windows server 2008. infrastruktura klucza publicznego (pki)

Wydawnictwo Helionul. Ko�ciuszki 1c44-100 Gliwicetel. 032 230 98 63e-mail: [email protected]

Windows Server 2008.Infrastruktura kluczapublicznego (PKI)Autor: Andrzej Szel¹gISBN: 83-246-1914-3Stron: 300

Poznaj i wprowad� PKI dla w³asnego bezpieczeñstwa i ochrony danych

� Jak zarz¹dzaæ infrastruktur¹ PKI?� Jak zabezpieczaæ konta administracyjne?� Jak przygotowaæ stacjê rejestrowania certyfikatów cyfrowych kart inteligentnych?

Infrastruktura klucza publicznego PKI (skrót od ang. Public Key Infrastructure) stanowi zbiór sprzêtu, oprogramowania, regu³ oraz procedur koniecznych do tworzenia, zarz¹dzania, przechowywania i dystrybucji certyfikatów opartych na kryptografiiz kluczem publicznym. Dziêki tej infrastrukturze mo¿na tworzyæ bezpieczne kana³ydo wymiany informacji oraz przesy³ania wa¿nych danych przy u¿yciu Internetu. Najczê�ciej infrastruktura PKI wykorzystywana jest w handlu elektronicznym, poniewa¿ pozwala na wzajemn¹ weryfikacjê sprzedawcy i kupuj¹cego oraz zapewnia bezpieczny kana³ podczas obustronnej komunikacji sieciowej.

Ksi¹¿ka �Windows Server 2008. Infrastruktura klucza publicznego (PKI)� zawiera wszystkie niezbêdne informacje, zwi¹zane z infrastruktur¹ klucza publicznego.Dziêki temu podrêcznikowi poznasz zasady tworzenia PKI w przedsiêbiorstwach dowolnej wielko�ci, a tak¿e wszystkie zagadnienia dotycz¹ce szczegó³owego procesu instalacji oraz konfiguracji nadrzêdnego i podrzêdnego urzêdu certyfikacji. Dowiesz siê, na czym polega konfigurowanie zasad grupy, zwi¹zanych z infrastruktur¹ klucza publicznego � w szczególno�ci tych dotycz¹cych kart inteligentnych i us³ug, które s¹z nimi zwi¹zane � na komputerze pracuj¹cym pod kontrol¹ serwerowego systemu operacyjnego Windows Server 2008 Standard.

� Infrastruktura klucza publicznego� Architektura PKI w Windows Server 2008� PKI a szyfrowanie informacji� Zastosowania PKI� Tworzenie infrastruktury PKI� Nadrzêdny i podrzêdny urz¹d certyfikacji� Szablony certyfikatów cyfrowych� Zasady grupy i us³ugi zwi¹zane z PKI� Konfigurowanie IIS 7, SSL i IE 7 na potrzeby PKI� Uwierzytelnianie za pomoc¹ kart inteligentnych w Windows Server 2008 i Windows Vista� Zdalny dostêp w Windows Server 2008 i Windows Vista

Bezpieczeñstwo to podstawa.Profesjonalnie ochroñ warto�ciowe dane firmy

http://helion.pl/view/2547w



http://helion.pl/add/2547w/ws28in




mailto:[email protected]

http://helion.pl/view/2547w/ws28in.htm

Spis tre!ci

Wprowadzenie .................................................................................. 7

Rozdzia! 1. Infrastruktura klucza publicznego (PKI) ........................................... 111.1. Co to jest PKI? ...................................................................................................... 12

1.2. Dlaczego PKI? ...................................................................................................... 13

1.3. Standardy zwi$zane z PKI .................................................................................... 15

1.3.1. ITU X.509 ................................................................................................. 15

1.3.2. RSA PKCS ................................................................................................ 16

1.3.3. IETF PKIX ................................................................................................ 18

1.4. Architektura PKI w Windows Server 2008 .......................................................... 19

1.4.1. Urz%dy certyfikacji (CA) i urz%dy rejestracji (RA) .......................................... 19

1.4.2. Szablony certyfikatów i certyfikaty cyfrowe ............................................. 22

1.4.3. Repozytoria certyfikatów cyfrowych ......................................................... 26

1.4.4. Listy odwo"ania certyfikatów (CRL) ......................................................... 28

1.4.5. Narz%dzia do zarz$dzania PKI w Windows Server 2008

i Windows Vista .................................................................................... 30

1.5. PKI a szyfrowanie informacji ............................................................................... 36

1.5.1. Podstawowe poj%cia zwi$zane z szyfrowaniem informacji ....................... 37

1.5.2. Symetryczne i asymetryczne metody szyfrowania informacji .................. 38

1.6. Zastosowania PKI ................................................................................................. 43

1.7. Funkcje zabezpieczaj$ce w PKI ........................................................................... 44

Rozdzia! 2. Tworzenie infrastruktury PKI w Windows Server 2008 ..................... 452.1. Fazy projektu PKI ................................................................................................. 46

