Condividi tramite

Pianificazione di come proteggere i siti Web MBAM

  • Articolo

Questo articolo descrive i metodi seguenti per proteggere il sito Web di amministrazione e monitoraggio di Microsoft BitLocker (MBAM) 2.5 e il portale di Self-Service:

Metodo Obbligatorio o facoltativo?
Uso dei certificati per proteggere i siti Web MBAM Facoltativo, ma altamente consigliato
Registrazione dei nomi dell'entità servizio (SPN) per l'account del pool di applicazioni Obbligatorio

Per altre informazioni su come proteggere la distribuzione di MBAM, vedere Considerazioni sulla sicurezza di MBAM 2.5.

Uso dei certificati per proteggere i siti Web MBAM

Usare un certificato per proteggere la comunicazione tra:

  • Client MBAM e servizi Web

  • Browser e sito Web di amministrazione e monitoraggio e siti Web del portale di Self-Service

Per altre informazioni sulla richiesta e l'installazione di un certificato, vedere Configurazione dei certificati del server Internet.

Nota

È possibile configurare i siti Web e i servizi Web in server diversi solo se si usa Windows PowerShell. Se si usa la Configurazione guidata server MBAM per configurare i siti Web, è necessario configurare i siti Web e i servizi Web nello stesso server.

Per proteggere la comunicazione tra i servizi Web e i database, è anche consigliabile forzare la crittografia in SQL Server. Per informazioni sulla protezione di tutte le connessioni a SQL Server, inclusa la comunicazione tra i servizi Web e SQL Server, vedere Considerazioni sulla sicurezza di MBAM 2.5.

Registrazione dei nomi SPN per l'account del pool di applicazioni

Per consentire ai server MBAM di autenticare la comunicazione dal sito Web di amministrazione e monitoraggio e dal portale di Self-Service, è necessario registrare un nome dell'entità servizio (SPN) per il nome host nell'account di dominio usato per il pool di applicazioni Web.

Questa sezione contiene istruzioni su come registrare i nomi SPN per i tipi di nomi host seguenti:

  • Nome di dominio completo

  • Nome NetBIOS

  • Nome virtuale

Prima di creare nomi SPN per un'installazione iniziale di MBAM

Esaminare le informazioni nella tabella seguente prima di iniziare a creare nomi SPN.

  • Creare un account del servizio in Active Directory Domain Services (ADDS). L'account del servizio è un account utente creato in ADDS per garantire la sicurezza per i siti Web MBAM. I siti Web MBAM vengono eseguiti in un pool di applicazioni, la cui identità è il nome dell'account del servizio. I nomi SPN vengono quindi registrati nell'account del pool di applicazioni.

    Nota

    È necessario usare lo stesso account del pool di applicazioni per tutti i server Web.

  • Verificare che all'account del gruppo IIS-IUSRS o all'account del pool di applicazioni siano stati concessi i diritti necessari. Per controllare questo accesso, seguire questa procedura:

    1. Aprire l'editor criteri di sicurezza locali ed espandere il nodo Criteri locali .
    2. Selezionare il nodo Assegnazione diritti utente e fare doppio clic sulle impostazioni di Criteri di gruppo Rappresenta un client dopo l'autenticazione e Accedi come processo batch nel riquadro destro.

  • Se si configurano i siti Web MBAM usando un account amministratore di dominio, MBAM creerà automaticamente i nomi SPN. Se si configurano i siti Web MBAM usando un account amministratore di dominio, seguire la procedura descritta in questo articolo per registrare manualmente i nomi SPN per il tipo di nome host usato.

Registrazione dei nomi SPN quando si usa un nome host di dominio completo

Se si usa un nome host di dominio completo quando si configura MBAM, è necessario registrare un solo nome SPN, come illustrato nell'esempio seguente.

  • Registrare un nome SPN per il nome di dominio completo.
    • Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser
    • Il nome host completo è mybitlockerrecovery.contoso.come l'account di dominio usato per il pool di applicazioni Web è contoso\mbamapppooluser.
  • Configurare la delega vincolata per il nome SPN registrato per l'account del pool di applicazioni.

Registrazione dei nomi SPN quando si usa un nome host NetBIOS

Se si usa un nome host NetBIOS durante la configurazione di MBAM, registrare un nome SPN per il nome NetBIOS e un altro NOME SPN per il nome di dominio completo, come illustrato negli esempi seguenti.

  • Registrare un nome SPN per il nome host NetBIOS.
    • Setspn -s http/nbname01 contoso\mbamapppooluser
    • Il nome host NetBIOS è nbname01e l'account di dominio usato per il pool di applicazioni Web è contoso\mbamapppooluser.
  • Registrare un nome SPN per il nome di dominio completo.
    • Setspn -s http/nbname01.corp.contoso.com contoso\mbamapppooluser
    • Il nome di dominio completo è nbname01.contoso.come l'account di dominio usato per il pool di applicazioni Web è contoso\mbamapppooluser.
  • Configurare la delega vincolata per i nomi SPN registrati per l'account del pool di applicazioni.

