance MBAM et la base de données SQL matérielle.

MBAM peut chiffrer les communications entre la base de données de récupération et de matériel et les serveurs d'administration et de surveillance. Si vous choisissez l’option de chiffrement des communications, vous êtes invité à sélectionner le certificat provisionné par l’autorité de certification utilisée pour le chiffrement.

Modèles de certificat à utiliser :

Serveur DE base de données SQL MBAM vers administrateur et serveur de surveillance : modèle d’authentification serveur standard

Lorsque vous exécutez le programme d’installation MBAM sur un serveur sur lequel vous installerez le rôle de base de données de base de données MBAM Recovery &Hardware, vous pouvez voir l’empreinte du certificat dans l’Assistant « Configurer network Communication Security » pour le programme d’installation de MBAM.

Capture d’écran de la fenêtre Administration et surveillance de Microsoft BitLocker, qui affiche l’empreinte numérique de l’Assistant Configuration de la sécurité des communications réseau.

Étape 3 : Comment configurer SSL pour la conformité SQL et auditer le serveur de base de données.

Note

Vous devez configurer SSL pour SQL avant d’exécuter le programme d’installation MBAM sur votre serveur.

  1. Ouvrez le Gestionnaire de configuration SQL Reporting Services sur le serveur où vous avez installé le rôle Rapports d’audit MBAM.

  2. Connectez-vous à votre serveur et cliquez sur l’URL du service web.

    Capture d’écran de la fenêtre Se connecter avec l’URL du service web sélectionnée dans le volet gauche.

  3. Cliquez sur Avancé, puis sélectionnez votre certificat. Voir l’image ci-dessous :

    Capture d’écran de la fenêtre Configuration de site web multiple avancé et de la fenêtre Ajouter une liaison SSL du serveur de rapports.

  4. Répétez « Étape 3 » pour l’URL du Gestionnaire de rapports dans SQL Reporting Services Configuration Manager.

  5. Maintenant, lorsque vous ouvrez des rapports MBAM, il utilise SSL pour se connecter à SQL SSRS.

Étape 4 : Configurer SQL pour forcer le chiffrement sur tous les protocoles.

  1. Connectez-vous à SQL Server et ouvrez Gestionnaire de configuration SQL Server.

  2. Développez la configuration du réseau SQL Server et sélectionnez « Protocoles pour MSSQLSERVER ».

  3. Cliquez avec le bouton droit sur « Protocoles pour MSSQLSERVER », puis sélectionnez Oui pour forcer le chiffrement.

    Capture d’écran des protocoles pour MSSQLSERVER Fenêtre Propriétés, dans laquelle Oui est sélectionné pour Forcer le chiffrement sous l’onglet Indicateurs.

  4. Sélectionnez l’onglet Certificats et choisissez votre certificat dans la liste déroulante.

  5. Cliquez sur Appliquer et redémarrez vos services SQL.

  6. Lorsque vous essayez de redémarrer SQL Services, vous recevrez un message d’erreur « La demande a échoué ou le service n’a pas répondu en temps voulu. Pour plus d’informations, consultez le journal des événements ou d’autres journaux d’erreurs applicables. »

  7. Elle échoue, car le compte SQL n’a pas de droits sur les clés privées du certificat.

  8. Ouvrez la console MMC du Gestionnaire de certificats et donnez au compte SQL utilisé pour les services SQL un accès complet sur le certificat.

    Capture d’écran de l’onglet Sécurité de la console MMC Certificate Manager, dans laquelle le compte d’administrateur SQL dispose d’un accès total.

  9. Redémarrez les services SQL Server maintenant et il doit réussir.

Plus d’informations