Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00198 010850 10754775 na godz. na dobę w sumie
Windows Server 2008. Infrastruktura klucza publicznego (PKI) - książka
Windows Server 2008. Infrastruktura klucza publicznego (PKI) - książka
Autor: Liczba stron: 240
Wydawca: Helion Język publikacji: polski
ISBN: 83-246-1914-3 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> serwery internetowe >> inne
Porównaj ceny (książka, ebook (-90%), audiobook).

Poznaj i wprowadź PKI dla własnego bezpieczeństwa i ochrony danych

Infrastruktura klucza publicznego PKI (skrót od ang. Public Key Infrastructure) stanowi zbiór sprzętu, oprogramowania, reguł oraz procedur koniecznych do tworzenia, zarządzania, przechowywania i dystrybucji certyfikatów opartych na kryptografii z kluczem publicznym. Dzięki tej infrastrukturze można tworzyć bezpieczne kanały do wymiany informacji oraz przesyłania ważnych danych przy użyciu Internetu. Najczęściej infrastruktura PKI wykorzystywana jest w handlu elektronicznym, ponieważ pozwala na wzajemną weryfikację sprzedawcy i kupującego oraz zapewnia bezpieczny kanał podczas obustronnej komunikacji sieciowej.

Książka 'Windows Server 2008. Infrastruktura klucza publicznego (PKI)' zawiera wszystkie niezbędne informacje, związane z infrastrukturą klucza publicznego. Dzięki temu podręcznikowi poznasz zasady tworzenia PKI w przedsiębiorstwach dowolnej wielkości, a także wszystkie zagadnienia dotyczące szczegółowego procesu instalacji oraz konfiguracji nadrzędnego i podrzędnego urzędu certyfikacji. Dowiesz się, na czym polega konfigurowanie zasad grupy, związanych z infrastrukturą klucza publicznego -- w szczególności tych dotyczących kart inteligentnych i usług, które są z nimi związane -- na komputerze pracującym pod kontrolą serwerowego systemu operacyjnego Windows Server 2008 Standard.

Bezpieczeństwo to podstawa. Profesjonalnie ochroń wartościowe dane firmy.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Windows Server 2008. Infrastruktura klucza publicznego (PKI) Autor: Andrzej Szel„g ISBN: 83-246-1914-3 Stron: 300 Poznaj i wprowad(cid:159) PKI dla w‡asnego bezpieczeæstwa i ochrony danych (cid:149) Jak zarz„dza(cid:230) infrastruktur„ PKI? (cid:149) Jak zabezpiecza(cid:230) konta administracyjne? (cid:149) Jak przygotowa(cid:230) stacjŒ rejestrowania certyfikat(cid:243)w cyfrowych kart inteligentnych? Infrastruktura klucza publicznego PKI (skr(cid:243)t od ang. Public Key Infrastructure) stanowi zbi(cid:243)r sprzŒtu, oprogramowania, regu‡ oraz procedur koniecznych do tworzenia, zarz„dzania, przechowywania i dystrybucji certyfikat(cid:243)w opartych na kryptografii z kluczem publicznym. DziŒki tej infrastrukturze mo¿na tworzy(cid:230) bezpieczne kana‡y do wymiany informacji oraz przesy‡ania wa¿nych danych przy u¿yciu Internetu. NajczŒ(cid:156)ciej infrastruktura PKI wykorzystywana jest w handlu elektronicznym, poniewa¿ pozwala na wzajemn„ weryfikacjŒ sprzedawcy i kupuj„cego oraz zapewnia bezpieczny kana‡ podczas obustronnej komunikacji sieciowej. Ksi„¿ka (cid:132)Windows Server 2008. Infrastruktura klucza publicznego (PKI)(cid:148) zawiera wszystkie niezbŒdne informacje, zwi„zane z infrastruktur„ klucza publicznego. DziŒki temu podrŒcznikowi poznasz zasady tworzenia PKI w przedsiŒbiorstwach dowolnej wielko(cid:156)ci, a tak¿e wszystkie zagadnienia dotycz„ce szczeg(cid:243)‡owego procesu instalacji oraz konfiguracji nadrzŒdnego i podrzŒdnego urzŒdu certyfikacji. Dowiesz siŒ, na czym polega konfigurowanie zasad grupy, zwi„zanych z infrastruktur„ klucza publicznego (cid:151) w szczeg(cid:243)lno(cid:156)ci tych dotycz„cych kart inteligentnych i us‡ug, kt(cid:243)re s„ z nimi zwi„zane (cid:151) na komputerze pracuj„cym pod kontrol„ serwerowego systemu operacyjnego Windows Server 2008 Standard. (cid:149) Infrastruktura klucza publicznego (cid:149) Architektura PKI w Windows Server 2008 (cid:149) PKI a szyfrowanie informacji (cid:149) Zastosowania PKI (cid:149) Tworzenie infrastruktury PKI (cid:149) NadrzŒdny i podrzŒdny urz„d certyfikacji (cid:149) Szablony certyfikat(cid:243)w cyfrowych (cid:149) Zasady grupy i us‡ugi zwi„zane z PKI (cid:149) Konfigurowanie IIS 7, SSL i IE 7 na potrzeby PKI (cid:149) Uwierzytelnianie za pomoc„ kart inteligentnych w Windows Server 2008 i Windows Vista (cid:149) Zdalny dostŒp w Windows Server 2008 i Windows Vista Bezpieczeæstwo to podstawa. Profesjonalnie ochroæ warto(cid:156)ciowe dane firmy Wydawnictwo Helion ul. Ko(cid:156)ciuszki 1c 44-100 Gliwice tel. 032 230 98 63 e-mail: helion@helion.pl Spis treĈci Wprowadzenie .................................................................................. 