Книги, научные публикации
Pages: | 1 | ... | 12 | 13 | 14 | 15 | Distributed Systems Guide Microsoft 2000 Server Microsoft Press Распределенные системы Книга 1 2000 Server Москва 2001 Я fl I (I Г К I P УДК 004 ББК 32.973.26-018,2 М59 Microsoft ...
-- [ Страница 14 ] --Таблица 16-12. Разрешения для шаблонов сертификатов Разрешение Описание Manage (Управление) Определяет, каким учетным записям пользователей и (основное разрешение) управлять ЦС средствами консоли Certification Authority или служебных строки. По умолча нию предоставлено членам локальной группы Administrators (Ад министраторы) и глобальных групп Domain Admins (Адми нистраторы домена) и Admins (Администраторы Enroll (Заявка) Определяет, каким учетным записям и группам (основное разрешение) разрешено сертификаты в ЦС. По умолчанию предос тавлено членам локальных групп Administrators (Администрато ры) и Authenticated проверку) и членам гло бальных Domain Admins (Администраторы домена) и Admins (Администраторы Read (Чтение) (допол- Определяет, каким учетным записям пользователей и группам нительное разрешение) разрешено читать информацию ЦС. По умолчанию членам локальных групп раторы) и Users (Прошедшие и членам глобальных групп Domain Admins (Администраторы домена) и Enterprise Admins (Администраторы предприятия) Write Configuration каким учетным записям пользователей и группам (Запись изменять данные конфигурации ЦС. По умолчанию предоставляется всем учетным записям пользователей и обладающим разрешением Manage Read Control (Чтение каким пользователей и (дополни- просматривать параметры ЦС. По умол тельное чанию всем учетным записям пользователей и группам, обладающим Read Modify Permissions Определяет, каким записям пользователей и (Смена разрешено изменять ЦС. По умолчанию ется всем учетным записям пользователей и группам, обладающим разрешение) разрешением Manage Modify Owner (Смена Определяет, каким учетным записям пользователей и изменять объекта ЦС. По умолчанию тельное разрешение) тавляется всем записям пользователей и группам, облада ющим разрешением Manage Revoke Certificates Определяет, каким учетным пользователей и группам (Отзыв сертификата) разрешено сертификаты. По умолчанию предоставляется всем учетным записям пользователей и группам, обладающим раз решением Manage Approve Certificates Определяет, каким учетным пользователей и сер- разрешено одобрять на сертификаты. По умолчанию пре тификатов) (дополни- доставляется всем учетным пользователей и группам, об тельное ладающим Manage Read Database (Чтение каким учетным записям и группам базы данных) (дополни- разрешен доступ и информации базы сертифика тельное разрешение) тов. По умолчанию предоставляется всем записям пользователей и группам, обладающим разрешением Manage ГЛАВА 16 Службы и инфраструктура открытого ключа в Windows 2000 Совместимая с Netscape отозванных сертификатов через Интернет Браузеры Netscape поддерживают метод проверки отозван ных сертификатов в местах, которые в дополнительных полях та. Для в сертификат совместимых с Netscape расширений проверки от зыва сертификатов через Интернет выполните в строке на сервере следующую команду:
Certutil -SetReg +AspEnable После перезапуска службы центра сертификации во всех выпускаемых сертифика тах дополнительные поля, для поддержки Netscape, Изменение стандартных разрешений шаблонов сертификатов (по требованию) На ЦС предприятия разрешения Enroll (Заявка) управляются списками каж дого из шаблонов сертификатов. ЦС выдает сертификаты только учет ным записям или компьютеров, обладающим этим разрешением.
Существует (по умолчанию) конфигурация списков для различ ных шаблонов и групп.
По членам группы Domain Admins (Администраторы домена) в доме не, где ЦС. предоставлено Enroll (Заявка) на все типы ер Членам Domain Users домена) предоставлено разрешение Enroll для следующих типов сертификатов: Basic EFS, Authenticated Session, Exchange User, Exchange Signature Only, и User Signature Only. Чле нам Enterprise Admins Enroll для всех типов сер тификатов за исключением: Basic EFS, Session, Exchange User, Ex change Signature Only, User и User Signature Only.
Если необходимо другим группам сертификаты, следует отредактировать списки управления доступом соответствующих шаблонов фикатов (в домене, ЦС), добавив в них Enroll. Если тре буется разрешить запрос сертификатов в ЦС предприятия группам другого доме на, необходимо добавить группу другого домена в сертификатов для домена, где установлен центр сертификации.
Для изменения списков ACL для шаблонов сертификатов Active Directory Sites and Services (Active Directory - сайты и службы). Чтобы ото бразить в оснастке контейнер Certificate Templates, следует в меню View (Вид) отметить команду Show Services Node (Показать узел служб), если отмечена. Подробнее об использовании оснастки Active Directory Sites and Services в справочной системе Active Чтобы отобразить Certificate Templates, разверните контейнеры Services и Public Key Services (рис. 16-11).
Для списков ACL шаблонов щелкните Certificate Templates, в области щелкните правой мишки требуемый шаб лон и выберите Properties (Свойства). В диалоговом свойств ЦС перейдите на вкладку Security (Безопасность) и настройте разрешения. о редакти ровании списков для шаблонов сертификатов -- в справочной системе служб сертификации.
742 ЧАСТЬ 2 Безопасность в распределенных системах j.
Root Template and Template E Sites LJ Certificate Template Template NetServices Certificate Template Key Certificate Services Template Template NT Certificate Template Certificate Template Рис. 16-11. Контейнер Certificate Templates чтобы предоставить к сертификату (Агент по дачи заявок) только нескольким пользователям, спи сок управления доступом шаблона сертификата Enrollment Agent, удалив по умолчанию группы безопасности и специальную группу и предоставив ей разрешение Enroll. Аналогично Вы можете поступить с сертификата Code (Подписывание кода), предоставив на него только специ альной разработчиков, за кода.
Примечание ACL шаблонов сертификатов следует по дождать определенное время, пока не распространятся на контроллеры домена.
Установка и конфигурация вспомогательных систем или приложений Обязательно следует необходимые для инфраструктуры открытого ключа вспомогательные системы или приложения, в том числе:
Х устройства чтения смарт-карт на локальных компьютерах;
Х системы ключами и почтой;
Х специальные приложения и обновления сертификатов;
Х поддержки и обучения пользователей работе со службами сертифи кации;
Х инфраструктуру открытого ключа и службы сертификации сторонних постав щиков.
Конфигурирование групповой политики открытого ключа Настройка политики открытого ключа для сайтов, доменов, подразделе ний, а также политики компьютера средствами консоли Group Policy (Групповая политика). Большинство функций инфраструктуры от ГЛАВА Службы сертификации и инфраструктура открытого ключа в Windows 2000 крытого ключа и служб не требуют вмешательства. Однако Вам при дется настроить групповую политику открытого ключа при выполнении следую щих Х при автоматическом выпуске сертификатов для компьютеров;
Х при добавлении доверенных корневых сертификатов для групп Х создании списков CTL для компьютеров и Х при назначении учетных записей агентов EFS.
Добавление оснастки Group Policy (Групповая политика) в ММС 1. Откройте ММС.
2. В меню Console (Консоль) выберите Add/Remove Snap-in (Добавить/ удалить оснастку) или нажмите Откроется окно Add/Remove Snap-in (Добавить/Удалить оснастку).
3. Щелкните Add Откроется диалоговое окно Add Standalone Snap-in (Добавить оснастку).
4. В списке оснасток выберите Group Policy (Групповая политика) и Add (Добавить).
Откроется диалоговое окно Select Group Policy Object (Выбор объекта вой политики) с именем локального компьютера в поле Group Policy Object (Объект групповой политики).
5. Выберите одну из двух возможностей:
Х чтобы политикой локального компьютера, щелкните Finish Х чтобы управлять другой групповой политикой, щелкните Browse и выберите или создайте новую политику. Щелкните Finish (Готово).
в диалоговое окно Add Standalone Snap-in, Вы можете еще щелкнуть Add и добавить еще одну 6. Закончив добавлять оснастки в диалоговом окне Add Standalone Snap-in, кните Close (Закрыть).
В диалоговом Add/Remove Snap-in отображаются выбранные Вами оснас тки для установки в ММС, 7. В диалоговом окне Add/Remove Snap-in щелкните кнопку ОК.
В каждом объекте групповой политики сайтов, и подразделений содержат ся два контейнера Public Key Policy (Политики открытого ключа) Ч для компью теров и для На рис. показан Public Key Policy для компьютеров в папке Default Domain Policy. Чтобы отобразить контейнер Key Policy, узлы Computer Configuration (Конфигу рация компьютера) и Security Settings (Параметры а затем щелк ните Public Key Policies (Политики открытого ключа).
744 НАСТЬ 2 Безопасность в распределенных системах I Encrypted Agents Root Request Settings Default Domain Polty Policy Root Certification Authorities Computer SI E Windows Security Policies I Local I Event Log Restricted Groups System File Recovery Certificate Request CD Root G3 Enterprise Trust Policies on Рис. 16-12. Контейнер Public Key Policy в разделе Computer Configuration На рис. 16-13 показан контейнер Public Key Policy в панке Default Policy.
Чтобы увидеть контейнер Public Key для разверните узлы User Configuration (Конфигурация пользователя) и Security безопасности), а затем Public Key Policies (Поли тики открытого ключа).
Х Х "i ;
j | j Console Root Default Domain Policy Computer User Configuration i:
J Windows Internet Maintenance :- Scripts Security Settings Entetprise Remote Folder Redirection i Templates, - Рис. 16-13. Контейнер Public Key Policy в разделе User Configuration ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 Контейнеры Public Key Policies используются выполнения следующих задач:
Х Automatic Certificate Request Settings (Параметры автоматического запроса сертификатов) Ч для настройки автоматического выпуска сертификатов;
Х Trusted Root Certification Authorities (Доверенные корневые сертифи кации) Ч для сертификатов доверенных ЦС в хранилище Trusted Root Certification Authorities (Доверенные корневые центры сертифи кации);
Х Enterprise Trust (Доверительные отношения в Ч для настройки списков (это единственный контейнер, отображаемый в конфигу рации пользователя);
Х Encrypted Data Recovery Agents (Агенты восстановления шифрованных дан ных) Ч для конфигурирования агентов восстановления Ч это ный контейнер доступный в объекте Local Computer policy (Политика Локаль ный Для пользователей можно настроить только списки В локальной ной политике доступна настройка только политики агентов EFS Ч Encrypted Data Recovery Agents Policy. Подробнее о конфигурировании групповой политики открытого ключа Ч в справочной системе служб сертификации и груп повой политики.
Изменения групповой политики не в силу немедленно. Груп повая политика пользователей и компьютеров обновляется периодически (по умол каждые минут), а также при входе пользователей в систему и запуске компьютеров. Для обновления политики вручную следует выполнить в строке команду Secedit на каждом локальном компьютере.
Автоматический выпуск сертификата Разрешается настроить автоматический выпуск и обновление сертификатов ком этом сертификаты выделенных для автоматического выпуска выпускаются автоматически для всех компьютеров в области действия данной груп повой политики открытого ключа. Такие сертификаты компьютеров обновляются сертификации также автоматически. Автоматический выпуск если хотя бы один ЦС предприятия не способен обрабатывать запросы на серти фикаты в интерактивном режиме.
Чтобы настроить автоматический сертификатов, в узле Public Key (Политики открытого ключа) щелкните правой кнопкой мыши узел Automatic Certificate Request Settings (Параметры автоматического запроса сертификатов) и в подменю New (Создать) контекстного меню выберите команду Automatic Certificate Request (Автоматический запрос сертификатов). На страницах Automatic Certificate Request wizard установки автоматического запроса сертификатов) установите нужные Элементы страниц описаны в таб лице 746 ЧАСТЬ 2 Безопасность в распределенных системах Таблица 16-13. Элементы окон мастера установки автоматического запроса сертификатов Описание Certificate Template Выберите шаблон из списка Certificate templates (Шаблоны сертификатов) и щелкните Next (Далее), Все компьютеры, разрешением (Заявка), в области политики автоматического выпуска будут получать автоматически после перезапуска компьютера и входа в домен Certification Authority один или несколько в списке Certification (Центр сертификации) authorities (Центры сертификации). При выборе нескольких ЦС запросы на сертификаты обрабатывает доступный ЦС первый в списке. Выбрав один или несколько центров сертифи кации, щелкните кнопку Next и закончите работу с мастером Доверие по корневым сертификатам При корневого ЦС предприятия или изолированного корневого ЦС сер тификат центра сертификации автоматически размещается в папке Trusted Root Certification Authorities (Доверенные корневые центры кон тейнера групповой политики домена. Вы также добавлять в эту папку сер тификаты других корневых ЦС. Сертификаты корневых ЦС, размещаемые в папке Trusted Root Certification доверенными корневыми ЦС для компьютеров, на которые распространяется действие данной групповой политики, Например, чтобы использовать сторонний центр сертификации в качестве корне вого ЦС в иерархии сертификации следует добавить сертификат это го ЦС в Trusted Root Certification Authorities групповой политики.
Чтобы сертификат в папку доверенных корневых ЦС, в Public Key Policies (Политики открытого ключа) контейнера групповой политики щелкните правой кнопкой мыши узел Trusted Root Certification Authorities (Доверенные корневые центры сертификации), в в подменю All Tasks (Все и выберите команду Import (Импорт). Используйте открывше еся окно мастера Certificate Import wizard (Мастер импорта сертификатов), чтобы импортировать файл с сертификатом ЦС и добавить его в политику груп пы. Сертификат будет скопирован в хранилище Trusted Root Certification Au thorities на всех компьютерах в области действия политики при следу ющем ее обновлении.
Списки доверия сертификатов Списки доверия (certificate trust list, создаются для управле ния доверием сертификатам отдельных ЦС и (при необходимости) для ограниче ния перечня назначений Например, Вы вправе средствами CTL ука зать, что доверенными являются только сертификаты, выпущенные коммерческим ЦС, и использовать только их. Списки CTL также применяются для управления в экстрасетях Ч для сертификатов, выпущенных центрами сертификации деловых партнеров. Существует возможность на стройки списков для компьютеров и пользователей.
Для создания списков CTL администратор должен обладать действительным сер тификатом списков [например, Administrator (Администратор) ГЛАВА 16 сертификации и инфраструктура открытого ключа в Windows 2000 или Trust List Signing (Подписывание списка выпущенным ятия. Для списка Администратор подписывает его с по мощью закрытого ключа списков CTL. Если сертификат администра тора недействителен, все списки которые созданы и подписаны им, также ут рачивают силу.
Чтобы создать CTL для компьютеров или пользователей, в узле Public Key Policies (подчиненном узла Computer Configuration или User Configuration) щелкните вой кнопкой мыши узел Enterprise Trust (Доверительные в предприя тии), в контекстном меню перейдите в подменю New (Создать) и щелкните коман ду Certificate Trust List (Список доверия сертификатов). Используйте Certificate Trust wizard (Мастер списков доверия сертификатов) спис ка CTL и задания его параметров. Элементы страниц мастера Certificate Trust спи саны в таблицах 16-14 Ч 16-18.
