首页> 系统技术> MBAM 2.5 sp1部署与配置

[文章]MBAM 2.5 sp1部署与配置

收藏
0 3767 0

【前言】

BitLocker驱动器加密是一项数据保护功能,它与操作系统集成,用于解决来自丢失、被盗或销毁不当的计算机的数据被盗或泄露的问题。针对该技术,微软专门推出了MBAMMicrosoft BitLocker Administration and Monitoring)产品,MBAM是微软MDOP解决方案中的套件,主要用于集中管理企业环境Bitlocker加密,提高IT人员工作效率,提供自助门户及IT管理门户,提供合规性报表等。

【正文】

  环境规划与准备

1) 本实验采用简单部署,一台域控制器(同时作为证书服务器)、一台MBAM服务器(前后端均在同一台服务器)及一台测试客户端,其中域控服务器为2012 R2系统,MBAM服务器为server 2016系统,测试客户端为win7系统。

2) 准备相关用户和组

Ø  AD中创建域管理员账号admin

Ø  AD中创建数据库服务运行账号sqlservice(注意设置为密码永不过期)

Ø  AD中创建MBAM用户:MBAMAppPoolMBAMROUser

Ø  AD中创建MBAM全局安全组:MBAMAdvHelpDskMBAMHelpDskMBAMRUGrp

  安装组件

2.1  安装Net Framework 3.5

      

2.2  安装Web服务器(IIS角色)

1) 勾选Web服务器(IIS


2) 按下图勾选相关组件;



3) 确认组件无误后点击安装;


4) 等待安装完成;


2.3  安装安装ASP.NET MVC 4.0

      

      

   安装及配置SQL server 2014 sp2

3.1  安装sql server 2014

1) 运行sql server 2014安装程序;


2) 选择全新安装;


3) 勾选以下功能;


4) 服务账号选择sqlservice并设置密码


5) 排序规则选择SQL_Latin1_General_CP1_CI_AS


6) 确认无误后点击安装;


7) 等待安装完成。


3.2  配置SQL server用户账号

     3.2.1   配置SQL server实例角色

1) 打开SQL server管理工具;


2) 新建登录名;


3) 登录名选择MBAMAppPool账户;


4) 勾选dbcreatorprocessadmin角色;


3.2.2   配置实例的SQL Server报表服务权限

1) 在网页中打开http://sqlcluster/reports,点击文件夹设置;


2) MBAMAppPool添加全部角色;


   安装SSL证书

4.1  AD上部署CA证书服务器(部署过程略);

4.2  SSL证书申请及下载;

1) 打开IIS管理器,在主页中选择服务器证书;


2) 点击创建证书申请;


3) 证书通用名称输入MBAM服务器名称或IP地址;


4) 默认选择下一步;


5) 选择证书申请文件存放路径及名称,点击完成;


6) 在浏览器中打开http://192.168.10.1/certsrv192.168.10.1是证书服务器IP),点击申请证书;


7) 选择高级证书申请;


8) 选择使用base64编码;


9) 保存的申请处输入刚申请的证书文件内容,证书模板选择Web服务器;


10) 选择下载证书,完成证书申请;


4.3  导入SSL证书

1) 点击完成证书申请;


2) 选择申请的证书;


3) 证书导入完成。


   配置SPN账户

5.1  注册SPN账户

1) 以管理员身份打开powershell,输入setspa –s http/mbam.mk.com mk\mbamapppool


              5.2  设置SPN账户受约束的委派

1) 在域控上打开AD管理中心;


2) 选择MBAMAppPool账户,右键点击属性;


3) 切换到委派页面,选择“仅信任此用户作为制定服务器的委派”;


4) 点击添加,选择MBAMAppPool账号,在弹出的窗口中点击添加用户或计算机;


5) 添加完成后点击确定。


   MBAM部署

6.1  安装MBAM安装向导;

1) 运行Mbamserversetup.exe


2) 打开MBAM安装向导,点击下一步;


3) 接受许可协议;


4) 点击安装;


5) 等待安装完成。


6.2  安装MBAN数据库

1) 运行MBAM安装向导;


2) 勾选数据库和报告下面的选项;


3) 检查先决条件是否满足;


4) SQL Server名称处输入SQL服务器名称,读/写访问域用户组处输入MBAMAppPool用户,只读访问域用户组处输入MBAMROUser用户;



5) 报告角色域账户处输入MBAMRUGrp组,相容性和审核数据库域账户输入MBAMROUser并设置密码;



6) 摘要检查无误后,点击添加;


7) 等待安装完成。


6.3  安装MBAM WEB服务器

1) 打开MBAM安装向导;


2) 勾选Web应用程序下的选项;


3) 检查先决条件是否符合;


4) 选择安装的SSL证书,Web服务应用程序池域账户选择MBAMAppPool账户;


5) 输入SQL服务器名称;


6) 输入管理和监控网站的各账户;


7) 自定义自助服务门户;


8) 检查摘要无误后点击添加;


9) 等待安装完成。


   客户端测试

7.1  组策略配置

1) 导入组策略模板,确保组策略设置中有MDOP MBAMBitLocker管理);


2) 在客户端管理中打开配置MBAM服务,分别在恢复服务和状态报告服务中输入:

https://mk-mbam.mk.com/MBAMRecoveryAndHardwareService/CoreService.svc

https://mk-mbam.mk.com/MBAMComplianceStatusService/StatusReportingService.svc


3) 由于虚拟机中添加的硬盘会被识别为移动驱动器,所以这里只需要启用可移动驱动器中的控制对可移动驱动器使用BitLocker即可。


7.2  客户端磁盘加密

1) 如果测试机没有安装MBAM client,则需要安装;

2) 运行客户端安装程序;


3) 接受许可条款;


4) 安装完成后对磁盘进行BitLocker加密;


5) 设置密码;


6) 选择保存到文件;


7) 选择仅加密已用空间,下一步;


8) 开始加密磁盘;


9) 等待加密完成。


10) 双击加密的磁盘,提示需要密码解锁,输入设置的密码;


11) 可以正常解锁。


7.3  找回密码

1) 假如密码忘记,我们可以通过MBAM服务器找回密码;

2) 双击加密磁盘,选择更多选项;


3) 选择输入恢复秘钥;


4) 该秘钥需要从MBAM服务器获得;


5) 在网页中打开https://mk-mbam.mk.com/selfservice,输入账号密码;


6) 勾选同意后点击继续;


7) 输入恢复秘钥ID并选择原因,之后点击获取秘钥;


8) 输入获取的恢复秘钥并解锁。


系统技术
最近热帖
{{item.Title}} {{item.ViewCount}}
近期热议
{{item.Title}} {{item.PostCount}}