7 Rozdziaä 1. Infrastruktura klucza publicznego (PKI) ........................................... 11 1.1. Co to jest PKI? ...................................................................................................... 12 1.2. Dlaczego PKI? ...................................................................................................... 13 1.3. Standardy związane z PKI .................................................................................... 15 1.3.1. ITU X.509 ................................................................................................. 15 1.3.2. RSA PKCS ................................................................................................ 16 1.3.3. IETF PKIX ................................................................................................ 18 1.4. Architektura PKI w Windows Server 2008 .......................................................... 19 1.4.1. UrzĊdy certyfikacji (CA) i urzĊdy rejestracji (RA) .......................................... 19 1.4.2. Szablony certyfikatów i certyfikaty cyfrowe ............................................. 22 1.4.3. Repozytoria certyfikatów cyfrowych ......................................................... 26 1.4.4. Listy odwoáania certyfikatów (CRL) ......................................................... 28 1.4.5. NarzĊdzia do zarządzania PKI w Windows Server 2008 i Windows Vista .................................................................................... 30 1.5. PKI a szyfrowanie informacji ............................................................................... 36 1.5.1. Podstawowe pojĊcia związane z szyfrowaniem informacji ....................... 37 1.5.2. Symetryczne i asymetryczne metody szyfrowania informacji .................. 38 1.6. Zastosowania PKI ................................................................................................. 43 1.7. Funkcje zabezpieczające w PKI ........................................................................... 44 Rozdziaä 2. Tworzenie infrastruktury PKI w Windows Server 2008 ..................... 45 2.1. Fazy projektu PKI ................................................................................................. 46 2.2. Projektowanie urzĊdów certyfikacji .......................................................................... 47 2.3. Planowanie hierarchii i struktury urzĊdów certyfikacji ........................................ 50 2.4. Planowanie wydajnoĞci i skalowalnoĞci urzĊdów certyfikatów ........................... 55 2.5. Planowanie zgáaszania ĪądaĔ i dystrybucji certyfikatów cyfrowych .................... 57 2.6. Projektowanie zarządzania urzĊdami certyfikacji i certyfikatami cyfrowymi .......... 61 2.7. Planowanie interwaáów publikowania list CRL .................................................... 62 2.8. Projektowanie bezpieczeĔstwa urzĊdów certyfikacji i danych ............................. 63 2.8.1. Fizyczne Ğrodki ochronne .......................................................................... 64 2.8.2. Logiczne Ğrodki ochronne ......................................................................... 66 Rozdziaä 3. Nadrzödny urzñd certyfikacji typu offline w Windows Server 2008 ...... 73 3.1. Minimalne wymagania systemowe i sprzĊtowe dla nadrzĊdnego CA .................. 73 3.2. Zalecenia dla nadrzĊdnego CA ............................................................................. 74 3.3. Instalowanie nadrzĊdnego CA w trybie offline .................................................... 75 4 Windows Server 2008. Infrastruktura klucza publicznego (PKI) 3.4. Konfigurowanie okresu waĪnoĞci certyfikatów cyfrowych wystawianych przez nadrzĊdny CA .................................................................. 85 3.5. Konfigurowanie punktu dystrybucji listy CRL (CDP) i dostĊpu do informacji o urzĊdach (AIA) ........................................................ 86 3.6. Publikowanie listy odwoáania certyfikatów (CRL) ............................................... 90 3.7. Eksportowanie certyfikatu nadrzĊdnego CA i listy CRL ...................................... 91 Rozdziaä 4. Podrzödny urzñd certyfikacji typu online w Windows Server 2008 ...... 93 4.1. Minimalne wymagania systemowe i sprzĊtowe dla podrzĊdnego CA .................. 93 4.2. Zalecenia dla podrzĊdnego CA ............................................................................. 94 4.3. Instalowanie podrzĊdnego CA w trybie online ..................................................... 