Таблица 16-14. Страница Certificate Trust List Purpose (Назначения для доверия сертификатов) Type a prefix that identifies Поле для CTL. Этот префикс необходим this CTL (optional) для списка CTL префикс, идентифицирующий этот список (не Valid duration Определяет срок действия для Введите число месяцев действия в поле Months (месяцев) и число дней в Days Если не определить параметр, срок действия CTL за кончится в момент срока годности сертификата, использованного для подписания списка Designate Purposes В списке Designate Purposes пометьте или более на значений для списка доверия. Списки доверие только для сертификатов, применимых для выб целей. Сертификат обычно все допу стимые назначения, но Вы вправе ограничить цели, для которых его разрешается Add Purpose эту кнопку, чтобы добавить (Добавить назначение) назначения в поле Designate Purposes. В диалоговом окне User Purpose (Цели, определен ные пользователем) введите идентификатор объекта нового в Object ID (Код объекта) Таблица 16-15. Страница Certificates in the CTL [Сертификаты в списке доверия Элемент Описание Current CTL Certificates В списке отображены сертификаты корневых ЦС, доверие к (Сертификаты из которым поддерживается этим списком CTL.
списка доверия) с путями ведущими к этому корневому ЦС.
доверенными для всех назначений, указанных в Add from Store Добавляет корневой сертификат из хранилища Trusted (Добавить из Root Certification Authorities (Доверенные сертификации). В открывшемся диалоговом Certificate (Выбор сертификата) выберите все требуемые сертификаты и ОК (см. стр.) 748 ЧАСТЬ 2 Безопасность в распределенных системах Таблица 16-15. (продолжение) Элемент Описание Add File (Добавить Добавление сертификата корневого ЦС из файла из файла) Remove (Удалить) Удаление выбранного из ноля Current CTL Certificates View Certificate Просмотр о сертификате, в поле Current CTL Certificates Таблица 16-16. Страница Signature Certificate (Сертификат подписи) Элемент Use this certificate Отображает сертификат подписания списков доверия, свя (Использовать этот занный с закрытым ключом, который будет использоваться сертификат) для CTL Select from Store (Выбрать сертификата списков доверия из из хранилища) хранилища Personal (Личные) администратора. В открыв диалоговом окне Select Certificate (Выбор сертифи ката) требуемые сертификаты и ОК Select from File (Выбрать Добавление сертификата списков доверия из из файла) файла View Certificate Просмотр сведений о сертификате, выбранном в поле Use (Просмотр сертификата) this certificate Таблица 16-17. Страница Timestamping (Штамп времени) Элемент Описание Add a timestamp to the data Добавляет в список CTL метку времени. Последняя приме (Добавить к данным штамп няется для задания срока CTL. Если време времени) ни не задана, для оценки действительности списка используется время Timestamp service URL Поле URL-адреса службы, применяемой для созда службы штампа ния метки времени времени) Таблица 16-18. Страница Name and Description (Имя и описание) Элемент Описание Friendly Name пользователю имя списка (Попятное имя) в консоли при просмотре списков CTL обяза удобства просмотра рекомендуется задавать уникальные имена создаваемым спискам доверия Description Необязательное данного списка CTL. Служит для пользователей о цели создания CTL Агенты восстановления EFS По умолчанию локальная запись Administrator (Администратор) па пер вом в домене контроллере является агентом восстановления в этом Средства консоли Group Policy позволяют Вам агенты добавив сертификаты EFS Recovery Agent в ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 открытого по перед этим Вы должны выдать сертифика ты назначаемым учетным записям пользователей на локальных компьютерах.
В процессе конфигурирования параметров EFS у Вас есть две воз можности: добавить сертификаты опубликованные в Active Directory, или добавить сертификаты агента из файла на диске или из общей папки, доступной с данного компьютера. Перед добавлением сертифика тов из файла их следует экспортировать в папку, из которой они будут ваться в процессе настройки групповой восстановления EFS.
Чтобы добавить агент восстановления EES, в узле Public Key Policies открытого ключа) щелкните правой кнопкой мыши узел Encrypted Data Recovery Agents (Агенты восстановления шифрованных данных) и в контекстном щел кните Add (Добавить). Используйте мастер Add Recovery Agent wizard добавления агента восстановления), чтобы добавить сертификаты ления. Элементы страницы мастера Add Recovery Agent в таблице Таблица 16-19. Мастер Add Recovery Agent Recovery agents В этом отображаются сертификаты (Агенты агентов восстановления Browse Directory эту кнопку, чтобы просмотреть Active Directory (Обзор каталога) и сертификат учетной записи пользователя, кото рый выполнять агента восстановления Browse Folders эту кнопку, чтобы сертификат агента (Обзор папок) восстановления из файла При выборе агента сертификаты агента деленные в групповой политике, отображаются в области сведений оснастки. Эти сертификаты агентов восстановления EFS в области действия дан ной групповой политики. Чтобы удалить сертификат агента восстановления из политики, выберите сертификат нажмите клавишу Delete или правой мыши шаблон сертификата и в контекстном меню щелкните (Удалить).
Установка Web-страниц запроса сертификатов на другом компьютере (при необходимости) По умолчанию для подачи заявок через Интернет (Web Enrollment Support) устанавливаются на том же что и Однако Вы вправе восполь зоваться для этой цели любым другим компьютером под управлением 2000.
ЦС и страниц поддержки заявок через Интернет сни зить на компьютер с ЦС при, например, большом трафике службы серти фикации или установке служб сертификации па особо мощных компьютерах, подачи заявок на сертификаты через Интернет устанавливаются в где Ч буква диска, на котором установлены страницы Web Enrollment Support.
Папка содержит Web-файлы (файлы Active Server Page, графические и другие) и две и в которых к файлы и управления ActiveX для Web-страниц.
750 ЧАСТЬ 2 Безопасность в распределенных системах Предоставление компьютеру прав представителя На предприятия страницы подачи заявок на сертификаты через Интернет спо собны работать на компьютере отличном от только при условии, что этот компьютер доверен для делегирования. На изолированном ЦС этого условия не обязательно.
прав представителя средствами оснаст ки Active Directory Users and (Active Directory пользователи и ком пьютеры). Для установки страницы подачи заявок на Интернет необходимо войти в систему компьютера под учетной записью члена группы Do main Admins (Администраторы домена).
Делегирование компьютеру прав представителя В Active Directory Users and Computers (Active Directory - пользова тели и компьютеры) разверните узел домена.
2. Выберите контейнер с которому следует делегировать права пред ставителя.
Компьютеры выбранного контейнера отобразятся в области сведений.
3. Дважды щелкните объект которому следует права.
Откроется диалоговое окно Properties (Свойства) для выбранного компьютера.
4. В диалоговом окне Properties перейдите на вкладку General устано вите флажок Trust computer for delegation права пред ставителя) и щелкните ОК или Apply (Применить).
5. Перезапустите компьютер, чтобы новые параметры вступили в силу.
До перезапуска компьютера страницы подачи заявок на сертификаты через Ин тернет недоступны.
Подробнее об оснастке Active Directory Users and Computers Ч в справочной сис теме Active Directory.
Установка страниц подачи заявок на сертификаты через Интернет Установка страниц подачи заявок на сертификаты через Интернет на компьютере, отличном от сервера ЦС, выполняется средствами мастера Windows wizard (Мастер компонентов Windows). Для установки этих страниц необходимо войти в систему компьютера под учетной записью члена группы Domain Admins (Администраторы домена). подачи заявок на сертификаты через нет возможно установить только на компьютере под управлением Windows 2000 с установленным сервером Internet Services.
Установка страниц подачи заявок на сертификаты через Интернет на компьютере, отличном от сервера ЦС 1. В Control Panel (Панель управления) щелкните значок Add/Remove Programs (Установка и удаление программ).
Откроется диалоговое окно Programs (Установка и удаление про грамм).
2. Щелкните Add/Remove Windows Components (Добавление и компо нентов Windows).
ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 3. В окне мастера Windows Component установите флажок services (Службы сертификации).
4. Щелкните Details (Состав) и сбросьте флажок Certificate Services служб сертификации). Флажок Certificate Services Web Enrollment Support (Служба подачи заявок на сертификат через быть установ лен. Щелкните ОК 5. кнопку Next (Далее) Откроется Certificate Services Client Configuration (Настройка клиента служб сертификации).
6. Введите доменное имя с ЦС в поле Computer Name (Компьютер) или щелкните Browse (Обзор) и найдите нужный компьютер.
В поле СА Name сертификации) отображается ЦС, работающий на выб ранном сервере. Устанавливаемые страницы подачи заявок на сертификаты че рез Интернет Enrollment Support) будут работать с этим ЦС.
7. Щелкните Next (Далее) и работу мастера Windows Components.
После установки проверьте работу и взаимодействие страниц подачи заявок на сер тификаты через Интернет с ЦС. Например, запросите в ЦС сертификат или спи сок с помощью этих страниц. При необходимости измените параметры пасности по этих страниц.
Настройка параметров безопасности страниц подачи заявок на сертификаты через Интернет (при необходимости) Папки CertEnroll и добавляются как виртуальные и в Default Web Site (Веб-узел по умолчанию) на сервере Internet Information Services.
На ЦС CertSrv и CertControl сконфигурированы для доступа с базо вой подлинности и проверкой подлинности Windows.
Проверка подлинности и доступ к Web-ресурсам им ся на основе сведений их учетных записей в Windows 2000. Проверка обязательна, так как ЦС предприятия при обработке запросов на сертификаты ис пользует сведения из учетных Windows 2000. На изолированном ЦС CertSrv и CertControl сконфигурированы для анонимного доступа, поэтому доступ к ним предоставлен всем пользователям. По умолчанию на ЦС предприятия ано нимный доступ отключен, в противном случае страницы подачи заявок на серти фикаты через Интернет не удастся применять с ЦС предприятия.
Интегрированный с Windows механизм подлинности предоставляет до ступ к Web-страницам на основе реквизитов для входа в систему пользователей Internet Пользователи получают доступ к Web-страницам только при ус что их реквизиты входа в систему соответствуют действительной записи пользователя Windows 2000. проверки подлин ности в Windows считается стандартом HTTP и поддерживается только браузе ром Internet Explorer версии 2.0 и более поздними. Этот механизм не поддержива ет работу через прокси-серверы и другие брандмауэры.
Если интегрированная проверка подлинности невозможна из-за наличия брандмауэра или какой-либо неполадки, браузер просит пользователя ввести имя и пароль для базовой подлинности.
752 ЧАСТЬ 2 Безопасность в распределенных системах ров других поставщиков также предлагается реквизиты для базовой провер ки подлинности.
Базовая проверка подлинности (basic authentication) Ч это часть стандарта HTTP 1.0, поэтому большинство браузеров поддерживает такой метод. Доступ к Web-страни предоставляется пользователям только после ввода ими своего имени и паро ля Windows 2000. Однако следует иметь в виду, что пароли пользователей переда ются открытым поэтому их легко сетевым при передаче от браузера на Web-узел. На предприятия базовая проверка подлин ности поддерживается при доступе к страницам подачи заявок на сертификаты че Интернет Ч тогда они доступны из любого браузера. Поскольку паро лей открытым текстом представляет угрозу безопасности, желательно либо отклю чить базовую проверку подлинности, либо настроить аутентификацию на основе Если Вам требуется только Internet Вы можете использовать Information Services для отключения базовой проверки подлин ности и передачи паролей открытым текстом при доступе к пап кам CertSrv и CertControl. Если же необходима поддержка других браузеров, на стройте для CertSrv и CertControl на обязательное использование за щищенных каналов по протоколу SSL (Secure Sockets Layer) или TLS (Transport Layer Security). При передаче по защищенным каналам пароли шифруются. Одна ко в результате снижается работы страниц подачи заявок на сертификаты через Интернет вследствие дополнительной вычислительной нагруз ки на сервер, вызванной операциями шифрования, которые необходимы для под держки защищенных каналов.
Internet Information Services также поддерживает проверку подлинности с нением хэша Ч порядок аутентификации, определенный в HTTP 1.1. В этом пароли защищены и передаются в виде хэша, который в состоянии рас шифровать только ключей (Key Distribution Center, KDC) Windows 2000 службы проверки подлинности Kerberos. Если браузеры поддержи вают HTTP 1.1 версии браузеров обычно поддерживают этот стандарт), средствами оснастки Internet Information Services отключите базовую проверку под линности и проверку на основе хэша при доступе к папкам CertSrv и CertControl. Если разрешить и основную проверку подлинности, и проверку подлинности на основе хэша, последний метод применяется, если его браузер. В противном случае выполняется базовая подлинности.
Если разрешены все виды проверки, приоритетность их применения такова:
1. проверка с Windows;
2. проверка подлинности на основе хэша;
3. базовая проверка подлинности.
Для подлинности используется метод, обладающий наивысшим приори тетом среди поддерживаемых браузером. При отключенном анонимном доступе доступ с проверкой подлинности используется только при соответствующей на стройке файлов NTFS для управления доступом к Web-узла.
Чтобы убедиться в корректной работе страниц подачи заявок на сертификаты че рез Интернет с параметрами проверьте их во всех браузерах, которые поддерживать.
ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 о безопасности Web-узлов на internet Information в 13 Обеспечение безопасности средствами технологии открытого Подробнее об использовании Internet Information Services для и проверки подлинности к ресурсам Web-узла - в спра вочной системе Internet Information Services.
Интеграция со службами сертификации сторонних (при необходимости) открытого ключа в Windows 2000 способна взаимодействовать со службами сторонних которые рекомендуемые рабочей группой Public Key Infrastructure X.509 сооб щества Internet Engineering Task Force Тем не менее нельзя гарантировать способность к взаимодействию (interoperability) между доступными на рынке продуктами, так как эта технология пока находится на ранней стадии своего развития. Подробнее о способности к взаимодействию - в главе 13 безопасности средствами технологии открытого ключа.
В общем случае службы Windows 2000 предоставляют больше преиму чем ЦС сторонних так как они полностью интегрированы с фраструктурой открытого ключа в Windows 2000 и Active Directory. Хотя, конечно, не возбраняется использовать с Windows 2000 службы сертификации по ставщиков для развертывания ЦС и выпуска сертификатов в организации.
Для работы с инфраструктурой открытого ключа Windows 2000 ЦС сторонних поставщиков должен поддерживать промышленный стандарт катов v3 и списков отозванных v2. Сертификаты в стан дарте ЦС поставщика, можно в стве решений безопасности в Windows 2000 на основе открытого ключа.
ние Ч только решения, требуется ЦС с Active tory. их нельзя применять для выпуска сертификатов Smart Card (Вход со смарт-картой) или Smart Card User (Пользователь со смарт-картой) в до менах Windows 2000 или для автоматического выпуска сертификатов компьютеров.
Вы можете использовать совместимый ЦС поставщика для поддержки всех или части цепочек доверия сертификации. Следует иметь в виду, что сертифи каты корневых ЦС автоматически в лище Trusted Root Certification Authorities. групповой открытого ключа и добавление корневых ЦС поставщиков в это хранили ще, а также создание списков для доверия таким ЦС выполняют Прежде чем использовать службы сторонних поставщиков в инфра структуре открытого ключа Windows 2000, следует убедиться, что они работают кор ректно, и тщательно протестировать их в лаборатории и на пилотных системах. За более информацией о функциях решений, предоставляемых сторон ми поставщиками, обращайтесь непосредственно к соответствующим производителям.
