Pianificazione di come proteggere i siti Web di MBAM
Questo argomento descrive i metodi seguenti per proteggere il sito Web di amministrazione e monitoraggio di Microsoft BitLocker (MBAM) 2.5 e il portale di Self-Service:
Metodo | Obbligatorio o facoltativo? |
---|---|
Uso dei certificati per proteggere i siti Web MBAM |
Facoltativo, ma altamente consigliato |
Registrazione dei nomi dell'entità servizio (SPN) per l'account del pool di applicazioni |
Obbligatorio |
Per altre informazioni su come proteggere la distribuzione di MBAM, vedere Considerazioni sulla sicurezza di MBAM 2.5.
Uso dei certificati per proteggere i siti Web MBAM
È consigliabile usare un certificato per proteggere la comunicazione tra:
Client MBAM e servizi Web
Browser e sito Web di amministrazione e monitoraggio e siti Web del portale di Self-Service
Per informazioni sulla richiesta e l'installazione di un certificato, vedere Configurazione dei certificati del server Internet.
Nota È possibile configurare i siti Web e i servizi Web in server diversi solo se si usa Windows PowerShell. Se si usa la Configurazione guidata server MBAM per configurare i siti Web, è necessario configurare i siti Web e i servizi Web nello stesso server.
Per proteggere la comunicazione tra i servizi Web e i database, è anche consigliabile forzare la crittografia in SQL Server. Per informazioni sulla protezione di tutte le connessioni a SQL Server, inclusa la comunicazione tra i servizi Web e SQL Server, vedere Considerazioni sulla sicurezza di MBAM 2.5.
Registrazione dei nomi SPN per l'account del pool di applicazioni
Per consentire ai server MBAM di autenticare la comunicazione dal sito Web di amministrazione e monitoraggio e dal portale di Self-Service, è necessario registrare un nome dell'entità servizio (SPN) per il nome host nell'account di dominio usato per il pool di applicazioni Web.
Questo argomento contiene istruzioni su come registrare i nomi SPN per i tipi di nomi host seguenti:
Nome di dominio completo
Nome NetBIOS
Nome virtuale
Prima di creare nomi SPN per un'installazione iniziale di MBAM
Esaminare le informazioni nella tabella seguente prima di iniziare a creare nomi SPN.
Attività o elemento | Altre informazioni |
---|---|
Creare un account del servizio in Active Directory Domain Services (AD DS). |
L'account del servizio è un account utente creato in Servizi di dominio Active Directory per garantire la sicurezza per i siti Web MBAM. I siti Web MBAM vengono eseguiti in un pool di applicazioni, la cui identità è il nome dell'account del servizio. I nomi SPN vengono quindi registrati nell'account del pool di applicazioni.
Nota
È necessario usare lo stesso account del pool di applicazioni per tutti i server Web. |
Verificare che all'account del gruppo IIS-IUSRS o all'account del pool di applicazioni siano stati concessi i diritti necessari. |
Per verificarlo, seguire questa procedura:
|
Se si configurano i siti Web MBAM usando un account amministratore di dominio, MBAM creerà automaticamente i nomi SPN. |
Se si configurano i siti Web MBAM usando un account amministratore di dominio, seguire la procedura descritta in questo argomento per registrare manualmente i nomi SPN per il tipo di nome host in uso. |
Registrazione dei nomi SPN quando si usa un nome host di dominio completo
Se si usa un nome host di dominio completo quando si configura MBAM, è necessario registrare un solo nome SPN, come illustrato nell'esempio seguente.
Operazioni da eseguire | Esempi e altre informazioni |
---|---|
Registrare un nome SPN per il nome di dominio completo. |
Il nome host completo è mybitlockerrecovery.contoso.com e l'account di dominio usato per il pool di applicazioni Web è contoso\mbamapppooluser. |
Configurare la delega vincolata per il nome SPN che si sta registrando per l'account del pool di applicazioni. |
Configurazione della delega vincolata Questo requisito si applica solo a MBAM 2.5; non è necessario in MBAM 2.5 SP1. |
Registrazione dei nomi SPN quando si usa un nome host NetBIOS
Se si usa un nome host NetBIOS durante la configurazione di MBAM, registrare un nome SPN per il nome NetBIOS e un altro NOME SPN per il nome di dominio completo, come illustrato negli esempi seguenti.