95 4.4. Uzyskiwanie certyfikatu cyfrowego z nadrzĊdnego CA dla podrzĊdnego CA ......... 104 4.5. Importowanie certyfikatu nadrzĊdnego CA i listy CRL do podrzĊdnego CA ........ 109 4.6. Uruchamianie usáugi certyfikatów na podrzĊdnym CA ...................................... 115 4.7. Konfigurowanie punktu dystrybucji listy CRL (CDP) i dostĊpu do informacji o urzĊdach (AIA) ...................................................... 119 4.8. Publikowanie certyfikatu cyfrowego nadrzĊdnego CA w usáudze katalogowej Active Directory ........................................................ 121 Rozdziaä 5. Szablony certyfikatów cyfrowych w Windows Server 2008 ............. 123 5.1. DomyĞlne uprawnienia szablonów certyfikatów cyfrowych .............................. 124 5.1.1. Szablon certyfikatu cyfrowego typu „Kontroler domeny” ...................... 125 5.1.2. Szablon certyfikatu cyfrowego typu „Logowanie kartą inteligentną” ..... 126 5.1.3. Szablon certyfikatu cyfrowego typu „Administrator” ............................. 126 5.2. Instalowanie certyfikatu cyfrowego typu „Kontroler domeny” na kontrolerze domeny .................................................................................... 127 5.3. Wáączanie szablonu certyfikatu cyfrowego typu „Logowanie kartą inteligentną” na podrzĊdnym CA ...................................... 132 5.4. Instalowanie certyfikatu cyfrowego typu „Administrator” na podrzĊdnym CA ....... 134 Rozdziaä 6. Zasady grupy i usäugi zwiñzane z PKI w Windows Server 2008 ......... 139 6.1. Zasady grupy ...................................................................................................... 139 6.2. Zasady kluczy publicznych ................................................................................. 140 6.3. Konfigurowanie zasad grupy dotyczących kart inteligentnych ........................... 146 6.3.1. Logowanie interakcyjne: wymagaj karty inteligentnej ............................ 148 6.3.2. Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej ................................................................................ 150 6.4. Usáugi związane z kartami inteligentnymi .......................................................... 153 6.5. Uruchamianie usáugi Zasady usuwania karty inteligentnej ................................. 154 Rozdziaä 7. Konfigurowanie IIS 7, SSL i IE 7 na potrzeby PKI ........................... 157 7.1. Bezpieczna komunikacja sieciowa ..................................................................... 157 7.2. Internet Information Services 7 (IIS 7) ............................................................... 158 7.3. Instalowanie certyfikatu typu „Serwer sieci Web” na serwerze IIS 7 ................. 160 7.4. Secure Socket Layer (SSL) ................................................................................. 164 7.5. Konfigurowanie ustawieĔ protokoáu SSL na serwerze IIS 7 .............................. 165 7.6. Internet Explorer 7 (IE 7) ................................................................................... 168 7.7. Przygotowanie programu IE 7 do bezpiecznej obsáugi witryny CertSrv ............ 170 Rozdziaä 8. Uwierzytelnianie za pomocñ kart inteligentnych w Windows Server 2008 i Windows Vista ...................................... 175 8.1. Karty inteligentne ............................................................................................... 176 8.2. Czytniki kart inteligentnych ............................................................................... 177 8.3. Zarządzanie kartami inteligentnymi w Windows Server 2008 .............................. 177 Spis treĈci 5 8.3.1. Przygotowanie stacji rejestrowania certyfikatów cyfrowych kart inteligentnych ............................................................. 178 8.3.2. Przygotowanie karty inteligentnej do pracy ............................................ 181 8.3.3. Umieszczenie certyfikatu typu „Logowanie kartą inteligentną” na karcie inteligentnej .......................................................................... 184 8.4. Zarządzanie dostĊpem uĪytkowników w Windows Vista ................................... 194 8.4.1. Zabezpieczanie kont administracyjnych .................................................. 194 8.4.2. Metody uwierzytelniania ......................................................................... 195 8.4.3. Konfigurowanie opcji kont uĪytkowników w usáudze Active Directory ....... 196 8.4.4. Logowanie do systemu Windows Vista za pomocą karty inteligentnej ...... 