Compartilhar via

Planear como proteger os sites MBAM

  • Artigo

Este artigo descreve os seguintes métodos para proteger o Site de Administração e Monitorização (MBAM) 2.5 de Administração e Monitorização do Microsoft BitLocker e Self-Service Portal:

Método Obrigatório ou opcional?
Utilizar certificados para proteger sites MBAM Opcional, mas altamente recomendado
Registar nomes de principais de serviço (SPN) para a conta do conjunto aplicacional Obrigatório

Para obter mais informações sobre como proteger a implementação do MBAM, veja Considerações de segurança do MBAM 2.5.

Utilizar certificados para proteger sites MBAM

Utilize um certificado para proteger a comunicação entre:

  • Cliente MBAM e os serviços Web

  • Browser e o Site de Administração e Monitorização e os sites do Portal do Self-Service

Para obter mais informações sobre como pedir e instalar um certificado, veja Configurar certificados de servidor da Internet.

Observação

Só pode configurar os sites e serviços Web em servidores diferentes se utilizar o Windows PowerShell. Se utilizar o assistente de Configuração do Servidor MBAM para configurar os sites, tem de configurar os sites e os serviços Web no mesmo servidor.

Para proteger a comunicação entre os serviços Web e as bases de dados, também recomendamos que force a encriptação no SQL Server. Para obter informações sobre como proteger todas as ligações ao SQL Server, incluindo a comunicação entre os serviços Web e o SQL Server, veja Considerações de segurança do MBAM 2.5.

Registar SPNs para a conta do conjunto aplicacional

Para permitir que os Servidores MBAM autentiquem a comunicação a partir do Site de Administração e Monitorização e do Portal do Self-Service, tem de registar um Nome do Principal de Serviço (SPN) para o nome do anfitrião na conta de domínio que utiliza para o conjunto aplicacional Web.

Esta secção contém instruções sobre como registar SPNs para os seguintes tipos de nomes de anfitrião:

  • Nome de domínio completamente qualificado

  • Nome NetBIOS

  • Nome virtual

Antes de criar SPNs para uma instalação inicial do MBAM

Reveja as informações na tabela seguinte antes de começar a criar SPNs.

  • Criar uma conta de serviço nos Serviços de Domínio do Active Directory (ADDS). A conta de serviço é uma conta de utilizador que cria no ADDS para fornecer segurança aos sites MBAM. Os sites MBAM são executados num conjunto aplicacional, cuja identidade é o nome da conta de serviço. Em seguida, os SPNs são registados na conta do conjunto aplicacional.

    Observação

    Tem de utilizar a mesma conta de conjunto aplicacional para todos os servidores Web.

  • Verifique se a conta do grupo IIS-IUSRS ou a conta do conjunto aplicacional receberam os direitos necessários. Para verificar este acesso, siga estes passos:

    1. Abra o editor de Política de Segurança Local e expanda o nó Políticas Locais .
    2. Selecione o nó Atribuição de Direitos de Utilizador e faça duplo clique em Representar um cliente após a autenticação e Iniciar sessão como uma tarefa de lote Definições de Política de Grupo no painel direito.

  • Se configurar os sites MBAM através de uma conta administrativa de domínio, o MBAM irá criar os SPNs por si. Se configurar os sites MBAM com uma conta administrativa de domínio, siga os passos neste artigo para registar SPNs manualmente para o tipo de nome de anfitrião que utiliza.

Registar SPNs quando utiliza um nome de anfitrião de domínio completamente qualificado

Se utilizar um nome de anfitrião de domínio completamente qualificado quando configurar o MBAM, terá de registar apenas um SPN, conforme mostrado no exemplo seguinte.

  • Registe um SPN para o nome de domínio completamente qualificado.
    • Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser
    • O nome de anfitrião completamente qualificado é mybitlockerrecovery.contoso.come a conta de domínio utilizada para o conjunto aplicacional Web é contoso\mbamapppooluser.
  • Configure a delegação restrita para o SPN que registar para a conta do conjunto aplicacional.

Registar SPNs quando utiliza um nome de anfitrião NetBIOS

Se utilizar um nome de anfitrião NetBIOS quando configurar o MBAM, registe um SPN para o nome NetBIOS e outro SPN para o nome de domínio completamente qualificado, conforme mostrado nos exemplos seguintes.

  • Registe um SPN para o nome do anfitrião NetBIOS.
    • Setspn -s http/nbname01 contoso\mbamapppooluser
    • O nome do anfitrião NetBIOS é nbname01e a conta de domínio utilizada para o conjunto aplicacional Web é contoso\mbamapppooluser.
  • Registe um SPN para o nome de domínio completamente qualificado.
    • Setspn -s http/nbname01.corp.contoso.com contoso\mbamapppooluser
    • O nome de domínio completamente qualificado é nbname01.contoso.come a conta de domínio utilizada para o conjunto aplicacional Web é contoso\mbamapppooluser.
  • Configure a delegação restrita para os SPNs que registar na conta do conjunto aplicacional.

