本文转载自http://bbs.learnfuture.com/topic/1588,按照教程练手,并对其中部分描述不完整及环境差异部分做补充说明。
【前言】
BitLocker驱动器加密是一项数据保护功能,它与操作系统集成,用于解决来自丢失、被盗或销毁不当的计算机的数据被盗或泄露的问题。针对该技术,微软专门推出了MBAM(Microsoft BitLocker Administration and Monitoring)产品,MBAM是微软MDOP解决方案中的套件,主要用于集中管理企业环境Bitlocker加密,提高IT人员工作效率,提供自助门户及IT管理门户,提供合规性报表等。
【正文】
一 环境规划与准备本实验采用简单部署,一台域控制器(同时作为证书服务器)、一台MBAM服务器(前后端均在同一台服务器)及一台测试客户端,其中域控服务器、MBAM服务器为server 2016系统,测试客户端为win10 企业版系统。
准备相关用户和组
- 在AD中创建域管理员账号administrator;
- 在AD中创建数据库服务运行账号sqlservice(注意设置为密码永不过期);
- 在AD中创建MBAM用户:MBAMAppPool及MBAMROUser;
- 在AD中创建MBAM全局安全组:MBAMAdvHelpDsk、MBAMHelpDsk、MBAMRUGrp。
过程省略
2.2AD、MBAM安装Net Framework 3.5
2.2 安装Web服务器(IIS角色)
- 勾选Web服务器(IIS)
- 按下图勾选相关组件;
- 确认组件无误后点击安装;
- 等待安装完成;
2.3 MBAM 服务器安装安装ASP.NET MVC 4.0
三 MBAM 服务器 安装及配置SQL server 2016 sp13.1 安装sql server 2016
- 运行sql server 2014安装程序;
- 选择全新安装;
- 勾选以下功能;
- 服务账号选择sqlservice并设置密码;
- 排序规则选择SQL_Latin1_General_CP1_CI_AS;
- 确认无误后点击安装;
- 等待安装完成。
3.2 配置SQL server用户账号
3.2.1 配置SQL server实例角色
- 打开SQL server管理工具;
- 新建登录名;
- 登录名选择MBAMAppPool账户;
- 勾选dbcreator及processadmin角色;
3.2.2 配置实例的SQL Server报表服务权限
- 在网页中打开http://192.168.1.100/reports,(数据库IP地址)点击+号创建文件夹设置;
- 为MBAMAppPool添加全部角色;
四 安装SSL证书4.1 在AD上部署CA证书服务器(部署过程略);
4.2 SSL证书申请及下载;
- 打开IIS管理器,在主页中选择服务器证书;
- 点击创建证书申请;
- 证书通用名称输入MBAM服务器名称或IP地址;
- 默认选择下一步;
- 选择证书申请文件存放路径及名称,点击完成;
- 在浏览器中打开http://192.168.10.1/certsrv(192.168.10.1是证书服务器IP),点击申请证书;
- 选择高级证书申请;
- 选择使用base64编码;
- 保存的申请处输入刚申请的证书文件内容,证书模板选择Web服务器;
- 选择下载证书,完成证书申请;
4.3 导入SSL证书
- 点击完成证书申请;
- 选择申请的证书;
注意:这个好记名称要求写MBAM服务器的完整域名,(在2016中随意书写出现了不能绑定的问题)
- 证书导入完成。
五 配置SPN账户5.1 注册SPN账户
- 以管理员身份打开powershell,输入setspn –s http/mbam.bbc.com bbcmbamapppool;
5.2 设置SPN账户受约束的委派
- 在域控上打开AD管理中心;
- 选择MBAMAppPool账户,右键点击属性;
- 切换到委派页面,选择“仅信任此用户作为制定服务器的委派”;
- 点击添加,选择MBAMAppPool账号,在弹出的窗口中点击添加用户或计算机;
- 添加完成后点击确定。
6.1 安装MBAM安装向导;
- 运行Mbamserversetup.exe;
- 打开MBAM安装向导,点击下一步;
- 接受许可协议;
- 点击安装;
- 等待安装完成。
6.2 安装MBAN数据库
- 运行MBAM安装向导;
- 勾选数据库和报告下面的选项;
- 检查先决条件是否满足;
- SQL Server名称处输入SQL服务器名称,读/写访问域用户组处输入MBAMAppPool用户,只读访问域用户组处输入MBAMROUser用户;
- 报告角色域账户处输入MBAMRUGrp组,相容性和审核数据库域账户输入MBAMROUser并设置密码;
- 摘要检查无误后,点击添加;
- 等待安装完成。
6.3 安装MBAM WEB服务器
- 打开MBAM安装向导;
- 勾选Web应用程序下的选项;
- 检查先决条件是否符合;
- 选择安装的SSL证书,Web服务应用程序池域账户选择MBAMAppPool账户;
- 输入SQL服务器名称;
- 输入管理和监控网站的各账户;
- 自定义自助服务门户;
注意: 此处虚拟目录为Helpdesk, 与步骤 Report配置时创建的文件名要求一致。
- 检查摘要无误后点击添加;
- 等待安装完成。
七 客户端测试7.1 组策略配置
- 导入组策略模板,确保组策略设置中有MDOP MBAM(BitLocker管理);
- 在客户端管理中打开配置MBAM服务,分别在恢复服务和状态报告服务中输入:
https://mk-mbam.mk.com/MBAMRecoveryAndHardwareService/CoreService.svc
https://mk-mbam.mk.com/MBAMComplianceStatusService/StatusReportingService.svc
- 由于虚拟机中添加的硬盘会被识别为移动驱动器,所以这里只需要启用可移动驱动器中的控制对可移动驱动器使用BitLocker即可。
7.2 客户端磁盘加密
如果测试机没有安装MBAM client,则需要安装;
运行客户端安装程序;
- 接受许可条款;
- 安装完成后对磁盘进行BitLocker加密;
- 设置密码;
- 选择保存到文件;
- 选择仅加密已用空间,下一步;
- 开始加密磁盘;
- 等待加密完成。
- 双击加密的磁盘,提示需要密码解锁,输入设置的密码;
- 可以正常解锁。
7.3 找回密码
假如密码忘记,我们可以通过MBAM服务器找回密码;
双击加密磁盘,选择更多选项;
- 选择输入恢复秘钥;
- 该秘钥需要从MBAM服务器获得;
- 在网页中打开https://mk-mbam.mk.com/selfservice,输入账号密码;
- 勾选同意后点击继续;
- 输入恢复秘钥ID并选择原因,之后点击获取秘钥;
- 输入获取的恢复秘钥并解锁。