197 Rozdziaä 9. Zdalny dostöp w Windows Server 2008 i Windows Vista ............... 203 9.1. NarzĊdzia administracji zdalnej serwera firmy Microsoft .................................. 204 9.2. Pulpit zdalny firmy Microsoft ............................................................................. 204 9.3. Instalowanie i konfigurowanie narzĊdzi administracji zdalnej serwera w Windows Vista .............................................................................. 207 9.4. Zarządzanie PKI za pomocą narzĊdzi administracji zdalnej serwera firmy Microsoft ................................................................................. 209 9.5. Konfigurowanie serwera na potrzeby usáugi Pulpit zdalny firmy Microsoft ......... 215 9.5.1. Wáączanie usáugi Pulpit zdalny firmy Microsoft ..................................... 216 9.5.2. Konfigurowanie ustawieĔ serwera terminali ........................................... 217 9.5.3. Zmiana domyĞlnego numeru portu dla usáug terminalowych .................. 222 9.5.4. Konfigurowanie ustawieĔ programu Zapora systemu Windows ............. 224 9.6. Konfigurowanie klienta usáugi Pulpit zdalny ...................................................... 224 9.7. Zarządzanie infrastrukturą PKI za pomocą klienta usáugi Pulpit zdalny ............ 228 Skorowidz .................................................................................... 231 140 Windows Server 2008. Infrastruktura klucza publicznego (PKI) Rysunek 6.1. Zasady grupy dotyczące komputera 2. Zasady grupy dotyczące uĪytkownika, które przedstawiono na rysunku 6.2. Są one stosowane do tych uĪytkowników, którzy logują siĊ do systemu na danym komputerze. Na ogóá zasady te są aktywowane natychmiast po uwierzytelnieniu toĪsamoĞci uĪytkownika, ale przed przyznaniem mu dostĊpu do systemu Windows. Rysunek 6.2. Zasady grupy dotyczące uĪytkownika Zasady grupy nie powodują trwaáych zmian w rejestrze systemu Windows. MoĪna je wiĊc bardzo áatwo dodawaü i usuwaü bez „zaĞmiecania” rejestru czy koniecznoĞci ponownego uruchamiania systemu operacyjnego. 6.2. Zasady kluczy publicznych W tej czĊĞci ksiąĪki zostaną przedstawione zasady grupy związane z infrastrukturą klu- cza publicznego (PKI), a w szczególnoĞci zawartoĞü kontenera o nazwie Zasady kluczy publicznych. Obiekty i opcje dostĊpne w tym kontenerze umoĪliwiają zarządzanie Rozdziaä 6. i Zasady grupy i usäugi zwiñzane z PKI w Windows Server 2008 141 ustawieniami infrastruktury klucza publicznego, które znajdują siĊ w sekcji dotyczącej komputera (rysunek 6.3) i uĪytkownika (rysunek 6.4) w dowolnej wielkoĞci przedsiĊ- biorstwie lub organizacji. Rysunek 6.3. Zasady kluczy publicznych dotyczące komputera Rysunek 6.4. Zasady kluczy publicznych dotyczące uĪytkownika Co moĪna skonfigurowaü za pomocą obiektów oraz opcji dostĊpnych w kontenerze Zasady kluczy publicznych? NajwaĪniejsze ustawienia zostaáy przedstawione poniĪej w punktach. 142 Windows Server 2008. Infrastruktura klucza publicznego (PKI) 1. Automatyczne rejestrowanie certyfikatów cyfrowych uĪytkownika i komputera Automatyczne rejestrowanie certyfikatów cyfrowych uĪytkownika i komputera pozwala w niezwykle prosty sposób zautomatyzowaü:  proces odnawiania wygasáych certyfikatów cyfrowych,  aktualizowanie oczekujących certyfikatów cyfrowych (równieĪ tych, które uĪywają opisanych wczeĞniej szablonów certyfikatów cyfrowych),  usuwanie odwoáanych certyfikatów cyfrowych,  powiadamianie o wygasaniu danego certyfikatu cyfrowego, zanim skoĔczy siĊ jego okres waĪnoĞci. PowyĪsze cele moĪna osiągnąü, edytując wáaĞciwoĞci obiektu Klient usáug certyfikatów — automatyczne rejestrowanie z poziomu kontenera Zasady kluczy publicznych, co przedstawiono na rysunku 6.5. Rysunek 6.5. Klient usáug certyfikatów — automatyczne rejestrowanie dla komputera Zgodnie z rysunkiem 6.5, na zakáadce Definiowanie ustawieĔ zasad moĪna skonfigurowaü automatyczne rejestrowanie certyfikatów cyfrowych uĪytkowników oraz komputerów. W tym odnawianie wygasáych certyfikatów cyfrowych, aktualizacjĊ oczekujących czy usuniĊcie odwoáanych certyfikatów cyfrowych. Poza tym moĪna zaktualizowaü certyfikaty cyfrowe, które zostaáy utworzone na podstawie szablonów certyfikatów cyfrowych. W przypadku skonfigurowania automatycznego rejestrowania dla uĪytkowników dodatkowo pojawi siĊ (rysunek 6.6) opcja Powiadomienie o wygaĞniĊciu. Jej wáączenie spowoduje wyĞwietlanie powiadomienia o wygasaniu certyfikatu cyfrowego, gdy procent pozostaáego okresu waĪnoĞci tego certyfikatu wyniesie 10 . TĊ domyĞlną wartoĞü moĪna oczywiĞcie zmieniaü w zaleĪnoĞci od wymagaĔ danego