2.2. Projektowanie urz%dów certyfikacji .......................................................................... 47

2.3. Planowanie hierarchii i struktury urz%dów certyfikacji ........................................ 50

2.4. Planowanie wydajno#ci i skalowalno#ci urz%dów certyfikatów ........................... 55

2.5. Planowanie zg"aszania !$da' i dystrybucji certyfikatów cyfrowych .................... 57

2.6. Projektowanie zarz$dzania urz%dami certyfikacji i certyfikatami cyfrowymi .......... 61

2.7. Planowanie interwa"ów publikowania list CRL .................................................... 62

2.8. Projektowanie bezpiecze'stwa urz%dów certyfikacji i danych ............................. 63

2.8.1. Fizyczne #rodki ochronne .......................................................................... 64

2.8.2. Logiczne #rodki ochronne ......................................................................... 66

Rozdzia! 3. Nadrz"dny urz#d certyfikacji typu offline w Windows Server 2008 ...... 733.1. Minimalne wymagania systemowe i sprz%towe dla nadrz%dnego CA .................. 73

3.2. Zalecenia dla nadrz%dnego CA ............................................................................. 74

3.3. Instalowanie nadrz%dnego CA w trybie offline .................................................... 75

4 Windows Server 2008. Infrastruktura klucza publicznego (PKI)

3.4. Konfigurowanie okresu wa!no#ci certyfikatów cyfrowych

wystawianych przez nadrz%dny CA .................................................................. 85

3.5. Konfigurowanie punktu dystrybucji listy CRL (CDP)

i dost%pu do informacji o urz%dach (AIA) ........................................................ 86

3.6. Publikowanie listy odwo"ania certyfikatów (CRL) ............................................... 90

3.7. Eksportowanie certyfikatu nadrz%dnego CA i listy CRL ...................................... 91

Rozdzia! 4. Podrz"dny urz#d certyfikacji typu online w Windows Server 2008 ...... 934.1. Minimalne wymagania systemowe i sprz%towe dla podrz%dnego CA .................. 93

4.2. Zalecenia dla podrz%dnego CA ............................................................................. 94

4.3. Instalowanie podrz%dnego CA w trybie online ..................................................... 95

4.4. Uzyskiwanie certyfikatu cyfrowego z nadrz%dnego CA dla podrz%dnego CA ......... 104

4.5. Importowanie certyfikatu nadrz%dnego CA i listy CRL do podrz%dnego CA ........ 109

4.6. Uruchamianie us"ugi certyfikatów na podrz%dnym CA ...................................... 115

4.7. Konfigurowanie punktu dystrybucji listy CRL (CDP)

i dost%pu do informacji o urz%dach (AIA) ...................................................... 119

4.8. Publikowanie certyfikatu cyfrowego nadrz%dnego CA

w us"udze katalogowej Active Directory ........................................................ 121

Rozdzia! 5. Szablony certyfikatów cyfrowych w Windows Server 2008 ............. 1235.1. Domy#lne uprawnienia szablonów certyfikatów cyfrowych .............................. 124

5.1.1. Szablon certyfikatu cyfrowego typu „Kontroler domeny” ...................... 125

5.1.2. Szablon certyfikatu cyfrowego typu „Logowanie kart$ inteligentn$” ..... 126

5.1.3. Szablon certyfikatu cyfrowego typu „Administrator” ............................. 126

5.2. Instalowanie certyfikatu cyfrowego typu „Kontroler domeny”

na kontrolerze domeny .................................................................................... 127

5.3. W"$czanie szablonu certyfikatu cyfrowego typu

„Logowanie kart$ inteligentn$” na podrz%dnym CA ...................................... 132

5.4. Instalowanie certyfikatu cyfrowego typu „Administrator” na podrz%dnym CA ....... 134

Rozdzia! 6. Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008 ......... 1396.1. Zasady grupy ...................................................................................................... 139

6.2. Zasady kluczy publicznych ................................................................................. 140

6.3. Konfigurowanie zasad grupy dotycz$cych kart inteligentnych ........................... 146

6.3.1. Logowanie interakcyjne: wymagaj karty inteligentnej ............................ 148

6.3.2. Logowanie interakcyjne: zachowanie przy usuwaniu

karty inteligentnej ................................................................................ 150

6.4. Us"ugi zwi$zane z kartami inteligentnymi .......................................................... 153

6.5. Uruchamianie us"ugi Zasady usuwania karty inteligentnej ................................. 154

Rozdzia! 7. Konfigurowanie IIS 7, SSL i IE 7 na potrzeby PKI ........................... 1577.1. Bezpieczna komunikacja sieciowa ..................................................................... 157

7.2. Internet Information Services 7 (IIS 7) ............................................................... 158

7.3. Instalowanie certyfikatu typu „Serwer sieci Web” na serwerze IIS 7 ................. 160

7.4. Secure Socket Layer (SSL) ................................................................................. 164

7.5. Konfigurowanie ustawie' protoko"u SSL na serwerze IIS 7 .............................. 165

7.6. Internet Explorer 7 (IE 7) ................................................................................... 168

7.7. Przygotowanie programu IE 7 do bezpiecznej obs"ugi witryny CertSrv ............ 170

Rozdzia! 8. Uwierzytelnianie za pomoc# kart inteligentnychw Windows Server 2008 i Windows Vista ...................................... 175

