规划如何保护 MBAM 网站

本主题介绍保护 Microsoft BitLocker 管理和监视 (MBAM) 2.5 管理和监视网站和Self-Service门户的方法：

方法	必需还是可选？
使用证书保护 MBAM 网站	可选，但强烈建议
为应用程序池帐户注册服务主体名称 (SPN)	必需

有关如何保护 MBAM 部署的详细信息，请 参阅 MBAM 2.5 安全注意事项。

使用证书保护 MBAM 网站

建议使用证书来保护以下项之间的通信：

• MBAM 客户端和 Web 服务

• 浏览器、管理和监视网站以及Self-Service门户网站

有关请求和安装证书的信息，请参阅 配置 Internet Server 证书。

注意
只有在使用Windows PowerShell时，才能在不同服务器上配置网站和 Web 服务。 如果使用 MBAM 服务器配置向导配置网站，则必须在同一台服务器上配置网站和 Web 服务。

为了保护 Web 服务与数据库之间的通信，我们还建议在SQL Server中强制加密。 有关保护与SQL Server的所有连接（包括 Web 服务与SQL Server之间的通信）的信息，请参阅 MBAM 2.5 安全注意事项。

注册应用程序池帐户的 SPN

若要使 MBAM 服务器能够对来自管理和监视网站和Self-Service门户的通信进行身份验证，必须为用于 Web 应用程序池的域帐户下的主机名注册服务主体名称 (SPN) 。

本主题包含有关如何为以下类型的主机名注册 SPN 的说明：

• 完全限定的域名

• NetBIOS 名称

• 虚拟名称

在为初始 MBAM 安装创建 SPN 之前

在开始创建 SPN 之前，请查看下表中的信息。

任务或项	更多信息
在 ACTIVE DIRECTORY 域服务 (AD DS) 中创建服务帐户。	服务帐户是在 AD DS 中创建的用户帐户，用于为 MBAM 网站提供安全性。 MBAM 网站在应用程序池下运行，其标识是服务帐户的名称。 然后，在应用程序池帐户中注册 SPN。 注意 必须对所有 Web 服务器使用相同的应用程序池帐户。
验证 IIS-IUSRS 组帐户或应用程序池帐户是否已获得必要的权限。	若要检查这一点，请执行以下步骤： 打开 “本地安全策略”编辑器 并展开 “本地策略 ”节点。 选择“用户权限分配”节点，并在身份验证后双击模拟客户端，并在右窗格中以批处理作业组策略设置登录。
如果使用域管理帐户配置 MBAM 网站，MBAM 将为你创建 SPN。	如果使用域管理帐户配置 MBAM 网站，请按照本主题中的步骤手动注册要使用的主机名类型的 SPN。

使用完全限定的域主机名时注册 SPN

如果在配置 MBAM 时使用完全限定的域主机名，则必须仅注册一个 SPN，如以下示例所示。

需要执行的操作	示例和详细信息
注册完全限定的域名的 SPN。	Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser 完全限定的主机名 mybitlockerrecovery.contoso.com，用于 Web 应用程序池的域帐户为 contoso\mbamapppooluser。
为为应用程序池帐户注册的 SPN 配置受约束委派。	配置约束委派 此要求仅适用于 MBAM 2.5;在 MBAM 2.5 SP1 中不需要它。

使用 NetBIOS 主机名时注册 SPN

如果在配置 MBAM 时使用 NetBIOS 主机名，请为 NetBIOS 名称注册一个 SPN，为完全限定的域名注册另一个 SPN，如以下示例所示。

需要执行的操作	示例和详细信息
注册 NetBIOS 主机名的 SPN。	Setspn -s http/nbname01 contoso\mbamapppooluser NetBIOS 主机名为 nbname01，用于 Web 应用程序池的域帐户为 contoso\mbamapppooluser。
注册完全限定的域名的 SPN。	Setspn –s http/nbname01.corp.contoso.com contoso\mbamapppooluser 完全限定的域名 nbname01.contoso.com，用于 Web 应用程序池的域帐户为 contoso\mbamapppooluser。
为为应用程序池帐户注册的 SPN 配置受约束委派。	配置约束委派 此要求仅适用于 MBAM 2.5;在 MBAM 2.5 SP1 中不需要它。