Текущие задачи служб сертификации К постоянно выполняемым службами Windows 2000, отно сятся:
Х поддержка страниц подачи заявок на сертификаты через Интернет;
754 ЧАСТЬ 2 в распределенных системах Х сертификатов средствами мастера Request (Мастер запроса Х просмотр информации сертификатов;
Х сертификатов и ключей;
Х архивирование и восстановление сертификации;
Х отказ или одобрение на сертификаты;
Х отзыв сертификатов;
Х публикация списков отозванных сертификатов (CRL);
Х сертификатов центров Х Х поддержка программ командной строки служб сертификации.
Подробнее о выполнении текущих задач службами сертификации Ч в справочной системе служб сертификации.
Поддержка страниц подачи заявок на сертификаты через Интернет Для обращения к страницам заявок на сертификаты через Интернет следу ет ввести в адресной строке браузера следующий URL-адрес:
где имя Web-сервера Windows 2000, на котором эти Когда в окне Вашего браузера страница Welcome (Добро выберите требуемое действие. Элементы страницы описаны в таблице Таблица 16-20. Выбор операций на странице Welcome Вариант Описание Retrieve the CA certificate or на сертификат ЦС или на последний список CRL.
certificate revocation list После того как Вы щелкнете Next (Далее), откроет сертификат ЦС страница Retrieve the CA Certificate or Certificate или список отзыва Revocation List (Поиск сертификата ЦС или списка отзыва сертификатов) сертификатов). В ней можно создать доверительные шения с центром сертификации на локальном компьютере, ля сертификата ЦС в сертификатов локального компьютера Request a certificate Запрос на сертификат или отправка запроса на сертификат (Запросить сертификат) ных далее в этой главе. После того как Вы щелкнете кноп ку Next откроется страница Choose Request (Выбор типа Check on a pending certificate Проверка состояния на сертификаты, (Проверить ожидающий обработки, и установка сертификата после зап роса. как Вы щелкнете кнопку Next (Далее), на сертификат) откроется Check On a Pending Certificate Re quest выполнения запроса на сер тификат). Здесь можно проверить отправленные в изолированный ЦС. Если не проверять состояние ожидаю щих обработки запросов в 10 дней, сертификаты будут и придется запрашивать сертификат снова ГЛАВА 16 Службы и инфраструктура открытого ключа в Windows 2000 Выбрав вариант действий, щелкните Next (Далее). Какая Web-страница после это го откроется, зависит от Вами варианта.
Выбор типа запрашиваемого сертификата Запрос сертификата пользователя или создание запроса на кат осуществляется на Choose Certificate Type (Выбор типа са). Параметры этой страницы описаны таблице Таблица 16-21. Выбор варианта действий на странице Choose Certificate Type Вариант User certificate request Выбор из типов сертификатов. На (Запрос сертификата ЦС в списке есть только сер User Certificate (Сертификат пользователя), а на изолированном ЦС указаны сертификаты E-Mail Certificate (Сертификат защиты почты) и Web Browser Certificate (Сертификат программы обзора веба). В совокупности эти сертификаты обеспечивают шинство возможностей сертификата пользователя на ЦС предприятия (за исключением EFS). После того как Вы кнопку Next лее), откроется страница User Certificate - Identifying Information (Сертификат пользователя Ч щая информация) Advanced request Создание расширенного запроса на сертификат. После (Расширенный запрос) как Вы кнопку Next (Далее), откроется страница Advanced Certificate Requests запросы на сертификаты) Выбрав вариант действий, щелкните Next (Далее) и завершите процесс запроса сертификата, следуя инструкциям на Web-страницах.
При запросе сертификата на ЦС предприятия центр сертификации использует лон сертификата и информацию учетной записи в Active Directory для проверки правомочности запроса и принятия решения о выдаче сертификата или отказе. Изолированные ЦС ведут себя по-другому;
по умолчанию они щают запросы на сертификаты в хранилище отложенных запросов до принятия администратором ЦС решения о выдаче сертификата или отказе. Запрашивая сер тификат в изолированном ЦС, следует сначала Web-страницы для создания запроса на сертификат, а потом снова вернуться на главную страницу ЦС и проверить состояние отложенного запроса. После одобрения запроса следует ус тановить выданный сертификат. Допускается сконфигурировать изолированный ЦС на автоматическое (то есть немедленное) удовлетворение запросов каты, по такой подход создает существенную угрозу безопасности и поэтому не ре комендуется.
Создание запроса на сертификат пользователя Запрос на сертификат пользователя создается на Web-странице User Certificate Ч Identifying Information (Сертификат пользователя Ч Идентифицирующая инфор мация). Элементы этой страницы описаны 16-22.
756 ЧАСТЬ 2 Безопасность в распределенных системах Таблица 16-22. Элементы страницы User Certificate Ч Identifying Information Элемент страницы Описание Identifying необходимой сертификате ин формации, в том имя, адрес электронной (Идентифицирующая информация) название организации, подразделение, город, на и страна/регион. ЦС предприятия получает эту информацию изолированном из Active Directory. Эти данные для заполне ния поля Subject (Субъект) выпущенного сертификата More В этом разделе отображаются параметры (Дополнительные параметры) для выбора и/или для выбора устойчивого алгоритма закрытого Enable strong private key Этот флажок поддержкой алгоритма дополни protection (Включить тельной закрытого ключа. При установке этого защиту закрытого флажка система будет запрашивать у пользователя ключа) на выполнением криптографических с закрытым ключом CSP [Выберите По выбран службы криптографии услуг криптографии Microsoft Cryptographic Provider или Microsoft Enhan ced Cryptographic Provider Ч в зависимости от или нет не подлежащие криптогра фические технологии. Вам предоставляется возможность выбрать поставщик CSP из списка. чтобы он тип сертификатов.
CSP для смарт-карт поддерживает сертифи кат Basic (Базовое шифрование EFS) Задав параметры в User Certificate Ч Identifying Information, щелкните Next (Далее). На ЦС предприятия запросы обрабатываются и одобряются ЦС немедлен На изолированном ЦС Вы должны на главную страницу Welcome и состояние отложенного запроса, выбрав вариант Check on a pending certificate (Проверить ожидающий выполнения запрос на сертификат). После одоб рения запроса откроется страница Issued Certificate (Сертификат выдан), которая используется для установки сертификата.
Создание расширенных запросов на сертификаты Расширенные запросы на сертификаты на Web-странице Certificate Requests запросы на сертификаты). Режимы переклю чателя, расположенного на этой странице, описаны в таблице 16-23.
Таблица 16-23. Режим переключателя на странице Advanced Certificate Requests Режим переключателя Submit advanced to Создание расширенного запроса на сертификат с this СА using a form (Выдать формы на Web-странице. После тото как Вы нажмете на сертификат к этому Next (Далее), откроется Advanced Certificate ЦС, форму) Request (Расширенный на сертификат) ГЛАВА 16 Службы сертификации и открытого ключа 2000 Таблица 16-23. (продолжение) Режим Описание Submit a certificate request запроса на сертификат в форме файла запроса a base 64 encoded или на сертификата. Пос PKCS #10 file or a renewal ле тото как Вы кнопку Next (Далее), откроется request using a base 64 enco- страница Submit a Saved Request (Выдача ded PKCS #7 file (Выдать за- запроса) прос на сертификат с по мощью файла PKCS #10 в или используя файл PKCS #7 в Request a certificate for a Создание запроса на сертификат для других пользователей.
smart on behalf of another После того как Вы нажмете кнопку Next откроет user by using the Smart Card ся Smart Card Enrollment Station (Станция пода Enrollment Station (Выдать чи смарт-карт) на сертификат для смарт-карты от имени другого используя цию подачи заявок смарт-карт) Выбрав вариант действий, щелкните Next (Далее) и завершите процесс создания расширенного запроса сертификата, следуя инструкциям на Web-страницах.
Форма расширенного запроса на сертификат запросы на сертификаты создаются на Web-странице Advanced Certificate Request (Расширенный на сертификат). Элементы цы описаны в таблице Таблица 16-24. Элементы страницы Advanced Certificate Request Элемент страницы Описание Identifying Information Идентифицирующая информация в в том числе имя, адрес почты, название информация) (только на подразделения, город, и страна/регион, изолированном ЦС) ПС получаст эту от Directory. Эта информация размещается в поле (Субъект) выпущенного сертификата Intended Purpose назначений (только па изолированном ЦС) Certificate Template Выбор из списка на ЦС (Шаблон сертификата) предприятия, который следует использовать при (только на ЦС сертификата По умолчанию выбран поставщик службы CSP Microsoft Base Cryptographic или Cryptographic Provider -- в зависимости от того, или нет не криптогра фические технологии. Вам предоставляется выбрать поставщик CSP из списка. Необходимо, чтобы поддерживал запрашиваемый тип сертификата.
поставщик для смарт-карт не поддерживает сертифи кат Basic шифрование EFS) (см. стр.) 758 ЧАСТЬ в распределенных системах Таблица 16-24. (продолжение) Элемент страницы Описание Key Usage Выбор назначения сертификата следующих ключа) вариантов: Exchange (Обмен), Signature или Both (Оба). При назначении Exchange ключ используется только для обмена симметричными ключами. Вариант Sig nature подразумевает, что ключ применяется только для цифрового но умолчанию - Both, то есть ключ предназначен для обеих Key Size (Размер ключа) При вариантов Exchange или Both Key Usage длина ключа составляет 384 Ч 1 024 бит. Минималь ная ключа Ч бит. В варианте Signature длина ключа составляет 384 Ч 16 384 бит. Следу ет иметь в виду, что на создание ключей с очень большой длиной иногда требуется много времени Create new key set (Создать Этот флажок установлен но умолчанию, поэтому обычно новый набор ключей) для сертификата создается новая крытый/закрытый ключи. Щелкните Select the container name (Задать имя контейнера), чтобы в поле Container name (Имя контейнера) ввести имя контейнера, где будет храниться закрытый ключ Use existing key set Если этот флажок установлен, следует суще ствующий набор закрытого и открытого ключей. В набор ключей) Container name укажите контейнер для хранения закрытых ключей. Не следует применять ключи повторно, если при максимальный безопасный срок дейст вия ключа Enable strong private key Этот флажок управляет поддержкой алгоритма дополни protection (Включить тельной защиты закрытого ключа. Когда он усиленную закрытого система у пользователя перед вы ключа) полнением криптографических операций с его закрытым ключом Mark keys as exportable Разрешает экспорт однако за одним ис (Пометить ключи как ключением: экспортировать закрытые ключи, ис экспортируемые) пользуемые для подписания Use local machine store Указывает, что полученный сертификат следует хранить (Использовать локальное в разделе реестра локального хранилище компьютера) компьютера. Доступ к этому флажку имеет админи стратор. Хранилище по умолчанию для сертификатов Ч Personal (Личные). Этот флажок устанав ливается для запроса и установки сертификата Computer для локального компьютера Hash Algorithm (Алгоритм Выбор алгоритма создания для подписания и обеспе чения целостности запроса на сертификат. Алгоритм по умолчанию Ч Вы вправе выбрать другой алгоритм из Save request to a PKCS #10 Сохраняет запрос на сертификат в файл и не его в запрос в файле ЦС. Имя файла следует указать в поле File name (Имя Этот файл с запросом отправляется в ЦС позже Attributes Поле ввода дополнительных атрибутов сертификата. об атрибутах сертификатов и их синтаксисе Ч на Web Resources по адресу ссылка Microsoft SDK.
ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 На ЦС предприятия форма расширенного запроса сертификата позволяет запро сить сертификат любого из типов, указанных в политике выпуска сертификатов на ЦС предприятия. При обработке запросов и выпуске сертификатов ЦС предприя тия использует шаблоны сертификатов и информацию учетной записи ля. Для шаблонов сертификатов автономного запроса следует заполнить следую щие поля:
Х Name (Имя);
Х E-mail (Электронная почта);
Х Company (Организация);
Х Department (Подразделение);
Х City (Город);
Х State (Область, штат);
Х /region (Страна/регион).
Эта информация необходима для заполнения поля Subject (Субъект) нового сер тификата. При использовании шаблонов сертификатов интерактивного эта информация извлекается из учетной записи текущего пользователя Windows На изолированном ЦС в разделе Intended Purpose (Назначение) Web-страницы можно выбрать один из следующих типов сертификатов:
Х Secure mail (Сертификат защиты электронной почты);
Х Client authentication (Сертификат проверки подлинности клиента);
Х Server authentication (Сертификат проверки подлинности сервера);
Х Code signing (Сертификат цифровой подписи);
Х IP security authentication (Сертификат Х Timestamp signing (Сертификат штампа времени подписи);
Х Other (Другой).
Назначения сертификата определяются идентификатором объекта (object identifier, IOD), размещенном в поле Extended Key Usage сертификатов v3. Вы вправе выбрать тип Other сертификата и ввести идентификатор объекта в поле Usage OID (Код Некоторые идентификаторы типов сертификатов не включены в спи сок Intended Purpose, в том числе:
Х local file encryption (Локальное шифрование файлов 1.3.6.1.4.1.311.10.3.4;
Х EFS recovery agent (Агент восстановления EFS) Ч 1.3.6.1.4.1,311.10.3.4.1;
Х Trust List Signing (Подписывание списка доверия) Ч 1.3.6.1.4.1.311.10.3.1;
Х Enrollment Agent (Агент подачи заявок) Ч 1.3.6.1.4.1.311.20.2.1.
Подробнее о доступных типах сертификатов и их Ч на Web странице Web Resources по адресу ссылка Microsoft Platform SDK.
Задав значения параметров на странице Advanced Certificate Request, Next (Далее). На ЦС предприятия запросы обрабатываются и одобряются ЦС не медленно. На изолированных ЦС запросы на сертификаты размещаются в очереди 760 ЧАСТЬ 2 Безопасность в распределенных системах отложенных сертификатов до одобрения их администратором. Вы должны возвра титься на главную страницу Welcome и проверить состояние отложенного щелкнув вариант Check on a pending certificate. одобрения запроса откроет ся страница Issued Certificate (Сертификат выдан), которая используется для ус тановки выпущенного сертификата, Страница отправки сохраненного запроса Отправка сохраненных запросов на сертификаты выполняется на Web-странице Submit a Saved Request (Выдача запроса). Элементы этой страницы описаны в таблице Таблица Элементы страницы Submit a Saved Request Элемент страницы Описание Saved Request Укажите запроса на сертификат в поле Saved Re запрос) quest или щелкните Search (Поиск), а затем Ч Browse (Обзор), чтобы найти и выбрать файл запроса, который следует ввести в поле Saved Request. В это поле вставляются запроса на сертификат из файла PKCS #10 в кодировке Base64 или запроса на обнов ление из файла #7 в той же кодировке Certificate Template Поле со списком для выбора шаблона сертификата, (Шаблон сертификата) центру сертификации (только на тия обработке запроса и сертификата Attributes (Атрибуты) Поле ввода дополнительных атрибутов сертификата. Подробнее об атрибутах сертификатов и их синтаксисе Ч на Resources по адресу ссылка Microsoft Platform SDK Задав значения параметров на странице a Saved Request, щелкните Next (Далее). На ЦС предприятия обрабатываются и одобряются ЦС но. На ЦС запросы на сертификаты размещаются в отло сертификатов до одобрения их администратором. Вы должны возвратить ся на главную Welcome и проверить состояние отложенного запроса, ука зав Check on a pending certificate. После одобрения запроса откроется Issued Certificate (Сертификат которая используется для уста новки выпущенного сертификата.