8.1. Karty inteligentne ............................................................................................... 176

8.2. Czytniki kart inteligentnych ............................................................................... 177

8.3. Zarz$dzanie kartami inteligentnymi w Windows Server 2008 .............................. 177

Spis tre$ci 5

8.3.1. Przygotowanie stacji rejestrowania certyfikatów

cyfrowych kart inteligentnych ............................................................. 178

8.3.2. Przygotowanie karty inteligentnej do pracy ............................................ 181

8.3.3. Umieszczenie certyfikatu typu „Logowanie kart$ inteligentn$”

na karcie inteligentnej .......................................................................... 184

8.4. Zarz$dzanie dost%pem u!ytkowników w Windows Vista ................................... 194

8.4.1. Zabezpieczanie kont administracyjnych .................................................. 194

8.4.2. Metody uwierzytelniania ......................................................................... 195

8.4.3. Konfigurowanie opcji kont u!ytkowników w us"udze Active Directory ....... 196

8.4.4. Logowanie do systemu Windows Vista za pomoc$ karty inteligentnej ...... 197

Rozdzia! 9. Zdalny dost"p w Windows Server 2008 i Windows Vista ............... 2039.1. Narz%dzia administracji zdalnej serwera firmy Microsoft .................................. 204

9.2. Pulpit zdalny firmy Microsoft ............................................................................. 204

9.3. Instalowanie i konfigurowanie narz%dzi administracji zdalnej

serwera w Windows Vista .............................................................................. 207

9.4. Zarz$dzanie PKI za pomoc$ narz%dzi administracji zdalnej

serwera firmy Microsoft ................................................................................. 209

9.5. Konfigurowanie serwera na potrzeby us"ugi Pulpit zdalny firmy Microsoft ......... 215

9.5.1. W"$czanie us"ugi Pulpit zdalny firmy Microsoft ..................................... 216

9.5.2. Konfigurowanie ustawie' serwera terminali ........................................... 217

9.5.3. Zmiana domy#lnego numeru portu dla us"ug terminalowych .................. 222

9.5.4. Konfigurowanie ustawie' programu Zapora systemu Windows ............. 224

9.6. Konfigurowanie klienta us"ugi Pulpit zdalny ...................................................... 224

9.7. Zarz$dzanie infrastruktur$ PKI za pomoc$ klienta us"ugi Pulpit zdalny ............ 228

Skorowidz .................................................................................... 231


Rysunek 6.1.Zasady grupy

dotycz<ce komputera

2. Zasady grupy dotycz<ce uZytkownika, które przedstawiono na rysunku 6.2. S$one stosowane do tych u!ytkowników, którzy loguj$ si% do systemu na danymkomputerze. Na ogó" zasady te s$ aktywowane natychmiast po uwierzytelnieniuto!samo#ci u!ytkownika, ale przed przyznaniem mu dost%pu do systemu Windows.

Rysunek 6.2.Zasady grupydotycz<ceuZytkownika

Zasady grupy nie powoduj$ trwa"ych zmian w rejestrze systemu Windows. Mo!na jewi%c bardzo "atwo dodawa+ i usuwa+ bez „za#miecania” rejestru czy konieczno#ciponownego uruchamiania systemu operacyjnego.

6.2. Zasady kluczy publicznychW tej cz%#ci ksi$!ki zostan$ przedstawione zasady grupy zwi$zane z infrastruktur$ klu-cza publicznego (PKI), a w szczególno#ci zawarto#+ kontenera o nazwie Zasady kluczypublicznych. Obiekty i opcje dost%pne w tym kontenerze umo!liwiaj$ zarz$dzanie

Rozdzia! 6. Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008 141

ustawieniami infrastruktury klucza publicznego, które znajduj$ si% w sekcji dotycz$cejkomputera (rysunek 6.3) i u!ytkownika (rysunek 6.4) w dowolnej wielko#ci przedsi%-biorstwie lub organizacji.

Rysunek 6.3. Zasady kluczy publicznych dotycz<ce komputera

Rysunek 6.4. Zasady kluczy publicznych dotycz<ce uZytkownika

Co mo!na skonfigurowa+ za pomoc$ obiektów oraz opcji dost%pnych w kontenerzeZasady kluczy publicznych? Najwa!niejsze ustawienia zosta"y przedstawione poni!ej

w punktach.


1. Automatyczne rejestrowanie certyfikatów cyfrowych u#ytkownikai komputera

Automatyczne rejestrowanie certyfikatów cyfrowych u!ytkownikai komputera pozwala w niezwykle prosty sposób zautomatyzowa+:

proces odnawiania wygas"ych certyfikatów cyfrowych,

aktualizowanie oczekuj$cych certyfikatów cyfrowych (równie! tych,które u!ywaj$ opisanych wcze#niej szablonów certyfikatów cyfrowych),

usuwanie odwo"anych certyfikatów cyfrowych,

powiadamianie o wygasaniu danego certyfikatu cyfrowego, zanim sko'czysi% jego okres wa!no#ci.

