共用方式為

MBAM 與安全網路通訊

  • 發行項

本文討論如何使用安全網路通訊來設定Microsoft的 BitLocker Administration and Monitoring (MBAM)。

原始 KB 編號: 2754259

摘要

MBAM 可以加密 MBAM 復原與硬體資料庫、系統管理和監視伺服器與 MBAM 用戶端之間的通訊。 如果您決定加密通訊,系統會要求您選取將用於加密的證書頒發機構單位布建憑證。

MBAM Administration and Monitoring Server 與 SQL SSRS 之間的通道也可以加密。 系統管理員需要從 CA (證書頒發機構單位) 或自我簽署憑證核准的憑證,才能部署 MBAM。

注意

如果您決定使用 SSL,請確定您有正確的憑證可設定 SSL,再在您的伺服器上執行 MBAM 安裝程式。

步驟 1:加密 MBAM 用戶端與系統管理與監視伺服器之間的通道。

  1. 使用自我簽署憑證。

    1. 線上到將安裝MBAM系統管理與監視角色的伺服器。
    2. 請確定您已安裝 IIS。
    3. 開啟 伺服器管理員,然後按兩下 [角色]。
    4. 選取 [Web 伺服器],然後按兩下 [IIS]。
    5. 在 [功能檢視] 中,按兩下 [伺服器憑證]。
    6. 在 [動作] 窗格底下,選取 [自我簽署憑證]。
    7. 在 [建立自我簽署憑證] 頁面上,在 [指定憑證的易記名稱] 方塊中輸入憑證的易記名稱,然後按兩下 [確定]。

    注意

    • 此程式會產生一個自我簽署的憑證,該憑證並非源自一般信任的來源;因此,您不應該使用此憑證來協助保護因特網客戶端與伺服器之間的數據傳輸。
    • 自我簽署憑證可能會導致網頁瀏覽器發出網路釣魚警告。

  2. 使用證書頒發機構單位核准的憑證

    匯入憑證的方法有兩種

    1. 使用 IIS 從 CA 要求或匯入憑證:

    2. 使用憑證管理員要求或將憑證匯入個人證書存儲:
      Windows 說明與學習

      要使用的憑證樣本:

      MBAM 用戶端至 MBAM 管理與監視伺服器:使用標準 Web 伺服器範本。

      當您準備好憑證之後,當您執行 MBAM 安裝程式時,我們會在 MBAM 安裝程式的[設定網路通訊安全性] 精靈中顯示憑證的指紋。

      Microsoft BitLocker Administration and Monitoring 視窗的螢幕快照,其中顯示網路通訊加密的憑證。

步驟 2:加密 MBAM 管理與監視伺服器與 MBAM 復原與硬體 SQL DB 之間的通道。

MBAM 可以對 Recovery and Hardware 資料庫與 Administration and Monitoring 伺服器之間的通訊進行加密。 如果您選擇加密通訊的選項,系統會要求您選取用於加密的證書頒發機構單位布建憑證。

要使用的憑證樣本:

MBAM SQL DB Server 至管理員和監視伺服器:標準伺服器驗證範本

當您在將安裝 MBAM 復原與硬體資料庫角色的伺服器上執行 MBAM 安裝程式時,您可以在 MBAM 安裝程式的[設定網路通訊安全性] 精靈中看到憑證指紋。

[Microsoft BitLocker Administration and Monitoring] 視窗的螢幕快照,其中顯示 [設定網络通訊安全性精靈] 中的指紋。

步驟 3:如何設定 SQL 合規性和稽核 DB 伺服器的 SSL。

注意

您必須在伺服器上執行 MBAM 安裝程式之前,先設定 SQL 的 SSL。

  1. 在您安裝 MBAM 稽核報告角色的伺服器上開啟 SQL 報告 Services Configuration Manager。

  2. 連線到您的伺服器,然後按兩下 [Web 服務 URL]。

    [連線] 視窗的螢幕快照,其中已選取左窗格中的 [Web 服務 URL]。

  3. 按兩下 [進階],然後選取您的憑證。 請參閱下圖:

    [進階多個網站組態] 視窗和 [新增報表伺服器 SSL 系結] 視窗的螢幕快照。

  4. 在 SQL 報告 Services 組態管理員中重複報表管理員 URL 的「步驟 3」。

  5. 現在當您開啟 MBAM 報告時,它會使用 SSL 連線到 SQL SSRS。

步驟 4:設定 SQL 以強制加密所有通訊協定。

  1. 登入 SQL Server 並開啟 SQL Server 組態管理員。

  2. 展開 [SQL Server 網络組態],然後選取 [MSSQLSERVER 的通訊協定]。

  3. 以滑鼠右鍵按兩下 [MSSQLSERVER 的通訊協定],然後針對 [強制加密] 選取 [是]。

    MSSQLSERVER 屬性視窗 通訊協定的螢幕快照,其中 [是] 已針對 [旗標] 索引標籤的 [強制加密] 選取。

  4. 選取 [憑證] 索引標籤,然後從下拉式清單中選擇您的憑證。

  5. 按兩下 [套用],然後重新啟動您的 SQL 服務。

  6. 當您嘗試重新啟動 SQL Services 時,您會收到錯誤訊息:「要求失敗,或服務未及時回應。 如需詳細資訊,請參閱事件記錄檔或其他適用的錯誤記錄檔。

  7. 因為 SQL 帳戶對憑證的私鑰沒有許可權,所以失敗。

  8. 開啟憑證管理員 MMC 控制台,並提供用於 SQL 服務完整存取憑證的 SQL 帳戶。

    憑證管理員 MMC 控制台 [安全性] 索引標籤的螢幕快照,其中 SQL 系統管理員帳戶具有完整存取權。

  9. 立即重新啟動 SQL Server 服務,而且應該成功。

其他相關資訊