Registar SPNs quando utiliza um nome de anfitrião virtual

Se configurar o MBAM com um nome de anfitrião virtual que seja um nome de domínio completamente qualificado, registe apenas um SPN para o nome do anfitrião virtual. Se o nome do anfitrião virtual que configurar não for um nome de domínio completamente qualificado, tem de criar um segundo SPN que especifique o nome de domínio completamente qualificado, conforme descrito nos exemplos seguintes.

  • Se o nome do anfitrião virtual for um nome de domínio completamente qualificado, como neste exemplo, registe apenas um SPN.
    • Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
    • No exemplo, o nome do anfitrião virtual é mbamvirtual.contoso.come a conta de domínio utilizada para o conjunto aplicacional Web é contoso\mbamapppooluser.
  • Registe este outro SPN se o nome do anfitrião virtual não for um nome de domínio completamente qualificado.
    • Setspn -s http/mbamvirtual contoso\mbamapppooluser
    • No exemplo, o nome do anfitrião virtual é mbamvirtuale a conta de domínio utilizada para o conjunto aplicacional Web é contoso\mbamapppooluser.
  • Registe este outro SPN se o nome do anfitrião virtual não for um nome de domínio completamente qualificado.
    • Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
    • No exemplo, o nome do anfitrião virtual é mbamvirtual.contoso.come a conta de domínio utilizada para o conjunto aplicacional Web é contoso\mbamapppooluser.
  • No servidor DNS (Domain Name Server), crie um "Registo A" para o nome do anfitrião personalizado e aponte-o para um servidor Web ou um balanceador de carga.
    • Utilize registos A em vez de CNAMES. Se utilizar CNAMES para apontar para o endereço de domínio, também tem de registar SPNs para o nome do servidor Web na conta do conjunto aplicacional.
  • Configure a delegação restrita para os SPNs que registar na conta do conjunto aplicacional.

Registar um SPN ao atualizar a partir de versões anteriores do MBAM

Conclua os passos nesta secção apenas se quiser:

  • Atualize a partir de uma versão anterior do MBAM.

  • Execute os sites no MBAM 2.5 numa configuração com balanceamento de carga ou distribuído e, atualmente, executa numa configuração que não tem balanceamento de carga.

Se já registou SPNs na conta do computador em vez de numa conta de conjunto aplicacional, o MBAM utiliza os SPNs existentes e não pode configurar os sites numa configuração com balanceamento de carga ou distribuído.

  • Crie uma conta de conjunto aplicacional nos Serviços de Domínio do Active Directory.

  • Remova os sites e serviços Web atualmente instalados. Para obter mais informações, veja Remover funcionalidades ou software do servidor MBAM.

  • Remova os SPNs da conta do computador. Por exemplo: Setspn -d http/mbamwebserver mbamwebserver ou Setspn -d http/mbamwebserver.contoso.com mbamwebserver

  • Registar SPNs na conta do conjunto aplicacional. Siga os passos para Registar SPNs quando utilizar um nome de anfitrião virtual.

  • Reconfigure as aplicações Web e os serviços Web. Para obter mais informações, veja Como configurar as aplicações Web MBAM 2.5.

  • Siga um dos seguintes passos, consoante o método que utilizar para a configuração:

    • Assistente de Configuração do Servidor MBAM: introduza a conta do conjunto aplicacional no campo Conta de domínio do conjunto aplicacional do serviço Web .
    • Cmdlet Enable-MbamWebApplicationdo Windows PowerShell: introduza a conta no WebServiceApplicationPoolCredential parâmetro .

    Importante

    O nome do anfitrião que introduzir tem de ser o mesmo nome do anfitrião virtual para o qual está a criar os SPNs. Além disso, no seu web farm, os nomes de anfitrião e as credenciais do conjunto aplicacional têm de ser os mesmos em todos os servidores que configurar.

    Quando o MBAM configura as aplicações Web, tenta registar os SPNs por si. Só pode fazê-lo se tiver direitos de Administrador de Domínio no servidor no qual instala o MBAM. Se não tiver estes direitos, pode concluir a configuração, mas tem de definir os SPNs antes ou depois de configurar o MBAM.

Definições de filtragem de pedidos necessárias

A opção Permitir extensões de nome de ficheiro não listadas é necessária para que a aplicação funcione conforme esperado. Para localizar esta definição, aceda a Administração e Monitorização do Microsoft BitLocker –>Filtragem de Pedidos –>Editar Definições de Funcionalidade.

Preparar o ambiente para o MBAM 2.5

Pré-requisitos do servidor MBAM 2.5 para topologias de integração autónomas e do Configuration Manager