Delen via

MBAM en beveiligde netwerkcommunicatie

In dit artikel wordt beschreven hoe u de BitLocker Administration and Monitoring (MBAM) van Microsoft configureert met Secure Network Communication.

Oorspronkelijk KB-nummer: 2754259

Samenvatting

MBAM kan de communicatie versleutelen tussen de MBAM Recovery en Hardware Database, het beheer en de bewakingsservers en de MBAM-clients. Als u besluit om de communicatie te versleutelen, wordt u gevraagd het certificaat te selecteren dat door de certificeringsinstantie is ingericht voor versleuteling.

Het kanaal tussen MBAM Administration & Monitoring Server en SQL SSRS kan ook worden versleuteld. Een beheerder heeft een certificaat nodig dat is goedgekeurd door ca (certificeringsinstantie) of een zelfondertekend certificaat voordat hij MBAM implementeert.

Notitie

Als u besluit om met SSL te gaan, moet u ervoor zorgen dat u het juiste certificaat hebt om SSL te configureren voordat u MBAM Setup uitvoert op uw server.

Stap 1: Versleutel kanaal tussen MBAM Client en Administration & Monitoring Server.

  1. Zelfondertekend certificaat gebruiken.

    1. Maak verbinding met de server waarop de ROL MBAM Administration & Monitoring wordt geïnstalleerd.
    2. Zorg ervoor dat u IIS hebt geïnstalleerd.
    3. Open Serverbeheer en klik op Rollen.
    4. Selecteer webserver en klik op IIS.
    5. Dubbelklik in de functieweergave op servercertificaten.
    6. Selecteer onder het deelvenster Acties de optie Zelfondertekend certificaat.
    7. Typ op de pagina Zelfondertekend certificaat maken een beschrijvende naam voor het certificaat in het vak Geef een beschrijvende naam op voor het certificaatvak en klik op OK.

    Notitie

    • Met deze procedure wordt een zelfondertekend certificaat gegenereerd dat niet afkomstig is van een algemeen vertrouwde bron; Daarom moet u dit certificaat niet gebruiken om gegevensoverdracht tussen internetclients en uw server te beveiligen.
    • Zelfondertekende certificaten kunnen ertoe leiden dat uw webbrowser phishingwaarschuwingen geeft.

  2. Certificaat gebruiken dat is goedgekeurd door certificeringsinstantie

    Er zijn twee manieren om een certificaat te importeren

    1. Een certificaat van een CA aanvragen of importeren met IIS:

    2. Een certificaat aanvragen of importeren in het persoonlijke certificaatarchief met behulp van Certificaatbeheer:
      Help en leren van Windows

      Te gebruiken certificaatsjablonen:

      MBAM Client to MBAM Administration & Monitoring Server: Use Standard Web Server Template.

      Nadat u het certificaat klaar hebt, laten we u de vingerafdruk van het certificaat zien in de wizard Netwerkcommunicatiebeveiliging configureren voor MBAM Setup wanneer u MBAM Setup uitvoert.

      Schermopname van het venster Microsoft BitLocker-beheer en -bewaking, waarin het certificaat voor netwerkcommunicatieversleuteling wordt weergegeven.

Stap 2: Versleutel kanaal tussen MBAM Administration & Monitoring Server en MBAM Recovery & Hardware SQL DB.

MBAM kan de communicatie tussen de herstel- en hardwaredatabase en de beheer- en bewakingsservers versleutelen. Als u de optie kiest om communicatie te versleutelen, wordt u gevraagd het certificaat te selecteren dat door de certificeringsinstantie is ingericht voor versleuteling.

Te gebruiken certificaatsjablonen:

MBAM SQL DB Server naar beheer en bewakingsserver: Standaardserververificatiesjabloon

Wanneer u MBAM Setup Program uitvoert op een server waarop u de rol MBAM Recovery & Hardware DB installeert, ziet u de vingerafdruk van het certificaat in de wizard Netwerkcommunicatiebeveiliging configureren voor MBAM Setup Program.

Schermopname van het venster Microsoft BitLocker-beheer en -bewaking, waarin de vingerafdruk wordt weergegeven in de wizard Netwerkcommunicatiebeveiliging configureren.

Stap 3: SSL configureren voor SQL-naleving en DB-server controleren.

Notitie

U moet SSL voor SQL configureren voordat u MBAM Setup uitvoert op uw server.

  1. Open SQL Reporting Services Configuration Manager op server waarop u de rol MBAM Audit Reports hebt geïnstalleerd.

  2. Maak verbinding met uw server en klik op De URL van de webservice.

    Schermopname van het venster Verbinding maken met webservice-URL geselecteerd in het linkerdeelvenster.

  3. Klik op Geavanceerd en selecteer vervolgens uw certificaat. Zie de onderstaande afbeelding:

    Schermopname van het venster Advanced Multiple Web Site Configuration en het venster Add a Report Server SSL Binding.

  4. Herhaal stap 3 voor de URL van Report Manager in SQL Reporting Services Configuration Manager.

  5. Wanneer u NU MBAM Reports opent, wordt SSL gebruikt om verbinding te maken met SQL SSRS.

Stap 4: CONFIGUREER SQL om versleuteling op alle protocollen af te dwingen.

  1. Meld u aan bij SQL Server en open SQL Server Configuration Manager.

  2. Vouw SQL Server-netwerkconfiguratie uit en selecteer Protocollen voor MSSQLSERVER.

  3. Klik met de rechtermuisknop op Protocollen voor MSSQLSERVER en selecteer Ja voor Geforceerde versleuteling.

    Schermopname van de protocollen voor MSSQLSERVER venster Eigenschappen, waarin Ja is geselecteerd voor Geforceerde versleuteling op het tabblad Vlaggen.

  4. Selecteer het tabblad Certificaten en kies uw certificaat in de vervolgkeuzelijst.

  5. Klik op Toepassen en start uw SQL Services opnieuw.

  6. Wanneer u SQL Services opnieuw probeert te starten, krijgt u het foutbericht 'De aanvraag is mislukt of de service heeft niet tijdig gereageerd. Raadpleeg het gebeurtenislogboek of andere toepasselijke foutenlogboeken voor meer informatie.

  7. Dit mislukt omdat het SQL-account geen rechten heeft voor persoonlijke sleutels van het certificaat.

  8. Open de MMC-console van Certificate Manager en geef het SQL-account dat wordt gebruikt voor volledige toegang tot SQL-services op het certificaat.

    Schermopname van het tabblad Beveiliging van de MMC-console certificaatbeheer, waarin het SQL-beheerdersaccount volledige toegang heeft.

  9. Start de SQL Server-services nu opnieuw op en deze moet zijn geslaagd.

Meer informatie