Страница станции подачи заявок смарт-карт Для централизованного и безопасного администрирования операций со смарт-кар тами пользуются Web-страницей Smart Card Enrollment Station (Станция подачи заявок смарт-карт), средствами которой администраторы или другие ные пользователи могут запросить сертификаты для смарт-карт от имени других При работе с этой Web-страницей следует иметь в виду следующее:
Х страница Smart Card Enrollment Station доступна только администраторам, об ладающим сертификатом Enrollment Agent (Агент подачи заявок). Запросы на сертификаты для смарт-карт должны подписываться сертификатом Enrollment Agent администратора;
Х по умолчанию запрос и получать сертификат Enrollment Agent вправе только члены групп Domain Admins (Администраторы домена) и Enterprise Admins (Администраторы ГЛАВА 1 б Службы сертификации и инфраструктура ключа в Windows 2000 Х по подавать и получать сертификаты Smart Card Logon и Smart Card User уполномочены только члены групп Domain Admins траторы и Enterprise Admins предприятия);
Х сертификаты сохраняются на смарт-карте пользователя, размешен ной в устройстве чтения смарт-карт на рабочей станции администратора Х сертификаты для входа в систему со смарт-картой должны быть сопоставлены сетевой учетной записи центром сертификации По этому их невозможно запрашивать в изолированном Тем не менее ванный ЦС поддерживает и выпуск размещаемых на смарт-картах сер тификатов для проверки подлинности клиентов и сертификатов защищенной почты;
Х на смарт-карте разрешается сертификаты любых типов. Это создает дополнительную защиту закрытых ключей и пользователям легко перемещать сертификаты. Однако не все приложения и службы смарт-карты. бессмысленно размещать сертификаты Basic EFS на смарт-карте, так как шифрованная файловая система смарт-карты не поддержи вает.
Вы вправе изменить Enroll (Заявка) для шаблонов сертификатов Enrollment Agent, Smart Card Logon и Smart Card User, таким образом, другим пользователям и группам получать сертификаты. Например, изменив ACL сертификатов для смарт-карт, Вы можете предоставить груп пе Domain Users (Пользователи (все учетные записи пользователей в до мене) разрешение Enroll, позволяющее им или обновлять свои серти фикаты для смарт-карт. Однако следует иметь в виду, что это ослабляет общую пасность, обеспечиваемую смарт-картами, поэтому этот вариант не рекомендуется.
Кроме того, обладая сертификатом Enrollment Agent, пользователь в подать заявку и получить сертификат для смарт-карты от имени любого другого пользователя в организации. Такая смарт-карта пригодна для входа в систему и выполнения операций от реального Неправомочный пользо ватель, обладающий картой, получит все права и дей ствительному По этой причине мы рекомендуем пре доставлять сертификаты этого типа на основании строгих критериев.
для минимизации риска злоупотребления сертификатом Enrollment Agent настройте один выделенный подчиненный ЦС на выпуск сертификатов ко этого типа. После выпуска сертификатов агента подачи заявок ад министратор этого ЦС должен запретить выпуск таких сертификатов до момента, когда они снова понадобятся. Ограничьте круг администраторов, х к управлению этим подчиненным ЦС и поддерживающих выпуск и распространение списков CRL. В принципе, ЦС в иерархии также способны выпускать сер тификаты агента подачи заявок при условии соответствующей настройки их метров политики выпуска, однако обнаружить факт неправомерных тификатов легко Ч достаточно регулярно проверять журнал выпущенных сертифи катов на каждом ЦС.
Вы также вправе предоставить в ACL шаблонов сертификатов разрешение на сер тификаты Smart Card Logon и Smart Card User только шой группе доверенных администраторов.
762 ЧАСТЬ 2 Безопасность в распределенных системах Совет В Windows 2000 на одной смарт-карте разрешается хранить только один сер тификат и один закрытый ключ. Шаблон сертификата Smart User в службе сертификации Windows 2000 проверку сетевом вхо де в систему, проверку подлинности клиентов при связи через Интернет и щенную почту. Для удобства и предоставления пользователю воз можностей, поддерживаемых выпускайте для смарт-карт сертифика ты именно этого типа, а не Smart Card Logon, который пригоден только для про верки подлинности при сетевом входе в систему.
сертификатов для смарт-карт выполняется на Web-странице Smart Card Enrollment Station (Станция подачи заявок смарт-карт). Элементы этой страницы описаны в таблице 16-26.
Таблица 16-26. Параметры на странице Smart Card Enrollment Station Элемент страницы Описание Identifying Information Идентифицирующая информация в сертификате, в том числе имя, адрес электронной организа информация) (только на ции, город, область/штат и страна/регион.
изолированном ЦС) ЦС получает эту информацию из Intended Выбор назначений сертификата (только на изолированном ЦС) Certificate Template Выбор из списка доступных на ЦС (Шаблон сертификата) предприятия. Сертификат на основе выбранного (только на ЦС на основе Smart Card Logon (Вход со предприятия) смарт-картой) или Smart User (Пользователь со смарт-картой) Cryptographic Service Выбор CSP для смарт-карт в соответствии с Provider типом смарт-карты. Например, для смарт-карты криптографии (CSP)j используется Gemplus CSP, а для смарт-карт Ч Schlumberger Cryptographic Service Provider Administrator Signing Когда Вы щелкнете эту кнопку, откроется окно Certificate (Администратор Select Certificate (Выбор сертификата), в котором следует сертификата подписи) выбрать сертификат агента подачи заявок. Использо вать сертификат другого пользователя не удастся User to Enroll Щелкните Select User (Выбор пользователя), чтобы вы пользователь) брать учетную запись пользователя в Active Directory, для которой запрашивается сертификат для смарт-карты Задав значения параметров, смарт-карту в устройство чтения, щелкните Enroll (Заявка), чтобы отправить запрос на сертификат. подтверждения и состав открываемых далее диалоговых окон зависят от CSP для смарт-карт.
При поставщика Schlumberger Cryptographic Service Provider откроет ся диалоговое окно Smart Card PIN-код Если Вы пользуетесь постав щиком Gemplus Card CSP, откроется диалоговое окно без заголовка.
Средствами диалогового окна подтвердите для смарт-карты или измените PIN-код. В таблице 16-27 описаны параметры диалогового окна для Schlumberger CSP, а в таблице 16-28 Ч диалогового окна для Gemplus CSP.
ГЛАВА 16 Службы сертификации и открытого ключа в Windows Таблица 16-27. Элементы диалогового окна Smart PIN-код Confirmation (Schlumberger CSP) окна Please enter your Введите правильный PIN-код для смарт-карты в устройстве чтения смарт-карт. Щелкните ОК, чтобы отправить код для обработки поставщиком CSP Change PIN-code after Этот флажок следует когда требуется изменить Confirmation Когда Вы щелкнете кнопку ОК, поставщик CSP проверит PIN-код, который Вы ввели в поле Please enter your PIN, и откроет диалоговое окно Change PIN on Новый PIN-код следует ввести в полях New PIN и Confirm New PIN и щелкнуть ОК, завершив таким образом процесс смены PIN-кода Таблица 16-28. Элементы диалогового окна без заголовка CSP) Элемент окна Описание Поле без имени Введите правильный PIN-код для смарт-карты в чтения смарт-карт. Щелкните Change, чтобы изменить код, или ОК, чтобы PIN-код для обработки ставщиком CSP Change Изменение PIN-кода. Поставщик CSP проверяет PIN-код, который Вы в поле без имени, и открывает диалого вое окно Please Enter New PIN Code. Введите новый PIN код в обоих Ч верхнем и нижнем Ч полях и ОК, чтобы завершить процесс смены PIN-кода Рекомендуется назначать уникальный PIN-код для каждой выпущенной смарт-кар ты. Обычно политика PIN-кодов менее строга, чем политика сетевых паролей. В общем случае сетевые пароли должны быть длинными и сложными, кроме того, ре комендуется, чтобы пользователи их часто изменяли. Как в результате пользователи записывают так как сложные пароли трудны для запоминания. А PIN-коды обычно изменяются нечасто и сравнительно легки для запоминания, по этому вероятность того, что пользователи запишут их, существенно ниже. PIN-коды управляются поставщиком CSP для смарт-карт и изменяются только при выпуске или обновлении сертификата для смарт-карты.
После проверки или успешного изменения PIN-кода поставщик CSP генерирует открытый и закрытый ключи и размещает закрытый ключ и сертификат на карте. После выпуска сертификата для смарт-карты на Smart Enrollment Station открывается раздел Status (Состояние) с сообщением о готов ности смарт-карты. Щелкните View Certificate (Просмотр сертификата), чтобы просмотреть сертификат и проверить корректность информации учетной записи пользователя и типа сертификата. Если требуется создать еще один сертификат, щелкните New User (Новый пользователь).
Установка сертификата после На ЦС предприятия запрос на сертификат одобряется, и сертификат выпускается практически мгновенно (за исключением случая отказа в сертификате). На изоли рованном ЦС на сертификаты размещаются в очереди отложенных сов до одобрения их администратором.
764 ЧАСТЬ 2 Безопасность в распределенных системах После выпуска сертификата сертификации (за исключением сертифика тов для смарт-карт) открывается Issued Certificate (Сертификат выдан).
Щелкните Install this certificate (Установить сертификат ЦС), чтобы установить сертификат в хранилище Personal Запрашивая сертификат для компьютера, Вы должны выбрать Use local machine store ло кальное хранилище компьютера) на странице Advanced Certificate Request (Рас ширенные запросы па сертификаты), чтобы установить сертификат в хранилище Personal компьютера, а не текущего пользователя.
При сертификатов подчиненного щелкните Install this certification path (Загрузить путь сертификации чтобы установить путь сертификации для ЦС из файла. Далее средствами оснастки Certification Authority (Центр сертифи кации) установите файл и проверьте сертификации ЦС.
Запрос сертификатов средствами мастера запроса сертификатов Сертификаты на компьютерах под управлением Windows 2000 также средствами оснастки Certificates Для этого кноп кой мыши хранилище Personal и в подменю All Tasks (Все задачи) контекстного меню выберите команду Request New Certificate (Запросить новый чтобы запустить мастер Certificate Request wizard (Мастер запроса сертификата).
Он создаст запрос на сертификат для активного ЦС предприятия. Мастер запроса сертификата список всех типов сертификатов, разрешенных к полу чению или Выберите тип сертификата и отправьте за прос в один из ЦС, поддерживающих выпуск сертификатов данного типа.
Окно мастера запроса сертификата не откроется, если нет ни одного доступного ЦС, способного обработать или если пользователь (или компьютер) не имеет полномочий на сертификата ни одного из указанных типов.
При флажке Advanced возможности) на первой странице мастера запроса сертификата Вы можете указать дополнительные пара метры, в том числе выбрать поставщик CSP для сертификата ус ловии, что этот CSP операции, требуемые для типа сертификата). Для пользователя (и только для них) раз решается также выбирать в качестве дополнительного параметра усиленную защи ту закрытого ключа. Для этого следует пометить флажок strong private key protection (Включить усиленную защиту закрытого ключа). В этом случае система будет каждый раз запрашивать разрешения на криптогра фических операций с его закрытым ключом. Усиленная защита закрытого ключа до ступна только для сертификатов пользователя, но не для сертификатов компьютера.
В режиме усиленной защиты закрытого ключа Вы можете выбрать уровень защи - Medium security (Средний) или High security (Высокий). При среднем уров не защиты система запрашивает пользователя на применение закрытого ключа, но не требует пароля, а при высоком уровне защиты пользователь обязан указать пароль.
При запросе сертификатов пользователя EFS Вы, конечно же, вправе установить флажок Enable strong private key, по поскольку не поддерживает пользова тельского интерфейса, система разрешение на операции пользователя EFS будет. Тем не усиленная защита закрытого ключа успешно работает с сертификатами агента EFS. При запросе сертификатов агента 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 рекомендуется выбирать закрытого ключа для печения дополнительной таких операций. Аналогично следует уста навливать высокий уровень защиты с паролем для закрытых ключей при получе нии сертификатов агента подачи заявок для подписания кода и подпи сания списка доверия -- сертификатов, злоупотребление которыми способно нане сти существенный ущерб.
После выпуска требуемого сертификата центром сертификации система предоста вит Вам возможность просмотреть сертификат, а также установить его в ще Personal текущего пользователя или компьютера. Получить сертификат можно и посредством Web-страниц для подачи заявок через Интернет (Web Support).
Просмотр сертификата Когда Вы дважды щелкнете сертификат левой кнопкой мыши или один раз Ч пра вой кнопкой мыши и в контекстном меню выберете команду Open (Открыть), от кроется диалоговое окно Certificate (Сертификат) со сведениями (рис. 16-14):
Х на вкладке General (Общие) - общая информация;
Х на Details (Состав) подробная информация Х на вкладке Certification path (Путь сертификации) о пути кации.
This is to:
software from alteration publication Hardware to:
Issued Microsoft Root Valid from to Рис. 16-14. Вкладка General диалогового окна Certificate На вкладке General диалогового окна Certificate находится общая информация о сертификате, в том числе назначения сертификата, выпустивший его и срок действия. При наличии проблем с сертификатом в этом диалоговом окне отобра 766 ЧАСТЬ 2 Безопасность в распределенных системах предупреждающее сообщение с дополнительной информацией. На рис.
кнопка Issuer Statement (Заявление недоступна, так как выпустивший не заявление поставщика о правилах применения ЦС.
Если ЦС такое заявление, его можно просмотреть, кнопку Issuer Statement, и получить информацию о сертификате на Web узле центра сертификации.
number I algorithm Root October 01, 199, Hardware key RSA Bits), December 31.
Рис. 16-15. Вкладка Details диалогового окна Certificate На вкладке Details диалогового окна Certificate отображена подробная информа ция о сертификате, в том числе о назначениях сертификата, поставщике (ЦС, вы пустивший сертификат) и сроке действия. При выборе элемента списка в столбце Field (Поле) содержание столбца Value (Значение) отображается в информацион ном поле в части диалогового Например, на рис. 16-15 выбран пара метр Valid to (Действителен по) и в поле отображается значение Tuesday, December 31, 2002 12:00:00 AM.
Вы можете щелкнуть кнопку Edit Properties (Изменить свойства) и отредактиро вать параметры Friendly Name (Понятное имя) и Description (Описание) серти фиката, а также при необходимости ограничить перечень разрешенных назначений для сертификата. По умолчанию все назначения, в сер тификате. Вы вправе все назначения (таким образом сертификат стано вится недействительным) или укапать, что сертификат предназначен только для задач. Например, сертификат, действительный для подписания кода, за щищенной почты и защищенной связи через Интернет, Вы можете назначить только для защищенной почты.
