.png)
- Warning
-
- JFolder::files : le chemin n'est pas un répertoire. Chemin : images/Badges
« Le monde que nous avons créé est le résultat de notre niveau de réflexion, mais les problèmes qu'il engendre ne sauraient être résolus à ce même niveau. »
Recherche glossaire
Traduction
Vote utilisateur: 5 / 5
L'installation de MBAM
L'objectif de Microsoft BitLocker Administration and Monitoring (MBAM) est de gérer et d'administrer plus efficacement l'utilisation de Bitlocker.
Cela via une interface Web permettant d'afficher des rapports, d"effectuer une demande ou de récupérer directement la clé de récupération, etc.
Pré-requis
Prérequis
Comme je souhaite effectuer une installation simple, le tuto suivant installe tous les rôles et fonctionnalités sur le même serveur nommé "ServeurB". L'accès internet est obligatoire.
IIS fonctionnalités
- Fonctionnalités NET Framework 3.5.1:
- .NET Framework 3.5.1
- WCF Activation
- HTTP Activation
- Non-HTTP Activation
- NET Framework 4.5 fonctionnalités
- Services WCF
- TCP Activation
- Service d'Activation des Processus Windows :
- Modèle de Processus
- Environement .NET
- Configuration APIs
- Services de rôle IIS
- Fonctionnalités HTTP communes:
- Contenu statique
- Document par défaut
- Développement d'Application :
- ASP.NET
- Extensibilité .NET
- Extensions ISAPI
- Filtres ISAPI
- Sécurité:
- Filtrage des demandes
- Authentification Windows
Configuration IIS
Afin de bien planter le décor, nous allons demander à présent un certificat SSL à l'autorité de certification déjà présente dans notre domaine. Cela sous-entend que vous l'ayez déjà installé.
Créez et configurez les comptes Active Directory
Voici les commandes powershell vous permettant de générer les comptes rapidement:
$ou = “OU=Groupes,ou=Bitlocker,DC=rumilly,DC=local”
# Création des groupes
NEW-ADGroup –name “G_MBAM_Admin_Total” –groupscope Global –path $ou -Description "Les membres de ce groupe ont un accès total au serveur MBAM"
NEW-ADGroup –name “G_MBAM_Conformite” –groupscope Global –path $ou -Description "Les membres de ce groupe ont un accès en lecture à la base de données Audit et Conformité"
NEW-ADGroup –name “G_MBAM_DB_LE” –groupscope Global –path $ou -Description "Les membres de ce groupe ont un accès en lecture et écriture à la base de données Audit et Conformité"
NEW-ADGroup –name “G_MBAM_Rapports” –groupscope Global –path $ou -Description "Ce groupe est membre du groupe G_MBAM_Conformite"
ADD-ADGroupMember “G_MBAM_Conformite” –members “G_MBAM_Rapports”
NEW-ADGroup –name “G_MBAM_Support_Technique” –groupscope Global –path $ou -Description "Les membres de ce groupe ont un accès à l'URL http(s)://serveur-MBAM/helpdesk sans les rapports"
NEW-ADGroup –name “G_MBAM_Support_Technique_Avancé” –groupscope Global –path $ou -Description "Les membres de ce groupe ont un accès à l'URL http(s)://serveur-MBAM/helpdesk avec les rapports"#Création des utilisateurs
NEW-ADUSER MbamAppPool –Givenname MbamAppPool –Surname MbamAppPool -Path $ou -Description "Compte utilisé pour pour le pool IIS MBAM, membre du groupe G_MBAM_DB_LE" -AccountPassword (Read-Host -AsSecureString "Mot de passe pour MbamAppPool") -PassThru | Enable-ADAccount
ADD-ADGroupMember “G_MBAM_DB_LE” –members “MbamAppPool”
NEW-ADUSER MbamAdmin –Givenname MbamAdmin –Surname MbamAdmin -Path $ou -Description "Compte ayant le contrôle total MBAM, administrateur local du serveur SQL et utiliseé pour l'installation de SQL" -AccountPassword (Read-Host -AsSecureString "Mot de passe pour MbamAdmin") -PassThru | Enable-ADAccount
NEW-ADUSER MbamDBLE –Givenname MbamDBLE –Surname MbamDBLE -Path $ou -Description "Compte utilisé pour l'audit et la conformité MBAM, membre du groupe G_MBAM_DB_LE" -AccountPassword (Read-Host -AsSecureString "Mot de passe pour MbamDBLE") -PassThru | Enable-ADAccount
ADD-ADGroupMember “G_MBAM_DB_LE” –members “MbamDBLE”
NEW-ADUSER Mbamsuptech –Givenname Mbamsuptech –Surname Mbamsuptech -Path $ou -Description "Membre du groupe G_MBAM_Support_Technique_Avancé et du groupe G_MBAM_Rapports" -AccountPassword (Read-Host -AsSecureString "Mot de passe pour Mbamsuptech") -PassThru | Enable-ADAccount
ADD-ADGroupMember “G_MBAM_Support_Technique_Avancé” –members “Mbamsuptech”
ADD-ADGroupMember “G_MBAM_Rapports” –members “Mbamsuptech”
NEW-ADUSER Mbamtech –Givenname Mbamtech –Surname Mbamtech -Path $ou -Description "Membre du groupe G_MBAM_Support_Technique" -AccountPassword (Read-Host -AsSecureString "Mot de passe pour Mbamtech") -PassThru | Enable-ADAccount
ADD-ADGroupMember “G_MBAM_Support_Technique” –members “Mbamtech”
Et vous obteindrez cela
Création du SPN pour MBAM et délégation
Tapez la commande : setspn -S HTTP/FQDN_du_domaine domaine\utilisateur_pool_IIS
setspn -S HTTP/srv-mbam.rumilly.local rumilly\MBAMAppPool
Tapez la commande : setspn -L domaine\utilisateur_pool_IIS
setspn -L rumilly\MBAMAppPool
Activez à présent la délégation Kerberos pour le compte utilisateur utilisateur_pool_IIS "MBAMAppPool".