Powy!sze cele mo!na osi$gn$+, edytuj$c w"a#ciwo#ci obiektu Klient usSugcertyfikatów — automatyczne rejestrowanie z poziomu kontenera Zasadykluczy publicznych, co przedstawiono na rysunku 6.5.

Rysunek 6.5.Klient usSugcertyfikatów— automatycznerejestrowaniedla komputera

Zgodnie z rysunkiem 6.5, na zak"adce Definiowanie ustawie= zasad mo!naskonfigurowa+ automatyczne rejestrowanie certyfikatów cyfrowychu!ytkowników oraz komputerów. W tym odnawianie wygas"ych certyfikatówcyfrowych, aktualizacj% oczekuj$cych czy usuni%cie odwo"anych certyfikatówcyfrowych. Poza tym mo!na zaktualizowa+ certyfikaty cyfrowe, które zosta"yutworzone na podstawie szablonów certyfikatów cyfrowych. W przypadkuskonfigurowania automatycznego rejestrowania dla u!ytkowników dodatkowopojawi si% (rysunek 6.6) opcja Powiadomienie o wyga[ni*ciu. Jej w"$czeniespowoduje wy#wietlanie powiadomienia o wygasaniu certyfikatu cyfrowego,gdy procent pozosta"ego okresu wa!no#ci tego certyfikatu wyniesie 10%.T% domy#ln$ warto#+ mo!na oczywi#cie zmienia+ w zale!no#ci od wymaga'danego przedsi%biorstwa lub innej organizacji.


Rysunek 6.6.Klient usSug

certyfikatów

— automatyczne

rejestrowanie

dla uZytkownika

2. Konfigurowanie ustawie? sprawdzania poprawno$ci $cie#ki certyfikatu

U!ytkownicy przedsi%biorstwa lub innej organizacji mog$ w dowolnym

stopniu korzysta+ z certyfikatów cyfrowych. W najnowszych serwerowych

systemach operacyjnych Microsoft Windows Server 2008 Standard

administrator domeny ma mo!liwo#+ kontrolowania (dzi%ki obiektowi

o nazwie Ustawienia sprawdzania poprawno[ci [cieZki certyfikatu, który jest

dost%pny w kontenerze Zasady kluczy publicznych) stopie' zu!ytkowania tych

certyfikatów. Po wybraniu w"a#ciwo#ci obiektu Ustawienia sprawdzania

poprawno[ci [cieZki certyfikatu mo!na przej#+ do konfigurowania ustawie'

sprawdzania poprawno#ci #cie!ki certyfikatu cyfrowego. S"u!$ do tego opcje,

które s$ dost%pne na czterech zak"adkach (Magazyny, Zaufani wydawcy,

Pobieranie z sieci i OdwoSywanie), oraz zasady Sprawdzanie poprawno[ci

[cieZki certyfikatu. Na potrzeby tej ksi$!ki zostanie omówiona jedynie zak"adka

Magazyny, gdy! pozosta"e nie s$ tak istotne.

Jak ogólnie wiadomo, przedsi%biorstwa i inne organizacje chc$ jednoznacznie

identyfikowa+ oraz rozprowadza+ w sieci komputerowej tylko zaufane certyfikaty

cyfrowe nadrz%dnych urz%dów certyfikacji. Umo!liwiaj$ to opcje dost%pne

na zak"adce o nazwie Magazyny, przedstawionej na rysunku 6.7. Z poziomu tej

zak"adki mo!na okre#la+ m.in. regu"y zaufania u!ytkownika do certyfikatu

cyfrowego nadrz%dnego CA, który funkcjonuje w danym przedsi%biorstwie

lub organizacji.

3. Konfigurowanie ustawienia automatycznego #%dania certyfikatu

dla komputerów

Jak ju! wspomniano na pocz$tku tego rozdzia"u, zarz$dzanie ka!dym

certyfikatem cyfrowym z osobna jest czasoch"onne. W kontenerze o nazwie

Ustawienia automatycznego Z<dania certyfikatu administrator domeny mo!e


Rysunek 6.7.ZakSadka „Magazyny”

zdefiniowa+, których typów certyfikatów cyfrowych komputer mo!e za!$da+

automatycznie. W przypadku tworzenia nowego !$dania certyfikatu cyfrowego

zostanie uruchomione narz%dzie Kreator instalatora automatycznego Z<dania

certyfikatu, co przedstawia rysunek 6.8.

Rysunek 6.8.„Kreator instalatora

automatycznego

Z<dania certyfikatu”


4. Importowanie certyfikatu nadrz!dnego CA do magazynu„Zaufane g"ówne urz!dy certyfikacji”

Po zainstalowaniu w przedsi%biorstwie lub innej organizacji nadrz%dnego CA

nale!y doda+ (zaimportowa+) jego certyfikat cyfrowy do magazynu ZaufanegSówne urz*dy certyfikacji, co pozwoli przenie#+ go automatycznie (za pomoc$

zasad grupy) na ró!ne komputery (komputery klienckie, serwery cz"onkowski itp.).