Operazioni da eseguire | Esempi e altre informazioni |
---|---|
Registrare un nome SPN per il nome host NetBIOS. |
Il nome host NetBIOS è nbname01 e l'account di dominio usato per il pool di applicazioni Web è contoso\mbamapppooluser. |
Registrare un nome SPN per il nome di dominio completo. |
Il nome di dominio completo è nbname01.contoso.com e l'account di dominio usato per il pool di applicazioni Web è contoso\mbamapppooluser. |
Configurare la delega vincolata per i nomi SPN registrati per l'account del pool di applicazioni. |
Configurazione della delega vincolata Questo requisito si applica solo a MBAM 2.5; non è necessario in MBAM 2.5 SP1. |
Registrazione dei nomi SPN quando si usa un nome host virtuale
Se si configura MBAM con un nome host virtuale che è un nome di dominio completo, registrare un solo nome SPN per il nome host virtuale. Se il nome host virtuale configurato non è un nome di dominio completo, è necessario creare un secondo NOME SPN che specifichi il nome di dominio completo, come descritto negli esempi seguenti.
Operazioni da eseguire | Esempi e altre informazioni |
---|---|
Se il nome host virtuale è un nome di dominio completo, come in questo esempio, registrare un solo NOME SPN. |
Nell'esempio il nome host virtuale è mbamvirtual.contoso.com e l'account di dominio usato per il pool di applicazioni Web è contoso\mbamapppooluser. |
Registrare questo nome SPN aggiuntivo se il nome host virtuale non è un nome di dominio completo. |
Nell'esempio il nome host virtuale è mbamvirtual e l'account di dominio usato per il pool di applicazioni Web è contoso\mbamapppooluser. |
Registrare questo nome SPN aggiuntivo se il nome host virtuale non è un nome di dominio completo. |
Nell'esempio il nome host virtuale è mbamvirtual.contoso.com e l'account di dominio usato per il pool di applicazioni Web è contoso\mbamapppooluser. |
Nel server DNS (Domain Name Server) creare un "record A" per il nome host personalizzato e puntare a un server Web o a un servizio di bilanciamento del carico. |
Vedere la sezione "Per configurare record A host DNS" in Configurare record host DNS. È consigliabile usare record A anziché CNAMES. Se si usa CNAMES per puntare all'indirizzo di dominio, è necessario registrare anche i nomi SPN per il nome del server Web nell'account del pool di applicazioni. |
Configurare la delega vincolata per i nomi SPN registrati per l'account del pool di applicazioni. |
Configurazione della delega vincolata Questo requisito si applica solo a MBAM 2.5; non è necessario in MBAM 2.5 SP1. |
Registrazione di un nome SPN quando si esegue l'aggiornamento da versioni precedenti di MBAM
Completare i passaggi in questa sezione solo se si vuole:
Eseguire l'aggiornamento da una versione precedente di MBAM.
Eseguire i siti Web in MBAM 2.5 in una configurazione con carico bilanciato o distribuito ed è attualmente in esecuzione una configurazione che non è bilanciata dal carico.
Se i nomi SPN sono già stati registrati nell'account del computer anziché in un account del pool di applicazioni, MBAM usa i nomi SPN esistenti e non è possibile configurare i siti Web in una configurazione distribuita o con bilanciamento del carico.
Operazioni da eseguire | Esempi e altre informazioni | ||||||
---|---|---|---|---|---|---|---|
Creare un account del pool di applicazioni in Active Directory Domain Services (AD DS). |
|||||||
Rimuovere i siti Web e i servizi Web attualmente installati. |
|||||||
Rimuovere i nomi SPN dall'account del computer. |
|
||||||
Registrare i nomi SPN nell'account del pool di applicazioni. |
Seguire la procedura per registrare i nomi SPN quando si usa un nome host virtuale. |
||||||
Riconfigurare le applicazioni Web e i servizi Web. |
|||||||
Eseguire una delle operazioni seguenti, a seconda del metodo usato per la configurazione:
|
Importante
Il nome host immesso deve corrispondere al nome host virtuale per cui si stanno creando i nomi SPN. Inoltre, nella web farm, i nomi host e le credenziali del pool di applicazioni devono essere gli stessi in ogni server che si sta configurando. Quando MBAM configura le applicazioni Web, tenterà di registrare automaticamente i nomi SPN, ma può farlo solo se si dispone dei diritti di amministratore di dominio nel server in cui si installa MBAM. Se non si dispone di questi diritti, è possibile completare la configurazione, ma sarà necessario impostare i nomi SPN prima o dopo aver configurato MBAM. |
Impostazioni di filtro richieste necessarie
"Consenti estensioni di file non incluse nell'elenco" è necessario affinché l'applicazione funzioni come previsto. Questa operazione è disponibile passando a "Microsoft BitLocker Administration and Monitoring" - Request Filtering - Edit Feature Settings (Amministrazione e monitoraggio di Microsoft BitLocker-> Filtro richieste -> Modifica impostazioni funzionalità).
Argomenti correlati
Preparazione dell'ambiente per MBAM 2.5
Prerequisiti per la distribuzione di MBAM 2.5
Hai un suggerimento per MBAM?
Per i problemi di MBAM, usare il forum technet di MBAM.