Dela via

MBAM och säker nätverkskommunikation

I den här artikeln beskrivs hur du konfigurerar Microsofts BitLocker-administration och -övervakning (MBAM) med säker nätverkskommunikation.

Ursprungligt KB-nummer: 2754259

Sammanfattning

MBAM kan kryptera kommunikationen mellan MBAM-återställnings- och maskinvarudatabasen, administrations- och övervakningsservrarna och MBAM-klienterna. Om du bestämmer dig för att kryptera kommunikationen uppmanas du att välja certifikatutfärdaretablerade certifikat som ska användas för kryptering.

Kanalen mellan MBAM Administration och Övervakningsserver och SQL SSRS kan också krypteras. En administratör behöver ett certifikat som godkänts från CA (certifikatutfärdare) eller ett självsignerat certifikat innan MBAM distribueras.

Kommentar

Om du väljer att använda SSL kontrollerar du att du har rätt certifikat för att konfigurera SSL innan du kör MBAM-installationen på servern.

Steg 1: Kryptera kanalen mellan MBAM-klienten och administrations- och övervakningsservern.

  1. Använda självsignerat certifikat.

    1. Anslut till servern där MBAM-administrations- och övervakningsrollen installeras.
    2. Kontrollera att du har installerat IIS.
    3. Öppna Serverhanteraren och klicka på Roller.
    4. Välj webbserver och klicka på IIS.
    5. Dubbelklicka på Servercertifikat i funktionsvyn.
    6. Under åtgärdsfönstret väljer du Självsignerat certifikat.
    7. På sidan Skapa självsignerat certifikat skriver du ett eget namn för certifikatet i rutan Ange ett eget namn för certifikatet och klickar sedan på OK.

    Kommentar

    • Den här proceduren genererar ett självsignerat certifikat som inte kommer från en allmänt betrodd källa. Därför bör du inte använda det här certifikatet för att skydda dataöverföringar mellan Internetklienter och servern.
    • Självsignerade certifikat kan orsaka att webbläsaren utfärdar nätfiskevarningar.

  2. Använda certifikat som godkänts av certifikatutfärdare

    Det finns två sätt att importera ett certifikat

    1. Begära eller importera ett certifikat från en certifikatutfärdare med hjälp av IIS:

    2. Begär eller importera ett certifikat till det personliga certifikatarkivet med hjälp av Certifikathanteraren:
      Windows-hjälp och -utbildning

      Certifikatmallar som ska användas:

      MBAM-klient till MBAM Administration och övervakningsserver: Använd standardwebbservermall.

      När du har certifikatet klart visar vi tumavtrycket för certifikatet i guiden Konfigurera nätverkskommunikationssäkerhet för MBAM-installation när du kör MBAM-installationen.

      Skärmbild av fönstret Administration och övervakning av Microsoft BitLocker, som visar certifikatet för kryptering av nätverkskommunikation.

Steg 2: Kryptera kanalen mellan MBAM-administration och övervakningsserver och MBAM-återställning och SQL DB-maskinvara.

MBAM kan kryptera kommunikationen mellan återställnings- och maskinvarudatabasen och administrations- och övervakningsservrarna. Om du väljer alternativet för att kryptera kommunikationen uppmanas du att välja det certifikat som har etablerats av certifikatutfärdare och som används för kryptering.

Certifikatmallar som ska användas:

MBAM SQL DB-server till administratör och övervakningsserver: Standardserverautentiseringsmall

När du kör MBAM-installationsprogrammet på en server där du installerar MBAM Recovery & Hardware DB-rollen kan du se certifikatets tumavtryck i guiden Konfigurera nätverkskommunikationssäkerhet för MBAM-installationsprogrammet.

Skärmbild av fönstret Administration och övervakning av Microsoft BitLocker, som visar tumavtrycket i guiden Konfigurera nätverkskommunikationssäkerhet.

Steg 3: Så här konfigurerar du SSL för SQL Compliance och Audit DB Server.

Kommentar

Du måste konfigurera SSL för SQL innan du kör MBAM-installationen på servern.

  1. Öppna SQL Reporting Services Configuration Manager på servern där du installerade rollen MBAM-granskningsrapporter.

  2. Anslut till servern och klicka på Webbtjänst-URL.

    Skärmbild av fönstret Anslut med webbadressen till webbtjänsten markerad i den vänstra rutan.

  3. Klicka på Avancerat och välj sedan certifikatet. Se bilden nedan:

    Skärmbild av fönstret Konfiguration av avancerad flera webbplatser och fönstret Lägg till en rapportservers SSL-bindning.

  4. Upprepa "Steg 3" för Report Manager-URL:en i SQL Reporting Services Configuration Manager.

  5. Nu när du öppnar MBAM-rapporter kommer den att använda SSL för att ansluta till SQL SSRS.

Steg 4: Konfigurera SQL för att framtvinga kryptering på alla protokoll.

  1. Logga in på SQL Server och Öppna Konfigurationshanteraren för SQL Server.

  2. Expandera SQL Server-nätverkskonfigurationen och välj "Protokoll för MSSQLSERVER".

  3. Högerklicka på "Protokoll för MSSQLSERVER" och välj Ja för Tvinga kryptering.

    Skärmbild av protokollen för MSSQLSERVER-Fönstret Egenskaper, där Ja har valts för Tvinga kryptering under fliken Flaggor.

  4. Välj fliken Certifikat och välj ditt certifikat i listrutan.

  5. Klicka på Använd och starta om SQL Services.

  6. När du försöker starta om SQL Services får du ett felmeddelande om att begäran misslyckades eller att tjänsten inte svarade i tid. Mer information finns i händelseloggen eller andra tillämpliga felloggar."

  7. Det misslyckas eftersom SQL-kontot inte har behörighet till privata nycklar för certifikatet.

  8. Öppna CERTIFICATE Manager MMC-konsolen och ge SQL-kontot som används för SQL-tjänster Fullständig åtkomst på certifikatet.

    Skärmbild av fliken Säkerhet i CERTIFICATE Manager MMC-konsolen, där SQL-administratörskontot har fullständig åtkomst.

  9. Starta om SQL Server Services nu och det bör lyckas.

Mer information