Registrazione dei nomi SPN quando si usa un nome host virtuale

Se si configura MBAM con un nome host virtuale che è un nome di dominio completo, registrare un solo nome SPN per il nome host virtuale. Se il nome host virtuale configurato non è un nome di dominio completo, è necessario creare un secondo NOME SPN che specifica il nome di dominio completo, come descritto negli esempi seguenti.

  • Se il nome host virtuale è un nome di dominio completo, come in questo esempio, registrare un solo NOME SPN.
    • Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
    • Nell'esempio il nome host virtuale è mbamvirtual.contoso.come l'account di dominio usato per il pool di applicazioni Web è contoso\mbamapppooluser.
  • Registrare questo altro NOME SPN se il nome host virtuale non è un nome di dominio completo.
    • Setspn -s http/mbamvirtual contoso\mbamapppooluser
    • Nell'esempio il nome host virtuale è mbamvirtuale l'account di dominio usato per il pool di applicazioni Web è contoso\mbamapppooluser.
  • Registrare questo altro NOME SPN se il nome host virtuale non è un nome di dominio completo.
    • Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
    • Nell'esempio il nome host virtuale è mbamvirtual.contoso.come l'account di dominio usato per il pool di applicazioni Web è contoso\mbamapppooluser.
  • Nel server DNS (Domain Name Server) creare un "record A" per il nome host personalizzato e puntare a un server Web o a un servizio di bilanciamento del carico.
    • Usare record A anziché CNAMES. Se si usa CNAMES per puntare all'indirizzo di dominio, è necessario registrare anche i nomi SPN per il nome del server Web nell'account del pool di applicazioni.
  • Configurare la delega vincolata per i nomi SPN registrati per l'account del pool di applicazioni.

Registrazione di un nome SPN quando si esegue l'aggiornamento da versioni precedenti di MBAM

Completare i passaggi in questa sezione solo se si vuole:

  • Eseguire l'aggiornamento da una versione precedente di MBAM.

  • Eseguire i siti Web in MBAM 2.5 in una configurazione con carico bilanciato o distribuito ed è attualmente in esecuzione in una configurazione che non è bilanciata dal carico.

Se i nomi SPN sono già stati registrati nell'account computer anziché in un account del pool di applicazioni, MBAM usa i nomi SPN esistenti e non è possibile configurare i siti Web in una configurazione distribuita o con bilanciamento del carico.

  • Creare un account del pool di applicazioni in Servizi di dominio Active Directory.

  • Rimuovere i siti Web e i servizi Web attualmente installati. Per altre informazioni, vedere Rimozione di software o funzionalità del server MBAM.

  • Rimuovere i nomi SPN dall'account del computer. Ad esempio: Setspn -d http/mbamwebserver mbamwebserver o Setspn -d http/mbamwebserver.contoso.com mbamwebserver

  • Registrare i nomi SPN nell'account del pool di applicazioni. Seguire la procedura per registrare i nomi SPN quando si usa un nome host virtuale.

  • Riconfigurare le applicazioni Web e i servizi Web. Per altre informazioni, vedere Come configurare le applicazioni Web MBAM 2.5.

  • Eseguire una delle operazioni seguenti, a seconda del metodo usato per la configurazione:

    • Configurazione guidata server MBAM: immettere l'account del pool di applicazioni nel campo account di dominio del pool di applicazioni del servizio Web .
    • Cmdlet Enable-MbamWebApplicationdi Windows PowerShell: immettere l'account nel WebServiceApplicationPoolCredential parametro .

    Importante

    Il nome host immesso deve corrispondere al nome host virtuale per cui si stanno creando i nomi SPN. Inoltre, nella web farm, i nomi host e le credenziali del pool di applicazioni devono essere gli stessi in ogni server configurato.

    Quando MBAM configura le applicazioni Web, tenta di registrare automaticamente i nomi SPN. Può eseguire questa operazione solo se si dispone dei diritti di amministratore di dominio nel server in cui si installa MBAM. Se non si dispone di questi diritti, è possibile completare la configurazione, ma è necessario impostare i nomi SPN prima o dopo aver configurato MBAM.

Impostazioni di filtro richieste necessarie

Consentire le estensioni di file non incluse nell'elenco è necessario affinché l'applicazione funzioni come previsto. Per trovare questa impostazione, passare a Amministrazione e monitoraggio di Microsoft BitLocker ->Filtro richieste ->Modifica impostazioni funzionalità.

Preparazione dell'ambiente per MBAM 2.5

Prerequisiti del server MBAM 2.5 per le topologie di integrazione autonome e di Configuration Manager