Чтобы сертификат, щелкните кнопку Copy to File (Копировать в файл). Сертификат можно с закрытым ключом, если это разреше при его создании.
ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 О Microsoft Windows Compatibility is OK Рис. Вкладка Certificate Certification Path диалогового окна На вкладке Certification Path диалогового окна Certificate графически представлен путь сертификации и иллюстрируется состояние доверия сертификату (рис.
В поле Certificate status (Состояние сертификата) указано состояние сертифика та. Подробные сведения о проблемах с сертификатом или путем (если таковые ются) отображаются именно па этой вкладке. К общим проблемам относится от сутствие сертификата в хранилище Trusted Root Certification Authorities (Доверенные корневые центры сертификации) или наличие в пути сер тификации сертификата, действительность которого не удается. Чтобы просмотреть информацию о любом из сертификатов в пути сертификации, выберите интересующий Вас сертификат и щелкните кнопку View Certificate (Просмотр сер тификата).
Экспорт сертификатов и закрытых ключей Запускают мастер Certificate Export wizard (Мастер экспорта сертификата) одним из двух способов: щелкают правой кнопкой сертификат, в меню к подменю Tasks (Все задачи) и щелкают Import (Импорт) или на вкладке Details (Состав) диалогового окна Certificate щелкают кнопку Copy to File (Копировать в файл). Мастер экспорта сертификата используется для сохранения выбранного сертификата в файле, при этом сертификат можно экспортировать с закрытым если это для него. При экспорте закрытый ключ храняется в зашифрованном и защищенном паролем файле. Пароль, необходимый для шифрования и расшифровки ключа, задается при Для получения ключа знание этого пароля обязательно.
Следует иметь в виду, что пароль обеспечивает сравнительно слабую защиту, и умышленник, получивший свое распоряжение экспортированный закрытый ключ, его в короткий срок, выполнив атаку простым 768 ЧАСТЬ 2 Безопасность в распределенных системах ребором или атаку по Поэтому во избежание компрометации закрытых ключей советуем Вам крайне управлять экспортом закрытых ключей и обеспечить надежную защиту всех носителей с закрытыми ключами.
Закрытые ключи цифрового подписания никогда не следует экспорти ровать или сохранять в файле или архиве, так как там они доступны не за конному владельцу. Злоумышленники в состоянии получить доступ к дубликату и выступать от владельца. Наличие копии ключа подписания компрометирует проверку подлинности, целостность и невозможность отрицания авторства, обес печиваемые этим ключом. Поэтому в Windows 2000 экспорт закрытых ключей, ис пользуемых для подписания, В сертификатах, службами сертификации Windows 2000, к экспорту разрешены только ключи сертификатов пользователя EFS и сертификатов Это позволяет создавать архивы восстанов ключей. Разрешение на закрытых ключей указан в атрибуте серти фиката, определяемом при создании последнего. Средствами Web-страницы Advanced Certificate Request запросы на сертификаты) можно раз решить экспорт закрытого ключа для сертификатов, создаваемых ис для обмена ключами, но нельзя создать специальный сертификат с экспортируемым ключом, который используется как для обмена так и для подписания.
Разрешайте закрытых ключей только для сертификатов, ключи которых используются для постоянных данных длительного хранения, таких, как зашифро ванные файлы на жестком диске. Например, сертификат только для почты (не для подписания), разрешите экспорт закрытого клю ча Ч это позволит надежно сохранить резервные копии ключа и использовать их в случае утери или разрушения основного ключа. Для подписания почтовых сообще ний получите другой сертификат защищенной почты, экспорт закрытого ключа которого запрещен.
Архивирование и восстановление центров сертификации Для предупреждения потери данных и для их восстановления после сбоев и серь езных неполадок (например, отказа жесткого диска) рекомендуется регулярно ар хивировать данные центра сертификации. При отказе жесткого диска теряется вся об изменениях со времени последнего архивирования, в том числе:
Х конфигурации служб сертификации;
Х перечень сертификатов;
Х перечень запросов на сертификаты;
Х очередь отложенных запросов на сертификаты;
Х перечень отозванных Для минимизации отрицательных последствий отказа сервера рекомендуется ис пользовать программу Windows 2000 Backup (Средства архивации и восстановле ния Windows 2000) архивирования и в процессе общей про архивирования и сервера. также архивировать и восстанавливать данные конфигурации служб сертификации, закрытый ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 сертификат и базу данных средствами оснастки Certification Authority (Центр сер тификации).
Архивирование и восстановление в Windows Для периодического архивирования данных сервера с ЦС следует программу Windows 2000 Backup (Средства архивации и восстановления Win dows 2000). При отказе или сбое сервера (например, при отказе жесткого диска) сервер и все его службы восстанавливаются из последнего архива.
В программе архивации Windows 2000 разрешается планировать (определять рас писание) и создавать следующие типы архивов:
Х обычный (Normal) Ч содержит полную файловую систему сервера и данные со стояния системы;
Х (Differential) Ч содержит все файловой системы сернера и данные состояния системы со времени создания последнего Х добавочный содержит все изменения файловой системы сернера и данные состояния системы со времени создания архива.
Хотя система и позволяет при архивировании файловой системы отказаться со хранения данных системы, мы не это делать, - сохранение состояния системы позволит в будущем полностью восстановить сервер.
ку службы содержат страницы подачи заявок на сертификаты обязательно убедитесь, чтобы при архивировании сохранялись также сервера Internet Information Services.
Windows 2000 Backup поддерживает устройств хранения данных, в том числе жесткие диски, ленту, диски, компакт-диски или це лые библиотеки дисков или лент, в пул носителей и управляемый автоматизированным устройством смены носителей. Подробнее об использовании программы Windows 2000 Backup - в справочной системе Windows 2000 Server.
и восстановление средствами оснастки Certification Authority Certification Authority Backup wizard (Мастер архивации сертифи кации) и Certification Authority Restore wizard (Мастер восстановления запускаемые средствами оснастки Certification Authority (Центр используются для архивирования и следующих дан ных центра сертификации:
Х закрытого ключа и сертификата;
Х базы данных сертификатов.
Поддерживается выборочное и полное архивирование данных ЦС. Например, ар хивирование только закрытого ключа и сертификата или только базы сер тификатов. Кроме того, поддерживается создание обычных (Normal), или и добавочных (Incremental) архивов. Создавать архивы в пап ке на любом типе, томов, поддерживаемых Windows Ч FAT или При отказе сервера ЦС восстанавливается из последнего архива. Сначала следует восстановить ЦС из обычного архива, а затем последовательно все разностные архивы в том в каком они создавались.
При архивировании закрытого ключа ЦС следует указать пароль. Закрытый ключ размещается в защищенном паролем, файле, за 770 ЧАСТЬ 2 в системах щиту и конфиденциальность ключа. При восстановлении закрытого ключа попросит ввести пароль. Подробнее об использовании оснастки Certification Authority для архивирования и восстановления ЦС Ч в справочной системе служб сертификации.
Стратегии архивирования Рекомендуется планировать и выполнять архивирование часто, чтобы обеспечить быстрое и с минимальными потерями восстановление ЦС. Обычно при архивиро вании комбинируют несколько типов архивирования Ч обычное (Normal), разно стное (Differential) и добавочное (Incremental).
Ежедневное создание обычного архива Ч наиболее простой способ, который по зволяет легко и полностью восстановить систему. Однако он длительный, требует много времени и дискового пространства, а также создает большую нагрузку на сер веры и сеть.
Комбинация еженедельного обычного и ежедневного разностного архивирования выполняется существенно быстрее, требует меньше дискового пространства и со здает меньшую нагрузку на серверы и сеть по сравнению с предыдущим вариан том. Однако восстановление занимает больше времени, так как приходится восста навливать ЦС из обычного архива, а затем развертывать последний разностный архив.
Комбинация еженедельного обычного и ежедневного добавочного архивирования еще быстрее, требует еще меньше дискового пространства и позволяет снизить на грузку на серверы и сеть по сравнению ежедневным разностным архивировани ем. Но, с другой стороны, процесс восстановления удлиняется, так как приходится восстанавливать последний обычный архив и последовательно развертывать все добавочные архивы, начиная с момента создания последнего обычного архива.
Кроме того, можно чередовать обычное архивирование с разностным или добавоч ным в любой последовательности Ч как Вам удобнее. Например, выполнять обыч ное архивирование раз в три дня, а разностное Ч ежедневно.
Стратегия архивирования зависит от объема наличных носителей для архивирова ния и ограничений на нагрузку сети. Делайте резервную копию данных служб сер тификации по крайней мере каждый день, чтобы при отказе жесткого диска с ба зой данных ЦС потери составляли не более однодневного объема изменений.
Кроме стандартных архивов Вы можете средствами мастера Certification Authority Backup wizard создавать архивы, содержащие только закрытый ключ сертифи кат и данные конфигурации. Такой архив обновляется нечасто Ч только при изме нении базовых данных ЦС. Он позволяет вернуть ЦС даже когда не возможно воспользоваться стандартными архивами, Особенности восстановления центра сертификации После завершения восстановления ЦС очень важно полностью заархивировать базу данных сервера сертификации. Это необходимо для уменьшения восстанов ленных журналов и создания нового базового архива для восстановления ЦС в бу дущем. Архивы, созданные после восстановления, не следует смешивать с архива ми (полными или добавочными), созданными до восстановления, так как последние не годятся для восстановления БД до текущего состояния.
ГЛАВА 16 Службы сертификации и инфраструктура ключа в Windows 2000 При отказавшего ЦС средствами 2000 Backup архивации и восстановления Windows 2000) кроме служб следует также восстановить сервер Internet Services, в случае после перезапуска системы его не удастся запустить. Для рабо ты служб сертификации сервер Internet Information Services жизненно так как именно он поддерживает страницы подачи заявок на сертификаты через Интернет (Web Enrollment Support).
Если до восстановления служб сертификации журналы базы данных но не удалить вручную, службы сертификации будут до самого свеже го состояния. В противном случае службы сертификации будут восстановлены до состояния на момент создания архива. По умолчанию база данных сертификатов и журнал располагаются в папке:
где Ч буква диска, на котором установлен ЦС.
Отзыв сертификатов В базе данных сертификатов службы сертификации все сертификаты, выпущенные ЦС. Средства оснастки Certification Authority по зволяют отзывать выпущенные сертификаты. Например, сертификаты уволивших ся или перешедших в другой отдел сотрудников. Также следует отозвать сертифи каты, закрытые ключи которых скомпрометированы (явно или неявно, то есть Вы всего лишь нарушение защиты) или использованы во вред. Такие сер тификаты надо публиковать в списке отозванных сертификатов до сро ка их действия.
Отозванный сертификат и восстановлению не подлежит, поэтому ото званный по ошибке сертификат новым действительным сертификатом.
Чтобы отозвать сертификат средствами консоли Certification Authority в требуемом ЦС, щелкните контейнер Issued Certificates сертификаты) и затем сертификат в области сведений. Далее в подменю All Tasks (Все задачи) меню Action выберите команду Revoke Certificate (Отзыв та). В открывшемся диалоговом окне Certificate Revocation (Отзыв в поле со списком Select a reason code (Код причины) укажите код причины ва сертификата и затем щелкните Yes (Да). Кодов причины Unspecilied (Не Key Compromise (Компрометация СА Compromise (Ком прометация ЦС), Change of Affiliation (Изменение принадлежности), (Сертификат заменен), of Operation (Прекращение работы) и Certificate действия). Отозванные сертификаты перемещаются в Revoked Certificates (Отозванные сертификаты).
Публикация списков отозванных сертификатов Службы сертификации Windows 2000 периодически публикуют списки сертификатов Однако Вы можете сделать это вручную в любой сред ствами консоли Authority. Например, опубликовать новый CRL немед ленно после отзыва сертификатов.
Для этого щелкните правой кнопкой мыши Revoked Certificates (Ото званные сертификаты) и в подменю АН Tasks (Все задачи) меню 772 ЧАСТЬ 2 Безопасность в распределенных системах берите команду (Публикация). В открывшемся диалоговом окне Certificate Revocation List (Список отзыва сертификатов) Yes (Да), чтобы обновить список Отклонение или одобрение запросов на сертификат Службы сертификации в Windows 2000 размещают отложенные запросы в контей Pending Request (Запросы в На ЦС предприятия запросы обра батываются автоматически и то есть решение об удовлетворении или отказе в выдаче сертификата принимается самим ЦС в режиме. По умолчанию на изолированном ЦС запросы откладываются в очередь отложенных запросов (в папку Pending Request) до принятия решения о выдаче или отказе в сертификате администратором ЦС. Эти операции администратор выполняет сред ствами оснастки Certification Authority сертификации).
Удовлетворение запроса на сертификат средствами консоли Certification Authority (Центр сертификации) 1. Щелкните контейнер Pending Requests (Запросы в ожидании) соответствую ЦС.
В области сведений отобразятся все отложенные запросы на сертификаты.
2. Щелкните правой кнопкой мыши соответствующий запрос на сертификат и в подменю All Tasks (Все задачи) контекстного меню выберите команду Issue (Выдать).
ЦС Отклонение запроса на сертификат средствами консоли Certification Authority (Центр сертификации) 1. Щелкните контейнер Pending Requests (Запросы в ожидании) соответствую щего ЦС.
В области сведений отобразятся все отложенные запросы на сертификаты.
2. Щелкните кнопкой мыши соответствующий сертификата и в под меню All Tasks (Все задачи) меню выберите команду Deny (За претить).
3. В открывшемся диалоговом окне Deny Certificate Requests (Отклонить запрос щелкните кнопку Yes (Да).
Запрос сертификата переместится в Failed Requests (Неудачные за просы).
Обновление центров сертификации сертификации, срок действия которого истек, не в состоянии оказывать ус луги по сертификации. Сертификат ЦС следует обновлять до истечения этого сро ка посредством оснастки Authority (Центр сертификации). Это обес печит непрерывность работы служб сертификации. Период обновления ЦС зави сит от жизненных циклов сертификатов, определенных Вами для своей инфра структуры открытого ключа.
После обновления ЦС продолжает работу на основе полученного им сертификата ЦС. сертификат ЦС остается в силе, сертификаты, выпущенные ГЛАВА Службы сертификации и инфраструктура открытого ключа в Windows 2000 с его применением, не становятся недействительными Ч они остаются доверенны ми до срока действия или отзыва.
Вы вправе обновить сертификат ЦС с существующей парой ключей старого серти фиката ЦС. Однако следует иметь в иду, что чем дольше используются ключи, тем больше риск их компрометации. Угроза безопасности ис пользования ключей зависит от многих факторов, в том числе от длины ключа и защиты его от атаки. Подробнее о факторах риска для криптографических ключей --- в главе 14 Криптография в сетевых системах.
Обновление сертификата ЦС средствами оснастки Certification Authority (Центр сертификации) 1. Выберите узел ЦС и в подменю All Tasks (Все задачи) основного меню Action (Действие) щелкните команду Stop Service (Остановить ЦС), чтобы центр сертификации. Если Вы пропустите это действие, система сама предло жит остановить ЦС.
2. В All Tasks (Все задачи) основного меню Action (Действие) команду Renew CA Certificate (Обновить сертификат ЦС).