使用虚拟主机名时注册 SPN

如果使用完全限定的域名的虚拟主机名配置 MBAM，则只注册一个 SPN 作为虚拟主机名。 如果配置的虚拟主机名不是完全限定的域名，则必须创建第二个指定完全限定域名的 SPN，如以下示例中所述。

需要执行的操作	示例和详细信息
如果虚拟主机名是完全限定的域名，如本示例所示，请只注册一个 SPN。	Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser 在本示例中，虚拟主机名 mbamvirtual.contoso.com，用于 Web 应用程序池的域帐户为 contoso\mbamapppooluser。
如果虚拟主机名不是完全限定的域名，请注册此附加 SPN。	Setspn -s http/mbamvirtual contoso\mbamapppooluser 在本示例中，虚拟主机名称为 mbamvirtual，用于 Web 应用程序池的域帐户为 contoso\mbamapppooluser。
如果虚拟主机名不是完全限定的域名，请注册此附加 SPN。	Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser 在本示例中，虚拟主机名 mbamvirtual.contoso.com，用于 Web 应用程序池的域帐户为 contoso\mbamapppooluser。
在域名服务器 (DNS) 服务器上，为自定义主机名创建“A 记录”，并将其指向 Web 服务器或负载均衡器。	请参阅“配置 DNS 主机记录”中的“配置 DNS 主机记录”部分。 建议使用 A 记录而不是 CNAMES。 如果使用 CNAMES 指向域地址，则还必须在应用程序池帐户中注册 Web 服务器名称的 SPN。
为为应用程序池帐户注册的 SPN 配置受约束委派。	配置约束委派 此要求仅适用于 MBAM 2.5;在 MBAM 2.5 SP1 中不需要它。

从以前版本的 MBAM 升级时注册 SPN

仅当需要执行以下操作时，才完成本部分中的步骤：

• 从以前版本的 MBAM 升级。

• 在负载均衡或分布式配置的 MBAM 2.5 中运行网站，当前运行的配置不是负载均衡。

如果已在计算机帐户（而不是应用程序池帐户）上注册了 SPN，则 MBAM 使用现有 SPN，并且无法在负载均衡或分布式配置中配置网站。

需要执行的操作	示例和详细信息
在 Active Directory 域服务 (AD DS) 中创建应用程序池帐户。
删除当前安装的网站和 Web 服务。	删除 MBAM 服务器功能或软件
从计算机帐户中删除 SPN。	Setspn –d http/mbamwebserver mbamwebserver Setspn –d http/mbamwebserver.contoso.com mbamwebserver
在应用程序池帐户中注册 SPN。	使用虚拟主机名时，请按照注册 SPN 的步骤进行操作。
重新配置 Web 应用程序和 Web 服务。	如何配置 MBAM 2.5 Web 应用程序
根据用于配置的方法执行下列操作之一： 方法 详细信息 MBAM 服务器配置向导 在 Web 服务应用程序池域帐户 字段中输入应用程序池帐户。 Enable-MbamWebApplicationWindows PowerShell cmdlet 在参数中 WebServiceApplicationPoolCredential 输入帐户。	重要提示 输入的主机名必须与要为其创建 SPN 的虚拟主机名相同。 此外，在 Web 场中，所配置的每个服务器上的主机名和应用程序池凭据必须相同。 当 MBAM 配置 Web 应用程序时，它将尝试为你注册 SPN，但仅当你在要在其上安装 MBAM 的服务器上具有域管理员权限时，它才能这样做。 如果没有这些权限，可以完成配置，但必须在配置 MBAM 之前或之后设置 SPN。

必需的请求筛选设置

应用程序需要“允许未列出的文件扩展名”才能按预期运行。 可以通过导航到“Microsoft BitLocker 管理和监视” - 请求筛选 ->> 编辑功能设置来找到这一点。

相关主题

为 MBAM 2.5 准备你的环境

MBAM 2.5 部署先决条件

有关于 MBAM 的建议吗？

对于 MBAM 问题，请使用 MBAM TechNet 论坛。