Pianificazione di come proteggere i siti Web di MBAM

Questo argomento descrive i metodi seguenti per proteggere il sito Web di amministrazione e monitoraggio di Microsoft BitLocker (MBAM) 2.5 e il portale di Self-Service:

Metodo	Obbligatorio o facoltativo?
Uso dei certificati per proteggere i siti Web MBAM	Facoltativo, ma altamente consigliato
Registrazione dei nomi dell'entità servizio (SPN) per l'account del pool di applicazioni	Obbligatorio

Per altre informazioni su come proteggere la distribuzione di MBAM, vedere Considerazioni sulla sicurezza di MBAM 2.5.

Uso dei certificati per proteggere i siti Web MBAM

È consigliabile usare un certificato per proteggere la comunicazione tra:

• Client MBAM e servizi Web

• Browser e sito Web di amministrazione e monitoraggio e siti Web del portale di Self-Service

Per informazioni sulla richiesta e l'installazione di un certificato, vedere Configurazione dei certificati del server Internet.

Nota È possibile configurare i siti Web e i servizi Web in server diversi solo se si usa Windows PowerShell. Se si usa la Configurazione guidata server MBAM per configurare i siti Web, è necessario configurare i siti Web e i servizi Web nello stesso server.

Per proteggere la comunicazione tra i servizi Web e i database, è anche consigliabile forzare la crittografia in SQL Server. Per informazioni sulla protezione di tutte le connessioni a SQL Server, inclusa la comunicazione tra i servizi Web e SQL Server, vedere Considerazioni sulla sicurezza di MBAM 2.5.

Registrazione dei nomi SPN per l'account del pool di applicazioni

Per consentire ai server MBAM di autenticare la comunicazione dal sito Web di amministrazione e monitoraggio e dal portale di Self-Service, è necessario registrare un nome dell'entità servizio (SPN) per il nome host nell'account di dominio usato per il pool di applicazioni Web.

Questo argomento contiene istruzioni su come registrare i nomi SPN per i tipi di nomi host seguenti:

• Nome di dominio completo

• Nome NetBIOS

• Nome virtuale

Prima di creare nomi SPN per un'installazione iniziale di MBAM

Esaminare le informazioni nella tabella seguente prima di iniziare a creare nomi SPN.

Attività o elemento	Altre informazioni
Creare un account del servizio in Active Directory Domain Services (AD DS).	L'account del servizio è un account utente creato in Servizi di dominio Active Directory per garantire la sicurezza per i siti Web MBAM. I siti Web MBAM vengono eseguiti in un pool di applicazioni, la cui identità è il nome dell'account del servizio. I nomi SPN vengono quindi registrati nell'account del pool di applicazioni. Nota È necessario usare lo stesso account del pool di applicazioni per tutti i server Web.
Verificare che all'account del gruppo IIS-IUSRS o all'account del pool di applicazioni siano stati concessi i diritti necessari.	Per verificarlo, seguire questa procedura: Aprire l'editor criteri di sicurezza locali ed espandere il nodo Criteri locali . Selezionare il nodo Assegnazione diritti utente e fare doppio clic sulle impostazioni di Criteri di gruppo Rappresenta un client dopo l'autenticazione e Accedi come processo batch nel riquadro destro.
Se si configurano i siti Web MBAM usando un account amministratore di dominio, MBAM creerà automaticamente i nomi SPN.	Se si configurano i siti Web MBAM usando un account amministratore di dominio, seguire la procedura descritta in questo argomento per registrare manualmente i nomi SPN per il tipo di nome host in uso.

Registrazione dei nomi SPN quando si usa un nome host di dominio completo

Se si usa un nome host di dominio completo quando si configura MBAM, è necessario registrare un solo nome SPN, come illustrato nell'esempio seguente.

Operazioni da eseguire	Esempi e altre informazioni
Registrare un nome SPN per il nome di dominio completo.	Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser Il nome host completo è mybitlockerrecovery.contoso.com e l'account di dominio usato per il pool di applicazioni Web è contoso\mbamapppooluser.
Configurare la delega vincolata per il nome SPN che si sta registrando per l'account del pool di applicazioni.	Configurazione della delega vincolata Questo requisito si applica solo a MBAM 2.5; non è necessario in MBAM 2.5 SP1.

Registrazione dei nomi SPN quando si usa un nome host NetBIOS

Se si usa un nome host NetBIOS durante la configurazione di MBAM, registrare un nome SPN per il nome NetBIOS e un altro NOME SPN per il nome di dominio completo, come illustrato negli esempi seguenti.

Operazioni da eseguire	Esempi e altre informazioni
Registrare un nome SPN per il nome host NetBIOS.	Setspn -s http/nbname01 contoso\mbamapppooluser Il nome host NetBIOS è nbname01 e l'account di dominio usato per il pool di applicazioni Web è contoso\mbamapppooluser.
Registrare un nome SPN per il nome di dominio completo.	Setspn –s http/nbname01.corp.contoso.com contoso\mbamapppooluser Il nome di dominio completo è nbname01.contoso.com e l'account di dominio usato per il pool di applicazioni Web è contoso\mbamapppooluser.
Configurare la delega vincolata per i nomi SPN registrati per l'account del pool di applicazioni.	Configurazione della delega vincolata Questo requisito si applica solo a MBAM 2.5; non è necessario in MBAM 2.5 SP1.