3. В открывшемся Renew CA Certificate (Обновление ката ЦС) установите переключатель в положение Yes (Да), чтобы создать но вый набор ключей, или в No (Нет) чтобы повторно использовать старый на бор ключей. Щелкните ОК.
На корневом ЦС сертификат обновляется, и никаких действий не требуется. На подчиненном ЦС откроется диалоговое окно Complete this CA Installation (Запрос сертификата ЦС).
4. Введите в поле Computer Name (Имя компьютера) доменное имя сервера для родительского ЦС или щелкните кнопку Browse (Обзор), чтобы выбрать вер из списка.
В поле Parent CA (Родительский ЦС) отображается имя ЦС, работающего на выбранном компьютере.
5. Щелкните ОК.
Запрос на обновление отправлен родительскому ЦС для обработки. Когда ро дительский ЦС выпустит новый сертификат, сертификат ЦС обновлен.
Сертификаты корневых ЦС обновляются с таким же сроком действия, как и пер воначальный сертификат. Срок действия обновленных сертификатов ЦС родительским ЦС.
Восстановление зашифрованных данных Windows 2000 поддерживает шифрование постоянных данных средствами EFS и системы защищенной почты. данные обычно доступны только для пользователя, обладающего соответствующим закрытым ключом расшифровки дан ных. Однако при утере или разрушении закрытого ключа пользователя такие дан ные становятся непригодными для применения, если только особых средств восстановления открытого текста или закрытого ключа. Кроме того, если пользо ватель, зашифровавший информацию, или его удаляют из 776 ЧАСТЬ 2 Безопасность в распределенных системах Программы командной строки предоставляют дополнительные функции по управ лению службами сертификации. Эти средства в первую очередь для и опытных центра сертификации.
Подробнее о программах строки Ч в справочной системе служб серти фикации.
Эта служебная программа выполняет следующие задачи:
Х записывает в файл информацию о конфигурации служб сертификации, запро сах на сертификаты, сертификатах и отозванных сертификатов;
Х отображает строки настройки Х просматривает сертификат подписи ЦС;
Х отзывает сертификаты;
Х публикует или получает список отозванных сертификатов ЦС;
Х проверяет, действителен ли сертификат или совместима ли его длина ния со старыми параметрами заявки;
Х проверяет один или все пути сертификата;
Х повторяет или отменяет ожидающие выполнения запросы;
Х задает атрибуты Ч либо числовые, либо строковые Ч для ния запросов;
Х проверяет пару Х декодирует файлы или файлы в формате base64;
Х преобразует файлы в формат base64;
Х останавливает сервер службы сертификации;
Х отображает схему базы данных;
Х преобразует базу данных сервера Certificate Server 1.0 в базу данных служб сер тификации Windows 2000;
Х архивирует и восстанавливает ключи и базы данных ЦС;
Х отображает сертификаты, в определенном хранилище сертификатов;
Х отображает текст сообщения об ошибке по коду ошибки;
Х импортирует выпушенные отсутствующие в базе данных;
Х отображает и настраивает параметры ЦС в реестре;
Х создает или удаляет виртуальные и общие файлы служб сертификации на Web-сервере.
Служебная программ CertReq.exe для запроса сертификатов в цент ре сертификации. CertReq поддерживает запросы на сертификат в виде файла в формате 10 и запросы на обновление сертификата в виде файла в формате 7. Для подачи запросов в этих форматах также используются Web-страницы подачи заявок через Интернет.
ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 CertSrv.exe это ядро сервера Используйте эту программу в командной ке, как автономное приложение только, для отладки. В режиме диагностики CertSrv отображает журнал своих в окне командной строки. Запускать CertSrv как службу следует средствами элемента Services (Службы) в Control Panel (Панель управления).
Восстановление после сбоя такие, как отказ жесткого диска или компрометация ЦС, способны полностью нарушить работу служб сертификации. Существует не сколько путей минимизации отрицательных последствий таких сбоев и ния своевременного восстановления. К операциям но риска отказа или компрометации ЦС относятся:
Х превентивные операции на серверах;
Х обеспечение безопасности серверов с центрами сертификации;
Х защита закрытых ключей центров сертификации;
Х разработка планов восстановления.
Превентивные операции на серверах Отказ сервера, на котором выполняется ЦС, влечет за собой нарушение работы служб сертификации. Следующие операции позволяют предупредить риск ЦС и свести к минимуму время простоя служб ЦС:
Х создание дублирующих ЦС;
если один из серверов становится недоступным, его обязанности по выпуску сертификатов берет на себя резервный сервер;
Х частое архивирование ЦС, позволяющее быстро и с минимальными потерями данных восстановить центр сертификации;
Х установка служб сертификации на дисковых массивах и массивах Х разработка планов восстановления и обучение администраторов выполнению этих планов;
Х сохранение данных конфигурации сервера и ЦС для беспроблемного и точного восстановления конфигурации в случае сбоя;
Х обеспечение резервных серверов в режиме готовности (standby) или готовых к замене и немедленному восстановлению.
Обеспечение безопасности серверов с центрами сертификации Компьютеры, на которых работают Ч это наиболее вероятные цели для атаки злоумышленников, пытающихся нарушить работу сетевых служб или скомпроме тировать защиту сетевых и информационных систем. Получив доступ к серверу с ЦС или недостатками защиты сервера, атакующие могут полу чить доступ к сетевым ресурсам и скомпрометировать безопасность целой цепочки доверия. Поэтому серверы с ЦС нуждаются в более надежной защите, чем обычные серверы.
778 ЧАСТЬ 2 Безопасность в распределенных системах Риск атаки на ЦС зависит от многих факторов, в том числе от сети, целей атаки и затрат на нее. Риск нападения на ЦС, расположенный в защищенной брандмауэром интрасети и использующийся в ней для обычных деловых Однако он повышается, если ЦС не брандмауэром и при меняется в экстрасети.
Компрометация ЦС чревата существенным ущербом и убытками. К возможным не гативным компрометации ЦС относятся:
Х потеря информации, составляющей собственность организации;
Х усилия на расследование и атаки на сеть;
Х отказ или простой сетевых служб;
Х или ресурсов;
Х затраты на устранение последствий компрометации ЦС и разверты вание центров сертификации и сертификатов.
Компрометация корневого ЦС обойдется Вам гораздо дороже, чем промежуточно го или выпускающего ЦС. Дабы снизить потенциальные убытки, стоит создать в организации иерархию из нескольких ЦС.
Определяя адекватность мер безопасности, и оцените расходы на эти ме и возможные убытки в случае компроме тации ЦС. К мерам по обеспечению серверов ЦС относятся:
Х размещение серверов в защищенных центрах данных и физичес кого доступа к ним только администраторам;
Х использование аппаратных центров сертификации или аппаратных поставщиков CSP для обеспечения максимальной защиты закрытых ключей ЦС;
Х конфигурирование параметров безопасности сервера для обеспечения высокого уровня защиты, такого, как High (Высокий) защиты шаблонов;
Х использование служебной программы Windows 2000 System Key для шифрования хранилищ серверов ЦС;
Х аудит безопасности для контроля и наблюдения за возможными атаками на сер веры с ЦС;
Х ограничение предоставления прав пользователям путем предоставления нрав только соответствующей группе администраторов (остальным или группам надо запретить или выполнение любых задач на локаль ном компьютере с ЦС);
Х отключение ненужных служб на серверах с ЦС;
работающие службы представ ляют собой дополнительные для злоумышленников;
Х развертывание политики и процедур безопасности при развертыва ЦС на предприятии.
При выборе мер безопасности ЦС следует взвесить затраты на их реализацию и поддержание, с одной стороны, и риск нападения на ЦС и возможные убытки от компрометации ЦС, с другой В общем чем выше риск нападения и убытки от компрометации, тем затраты на мероприятия по безопасности ЦС. Максимальную защиту следует обеспечить корневым ЦС, а про межуточные ЦС надо обезопасить надежнее, чем выпускающие ЦС.
ГЛАВА 16 Службы и инфраструктура открытого ключа в 2000 что в Вашей организации принято решение защитить большой объем чрезвычайно ценной и конфиденциальной информации, решение на основе открытых ключей. Также решено приобрести дорогой ЦС для выполнения функций корневого ЦС и разместить его для пущей безопасности в защищенном хранилище, расположенном в офисе Доступ к ЦС, который все промежуточные ЦС в только администраторам. ЦС Ч это ЦС на компьютерах под управлением 2000, ных от сети и размещенных в центрах под тратора подразделения. Промежуточный ЦС по мере необходимости для сертификации выпускающих ЦС под Windows 2000 в соответ ствии с потребностями каждого подразделения. Выпускающие ЦС - это ЦС Win dows 2000 предприятия или изолированные ЦС, в защищенных трах данных каждого подразделения. Политика безопасности Вашей должна подразумевать самые строгие меры безопасности выполнения запроса, ав торизации и внедрения корневого, промежуточных и выпускающих ЦС на и контроль за ними.
С другой стороны, если в решения безопасности на базе открытого ключа для защиты не очень вполне достаточно изолированного корневого ЦС Windows 2000, размешенного в центре а не упомянутого в примере дорогого аппаратного ЦС, размещенного в за щищенном хранилище. При этом допустимо разместить промежуточные и выпус кающие ЦС в подразделениях за пределами центра данных. Также требуется та ких строгих ограничений на внедрение, запросы и ЦС.
Службы сертификации Windows 2000 па базе поставщика Microsoft Base смо гут удовлетворить большинство в защите ЦС. Для обеспечения сочайшей ЦС следует использовать ЦС. За более ной информацией об аппаратных криптографических совместимых с Windows 2000 Server и службами сертификации Windows 2000, обращайтесь средственно к разработчикам соответствующего Защита закрытых ключей центров сертификации Если у есть доступ к компьютеру ЦС непосредственно или по сети, он в состоянии закрытый ключ и затем выступать от имени [С и получать доступ к ценным сетевым ресурсам. Он сможет воровать нарушить работу сетевых служб и сетевые ресурсы. Скомпрометиро ванный ключ подрывает и сводит на систему ченную этим ЦС, и всю его иерархию ЦС. Постарайтесь регулярно ме по риска атаки на ключи ЦС.
Обеспечьте защиту серверов с центрами сертификации, как описано ранее в этом физической минимизирует риск получения кующими доступа к ЦС или защищенному хранилищу (будь оно ным или программным), где хранится ключ ЦС. Обеспечение безопасности сети и сервера (программного обеспечения) снижает риск того, что нарушители получат доступ к серверу ЦС или воспользуются недостатками приложений или служб это го сервера для ключа ЦС.
Обеспечьте усиленную защиту ключей центра сертификации. Если требуется мак симальная закрытых ключей, воспользуйтесь аппаратными 780 ЧАСТЬ 2 Безопасность в распределенных системах ками CSP, так как в этом случае ключи хранятся на стойких ко взлому аппаратных устройствах и никогда не предоставляются операционной системе. Используйте служебную программу SysKey для обеспечения дополнительной защиты закрытых ключей ЦС, хранимых поставщиками Microsoft CSP.
Использование в центрах сертификации ключей большой длины снижает риск атаки на ключ, однако длинные ключи требуют больше дискового пространства и вычислительных мощностей для подписания сертификатов. Следует выбрать мак симальную возможную длину ключа и учесть ограничения на память и производи тельность ЦС.
Например, 4 096-битный ключ ЦС обеспечивает превосходную безопасность, но подписание сертификатов таким длинным ключом слишком много вре мени даже при наличии платы Такой ключ вполне пригоден для корневого или промежуточного ЦС, которые используются нечасто и только для сертификации ЦС. Кроме того, некоторые ЦС с аппаратными поставщиками CSP не поддерживают хранение 4 096-битных ключей.
Для большинства выпускающих ЦС 4 096-битный ключ неприемлем из-за недопу стимого снижения производительности работы ЦС. На ЦС следует использовать ключи, которые обеспечивают удовлетворительную безопасность, не замедляют работу ЦС и соответствуют долгосрочным целям конкретной службы сертификации. Для производительности выпускающего ЦС и исполь зования более длинных ключей рекомендуется установить плату криптоакселера тора. Прежде чем развертывать ЦС на протестируйте его производи тельность для различных длин ключей в лабораторных условиях и на пилотных системах.
Определите адекватные сроки действия ключей ЦС. Чем больше срок действия ключа, тем выше риск его компрометации, так как у атакующих больше времени на взлом. существует простого правила определения максимальных сроков дей ствия Однако в общем случае сроки действия ключей в значительной сте пени зависят от качества их защиты и длины. В случае, сроки действия бо лее длинных ключей больше. Аналогично ключи служат доль ше. Например, ключи, хранящиеся в стойких к взлому аппаратных ствах надежнее, чем ключи, размещенные на жестком диске локального компьюте ра. Поэтому для двух ключей одной срок действия ключа, хранимого на ап паратном криптографическом устройстве, обычно больше, чем ключа, размещенно го в программном поставщике CSP на жестком диске.
Подробнее об основных факторах риска для криптографических ключей - в главе 14 в сетевых информационных Разработка планов восстановления Разработка детального плана позволяет быстро вернуть ЦС в ра бочее состояние в случае сбоя служб сертификации или компрометации. Рекомен дуется составленный план, чтобы убедиться в его корректности.
Кроме того следует провести обучение сотрудников, чтобы быть уверенным в что они знают, как действовать в соответствии с этим планом.
ГЛАВА 16 Службы сертификации и открытого ключа в Windows 2000 План восстановления должен предусматривать:
Х процедуры восстановления и контрольные списки для администраторов;
Х наборы средств и служебных программ восстановления или указатели на такие средства;
Х план действий в непредвиденных обстоятельствах.
Восстановление сбой центра сертификации Существует множество причин, по которым ЦС может потерпеть сбой, в том числе поломка жесткого диска сервера, отказ сетевой карты или выход из строя систем ной (материнской) платы сервера. Некоторые сбои устраняются быстро локализации и исправления источника неполадки сервера ЦС. Например, после замены неисправной сетевой карты или системной платы для восстановления служ бы сертификации достаточно перезапустить компьютер.
жесткий диск и сервер вместе с ЦС восстанавливается из последнего архива. При или разрушении ЦС его также из последнего архива. замене сервера сконфигурируйте новый сервер с тем же самым сетевым именем и IP-адресом, что были у потерпевшего сбой серве ра ЦС. После этого ЦС устанавливают в исходной конфигурации и с исходным за крытым ключом и сертификатом ЦС.
Если Вы делаете это посредством мастера Windows Component wizard (Мастер ком понентов Windows), пометьте флажок Advanced options (Дополнительные возмож ности), что позволит Вам воспользоваться старым ключом и сертификатом. На странице Public and Private Key Selection (Пара открытого и закрытого ключей) следует установить флажок Use existing keys (Использовать существующие ключи) и выбрать ключ из списка, а также необходимо пометить флажок Use the associated certificate (Использовать связанный сертификат). Что бы импортировать закрытый ключ от архива, следует щелкнуть кнопку Import (Им порт). Информация ЦС, содержащаяся в сертификате, автоматически заносится в поля на странице СА Identifying Information о сертификации).
ЦС устанавливается вместо исходного центра сертификации.
