Udostępnij za pośrednictwem


MBAM i bezpieczna komunikacja sieciowa

W tym artykule omówiono sposób konfigurowania administrowania funkcją BitLocker i monitorowania (MBAM) firmy Microsoft przy użyciu bezpiecznej komunikacji sieciowej.

Oryginalny numer KB: 2754259

Podsumowanie

Program MBAM może szyfrować komunikację między bazą danych odzyskiwania MBAM i sprzętu, serwerami administracji i monitorowaniem oraz klientami MBAM. Jeśli zdecydujesz się zaszyfrować komunikację, zostanie wyświetlony monit o wybranie certyfikatu aprowizowanego przez urząd certyfikacji, który będzie używany do szyfrowania.

Kanał między programem MBAM Administration & Monitoring Server i usługą SQL SSRS można również zaszyfrować. Administrator wymaga certyfikatu zatwierdzonego przez urząd certyfikacji (urząd certyfikacji) lub certyfikat z podpisem własnym przed wdrożeniem programu MBAM.

Uwaga 16.

Jeśli zdecydujesz się na użycie protokołu SSL, upewnij się, że masz prawidłowy certyfikat do skonfigurowania protokołu SSL przed uruchomieniem instalatora programu MBAM na serwerze.

Krok 1. Szyfrowanie kanału między klientem MBAM a serwerem administracji i monitorowania.

  1. Korzystanie z certyfikatu z podpisem własnym.

    1. Nawiąż połączenie z serwerem, na którym zostanie zainstalowana rola administracja i monitorowanie programu MBAM.
    2. Upewnij się, że zainstalowano usługi IIS.
    3. Otwórz Menedżer serwera i kliknij pozycję Role.
    4. Wybierz serwer internetowy i kliknij pozycję IIS.
    5. W widoku funkcji kliknij dwukrotnie pozycję Certyfikaty serwera.
    6. W okienku Akcje wybierz pozycję Certyfikat z podpisem własnym.
    7. Na stronie Tworzenie certyfikatu z podpisem własnym wpisz przyjazną nazwę certyfikatu w polu Określ przyjazną nazwę certyfikatu, a następnie kliknij przycisk OK.

    Uwaga 16.

    • Ta procedura generuje certyfikat z podpisem własnym, który nie pochodzi z ogólnie zaufanego źródła; dlatego nie należy używać tego certyfikatu do zabezpieczania transferów danych między klientami internetowymi a serwerem.
    • Certyfikaty z podpisem własnym mogą spowodować, że przeglądarka internetowa będzie wyświetlać ostrzeżenia dotyczące wyłudzania informacji.
  2. Używanie certyfikatu zatwierdzonego przez urząd certyfikacji

    Istnieją dwa sposoby importowania certyfikatu

    1. Żądanie lub zaimportowanie certyfikatu z urzędu certyfikacji przy użyciu usług IIS:

    2. Zażądaj lub zaimportuj certyfikat do osobistego magazynu certyfikatów przy użyciu Menedżera certyfikatów:
      Pomoc i nauka systemu Windows

      Szablony certyfikatów do użycia:

      Klient MBAM do serwera administracji i monitorowania MBAM: użyj standardowego szablonu serwera sieci Web.

      Po dokonaniu konfiguracji programu MBAM po dokonaniu certyfikatu wyświetlimy odcisk palca certyfikatu w kreatorze "Konfigurowanie zabezpieczeń komunikacji sieciowej" dla instalatora programu MBAM.

      Zrzut ekranu przedstawiający okno Administracja i monitorowanie funkcji Microsoft BitLocker, które pokazuje certyfikat szyfrowania komunikacji sieciowej.

Krok 2. Szyfrowanie kanału między serwerem administrowania mbam i monitorowaniem i odzyskiwaniem MBAM i sprzętowej bazy danych SQL.

Program MBAM może szyfrować komunikację między bazą danych odzyskiwania i sprzętu oraz serwerami administracji i monitorowania. Jeśli wybierzesz opcję szyfrowania komunikacji, zostanie wyświetlony monit o wybranie certyfikatu aprowizowanego przez urząd certyfikacji, który jest używany do szyfrowania.