Registrazione dei nomi SPN quando si usa un nome host virtuale

Se si configura MBAM con un nome host virtuale che è un nome di dominio completo, registrare un solo nome SPN per il nome host virtuale. Se il nome host virtuale configurato non è un nome di dominio completo, è necessario creare un secondo NOME SPN che specifichi il nome di dominio completo, come descritto negli esempi seguenti.

Operazioni da eseguire	Esempi e altre informazioni
Se il nome host virtuale è un nome di dominio completo, come in questo esempio, registrare un solo NOME SPN.	Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser Nell'esempio il nome host virtuale è mbamvirtual.contoso.com e l'account di dominio usato per il pool di applicazioni Web è contoso\mbamapppooluser.
Registrare questo nome SPN aggiuntivo se il nome host virtuale non è un nome di dominio completo.	Setspn -s http/mbamvirtual contoso\mbamapppooluser Nell'esempio il nome host virtuale è mbamvirtual e l'account di dominio usato per il pool di applicazioni Web è contoso\mbamapppooluser.
Registrare questo nome SPN aggiuntivo se il nome host virtuale non è un nome di dominio completo.	Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser Nell'esempio il nome host virtuale è mbamvirtual.contoso.com e l'account di dominio usato per il pool di applicazioni Web è contoso\mbamapppooluser.
Nel server DNS (Domain Name Server) creare un "record A" per il nome host personalizzato e puntare a un server Web o a un servizio di bilanciamento del carico.	Vedere la sezione "Per configurare record A host DNS" in Configurare record host DNS. È consigliabile usare record A anziché CNAMES. Se si usa CNAMES per puntare all'indirizzo di dominio, è necessario registrare anche i nomi SPN per il nome del server Web nell'account del pool di applicazioni.
Configurare la delega vincolata per i nomi SPN registrati per l'account del pool di applicazioni.	Configurazione della delega vincolata Questo requisito si applica solo a MBAM 2.5; non è necessario in MBAM 2.5 SP1.

Registrazione di un nome SPN quando si esegue l'aggiornamento da versioni precedenti di MBAM

Completare i passaggi in questa sezione solo se si vuole:

• Eseguire l'aggiornamento da una versione precedente di MBAM.

• Eseguire i siti Web in MBAM 2.5 in una configurazione con carico bilanciato o distribuito ed è attualmente in esecuzione una configurazione che non è bilanciata dal carico.

Se i nomi SPN sono già stati registrati nell'account del computer anziché in un account del pool di applicazioni, MBAM usa i nomi SPN esistenti e non è possibile configurare i siti Web in una configurazione distribuita o con bilanciamento del carico.

Operazioni da eseguire	Esempi e altre informazioni
Creare un account del pool di applicazioni in Active Directory Domain Services (AD DS).
Rimuovere i siti Web e i servizi Web attualmente installati.	Rimozione di software o funzionalità del server di MBAM
Rimuovere i nomi SPN dall'account del computer.	Setspn –d http/mbamwebserver mbamwebserver Setspn –d http/mbamwebserver.contoso.com mbamwebserver
Registrare i nomi SPN nell'account del pool di applicazioni.	Seguire la procedura per registrare i nomi SPN quando si usa un nome host virtuale.
Riconfigurare le applicazioni Web e i servizi Web.	Come configurare le applicazioni Web di MBAM 2.5
Eseguire una delle operazioni seguenti, a seconda del metodo usato per la configurazione: Metodo Dettagli Configurazione guidata server MBAM Immettere l'account del pool di applicazioni nel campo Account di dominio del pool di applicazioni del servizio Web . Enable-MbamWebApplication Cmdlet di Windows PowerShell Immettere l'account nel WebServiceApplicationPoolCredential parametro .	Importante Il nome host immesso deve corrispondere al nome host virtuale per cui si stanno creando i nomi SPN. Inoltre, nella web farm, i nomi host e le credenziali del pool di applicazioni devono essere gli stessi in ogni server che si sta configurando. Quando MBAM configura le applicazioni Web, tenterà di registrare automaticamente i nomi SPN, ma può farlo solo se si dispone dei diritti di amministratore di dominio nel server in cui si installa MBAM. Se non si dispone di questi diritti, è possibile completare la configurazione, ma sarà necessario impostare i nomi SPN prima o dopo aver configurato MBAM.

Impostazioni di filtro richieste necessarie

"Consenti estensioni di file non incluse nell'elenco" è necessario affinché l'applicazione funzioni come previsto. Questa operazione è disponibile passando a "Microsoft BitLocker Administration and Monitoring" - Request Filtering - Edit Feature Settings (Amministrazione e monitoraggio di Microsoft BitLocker-> Filtro richieste -> Modifica impostazioni funzionalità).

Argomenti correlati

Preparazione dell'ambiente per MBAM 2.5

Prerequisiti per la distribuzione di MBAM 2.5

Hai un suggerimento per MBAM?

Per i problemi di MBAM, usare il forum technet di MBAM.