przedsiĊbiorstwa lub innej organizacji. Rozdziaä 6. i Zasady grupy i usäugi zwiñzane z PKI w Windows Server 2008 143 Rysunek 6.6. Klient usáug certyfikatów — automatyczne rejestrowanie dla uĪytkownika 2. Konfigurowanie ustawieĔ sprawdzania poprawnoĞci ĞcieĪki certyfikatu UĪytkownicy przedsiĊbiorstwa lub innej organizacji mogą w dowolnym stopniu korzystaü z certyfikatów cyfrowych. W najnowszych serwerowych systemach operacyjnych Microsoft Windows Server 2008 Standard administrator domeny ma moĪliwoĞü kontrolowania (dziĊki obiektowi o nazwie Ustawienia sprawdzania poprawnoĞci ĞcieĪki certyfikatu, który jest dostĊpny w kontenerze Zasady kluczy publicznych) stopieĔ zuĪytkowania tych certyfikatów. Po wybraniu wáaĞciwoĞci obiektu Ustawienia sprawdzania poprawnoĞci ĞcieĪki certyfikatu moĪna przejĞü do konfigurowania ustawieĔ sprawdzania poprawnoĞci ĞcieĪki certyfikatu cyfrowego. SáuĪą do tego opcje, które są dostĊpne na czterech zakáadkach (Magazyny, Zaufani wydawcy, Pobieranie z sieci i Odwoáywanie), oraz zasady Sprawdzanie poprawnoĞci ĞcieĪki certyfikatu. Na potrzeby tej ksiąĪki zostanie omówiona jedynie zakáadka Magazyny, gdyĪ pozostaáe nie są tak istotne. Jak ogólnie wiadomo, przedsiĊbiorstwa i inne organizacje chcą jednoznacznie identyfikowaü oraz rozprowadzaü w sieci komputerowej tylko zaufane certyfikaty cyfrowe nadrzĊdnych urzĊdów certyfikacji. UmoĪliwiają to opcje dostĊpne na zakáadce o nazwie Magazyny, przedstawionej na rysunku 6.7. Z poziomu tej zakáadki moĪna okreĞlaü m.in. reguáy zaufania uĪytkownika do certyfikatu cyfrowego nadrzĊdnego CA, który funkcjonuje w danym przedsiĊbiorstwie lub organizacji. 3. Konfigurowanie ustawienia automatycznego Īądania certyfikatu dla komputerów Jak juĪ wspomniano na początku tego rozdziaáu, zarządzanie kaĪdym certyfikatem cyfrowym z osobna jest czasocháonne. W kontenerze o nazwie Ustawienia automatycznego Īądania certyfikatu administrator domeny moĪe 144 Windows Server 2008. Infrastruktura klucza publicznego (PKI) Rysunek 6.7. Zakáadka „Magazyny” zdefiniowaü, których typów certyfikatów cyfrowych komputer moĪe zaĪądaü automatycznie. W przypadku tworzenia nowego Īądania certyfikatu cyfrowego zostanie uruchomione narzĊdzie Kreator instalatora automatycznego Īądania certyfikatu, co przedstawia rysunek 6.8. Rysunek 6.8. „Kreator instalatora automatycznego Īądania certyfikatu” Rozdziaä 6. i Zasady grupy i usäugi zwiñzane z PKI w Windows Server 2008 145 4. Importowanie certyfikatu nadrzĊdnego CA do magazynu „Zaufane gáówne urzĊdy certyfikacji” Po zainstalowaniu w przedsiĊbiorstwie lub innej organizacji nadrzĊdnego CA naleĪy dodaü (zaimportowaü) jego certyfikat cyfrowy do magazynu Zaufane gáówne urzĊdy certyfikacji, co pozwoli przenieĞü go automatycznie (za pomocą zasad grupy) na róĪne komputery (komputery klienckie, serwery czáonkowski itp.). Certyfikat cyfrowy nadrzĊdnego CA moĪna dodaü do magazynu Zaufane gáówne urzĊdy certyfikacji po zaznaczeniu obiektu o nazwie Zaufane gáówne urzĊdy certyfikacji. NastĊpnie trzeba wybraü z menu Akcja opcjĊ Importuj… Zostanie wówczas uruchomiony dobrze znany z poprzednich rozdziaáów kreator o nazwie Kreator importu certyfikatów — za jego pomocą moĪna zaimportowaü certyfikat cyfrowy nadrzĊdnego CA (rysunek 6.9). Rysunek 6.9. Certyfikat cyfrowy nadrzĊdnego CA zaimportowany do magazynu „Zaufane gáówne urzĊdy certyfikacji” 5. Importowanie certyfikatu podrzĊdnego CA do magazynu „PoĞrednie urzĊdy certyfikacji” Po zainstalowaniu w przedsiĊbiorstwie lub innej organizacji podrzĊdnego CA naleĪy (podobnie jak w przypadku certyfikatu nadrzĊdnego CA) zaimportowaü jego certyfikat cyfrowy do magazynu PoĞrednie urzĊdy certyfikacji. Po zaimportowaniu certyfikatu cyfrowego podrzĊdnego CA do magazynu PoĞrednie urzĊdy certyfikacji w prawym oknie konsoli powinien pojawiü siĊ certyfikat CA-02, jak na rysunku 6.10. Zostaje dodany równieĪ certyfikat cyfrowy nadrzĊdnego CA (CA-01), co takĪe obrazuje ten sam rysunek. Jak pamiĊtamy z rozdziaáu 4., podczas eksportu certyfikatu cyfrowego 146 Windows Server 2008. Infrastruktura klucza publicznego (PKI) Rysunek 6.10. Certyfikat podrzĊdnego CA zaimportowany do magazynu „PoĞrednie urzĊdy certyfikacji” podrzĊdnego CA zostaá wybrany format PKCS #7 (.P7B) wraz z opcją JeĪeli jest to moĪliwe, doáącz wszystkie certyfikaty do ĞcieĪki certyfikacji. PoniewaĪ certyfikat cyfrowy nadrzĊdnego CA naleĪy do tej ĞcieĪki, jest dodawany wszĊdzie tam, gdzie wprowadzono certyfikat cyfrowy podrzĊdnego CA. Po wykonaniu powyĪszych kroków naleĪy odĞwieĪyü zasady grupy (uĪytkownika oraz komputera) za pomocą komendy gpupdate /force. Wykonanie tej komendy wymusza natychmiastową aktualizacjĊ zasad grupy uĪytkownika i komputera. 