Certyfikat cyfrowy nadrz%dnego CA mo!na doda+ do magazynu ZaufanegSówne urz*dy certyfikacji po zaznaczeniu obiektu o nazwie Zaufane gSówne

urz*dy certyfikacji. Nast%pnie trzeba wybra+ z menu Akcja opcj% Importuj…

Zostanie wówczas uruchomiony dobrze znany z poprzednich rozdzia"ów

kreator o nazwie Kreator importu certyfikatów — za jego pomoc$ mo!na

zaimportowa+ certyfikat cyfrowy nadrz%dnego CA (rysunek 6.9).

Rysunek 6.9. Certyfikat cyfrowy nadrz*dnego CA zaimportowany do magazynu „Zaufane gSówne

urz*dy certyfikacji”

5. Importowanie certyfikatu podrz!dnego CA do magazynu

„Po$rednie urz!dy certyfikacji”

Po zainstalowaniu w przedsi%biorstwie lub innej organizacji podrz%dnego CA

nale!y (podobnie jak w przypadku certyfikatu nadrz%dnego CA) zaimportowa+

jego certyfikat cyfrowy do magazynu Po[rednie urz*dy certyfikacji.

Po zaimportowaniu certyfikatu cyfrowego podrz%dnego CA do magazynu

Po[rednie urz*dy certyfikacji w prawym oknie konsoli powinien pojawi+ si%

certyfikat CA-02, jak na rysunku 6.10. Zostaje dodany równie! certyfikat

cyfrowy nadrz%dnego CA (CA-01), co tak!e obrazuje ten sam rysunek.

Jak pami%tamy z rozdzia"u 4., podczas eksportu certyfikatu cyfrowego


Rysunek 6.10. Certyfikat podrz*dnego CA zaimportowany do magazynu „Po[rednie urz*dy certyfikacji”

podrz%dnego CA zosta" wybrany format PKCS #7 (.P7B) wraz z opcj$ JeZelijest to moZliwe, doS<cz wszystkie certyfikaty do [cieZki certyfikacji. Poniewa!

certyfikat cyfrowy nadrz%dnego CA nale!y do tej #cie!ki, jest dodawany

wsz%dzie tam, gdzie wprowadzono certyfikat cyfrowy podrz%dnego CA.

Po wykonaniu powy!szych kroków nale!y od#wie!y+ zasady grupy (u!ytkownika oraz

komputera) za pomoc$ komendy gpupdate /force. Wykonanie tej komendy wymusza

natychmiastow$ aktualizacj% zasad grupy u!ytkownika i komputera.

6.3. Konfigurowanie zasad grupydotycz=cych kart inteligentnych

Najnowsze serwerowe systemy operacyjne Windows Server 2008 Standard zawieraj$

kilka zasad, które dotycz$ kart inteligentnych. W tej cz%#ci ksi$!ki zaprezentowane zo-

stan$ dwie najcz%#ciej wykorzystywane, czyli:

1. Logowanie interakcyjne: wymagaj karty inteligentnej. To ustawienie

zabezpiecze' okre#la, !e u!ytkownicy domeny mog$ si% zalogowa+ si%

do komputera tylko przy u!yciu karty inteligentnej z w"a#ciwym certyfikatem

cyfrowym.


2. Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej.

To ustawienie zabezpiecze' okre#la, co si% stanie, je#li karta inteligentna

aktualnie zalogowanego do komputera u!ytkownika zostanie wyj%ta z czytnika

kart inteligentnych.

Powy!sze zasady, których w"$czenie podnosi poziom bezpiecze'stwa w przedsi%bior-

stwie lub innej organizacji wykorzystuj$cych infrastruktur% klucza publicznego (PKI),

s$ dost%pne z poziomu konsoli Zarz<dzanie zasadami grupy na kontrolerze domeny.

Najcz%#ciej zasady grupy dotycz$ce kart inteligentnych mo!na definiowa+ dla ca"ej do-meny sieciowej lub dla wybranej jednostki organizacyjnej (ang. Organizational Unit).

Na potrzeby tej ksi$!ki zdefiniowane zostan$ zasady dla jednostki organizacyjnej o na-

zwie PKI. W tym celu Administrator domeny (u!ytkownik EA.pl\Administrator) na kon-

trolerze domeny o nazwie DC-01 musi:

1. Uruchomi+ konsol% Zarz<dzanie zasadami grupy (np. za pomoc$

komendy gpmc.msc).

2. Przej#+ do obiektu o nazwie PKI i utworzy+ w nim nowy obiekt zasad grupy

o nazwie Karty inteligentne, jak na rysunku 6.11.