Szablony certyfikatów do użycia:

PROGRAM MBAM SQL DB Server do serwera administracyjnego i monitorowania: szablon uwierzytelniania serwera w warstwie Standardowa

Po wykonaniu programu instalacyjnego MBAM na serwerze, na którym zostanie zainstalowana rola usługi MBAM Recovery & Hardware DB, można wyświetlić odcisk palca certyfikatu w kreatorze "Konfigurowanie zabezpieczeń komunikacji sieciowej" dla programu instalacyjnego MBAM.

Zrzut ekranu przedstawiający okno Administracja i monitorowanie funkcji Microsoft BitLocker, które pokazuje odcisk palca w kreatorze Konfigurowanie zabezpieczeń komunikacji sieciowej.

Krok 3. Jak skonfigurować protokół SSL pod kątem zgodności i inspekcji serwera bazy danych SQL.

Uwaga 16.

Przed uruchomieniem instalatora programu MBAM na serwerze należy skonfigurować protokół SSL dla programu SQL.

  1. Otwórz Menedżera konfiguracji usług SQL Reporting Services na serwerze, na którym zainstalowano rolę raportów inspekcji PROGRAMU MBAM.

  2. Połącz się z serwerem i kliknij pozycję Adres URL usługi sieci Web.

    Zrzut ekranu przedstawiający okno Łączenie z adresem URL usługi internetowej wybranym w okienku po lewej stronie.

  3. Kliknij pozycję Zaawansowane, a następnie wybierz certyfikat. Zobacz obraz poniżej:

    Zrzut ekranu przedstawiający okno Zaawansowane konfigurowanie wielu witryn sieci Web i okno Dodawanie powiązania SSL serwera raportów.

  4. Powtórz krok 3 dla adresu URL menedżera raportów w programie SQL Reporting Services Configuration Manager.

  5. Teraz po otwarciu raportów MBAM będzie on używać protokołu SSL do nawiązywania połączenia z usługą SQL SSRS.

Krok 4. Konfigurowanie usługi SQL w celu wymuszenia szyfrowania we wszystkich protokołach.

  1. Zaloguj się do programu SQL Server i otwórz program SQL Server Configuration Manager.

  2. Rozwiń węzeł Konfiguracja sieci programu SQL Server i wybierz pozycję "Protokoły dla serwera MSSQLSERVER".

  3. Kliknij prawym przyciskiem myszy pozycję "Protokoły dla serwera MSSQLSERVER" i wybierz pozycję Tak w polu Wymuś szyfrowanie.

    Zrzut ekranu przedstawiający okno Właściwości Protokoły dla serwera MSSQLSERVER, w którym wybrano opcję Tak dla opcji Wymuszanie szyfrowania na karcie Flagi.

  4. Wybierz kartę Certyfikaty i wybierz certyfikat z listy rozwijanej.

  5. Kliknij pozycję Zastosuj i uruchom ponownie usługi SQL.

  6. Podczas próby ponownego uruchomienia usług SQL zostanie wyświetlony komunikat o błędzie "Żądanie nie powiodło się lub usługa nie odpowiedziała w odpowiednim czasie. Aby uzyskać szczegółowe informacje, zapoznaj się z dziennikiem zdarzeń lub innymi odpowiednimi dziennikami błędów.

  7. Kończy się to niepowodzeniem, ponieważ konto SQL nie ma praw do kluczy prywatnych certyfikatu.

  8. Otwórz konsolę MMC Menedżera certyfikatów i nadaj kontu SQL używanego dla usług SQL Pełny dostęp do certyfikatu.

    Zrzut ekranu przedstawiający kartę Zabezpieczenia konsoli MMC Menedżera certyfikatów, w której konto administratora SQL ma pełny dostęp.

  9. Uruchom ponownie usługi PROGRAMU SQL Server teraz i powinno zakończyć się powodzeniem.

Więcej informacji