Если флажок Use the associated certificate недоступен, Вам не удастся использо вать информацию, содержащуюся в сертификате. В этом случае заполните поля на странице СА Identifying Information точно, как для исходного ЦС, иначе восста новление не удастся. Далее на странице СА Certificate Request (Запрос сертифи ката ЦС) следует установить переключатель Save the request to a file (Сохранять запрос в файле), а не запрашивать интерактивном ЦС (в противном случае родительский ЦС выпустит сертификат для устанавливаемого ЦС).
После завершения ЦС средствами консоли Certification Authority сертификации) установите исходный (лстарый) сертификат на новом ЦС.
На странице Data Storage Location (Размещение хранилища данных) пометьте флажок Preserve existing certificate database (Сохранить существующую базу ных сертификатов). В противном случае новая база данных будет записана поверх старой и уничтожит всю предыдущую версию БД.
782 ЧАСТЬ 2 Безопасность в распределенных системах Следует иметь в виду (и это важно), что с закрытым ключом совместим только свя занный сертификат, так как последний парный открытый ключ. Также чтобы идентификационная информация ЦС в поле Subject (Субъект) сертификата в точности с данными исходного ЦС, иначе но вый сертификации возложенные на функции не сможет. На странице СА Identifying Information процессе установки ЦС надо заполнить сле дующие поля:
Х name (Имя ЦС);
Х Organization (Организация);
Х Organizational unit (Подразделение);
Х Locality (Город);
Х State or province (Область);
Х Country/region (Страна/регион);
Х E-mail (Электронная почта).
Информация в поле Subject (Субъект) чувствительна к регистру, поэтому следует очень внимательно отнестись к полей на странице СА Identifying Information. Просмотреть информацию в поле Subject сертификата можно на вклад ке Details (Состав) в диалоговом окне Certificate выбрав поле Subject (Субъект).
После установки и запуска восстанавливаемого ЦС средствами Windows Backup (Средства архивации и восстановления Windows 2000) или мастера Cer tification Authority Restore wizard (Мастер восстановления центра сертификации) восстановите данные конфигурации ЦС из последнего архива.
Восстановление после центра сертификации При обнаружении факта компрометации ЦС единственный выход Ч отозвать сер тификат ЦС. Таким образом, Вы лишите законной силы сам центр все его подчиненные ЦС, а также все сертификаты, выпущенные самим ЦС и его подчиненными ЦС. При компрометации ЦС немедленно:
Х отозвать сертификат ЦС:
Х опубликовать новый список CRL с отозванным сертификатом ЦС;
Х удалить сертификаты ЦС из хранилища Trusted Root Certification Authorities (Доверенные корневые центры и из всех доверия Х известить всех заинтересованных пользователей и администраторов о компро метации и сообщить, что сертификаты, скомпрометированным ЦС, отзываются;
Х устранить все ставшие компрометации.
Для восстановления иерархии центров сертификации следует повторно выполнить развертывание нового ЦС, далее повторно выпустить все сертификаты для пользователей, компьютеров и служб.
ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 Дополнительные материалы Подробнее о разработке собственных специализированных приложений, со службами сертификации Windows 2000, и об использовании Microsoft и поставщиков Microsoft CSP на Web-странице Web адресу Microsoft Platform SDK, Подробнее о документах и IETF проекты (Internet Engineering Task Force) Ч на Web Resources по адресу windows.microsoft.com/windows2000/reskit/webresources, ссылка Internet En gineering Task Force (IETF).
Подробнее о стандартах криптографии с применением открытых ключей (Public Key Cryptography Standards, PKCS) Ч на Web-странице Web Resources но адре су ссылка Data Security.
Подробнее о стандарте F1PS 140-1 Ч на Web-странице Web Resources по адресу ссылка of Standards and Technology Выполните поиск словосочетания Requirements for Cryptographic Modules.
Подробнее о 140-1 как о международном стандарте де-факто криптог рафических модулей Ч на Web по адресу dows.microsoft.com/windows2000/reskit/webresources, ссылка International Or ganization for Standardization. Выполните поиск словосочетания International Standard 15408: Evaluation Criteria for Information Technology Security.
Подробнее о for Microsoft и текущем списке мых изделий для смарт-карт - на Web-странице Web no адресу ссылка Microsoft Windows Hardware Compatibility List Подробнее о технологиях обеспечения в изделиях в том числе об ограничениях на экспорт криптографических технологий и тре бованиях по на Web-странице Web Resources no адресу ссылка Microsoft Advisor.
Приложения Здесь детально описаны особенности распределенных систем в Microsoft Win dows 2000, предназначенных в очередь администраторам сетей, нуждаю щимся в технической информации о службах каталогов, системе безопасности и об управлении изменениями и конфигурациями.
В этой части Приложение А Наиболее часто используемые функции LDAP API Приложение Б Документы RFC, относящиеся к протоколу Приложение В Ч служебная программа диагностики Active Directory Приложение Г Права Д Наиболее идентификаторы Приложение Е Приложения с логотипом Certified for Microsoft ПР ИЛОЖЕ НИЕ А Наиболее часто используемые функции LDAP API В таблице описаны наиболее часто функции интерфейса LDAP API (Lightweight Directory Access Protocol Application Programming Interface).
Таблица А-1. Функции LDAP API Ч интерфейса прикладного программирования на языке С Имя Назначение Создает соединение с сервером LDAP Создает привязку к то есть проверяет ть клиента для к каталогу LDAP-сервера Снимает привязку к LDAP-серверу, то есть освобождает все ресур сы, занятые в LDAP-сеансе Выполняет поиск в каталоге LDAP и возвращает набор атрибутов для каждого найденного объекта существующий объект LDAP Изменяет относительное составное имя объекта LDAP. Эта уста функция существует для совместимости с версией 1 протокола LDAP Idap_add Добавляет запись в каталог LDAP ldap_delete Удаляет запись из каталога LDAP При вызове этой функции клиентом отменяется другой асинхронный Возвращает результат асинхронной Интерпретирует ошибки, возвращенные другими функциями АИ числовой код LDAP в символьную строку ее описанием Возвращает первую запись сообщения Извлекает следующую запись из цепочки результатов поиска (см. стр.) 786 ЧАСТЬ 3 Приложения Таблица (продолжение) Имя функции Назначение Возвращает число сервером в ответ на зап рос о поиске первый атрибут выбранного объекта каталога Возвращает следующий атрибут выбранного объекта каталога (или значения) указанного атрибута объекта Извлекает список атрибута. Служба ката логов LDAP эту информацию при анализе ответа на запрос о поиске Возвращает составное имя выбранной записи имя записи па составляющие Преобразует имя в дружественный, понятный пользова телю формат всех функций API Ч на Web-странице Web по адресу Mic rosoft Platform SDK.
ПР ИЛ ОЖЕ НИЕ Б Документы RFC, относящиеся к протоколу LDAP В таблицах и Б-2 описаны наиболее важные RFC, к версиям 2 (LDAPv2) и 3 (LDAPv3) протокола LDAP.
Таблица Б-1. Документы RFC, относящиеся к протоколу LDAPv Документ RFC Содержание RFC 1777 Lightweight Access Описанный в этом документе обеспечивает доступ к гам, модели причем при этом тре буется меньше, чем при использовании протокола DAP Access Protocol). LDAPv2 является DAP и специально для применения в приложениях управления и ях просмотра, которые предоставляют простой интерактивный к каталогам Х.500 в режимах чтения и записи. Подробнее об RFC Ч на Web-странице Web Resources по адресу ссылка Request for (RFC) RFC 1778 The String Representation of Standard представление стандартного атрибутов) В соответствии со стандартом LDAP поле протокола должно состоять из строк октетов. В этом документе опре делены требования к правилам синтаксиса атрибутов каталога Х.500 в форму для LDAP. Кроме того, в нем описаны правила кодирования стандартного синтаксиса бутов (см. стр.) 788 ЧАСТЬ 3 Приложения Документ RFC Содержание RFC 1779 String of Distinguished Names (Строковое представ составных имен) Составные имена в формате ASN.1 используются в качестве основно го средства идентификации записей в Поэтому при об мене составными именами средствами, отличными от протокола ката лога (например, в сообщении электронной почты), необходимо согла шение о строковом представлении этого имени. Такой строковый фор мат представления составных имен определен в данном RFC. Эта спе цификация специально разработана для однозначного представления всевозможных составных имен RFC 1959 An LDAP URL (Формат адреса LDAP URL) В этом документе описан формат URL-адреса в LDAP, по зволяющий получить прямой доступ протоколу LDAP из Интерне та. Хотя в настоящее LDAP используется только в качестве клиентского интерфейса к каталогу Х.500, формат опи санный в этом RFC, Ч достаточно общий, и его можно обрабатывать на изолированных LDAP-серверах (то есть LDAP-серверах, не связан ных с сопутствующим Этот документ RFC заменен спецификацией RFC 2255 для RFC 1960 A String Representation of LDAP Search (Строковое представ ление фильтров В LDAP существует определенное сетевое представление фильтров поиска, передаваемых на LDAP-сервер. В данном документе опреде лен строковый формат попятного для пользователя представления фильтров LDAP-поиска, что может применяться в прило жениях. Этот RFC заменен спецификацией RFC 2254 для RFC 1823 LDAP Application Program (Интерфейс прикладного программирования для LDAP) В данном документе описаны свойства мощного и вместе с тем про стого интерфейса LDAP для программ на языке С. В ции определены совместимые синхронные и асинхронные интерфейсы к LDAP, удовлетворяющие требованиям широкого спектра приложе ний. Кроме того, в документе содержится краткое описание LDAP и порядка информации приложением API. В нем подробно порядок вызова функций LDAP API, a в приложении приведены примеры кода, иллюстрирующего вание API Таблица Б-2. Документы RFC, относящиеся к протоколу RFC Содержание 2251 Directory Access Protocol Описанный в этом документе протокол обеспечивает доступ к катало гам, поддерживающим модели причем ресурсов при этом тре буется чем использовании протокола DAP (Directory Access Protocol). LDAPv3 разработан специально для приложений управления и просмотра, которые предоставляют простой интерактив ный доступ к каталогам Х.500 в режимах чтения и записи. Протокол используется в качестве дополнения к DAP при работе с каталогом, поддерживающим протоколы Х.500.
Приложение Б Документы RFC, относящиеся к протоколу LDAP Таблица Б-2.
Документ RFC Содержание Подробнее об RFC 1777 Ч на Web Resources по адресу ссылка Request for Comments (RFC) RFC 2252 Lightweight Directory Access Protocol (v3): Attribute Syntax tions синтаксиса атрибутов) В соответствии со LDAP поле протокола должно состоять из строк октетов. В этом документе опре делены наборы синтаксиса и правил, по которым значения атрибутов в таком синтаксисе Представляются в виде строк для передачи в LDAP. Синтаксис в этом и других тах, описывающих типы атрибутов. В данной спецификации также набор типов атрибутов, которые должны поддерживать LDAP серверы RFC 2253 Lightweight Directory Access Protocol (v3): UTF-8 String tation of Distinguished Names Строковое представление составных имен в виде строк в формате UTF-8) В каталоге составные имена в формате ASN.1 используются з качестве основного средства идентификации его записей. В LDAP строковое представление составных имен изменено. В этом RFC делен строковый формат для однозначного представления имен любого вида RFC 2254 The String Representation of LDAP Search (Строковое пред ставление фильтров В LDAP существует сетевое представление поиска, передаваемых на LDAP-сервср. Этот документ определяет стро ковый формат для удобочитаемого фильтров LDAP поиска, что может оказаться удобным в некоторых ях. Этот сменил RFC RFC 2255 LDAP URL Format (Формат адреса LDAP URL) В этом документе описан формат URL-адресов в протоколе LDAP для поиска информации в каталоге LDAP. Этот формат является расшире нием формата, определенного в и содержит более подробную информацию о разрешении адресов LDAP URL. В данном документе также определен механизм расширения LDAP URL в последующих документах (например, для предоставления доступа к новым расшире ниям по мере их появления). Этот сменил RFC RFC 2256 A Summary of X.500(96) User Schema Use with LDAPv3 (Об зор схемы пользователя в для работы с Данный документ предоставляет краткий обзор типов атрибутов и классов объектов, комитетами ISO и ITU-T в докумен тах RFC, относящихся к Х.500, В частности, в нем описаны типы ат рибутов и классы объектов, используемых клиентами каталога. Это наиболее широко применяемая схема каталогов LDAP и Х.500, в числе и в основы для многих других определений объектов схемы в технической документации. В данном документе не атрибуты, используемые для администрирования каталогов Х.500, а также атрибуты, определенные в других тах RFC, опубликованных ISO и ITU-T ПР ИЛ ОЖЕ НИЕ В Ntdsutil.exe служебная программа диагностики Active Directory Ntdsutil.exe Ч это служебная программа командной сред службой каталогов Active Directory. Ntdsutil для под держки базы Active Directory, операциями хозяи на, метаданных, оставшихся некорректного удаления доменов. Этот инструмент предназначен для администраторов. По умол находится в В этом приложении команд и Ntdsutil Управление файлами базы данных Active Directory Server Connections Выбор адресата операции Управление ролями одиночного операций Управление принудительного восстановления доменами политиками LDAP списком запрещений IP LDAP Управление учетными записями Анализ семантики базы данных Список команд В Ntdsutil.exe Ч программа диагностики Active Directory Вызов команд и параметров Ntdsutil предоставляет информацию о наборе доступных команд Ч для этого дос на любом ввести ? или Help (или даже h, если на данном этапе нет параметров, которых начинаются с символа h). В общем случае команда quit (или просто q, если нет других пунктов, начинающихся с буквы) служит для возврата в предыдущее меню. Применив на наивысшем уровне иерар хии Вы закроете программу.
о командах меню Ntdsutil Ч в разделе команд далее в этом приложении.
Выполнение команд меню Ntdsutil Ntdsutil можно без параметров. В данной служебной программе нет мождения обширного, постоянно растущего набора сложных для понимания и минания сокращенных параметров командной Ч программа ин формацию, вводимую с клавиатуры, по мере ее поступления. с командной строкой в Ntdsutil максимально приближено к диалогу. Бы можете list roles connected server connect to server xxx Для удобства Ntdsutil сокращать команды: достаточно задать несколько первых букв каждого слова, однозначно команду на данном уровне.
Таким освоив эту программу, вместо:
list roles connected server Вы будете вводить:
г f с s Как Ntdsutil обрабатывает ввод команд Ntdsutil рассматривает в входных данных все параметры, вводимые после программы. Например, если Вы введете:
help ROLES help quit quit то будут выполнены следующие действия:
1. запустится Ntdsutil.exe;
2. программа отобразит справочную информацию;
3. программа войдет в подменю maintenance;
4. программа отобразит справочную информацию этого подменю:
5. программа закроет подменю fsmo maintenance и возвратится в меню уровня;
6. будет закрыта служебная программа.