Rysunek 6.11.Nowy obiekt zasad

grupy o nazwie

„Karty inteligentne”

3. Rozwin$+ w%ze" Obiekty zasad grupy i zaznaczy+ zasad% Karty inteligentne.

4. Z menu Akcja wybra+ opcj% Edytuj…

5. Przej#+ do w%z"a Opcje zabezpiecze=, przedstawionego na rysunku 6.12.

Rysunek 6.12. W*zeS „Opcje zabezpiecze=” wraz z domy[lnymi zasadami grypy


Z poziomu w%z"a Opcje zabezpiecze= zostan$ skonfigurowane dwie wspomniane wcze-#niej zasady grupy dotycz$ce kart inteligentnych, czyli:

Logowanie interakcyjne: wymagaj karty inteligentnej,

Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej.

6.3.1. Logowanie interakcyjne:wymagaj karty inteligentnej

Je!eli przedsi%biorstwo lub inna organizacja zechce umo!liwi+ dost%p do jakiego# ser-

wera cz"onkowskiego, np. o nazwie CA-02 (podrz%dnego CA), jedynie z wykorzysta-

niem kart inteligentnych, musi w"$czy+ zasad% o nazwie Logowanie interakcyjne:wymagaj karty inteligentnej. Dzi%ki tej zasadzie podczas logowania za pomoc$ has"a

dost%powego do tego serwera pojawi si% komunikat przedstawiony na rysunku 6.13.

Oczywi#cie po wcze#niejszym wykonaniu omawianych w tym podrozdziale kroków

i po przeniesieniu konta serwera cz"onkowskiego o nazwie CA-02 do jednostki orga-

nizacyjnej PKI, dla której zosta"a ustawiona powy!sza zasada. Trzeba pami%ta+ o tym,

aby przed przeniesieniem konta komputera do wspomnianej jednostki organizacyjnej

zaimportowa+ do odpowiednich magazynów certyfikaty cyfrowe nadrz%dnego i pod-

rz%dnego CA oraz listy CRL.

Rysunek 6.13. Wynik dziaSania zasady „Logowanie interakcyjne: wymagaj karty inteligentnej”

Aby w"$czy+ zasad% o nazwie Logowanie interakcyjne: wymagaj karty inteligentnej,Administrator domeny (u!ytkownik EA.pl\Administrator) musi wykona+ wymieniane

poni!ej dzia"ania na kontrolerze domeny.

1. Zaznaczy+ w prawym oknie zasad% Logowanie interakcyjne: wymagaj karty

inteligentnej, jak na rysunku 6.14.

2. Z menu Akcja wybra+ opcj% WSa[ciwo[ci.

3. Na zak"adce Ustawianie zasad zabezpiecze= zaznaczy+ pole wyboru Definiuj

nast*puj<ce ustawienie zasad, a nast%pnie wybra+ opcj% WS<czone,

jak na rysunku 6.15.


Rysunek 6.14. Zasada „Logowanie interakcyjne: wymagaj karty inteligentnej”

Rysunek 6.15.ZakSadka

„Ustawianie zasad

zabezpiecze=”

dla „Logowanie

interakcyjne:

wymagaj karty

inteligentnej”

4. Klikn$+ na przycisk OK, aby zamkn$+ okno WSa[ciwo[ci: Logowanie

interakcyjne: wymagaj karty inteligentnej. Nie nale!y zamyka+ konsoli

Zarz<dzanie zasadami grupy, gdy! b%dzie ona potrzebna do ustawienia

kolejnej zasady o nazwie „Logowanie interakcyjne: zachowanie przy

usuwaniu karty inteligentnej”.


6.3.2. Logowanie interakcyjne:zachowanie przy usuwaniu karty inteligentnej

Je!eli chcemy, aby dost%p do jakiego# serwera cz"onkowskiego, np. o nazwie CA-02(podrz%dnego CA), by" blokowany po wyj%ciu karty inteligentnej z czytnika kart in-

teligentnych (rysunek 6.16), trzeba w"$czy+ zasad% o nazwie Logowanie interakcyjne:

zachowanie przy usuwaniu karty inteligentnej. Oczywi#cie po wcze#niejszym wyko-

naniu przedstawionych w tym podrozdziale (i w dwóch kolejnych) kroków, a nast%p-

nie po przeniesieniu konta serwera cz"onkowskiego o nazwie CA-02 do jednostki or-

ganizacyjnej PKI, dla której zosta"a ustawiona ta zasada grupy.

Rysunek 6.16. Wynik dziaSania zasady „Logowanie interakcyjne: zachowanie przy usuwaniu karty

inteligentnej”

Aby skonfigurowa+ zasad% dotycz$c$ zachowania si% komputera podczas usuwaniakarty inteligentnej z czytnika kart inteligentnych, Administrator domeny (u!ytkownik

EA.pl\Administrator) musi wykona+ wymieniane poni!ej dzia"ania.

1. Zaznaczy+ w prawym oknie konsoli Zarz<dzanie zasadami grupy zasad%

Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej,

jak na rysunku 6.17.


3. Na zak"adce Ustawianie zasad zabezpiecze= zaznaczy+ pole wyboru Definiuj

nast*puj<ce ustawienie zasad, a nast%pnie z listy rozwijalnej wybra+ akcj%

Zablokuj stacj* robocz<, jak na rysunku 6.18. Poza t$ akcj$ s$ dost%pne inne opcje:

Brak akcji,

Wymuszaj wylogowanie,

RozS<cz w przypadku zdalnej sesji usSug terminalowych.