Pour cela, allez sur les propriétés du compte et sélectionnez l'onglet "Délégation" et cochez "Approuver cet utilisateur..."
L'onglet délégation est généré suite à la création du SPN.
Appartenance du compte "MbamAdmin"
Ce compte procèdera à l'installation de SQL Serveur et doit être membre du groupe "Administrateurs" local du serveur SQL
Installation de SQL 2014
Installez SQL 2014 sur le serveur
Loguez-vous sur le serveur avec le compte "MbamAdmin", qui doit être membre du groupe "administrateurs" local du serveur.
J'ai supprimé quelques copies d'écran sans importance...
- Database engine
- Reporting services (native)
- Integration services
- Management tools complete
Attributions des droits sur les SQL
Connectez-vous à l'aide de Microsoft SQL Server MAnagement Studio à votre serveur SQL
Dans le noeud "Sécurité - Connexions", faites un clic droit et "Nouvelle connexion..."
Sélectionnez le compte d'administration nommé "mbamadmin"
Sélectionnez le compte puis "Nouvelle connexion..."
Et rajouter-lui les droits "sysadmin"
Installez Microsoft Web Platform 5.0 asp.net mvc 4
Vous pouvez télécharger Microsoft Web Platform 5.0 asp.net mvc 4
Rien de bien compliqué, il suffit de suivre l'assistant.
Pas besoin d'ajouter quoi que ce soit, cliquez sur "Quitter"
Tous les prérequis sont à présent définis, reste à installer MBAM.
Installation de MBAM
Installation de MBAM
L'installation se faisant en deux étapes, la première étape est très simple. Cliquez sur "Serveur MBAM 2.5"
Acceptez le contrat de licence
A votre choix
Cliquez sur "Installer"
Vous pouvez ici lancer immédiatement l'assistant de configuration MBAM qui est la deuxième phase.
Ajoutez des fonctionnalités
Malgré que nous poussions effectuer l'installation en une seule étape, je décompose volontairement les différentes phases.
Création des bases de données
Sélectionnez les deux bases de données
Une première vérification est effectuée
Remplissez avec soin les différents champs
Une deuxième validation est effectuée suivi d'un récapitulatif. Cliquez sur "Ajouter"
Cliquez sur "Installer" puis "Terminer"
Si vous jetez un coup d'oeil dans votre serveur SQL, vous remarquerez la présence de deux nouvelles bases de données:
- MBAM Compliance Status
- MBAM Recovery and Hardware
Configuration des rapports
Relancez l'assistant
et sélectionnez à présent "Rapports"
Remplissez avec soin les différents champs
Une deuxième validation est effectuée suivi d'un récapitulatif. Cliquez sur "Ajouter"
Cliquez sur "Ajouter" puis "Terminer"
Configuration des portails
Relancez une dernière fois l'assistant et ajouter de nouvelles fonctionnalités
Sélectionnez les deux applications web
Une première validation est faite
Dans la partie prérequis, je vous avais invité à installer un certificat SSL sur le serveur WEB. Vous allez ici faire appel à ce certificat en cliquant sur "Parcourir"
Et en le sélectionnant
Remplissez les champs avec soin
Cliquez sur "Ajouter"
Si vous ouvrez la console IIs, vous constaterez l'apparition d'un nouveau site "Microsoft Bitlocker Administration and Monitoring"