6.3. Konfigurowanie zasad grupy dotyczñcych kart inteligentnych Najnowsze serwerowe systemy operacyjne Windows Server 2008 Standard zawierają kilka zasad, które dotyczą kart inteligentnych. W tej czĊĞci ksiąĪki zaprezentowane zo- staną dwie najczĊĞciej wykorzystywane, czyli: 1. Logowanie interakcyjne: wymagaj karty inteligentnej. To ustawienie zabezpieczeĔ okreĞla, Īe uĪytkownicy domeny mogą siĊ zalogowaü siĊ do komputera tylko przy uĪyciu karty inteligentnej z wáaĞciwym certyfikatem cyfrowym. Rozdziaä 6. i Zasady grupy i usäugi zwiñzane z PKI w Windows Server 2008 147 2. Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej. To ustawienie zabezpieczeĔ okreĞla, co siĊ stanie, jeĞli karta inteligentna aktualnie zalogowanego do komputera uĪytkownika zostanie wyjĊta z czytnika kart inteligentnych. PowyĪsze zasady, których wáączenie podnosi poziom bezpieczeĔstwa w przedsiĊbior- stwie lub innej organizacji wykorzystujących infrastrukturĊ klucza publicznego (PKI), są dostĊpne z poziomu konsoli Zarządzanie zasadami grupy na kontrolerze domeny. NajczĊĞciej zasady grupy dotyczące kart inteligentnych moĪna definiowaü dla caáej do- meny sieciowej lub dla wybranej jednostki organizacyjnej (ang. Organizational Unit). Na potrzeby tej ksiąĪki zdefiniowane zostaną zasady dla jednostki organizacyjnej o na- zwie PKI. W tym celu Administrator domeny (uĪytkownik EA.pl\Administrator) na kon- trolerze domeny o nazwie DC-01 musi: 1. Uruchomiü konsolĊ Zarządzanie zasadami grupy (np. za pomocą komendy gpmc.msc). 2. PrzejĞü do obiektu o nazwie PKI i utworzyü w nim nowy obiekt zasad grupy o nazwie Karty inteligentne, jak na rysunku 6.11. Rysunek 6.11. Nowy obiekt zasad grupy o nazwie „Karty inteligentne” 3. Rozwinąü wĊzeá Obiekty zasad grupy i zaznaczyü zasadĊ Karty inteligentne. 4. Z menu Akcja wybraü opcjĊ Edytuj… 5. PrzejĞü do wĊzáa Opcje zabezpieczeĔ, przedstawionego na rysunku 6.12. Rysunek 6.12. WĊzeá „Opcje zabezpieczeĔ” wraz z domyĞlnymi zasadami grypy 148 Windows Server 2008. Infrastruktura klucza publicznego (PKI) Z poziomu wĊzáa Opcje zabezpieczeĔ zostaną skonfigurowane dwie wspomniane wcze- Ğniej zasady grupy dotyczące kart inteligentnych, czyli:  Logowanie interakcyjne: wymagaj karty inteligentnej,  Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej. 6.3.1. Logowanie interakcyjne: wymagaj karty inteligentnej JeĪeli przedsiĊbiorstwo lub inna organizacja zechce umoĪliwiü dostĊp do jakiegoĞ ser- wera czáonkowskiego, np. o nazwie CA-02 (podrzĊdnego CA), jedynie z wykorzysta- niem kart inteligentnych, musi wáączyü zasadĊ o nazwie Logowanie interakcyjne: wymagaj karty inteligentnej. DziĊki tej zasadzie podczas logowania za pomocą hasáa dostĊpowego do tego serwera pojawi siĊ komunikat przedstawiony na rysunku 6.13. OczywiĞcie po wczeĞniejszym wykonaniu omawianych w tym podrozdziale kroków i po przeniesieniu konta serwera czáonkowskiego o nazwie CA-02 do jednostki orga- nizacyjnej PKI, dla której zostaáa ustawiona powyĪsza zasada. Trzeba pamiĊtaü o tym, aby przed przeniesieniem konta komputera do wspomnianej jednostki organizacyjnej zaimportowaü do odpowiednich magazynów certyfikaty cyfrowe nadrzĊdnego i pod- rzĊdnego CA oraz listy CRL. Rysunek 6.13. Wynik dziaáania zasady „Logowanie interakcyjne: wymagaj karty inteligentnej” Aby wáączyü zasadĊ o nazwie Logowanie interakcyjne: wymagaj karty inteligentnej, Administrator domeny (uĪytkownik EA.pl\Administrator) musi wykonaü wymieniane poniĪej dziaáania na kontrolerze domeny. 1. Zaznaczyü w prawym oknie zasadĊ Logowanie interakcyjne: wymagaj karty inteligentnej, jak na rysunku 6.14. 2. Z menu Akcja wybraü opcjĊ WáaĞciwoĞci. 3. Na zakáadce Ustawianie zasad zabezpieczeĔ zaznaczyü pole wyboru Definiuj nastĊpujące ustawienie zasad, a nastĊpnie wybraü opcjĊ Wáączone, jak na rysunku 6.15. Rozdziaä 6. i Zasady grupy i usäugi zwiñzane z PKI w Windows Server 2008 149 Rysunek 6.14. Zasada „Logowanie interakcyjne: wymagaj karty inteligentnej” Rysunek 6.15. Zakáadka „Ustawianie zasad zabezpieczeĔ” dla „Logowanie interakcyjne: wymagaj karty inteligentnej” 4. Kliknąü na przycisk OK, aby zamknąü okno WáaĞciwoĞci: Logowanie interakcyjne: wymagaj karty inteligentnej. Nie naleĪy zamykaü konsoli Zarządzanie zasadami grupy, gdyĪ bĊdzie ona potrzebna do ustawienia kolejnej zasady o nazwie „Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej”. 150 Windows Server 2008. Infrastruktura klucza publicznego (PKI) 6.3.2. Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej JeĪeli chcemy, aby dostĊp do jakiegoĞ serwera czáonkowskiego, np. o nazwie CA-02 (podrzĊdnego CA), byá blokowany po wyjĊciu karty inteligentnej z czytnika kart in- teligentnych (rysunek 6.16), trzeba wáączyü zasadĊ o nazwie Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej. OczywiĞcie po wczeĞniejszym wyko- naniu przedstawionych w tym podrozdziale (i w dwóch kolejnych) kroków, a nastĊp- nie po przeniesieniu konta serwera czáonkowskiego o nazwie CA-02 do jednostki or- ganizacyjnej PKI, dla której zostaáa ustawiona ta zasada grupy. Rysunek 6.16. Wynik dziaáania zasady „Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej” Aby skonfigurowaü zasadĊ dotyczącą zachowania siĊ komputera podczas usuwania karty inteligentnej z czytnika kart inteligentnych, Administrator domeny (uĪytkownik EA.pl\Administrator) musi wykonaü wymieniane poniĪej dziaáania. 1. Zaznaczyü w prawym oknie konsoli Zarządzanie zasadami grupy zasadĊ Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej, jak na rysunku 6.17. 2. Z menu Akcja wybraü opcjĊ WáaĞciwoĞci. 3. Na zakáadce Ustawianie zasad zabezpieczeĔ zaznaczyü pole wyboru Definiuj nastĊpujące ustawienie zasad, a nastĊpnie z listy rozwijalnej wybraü akcjĊ Zablokuj stacjĊ roboczą, jak na rysunku 6.18. Poza tą akcją są dostĊpne inne opcje:  Brak akcji,  Wymuszaj wylogowanie,  Rozáącz w przypadku zdalnej sesji usáug terminalowych. Rozdziaä 6. i Zasady grupy i usäugi zwiñzane z PKI w Windows Server 2008 151 Rysunek 6.17. Zasada „Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej” Rysunek 6.18. Zakáadka „Ustawianie zasad zabezpieczeĔ dla Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej” 4. Kliknąü na przycisk OK. 5. Zamknąü konsolĊ Edytor zarządzania zasadami grupy. Po wykonaniu powyĪszych dziaáaĔ naleĪy odĞwieĪyü zasady grupy (uĪytkownika oraz komputera) za pomocą komendy gpupdate /force. Komenda ta wymusza natychmia- stową aktualizacjĊ zasad grupy uĪytkownika i komputera. W przypadku zasady Logowanie interakcyjne: zachowanie przy usuwaniu karty inte- ligentnej warto pamiĊtaü o jeszcze jednym. Zasada ta dziaáa dopiero po wáączeniu na komputerze wyposaĪonym w czytnik kart inteligentnych i kartĊ inteligentną (za pomocą 152 Windows Server 2008. Infrastruktura klucza publicznego (PKI) którego realizowane jest uwierzytelnianie z wykorzystaniem certyfikatu cyfrowego karty inteligentnej) usáugi o nazwie Zasady usuwania karty inteligentnej. Jest to nowa usáuga w systemach operacyjnych Windows Server 2008 Standard i Windows Vista Business, uruchamiana rĊcznie lub automatycznie. Druga metoda zostanie przedstawiona w dal- szej czĊĞci tego rozdziaáu. W przypadku rĊcznego uruchamiania powyĪszej usáugi moĪna ją wáączyü poprzez ustawienie trybu uruchomienia na Automatyczny. Próba zmiany stanu usáugi z domyĞlnej wartoĞci Zatrzymano na Uruchom wygeneruje komunikat, który przedstawia rysunek 6.19. Rysunek 6.19. Okno „Usáugi” Zgodnie z komunikatem przedstawionym na rysunku 6.19, usáuga Zasady usuwania karty inteligentnej zostaáa uruchomiona, a nastĊpnie z powrotem zatrzymana. Dlaczego tak siĊ dzieje? PoniewaĪ jest ona zaleĪna od innych usáug. MoĪna jednak wymusiü wáączenie powyĪszej usáugi (bez komunikatu z rysunku 6.19) z poziomu okna Edytor rejestru poprzez zmianĊ wartoĞci ciągu binarnego o nazwie scremoveoption z 0 na 1. WartoĞü ta znajduje siĊ w kluczu o nazwie HKEY_LOCAL_MACHINE\SOFTWARE\ ´Microsoft\Windows NT\CurrentVersion\Winlogon, co przedstawia rysunek 6.20. Na potrzeby niniejszej ksiąĪki usáuga ta zostanie wáączona za pomocą zasad grupy. RĊczne modyfikacje rejestru są niebezpieczne i naleĪy siĊ ich wystrzegaü. Rysunek 6.20. Okno „Edytor rejestru” Rozdziaä 6. i Zasady grupy i usäugi zwiñzane z PKI w Windows Server 2008 153 Wszystkie omówione w tym rozdziale ustawienia zasad grupy Karty inteligentne dla obiektu PKI (jednostki organizacyjnej o nazwie PKI) moĪna sprawdziü na zakáadce Ustawienia, przedstawionej na rysunku 6.21. Rysunek 6.21. Ustawienia zasad grupy „Karty inteligentne” dla obiektu PKI Ustawienia zasad grupy Karty inteligentne dla obiektu PKI moĪna wyeksportowaü do formatu HTML (jako raport), a nastĊpnie przeglądaü je za pomocą przeglądarki inter- netowej Internet Explorer 7, co przedstawia rysunek 6.22. 