Параметры в командах Ntdsutil Некоторые команды принимают параметры, Ч они изображаются в в виде или Возможно, Вы знаете, что - спецификатор десятичного числа, * команды являются вполне осмысленными на английском:
роли и подключиться к серверу Ч 792 ЧАСТЬ 3 Приложения a %s Ч спецификатор строки в командах print и scan в языке С. Поэтому вместо этих символов, указанных в нужно вводить число или строку соответствен но. Например, если справка сообщает о следующем формате команды:
connect to server Xs это что команда должна иметь вид:
connect to xxx где xxx символов, вместо Строку с пробелами следует в кавычки:
connect to "xxx Автоматизация команд Ntdsutil Работу Ntdsutil создавая командные файлы или сцена рии с наборами команд этой программы. Многие команды Ntdsutil, выполняющие операции по умолчанию выводят предупреждение и требуют от пользова теля подтвердить выполнение данной При этом программа приостанав ливается и ожидает ввода с клавиатуры. отключения этих сообщений в коман файлах или сценариях команда Popups Например, чтобы отключить сообщения, введите:
popups по Для восстановления режима отображения сообщений нужно ввести:
popups yes Хорошим стилем считается отключение этих сообщений при создании командных сценариев Ntdsutil и включение сразу после завершения этой работы.
Управление файлами базы данных Active Directory Служба каталогов Windows 2000 реализована на основе диспетчера ISAM-таблиц (Indexed Sequential Access Method) базе данных, которая также используется в Microsoft Exchange Server, службе репликации файлов, редакторе конфигурации безопасности, сервере сертификации, и в других Windows 2000.
В Windows 2000 применяется версия этой Ч ESENT (extensible storage engine).
ESENT система базы данных, в которой для поддержки семантики отката и обеспечения завершения транзакций журналы. В общем слу чае из соображений и восстановления базы при сбоях дисков и журналы должны находится на дисках.
Файл данных называется Ntds.dit. В Files программы Ntdsutil собраны ко манды для управления данными и журналами службы каталогов.
В ESENT существует служебная программа для выполнения некото рых функций управления файлами базы Она называется Esentutl.exe и так же размещена в папке Некоторые команды Ntdsutil по управле нию файлами обращаются к Esentutl, избавляя от необходимости изучать парамет ры этой служебной Обращаясь к Ntdsutil открывает отдель ное окно, в котором Вы можете просмотреть работы Esentutl.
Служба каталога Windows 2000 открывает свои файлы в монопольном режиме. Это означает, что на домена управлять файлами не удастся.
Приложение В Ч служебная программа диагностики Active Directory Управление файлами служб каталогов 1. Запустите компьютер.
2. В меню нажмите F8, 3. В меню Windows 2000 Advanced Options Menu (Меню дополнительных вари антов загрузки Windows 2000) выберите Directory Services Restore Mode становление службы каталогов) и нажмите Enter.
Примечание При в режиме Directory Services Restore Mode (Восстановле ние службы каталогов) контроллер домена временно работает как сервер, поэтому некоторые службы могут не функционировать, в частности интег рированные со службой каталогов. В режиме диспетчер SAM (Security Manager) использует минимальный набор пользователей и на ходящихся в реестре. Если Вы не уверены в физической безопасности своего кон троллера домена, следует установить пароль на переход в режим службы каталогов.
В таблице приведены команды управления файлами.
Таблица В-1. управления файлами Команда Назначение Compact to (где Вызывает для свободный каталог- данных и файл в ука приемник) занный каталог. Каталог-приемник может быть удаленным то есть подключенным одним из сетевых средств, например, командой net use. После завершения дефрагментации те старый файл данных в архиве, а сжатый файл поместите на его место. ESENT поддерживает в подключен ном состоянии (online), однако при этом выполняется только реорганизация страниц файла данных, но освобожденное про странство в файловую систему Такая дефраг ментация регулярно службой каталогов Header Выводит в окно заголовок файла данных Ntds.dit.
Используется для анализа при сбое базы данных Info Анализирует и сообщает о наличии свободного на установленных в системе дисках, считывает реестр и сооб о размерах данных и журналов. (Сведения о местонахож дении файлов журналов и рабочего каталога каталогов хранятся в реестре.) Integrity Вызывает для обнаружения (уро двоичного кода) искажений базы данных. Команда Integrity вызывает служебную программу командной строки которая файл данных. Обработ ка файлов размеров иногда требует значительного времени. Имейте в виду, что проверкой целостности следует выполнить команду Recover.
Move DB to (где Х Перемещает файл данных Ntds.dit в другой каталог, указанный в параметре и вносит изменения в Изменения вступают в силу после перезагрузки Перемещает журнал службы в другой каталог, указанный в Move logs to (где параметре и вносит соответствующие изменения в реестр.
каталог-приемник) Изменения вступают в силу после (см. стр.) 794 ЧАСТЬ 3 Приложения Таблица (продолжение) Назначение Команда Recover Вызывает для восстановления базы дан ных. Процесс восстановления просматривает журналы и прове ряет внесение всех зафиксированных транзакций в файл дан В процессе работы программа Windows 2000 Backup при в эти путем корректировки журна лов (отсечения лишних данных). Журналы хранят о сделках, и эти данные используются в слу чае сбоя системы или ее выключения отключения питания. По существу, данные о транзакциях сначала ваются в журнал, а затем в файл данных. При запуске сбоя Вы можете повторно запустить журнал и воспроизвести сделки, которые зафиксированы, но не внесены в базу данных Repair Вызывает Esentutl.exe для низкоуровневой коррекции файла данных. Используйте команду, посоветовавшись с специалистом, так как данная команда может к потере данных. Она восстанавливает только данные, с которыми работает ESENT, поэтому может посчитать лишними и удалить жизненно необходимые для нор мальной работы службы каталогов Set path backup (где Задает оперативный путь архивного каталога-приемника.
Ч Службу каталогов можно настроить для проведения периоди ческого архивирования в режиме (online) Set path DB - Переопределяет в реестре путь и имя файла данных.
каталог) зуйте эту команду исключительно для восстановления кон файл данных которого разрушен и поддается процедурами path logs (где Переопределяет в реестре к журналам. Используйте эту новый каталог) команду для восстановления контроллера до мена, файл данных которого разрушен и не поддастся восста процедурами Set path working изменения в реестр, связанные с переносом рабочей Ч имя нового папки службы каталогов по адресу, указанному в каталога) Подменю Server Некоторые процедуры LDAP- или на заранее сервер (или домен). Имя и порядок к такому серверу задаются в меню Server connections. По умолчанию подлинность заве ряется удостоверениями текущего Этот порядок можно изменить и указать реквизиты, используемые при прохождении проверки подлинности на сер вере. В таблице Б-2 и описаны команды меню Server connections.
Таблица В-2. Команды меню Server connections Назначение Clear Отменяет все ранее учетные данные и разъеди няет все соединения Connect to domain Находит контроллер домена, указанный в параметре и ус (где --- имя с ним соединение, используя заданные по умолча нию учетные данные, указанные ранее командой Set creds Приложение В Ч служебная программа диагностики Active Directory Таблица В-2. (продолжение) Команда Назначение Connect to server Устанавливает с контроллером домена, указанным (где - имя в используя заданные по умолчанию учетные данные, домена) ранее командой Set creds Info Отображает сведения о текущих учетных данных и состоянии соединения Set creds %s (где Задаст учетные данные для подключения командой Connect to.
параметр Ч Пустой задается литеральной строкой Null имя второй Ч имя пользователя, а третий Ч пароль) Выбор адресата операции В требуется указать сведения о конкретном сайте, или домене Ч они потребуются для дальнейших операций. Сведения соот ветствуют данным объекта контейнера конфигурации. Во многих из них не требу ется вводить полные составные имена объектов, а всего лишь выбрать их из списка Подменю Select operation target есть в некоторых других меню Ntdsutil;
его сред ствами можно запрашивать у существующего рабочего контроллера домена ния об объектах контейнера конфигурации. создается соединение с серве ром, в консоли выводится список всех известных ему объектов, начиная с нуля, и выбирается объект по его номеру, а не по составному имени. В таблице В-3 перечислены и описаны команды этого подменю.
Таблица В-3. Команды подменю Select operation target Команда Назначение Вызывает Server connections List current Отображает сайт, домен и сервер List domains все домены, указанные в объектах ссылок в Partitions. Обратите внимание, что неко торые из этих доменов могут в действительности отсутствовать, если последний контроллер домена был удален List domains in site Перечисляет домены, контроллеры которых размещены в текущем сайте List roles for Перечисляет все известные серверу роли server хозяина операций и отображает контроллеры доменов, облада ющие этими ролями. Из-за задержки может обладать неверными сведениями о владельцах ролей List servers for domain Перечисляет все серверы в домене и сайте in site List in все серверы в выбранном сайте List sites все сайты в лесе domain Устанавливает текущим домен, указанный в Select server Устанавливает текущим сервер, указанный в Select site Устанавливает текущим сайт, указанный в 796 ЧАСТЬ 3 Приложения Управление ролями одиночного хозяина операций Хотя Active Directory основана на модели администрирования с несколькими хо зяевами, операции только одним хозяином. В операциях с хозяевами механизм конфликтов гарантирует, что после завершения все атрибуты всех объектов во всех репликах совпадают.
Однако для некоторых данных, жизненно важных для работы всей системы, кор ректное разрешение противоречий Такие данные управляются специ ально контроллерами доменов, называемыми хозяевами операций;
говорят, что они обладают определенной ролью хозяина операций.
Подробнее об операциях и ролях хозяина в главе 7 Управление опе рациями одиночного хозяина.
Подменю (команда Roles) в используется для управляе мого и восстановления ролей одиночных хозяев операций, причем оно простого и безопасно. Поскольку исходный сервер и сервер-приемник находятся в рабочем состоянии, система обеспечивает корректную и транзактную (в случае неудачи все изменения и системы возвращаются в исходное состояние) передачу маркера роли хозяина и всех соответствующих дан ных. Принудительное перемещение роли хозяина операций проводится также про сто, но оно не так безопасно, ведь Вы передаете определенному кон троллеру домена одну из FSMO-ролей.
Внимание! Не передавайте в принудительном порядке, если в сети уже существует такой хозяин, так как это может вызвать неисправимый конфликт жиз ненно важных системных данных. этого делать, даже если владелец роли недоступен.
В таблице В-4 и подменю fsmo maitenance.
Таблица В-4. Команды подменю fsmo maitenance Назначение Abandon all roles текущий контроллер освободить все при надлежащие ему роли одиночного хозяина операций. Эта команда не к результату, если роли временно или если текущий контроллер домена последним (единственным) контроллером данного домена Connections Вызывает Server connections Seize domain naming master передает текущему роль хозяина именования доменов. эту только для Seize Принудительно контроллеру домена роль хозяина инфраструктуры. Используйте эту команду только для восстановления PDC Принудительно текущему контроллеру домена роль хозяина эмулятора PDC. Используйте эту команду только для восстановления Seize master Принудительно контроллеру домена роль хозяина идентификаторов. Используйте эту только для восстановления В Ntdsutil.exe Ч служебная программа диагностики Active Directory Таблица (продолжение) Назначение Seize schema master Принудительно передает текущему контроллеру домена роль хозяина эту команду только для восстановления Select operation target подменю Select operation target Transfer domain naming Корректно перемещает роль хозяина доменов master в текущий контроллер домена Transfer infrastructure Корректно перемещает роль хозяина инфраструктуры в master домена Transfer PDC Корректно перемещает роль эмулятора PDC в текущий контроллер домена Transfer RID master Корректно перемещает роль относительных идентификаторов в текущий контроллер домена Transfer schema master Корректно перемещает роль хозяина схемы в текущий контроллер домена Управление потерянными метаданными В Active Directory хранятся самые разнообразные метаданные доменов и серверов в лесе. Обычно домены и контроллеры доменов создаются ролей сред ствами мастера установки Directory (Active Directory Installation Этот же мастер используется для понижения роли и удаления Active Мастер установки Active Directory можно запустить из командной строки, выпол нив команду dcpromo, или из программы Windows 2000 Configure Your Server На стройка сервера), выбрав команду установки Active Directory.
Процедуры повышения и понижения роли удаляют все сопутствующие метаданные, но если эти операции проводятся то метаданные не уничтожаются.
Это может произойти, например, в случае сбоя контроллера домена, если Вы ре шили не восстанавливать сервер, а просто удалить его. При этом информация об уже несуществующем контроллере домена останется в каталоге. Такие называются потерянными (orphaned). В случае следует подключиться к сер веру, хранящему копию устаревших метаданных, выбрать и удалить не нужными записи.
Внимание! Будьте осторожны и не удалите метаданных существующих доменов и контроллеров.
В таблице перечислены и описаны команды меню Metadata cleanup.
Таблица В-5. Команды меню Metadata cleanup Команда Назначение Connections Вызывает подменю Server connections Remove domain метаданные, относящиеся к домену, выбранному в Select operation target Remove selected server Удаляет метаданные, относящиеся к контроллеру выбранному в подменю Select operation target Select operation target подменю Select operation target 798 ЧАСТЬ 3 Приложения Выполнение принудительного восстановления В домене с несколькими контроллерами Active Directory реплицирует объекты ка талога, такие, как и на все контроллеры данного домена.
Восстановление домена программы Windows 2000 Ntbackup (Средства архивации и Windows 2000) или программ сто ронних поставщиков по умолчанию выполняется в режиме непринудительного вос становления. Это означает, что реплика на восстанавливаемом сервере обновляется путем стандартного репликации. Например, если контроллер домена вос становлен из архива двухнедельной давности, стандартный репликации об новит его данные сведениями текущих реплик партнеров репликации.
Принудительное позволяет администратору восстановить контрол лер домена в том виде, в котором он существовал ранее, а также отметить отдель ные объекты в Active Directory как обладающие более высоким приоритетом по отношению к объектам партнеров репликации. восстановление обычно используется при удалении с большим количе ством пользователей. Восстановить подразделение удастся только в принудитель ном отметив подразделение для принудительного и, таким образом, вынудив процесс репликации восстановить его на всех остальных контрол лерах домена.
В таблице В-6 и команды меню Authoritative restore.
Таблица В-6. Команды меню Authoritative restore Команда Назначение Restore database Отмечает для принудительного восстановления всю базу данных Ntds.dil и конфигурации). Схему восстанавливать в принудительном порядке разрешается Restore Отмечает для принудительного восстановления всю базу данных (разделы домена и и увеличи вает номер версии на значение, указанное в параметре Эта команда только для восстановления после (и поверх) предпринятой ранее неудачной попытки тельного например, из некорректного архива Restore subtree для принудительного восстановления поддерево вместе со всеми его потомками. В параметре указывается полное составное имя поддерева Restore Х Отмечает для принудительного verinc поддерево вместе со всеми его потомками и увеличивает номер версии на в параметре В параметре указывается полное составное имя поддерева. Эта команда используется только для восстановления после (и предпринятой ранее неудачной попытки принудительного из некорректного архива Управление доменами Обычно для создания дочерних доменов и роли серверов до контрол леров домена требуются полномочия Enterprise Administrators (Админист раторы предприятия). Но зачастую сотрудник, занимающийся установкой аппара В Ч служебная программа диагностики Active Directory туры и программного обеспечения на не обладает такими административными да они и не нужны. Команды меню Domain management позволяют администраторам Ч членам группы нистраторы предприятия, Ч в каталоге объекты перекрестных ссылок и серверные объекты.
В таблице В-7 перечислены и команды меню Domain management.
Pages: | 1 | ... | 12 | 13 | 14 | 15 | Книги, научные публикации