Rysunek 6.17. Zasada „Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej”

Rysunek 6.18.ZakSadka

„Ustawianie zasad

zabezpiecze=

dla Logowanie

interakcyjne:

zachowanie przy

usuwaniu karty

inteligentnej”

4. Klikn$+ na przycisk OK.

5. Zamkn$+ konsol% Edytor zarz<dzania zasadami grupy.

Po wykonaniu powy!szych dzia"a' nale!y od#wie!y+ zasady grupy (u!ytkownika oraz

komputera) za pomoc$ komendy gpupdate /force. Komenda ta wymusza natychmia-

stow$ aktualizacj% zasad grupy u!ytkownika i komputera.

W przypadku zasady Logowanie interakcyjne: zachowanie przy usuwaniu karty inte-

ligentnej warto pami%ta+ o jeszcze jednym. Zasada ta dzia"a dopiero po w"$czeniu na

komputerze wyposa!onym w czytnik kart inteligentnych i kart% inteligentn$ (za pomoc$


którego realizowane jest uwierzytelnianie z wykorzystaniem certyfikatu cyfrowego karty

inteligentnej) us"ugi o nazwie Zasady usuwania karty inteligentnej. Jest to nowa us"uga

w systemach operacyjnych Windows Server 2008 Standard i Windows Vista Business,

uruchamiana r%cznie lub automatycznie. Druga metoda zostanie przedstawiona w dal-

szej cz%#ci tego rozdzia"u. W przypadku r%cznego uruchamiania powy!szej us"ugi mo!na

j$ w"$czy+ poprzez ustawienie trybu uruchomienia na Automatyczny. Próba zmiany

stanu us"ugi z domy#lnej warto#ci Zatrzymano na Uruchom wygeneruje komunikat,

który przedstawia rysunek 6.19.

Rysunek 6.19.Okno „UsSugi”

Zgodnie z komunikatem przedstawionym na rysunku 6.19, us"uga Zasady usuwania

karty inteligentnej zosta"a uruchomiona, a nast%pnie z powrotem zatrzymana. Dlaczego

tak si% dzieje? Poniewa! jest ona zale!na od innych us"ug. Mo!na jednak wymusi+

w"$czenie powy!szej us"ugi (bez komunikatu z rysunku 6.19) z poziomu okna Edytor

rejestru poprzez zmian% warto#ci ci$gu binarnego o nazwie scremoveoption z 0 na 1.

Warto#+ ta znajduje si% w kluczu o nazwie HKEY_LOCAL_MACHINE\SOFTWARE\

Microsoft\Windows NT\CurrentVersion\Winlogon, co przedstawia rysunek 6.20. Na

potrzeby niniejszej ksi$!ki us"uga ta zostanie w"$czona za pomoc$ zasad grupy. R%czne

modyfikacje rejestru s$ niebezpieczne i nale!y si% ich wystrzega+.

Rysunek 6.20. Okno „Edytor rejestru”


Wszystkie omówione w tym rozdziale ustawienia zasad grupy Karty inteligentne dlaobiektu PKI (jednostki organizacyjnej o nazwie PKI) mo!na sprawdzi+ na zak"adce

Ustawienia, przedstawionej na rysunku 6.21.

Rysunek 6.21. Ustawienia zasad grupy „Karty inteligentne” dla obiektu PKI

Ustawienia zasad grupy Karty inteligentne dla obiektu PKI mo!na wyeksportowa+ do

formatu HTML (jako raport), a nast%pnie przegl$da+ je za pomoc$ przegl$darki inter-

netowej Internet Explorer 7, co przedstawia rysunek 6.22.

6.4. UsMugi zwi=zanez kartami inteligentnymi

Najnowsze systemy operacyjne firmy Microsoft: Windows Server 2008 Standard oraz

Windows Vista Business, zawieraj$ kilka us"ug, które s$ zwi$zane z infrastruktur$ klu-

cza publicznego (PKI). Najwa!niejsze zosta"y przedstawione w tabeli 6.1 wraz z ich do-

my#lnymi trybami uruchomienia i stanami.

Domy#lny tryb uruchomienia i stany poszczególnych us"ug zwi$zanych z infrastruk-

tura klucza publicznego (PKI) mog$ si% zmieni+ w zale!no#ci od potrzeb przedsi%-

biorstwa lub innej organizacji, o czym b%dzie mowa w nast%pnych rozdzia"ach. Ogól-

nie rzecz ujmuj$c, np. us"uga o nazwie Karta inteligentna po zainstalowaniu sterownika


Rysunek 6.22. Raport dla obiektu zasad grupy „Karty inteligentne”

Tabela 6.1. Domy[lne ustawienia wybranych usSug zwi<zanych z PKI

Nazwa us!ugi Opis us!ugiDomy$lny tryburuchomienia

Stan us!ugi

Karta inteligentna

(SCardSvr)

Zarz$dza dost%pem do kart inteligentnych

czytanych przez ten komputer.