6.4. Usäugi zwiñzane z kartami inteligentnymi Najnowsze systemy operacyjne firmy Microsoft: Windows Server 2008 Standard oraz Windows Vista Business, zawierają kilka usáug, które są związane z infrastrukturą klu- cza publicznego (PKI). NajwaĪniejsze zostaáy przedstawione w tabeli 6.1 wraz z ich do- myĞlnymi trybami uruchomienia i stanami. DomyĞlny tryb uruchomienia i stany poszczególnych usáug związanych z infrastruk- tura klucza publicznego (PKI) mogą siĊ zmieniü w zaleĪnoĞci od potrzeb przedsiĊ- biorstwa lub innej organizacji, o czym bĊdzie mowa w nastĊpnych rozdziaáach. Ogól- nie rzecz ujmując, np. usáuga o nazwie Karta inteligentna po zainstalowaniu sterownika 154 Windows Server 2008. Infrastruktura klucza publicznego (PKI) Rysunek 6.22. Raport dla obiektu zasad grupy „Karty inteligentne” Tabela 6.1. DomyĞlne ustawienia wybranych usáug związanych z PKI Nazwa usäugi Opis usäugi Karta inteligentna (SCardSvr) Zarządza dostĊpem do kart inteligentnych czytanych przez ten komputer. DomyĈlny tryb uruchomienia Stan usäugi RĊczny Zatrzymano Propagacja certyfikatu (CertPropSvc) Propaguje certyfikaty z kart inteligentnych. RĊczny Zatrzymano Zasady usuwania karty inteligentnej (SCPolicySvc) UmoĪliwia skonfigurowanie systemu w taki sposób, aby po usuniĊciu karty inteligentnej byá blokowany pulpit uĪytkownika. RĊczny Zatrzymano czytnika kart inteligentnych na danym komputerze klienckim, serwerze czáonkowskim czy kontrolerze domeny zmienia automatycznie domyĞlny tryb uruchomienia na Auto- matyczny oraz stan na Uruchomiono. 6.5. Uruchamianie usäugi Zasady usuwania karty inteligentnej JeĪeli w sieci komputerowej przedsiĊbiorstwa lub innej organizacji korzystającej z naj- nowszych systemów operacyjnych firmy Microsoft: Windows Server 2008 Standard i Windows Vista Business z dodatkiem Service Pack 1, do uwierzytelniania siĊ w do- menie bĊdą wykorzystywane karty inteligentne, na komputerach naleĪących do sieci Rozdziaä 6. i Zasady grupy i usäugi zwiñzane z PKI w Windows Server 2008 155 trzeba uruchomiü usáugĊ o nazwie Zasady usuwania karty inteligentnej, o której byáa juĪ wczeĞniej mowa. Dopóki ta usáuga nie bĊdzie uruchomiona, komputer po wyjĊciu karty inteligentnej z czytnika kart inteligentnych bĊdzie blokowany. Samo ustawie- nie zasady Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej nie wystarcza. Usáuga Zasady usuwania karty inteligentnej (SCPolicySvc) umoĪliwia skonfigurowa- nie najnowszych systemów operacyjnych firmy Microsoft w taki sposób, aby po usu- niĊciu karty inteligentnej z czytnika kart inteligentnych byá blokowany pulpit aktual- nie zalogowanego uĪytkownika. W przypadku systemów operacyjnych Windows Server 2003 z dodatkiem Service Pack 2 czy Windows XP Professional z dodatkiem Service Pack 3 nie jest wymagane uruchamianie usáugi Zasady usuwania karty inteligentnej, gdyĪ usáuga taka nie jest w nich dostĊpna. Systemy automatycznie blokują komputer po wyjĊciu karty inteligentnej z czytnika kart inteligentnych. Nie trzeba wiĊc wykony- waü omawianych w tym podrozdziale czynnoĞci. Wystarczy tylko dokonaü ustawieĔ zasad grupy dotyczących kart inteligentnych, które zostaáy przedstawione w poprzednich podrozdziaáach. Odpowiednio skonfigurowane muszą byü tylko najnowsze systemy ope- racyjne firmy Microsoft. Jak juĪ wczeĞniej wspomniano, istnieje kilka metod uruchamiania usáugi Zasady usu- wania karty inteligentnej. MoĪna to wykonaü rĊcznie (na kaĪdym komputerze wypo- saĪonym w czytnik kart inteligentnych) z poziomu konsoli MMC o nazwie Usáugi (ang. Services), którą wáącza siĊ za pomocą komendy services.msc. MoĪna równieĪ skorzystaü z metody automatycznej, tj. z wykorzystaniem zasad grupy, co bĊdzie omówione dalej. To rozwiązanie jest znacznie mniej pracocháonne, co ma niebagatelne znaczenie w przypadku konfigurowania setek czy tysiĊcy komputerów. Wystarczy je- dynie skonfigurowaü jedną zasadĊ i za pomocą usáugi katalogowej Active Directory rozprowadziü ją do komputerów znajdujących siĊ w okreĞlonej jednostce organizacyjnej. Aby uruchomiü usáugi Zasady usuwania karty inteligentnej za pomocą zasad grupy, Administrator domeny (uĪytkownik EA.pl\Andministrator) musi wykonaü nastĊpujące czynnoĞci. 1. Uruchomiü konsolĊ Zarządzanie zasadami grupy (np. za pomocą komendy gpmc.msc), a nastĊpnie wyedytowaü wczeĞniej utworzoną zasadĊ grupy o nazwie Karty inteligentne. 2. PrzejĞü do wĊzáa Usáugi systemowe i zaznaczyü w prawym oknie usáugĊ Zasady usuwania karty inteligentnej, jak na rysunku 6.23. 3. Z menu Akcja wybraü opcjĊ WáaĞciwoĞci. 4. Na zakáadce Ustawianie zasad zabezpieczeĔ dokonaü takich ustawieĔ, jakie zostaáy przedstawione na rysunku 6.24, a nastĊpnie kliknąü na przycisk OK. 5. Zamknąü konsolĊ Zarządzanie zasadami grupy. 6. OdĞwieĪyü zasady grupy (uĪytkownika i komputera) za pomocą komendy gpupdate /force. Komenda ta wymusza natychmiastową aktualizacjĊ zasad grupy uĪytkownika i komputera.
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: