Share via

Необходимые условия MBAM 2.5 Server для изолированной топологии и топологии интеграции диспетчера конфигураций

  • Статья

Перед запуском установки Microsoft BitLocker Administration and Monitoring (MBAM) необходимо выполнить предварительные требования, перечисленные в этой статье. Эти предварительные требования применяются к изолированной топологии MBAM и топологии интеграции System Center Configuration Manager.

При развертывании MBAM с System Center Configuration Manager необходимо выполнить дополнительные предварительные требования, перечисленные в разделе Предварительные требования сервера MBAM 2.5, которые применяются только к топологии интеграции Configuration Manager.

Список поддерживаемых оборудования и операционных систем для MBAM см. в статье Поддерживаемые конфигурации MBAM 2.5.

Важно.
Если BitLocker использовался без MBAM, необходимо расшифровать диск, а затем очистить TPM с помощью tpm.msc. MBAM не может стать владельцем доверенного платформенного модуля, если клиентский компьютер уже зашифрован и пароль владельца доверенного платформенного модуля создан.

Обязательные роли и учетные записи MBAM

Условием Сведения

Группы, созданные в доменные службы Active Directory (AD DS)

Описание этих групп и учетных записей см. в разделе Планирование групп и учетных записей MBAM 2.5 .

Предварительные требования для базы данных восстановления

Условием Сведения

Поддерживаемая версия SQL Server

Установите Microsoft SQL Server с параметрами сортировки SQL_Latin1_General_CP1_CI_AS.

Поддерживаемые версии см. в статье Поддерживаемые конфигурации MBAM 2.5 .

Необходимые разрешения SQL Server

Необходимые разрешения:

  • SQL Server роли сервера входа в экземпляр:

    • Dbcreator

    • processadmin

  • SQL Server Reporting Services права экземпляра:

    • Создание папок

    • Публикация отчетов

Необязательно. Установите функцию прозрачного шифрования данных (TDE), доступную в SQL Server

Функция TDE SQL Server выполняет шифрование операций ввода-вывода в режиме реального времени и расшифровку файлов данных и журналов, что помогает соблюдать законы, нормативные акты и рекомендации, применимые к различным отраслям.

Примечание.

TDE выполняет расшифровку данных базы данных в режиме реального времени. Это означает, что если вы просматриваете сведения о ключах восстановления в базе данных SQL Server и вошли в учетную запись с разрешениями на доступ к базе данных, сведения о ключе восстановления будут видны. Дополнительные сведения о TDE см. в статье Рекомендации по безопасности MBAM 2.5.

службы ядра СУБД SQL Server

SQL Server службы ядра СУБД должны быть установлены и запущены во время установки сервера MBAM.

Windows PowerShell 3.0 или более поздней версии

Windows PowerShell не требуется устанавливать на сервере базы данных восстановления, если вы используете Windows PowerShell для настройки базы данных с удаленного компьютера.

Предварительные требования для базы данных соответствия и аудита

Условием Сведения

Поддерживаемая версия SQL Server

Установите SQL Server с параметрами сортировки SQL_Latin1_General_CP1_CI_AS.

Поддерживаемые версии см. в статье Поддерживаемые конфигурации MBAM 2.5 .

Необходимые разрешения SQL Server

Необходимые разрешения:

  • SQL Server роли сервера входа в экземпляр:

    • Dbcreator

    • processadmin

  • SQL Server Reporting Services права экземпляра:

    • Создание папок

    • Публикация отчетов

Необязательно. Установка функции прозрачного шифрования данных (TDE) в SQL Server

Функция TDE SQL Server выполняет шифрование операций ввода-вывода в режиме реального времени и расшифровку файлов данных и журналов, что помогает соблюдать законы, нормативные акты и рекомендации, применимые к различным отраслям.

TDE выполняет расшифровку данных базы данных в режиме реального времени. Это означает, что если вы просматриваете сведения о ключах восстановления в базе данных SQL Server и вошли в учетную запись с разрешениями на доступ к базе данных, сведения о ключе восстановления будут видны. Дополнительные сведения о TDE см. в статье Рекомендации по безопасности MBAM 2.5.

службы ядра СУБД SQL Server

SQL Server службы ядра СУБД должны быть установлены и запущены во время установки сервера MBAM. Однако SQL Server может работать удаленно; он не обязательно должен находиться на том же сервере, на котором устанавливается программное обеспечение СЕРВЕРА MBAM.

Windows PowerShell 3.0 или более поздней версии

Windows PowerShell не требуется устанавливать на сервере базы данных соответствия и аудита, если вы используете Windows PowerShell для настройки базы данных с удаленного компьютера.

Предварительные требования для отчетов

Условием Сведения

Поддерживаемая версия SQL Server

Установите SQL Server с параметрами сортировки SQL_Latin1_General_CP1_CI_AS.

Поддерживаемые версии см. в статье Поддерживаемые конфигурации MBAM 2.5 .

SQL Server Reporting Services (службы SSRS)

Службы SSRS должны быть установлены и запущены во время установки сервера MBAM.

Настройте службы SSRS в "собственном" режиме, а не в ненастроенном режиме или режиме SharePoint.

Права экземпляра SSRS — требуются для настройки отчетов только при установке баз данных на отдельном сервере от сервера, на котором настроены отчеты.

Необходимые права экземпляра:

  • Создание папок

  • Публикация отчетов

Windows PowerShell 3.0 или более поздней версии

Windows PowerShell не требуется устанавливать на этом сервере базы данных, если вы используете Windows PowerShell для настройки базы данных с удаленного компьютера.

Предварительные требования для сервера администрирования и мониторинга

В следующей таблице перечислены необходимые компоненты для установки сервера администрирования и мониторинга MBAM.

Условием Сведения

Роль веб-сервера Windows Server

Эта роль должна быть добавлена в операционную систему сервера, которая поддерживается для функции сервера администрирования и мониторинга.

Средства управления веб-сервером (IIS)

Щелкните Iis Management Scripts and Tools (Скрипты и инструменты управления IIS).

SSL-сертификат

Необязательно. Чтобы защитить обмен данными между клиентскими компьютерами и веб-службами, необходимо получить и установить сертификат, подписанный доверенным центром безопасности.

Службы ролей веб-сервера

Общие функции HTTP:

  • Статическое содержимое

  • Документ по умолчанию

Разработка приложений.

  • ASP.NET

  • Расширяемость .NET

  • Расширения ISAPI

  • Фильтры ISAPI

Безопасности:

  • Проверка подлинности Windows

  • Фильтрация запросов

Компоненты Windows Server

Функции платформа .NET Framework 4.5:

  • платформа .NET Framework 4.5 или 4.6

    • Windows Server 2016 — платформа .NET Framework 4.6 уже установлена для этих версий Windows Server, но ее необходимо включить.

    • Windows Server 2012 или Windows Server 2012 R2 — платформа .NET Framework 4.5 уже установлен для этих версий Windows Server, но ее необходимо включить.

    • Windows Server 2008 R2 — платформа .NET Framework 4.5 не входит в состав Windows Server 2008 R2, поэтому необходимо скачать Microsoft платформа .NET Framework 4.5 и установить его отдельно.

      Примечание.

      Если вы выполняете обновление с MBAM 2.0 или MBAM 2.0 с пакетом обновления 1 (SP1) и вам нужно установить платформа .NET Framework 4.5, дополнительные действия, необходимые для работы веб-сайтов, см. в заметках о выпуске для MBAM 2.5.

  • Активация WCF

    • Активация HTTP

    • Активация без http (только для Windows Server 2008, 2012 и 2012 R2)

  • Активация TCP

Служба активации процессов Windows:

  • Модель процесса

  • Среда платформа .NET Framework

  • API-интерфейсы конфигурации
ASP.NET MVC 4.0[1]

скачивание ASP.NET MVC 4

Имя субъекта-службы

Веб-приложениям требуется имя субъекта-службы для имени виртуального узла в учетной записи домена, используемой для пулов веб-приложений.

Если права администратора позволяют создавать имена субъектов-служб в доменные службы Active Directory, MBAM создает имя субъекта-службы. Сведения о правах, необходимых для создания имен субъектов-служб, см. в разделе Setspn .

Если у вас нет прав администратора на создание имен субъектов-служб, необходимо попросить администраторов Active Directory в вашей организации создать имя субъекта-службы с помощью следующей команды.

Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

В примере кода имя виртуального узла — mbamvirtual.contoso.com, а учетная запись домена, используемая для пулов веб-приложений, — contoso\mbamapppooluser.

Примечание.

Если вы настраиваете балансировку нагрузки, используйте одну и ту же учетную запись пула приложений на всех серверах.

Дополнительные сведения о регистрации имен субъектов-служб для полных, NetBIOS и пользовательских имен узлов см. в статье Планирование защиты веб-сайтов MBAM.

[1]ASP.NET MVC 4.0 больше не требуется после обновления обслуживания за январь 2023 г. (HF08).

Предварительные требования для портала Self-Service

Условием Сведения

Поддерживаемая версия Windows Server

Поддерживаемые версии см. в статье Поддерживаемые конфигурации MBAM 2.5 .
ASP.NET MVC 4.0[2]

скачивание ASP.NET MVC 4

Средства управления IIS веб-службы

Имя субъекта-службы

Веб-приложениям требуется имя субъекта-службы для имени виртуального узла в учетной записи домена, используемой для пулов веб-приложений.

Если права администратора позволяют создавать имена субъектов-служб в доменные службы Active Directory, MBAM создает имя субъекта-службы. Сведения о правах, необходимых для создания имен субъектов-служб, см. в разделе Setspn .

Если у вас нет прав администратора на создание имен субъектов-служб, необходимо попросить администраторов Active Directory в вашей организации создать имя субъекта-службы с помощью следующей команды.

Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

В примере кода имя виртуального узла — mbamvirtual.contoso.com, а учетная запись домена, используемая для пулов веб-приложений, — contoso\mbamapppooluser.

Примечание.

Если вы настраиваете балансировку нагрузки, используйте одну и ту же учетную запись пула приложений на всех серверах.

Дополнительные сведения о регистрации имен субъектов-служб для полных, NetBIOS и пользовательских имен узлов см. в статье Планирование защиты веб-сайтов MBAM.

[2]ASP.NET MVC 4.0 больше не требуется после обновления обслуживания за январь 2023 г. (HF08).

Предварительные требования для рабочей станции управления

Условием Сведения

Перед установкой клиента MBAM скачайте шаблоны групповая политика MBAM и настройте их с помощью параметров, которые необходимо реализовать на предприятии для шифрования дисков BitLocker.

Перед установкой клиента MBAM выполните следующие действия.

Что делать Где получить инструкции

Копирование шаблонов групповая политика MBAM

Копирование шаблонов групповой политики MBAM 2.5

Изменение параметров групповая политика

Изменение параметров групповой политики MBAM 2.5

Подготовка среды для развертывания MBAM 2.5

Планирование развертывания MBAM 2.5

Поддерживаемые конфигурации MBAM 2.5

Есть предложение для MBAM?

Для устранения проблем с MBAM используйте MBAM TechNet Forum.