R%czny Zatrzymano

Propagacja certyfikatu

(CertPropSvc)

Propaguje certyfikaty z kart inteligentnych. R%czny Zatrzymano

Zasady usuwania

karty inteligentnej

(SCPolicySvc)

Umo!liwia skonfigurowanie systemu w taki

sposób, aby po usuni%ciu karty inteligentnej

by" blokowany pulpit u!ytkownika.

R%czny Zatrzymano

czytnika kart inteligentnych na danym komputerze klienckim, serwerze cz"onkowskimczy kontrolerze domeny zmienia automatycznie domy#lny tryb uruchomienia na Auto-

matyczny oraz stan na Uruchomiono.

6.5. Uruchamianie usMugi Zasadyusuwania karty inteligentnej

Je!eli w sieci komputerowej przedsi%biorstwa lub innej organizacji korzystaj$cej z naj-nowszych systemów operacyjnych firmy Microsoft: Windows Server 2008 Standard

i Windows Vista Business z dodatkiem Service Pack 1, do uwierzytelniania si% w do-

menie b%d$ wykorzystywane karty inteligentne, na komputerach nale!$cych do sieci


trzeba uruchomi+ us"ug% o nazwie Zasady usuwania karty inteligentnej, o której by"a

ju! wcze#niej mowa. Dopóki ta us"uga nie b%dzie uruchomiona, komputer po wyj%ciu

karty inteligentnej z czytnika kart inteligentnych b%dzie blokowany. Samo ustawie-

nie zasady Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnejnie wystarcza.

Us"uga Zasady usuwania karty inteligentnej (SCPolicySvc) umo!liwia skonfigurowa-

nie najnowszych systemów operacyjnych firmy Microsoft w taki sposób, aby po usu-

ni%ciu karty inteligentnej z czytnika kart inteligentnych by" blokowany pulpit aktual-

nie zalogowanego u!ytkownika. W przypadku systemów operacyjnych Windows Server

2003 z dodatkiem Service Pack 2 czy Windows XP Professional z dodatkiem Service

Pack 3 nie jest wymagane uruchamianie us"ugi Zasady usuwania karty inteligentnej,

gdy! us"uga taka nie jest w nich dost%pna. Systemy automatycznie blokuj$ komputer

po wyj%ciu karty inteligentnej z czytnika kart inteligentnych. Nie trzeba wi%c wykony-

wa+ omawianych w tym podrozdziale czynno#ci. Wystarczy tylko dokona+ ustawie'

zasad grupy dotycz$cych kart inteligentnych, które zosta"y przedstawione w poprzednich

podrozdzia"ach. Odpowiednio skonfigurowane musz$ by+ tylko najnowsze systemy ope-

racyjne firmy Microsoft.

Jak ju! wcze#niej wspomniano, istnieje kilka metod uruchamiania us"ugi Zasady usu-

wania karty inteligentnej. Mo!na to wykona+ r%cznie (na ka!dym komputerze wypo-

sa!onym w czytnik kart inteligentnych) z poziomu konsoli MMC o nazwie UsSugi

(ang. Services), któr$ w"$cza si% za pomoc$ komendy services.msc. Mo!na równie!

skorzysta+ z metody automatycznej, tj. z wykorzystaniem zasad grupy, co b%dzie

omówione dalej. To rozwi$zanie jest znacznie mniej pracoch"onne, co ma niebagatelne

znaczenie w przypadku konfigurowania setek czy tysi%cy komputerów. Wystarczy je-

dynie skonfigurowa+ jedn$ zasad% i za pomoc$ us"ugi katalogowej Active Directory

rozprowadzi+ j$ do komputerów znajduj$cych si% w okre#lonej jednostce organizacyjnej.

Aby uruchomi+ us"ugi Zasady usuwania karty inteligentnej za pomoc$ zasad grupy,

Administrator domeny (u!ytkownik EA.pl\Andministrator) musi wykona+ nast%puj$ce

czynno#ci.

1. Uruchomi+ konsol% Zarz<dzanie zasadami grupy (np. za pomoc$ komendy

gpmc.msc), a nast%pnie wyedytowa+ wcze#niej utworzon$ zasad% grupy

o nazwie Karty inteligentne.

2. Przej#+ do w%z"a UsSugi systemowe i zaznaczy+ w prawym oknie us"ug%

Zasady usuwania karty inteligentnej, jak na rysunku 6.23.


4. Na zak"adce Ustawianie zasad zabezpiecze= dokona+ takich ustawie', jakie

zosta"y przedstawione na rysunku 6.24, a nast%pnie klikn$+ na przycisk OK.

5. Zamkn$+ konsol% Zarz<dzanie zasadami grupy.

6. Od#wie!y+ zasady grupy (u!ytkownika i komputera) za pomoc$ komendy

gpupdate /force. Komenda ta wymusza natychmiastow$ aktualizacj% zasad

grupy u!ytkownika i komputera.

windows server 2008. infrastruktura klucza publicznego (pki)

Technology