215
•обновлять корневой ЦС;
•обновлять подчиненный ЦС;
•управлять отзывом сертификатов;
•управлять запросами сертификатов;
•управлять шаблонами сертификатов;
•изменять параметры политики;
•проецировать сертификат на учетную запись пользова-
теля;
• модифицировать модуль политики и модуль выхода. Оснастка Certification Authority позволяет администриро-
вать ЦС на локальном или удаленном компьютере. Она устанавливается со службами сертификации или с пакетом дополнительных средств администрирования.
Для администрирования служб сертификации также применяется утилита командной строки certutil.exe. Запущенная без параметров, она выведет сводную информацию о локальном ЦС. Эта утилита применяется для вывода сведений о конфигурации ЦС, настройки служб сертификации, резервного копирования и восстановления компонентов ЦС, для проверки сертификатов, пар ключей и цепочек сертификатов.
8.2. Технологии открытого ключа
Windows Server поддерживает технологии, основанные на шифровании открытым ключом: защищенные каналы, смарткарты, Authenticode, шифрованную файловую систему (Encrypting File System, EPS) и Internet Protocol Security (IPSec).
8.2.1.Защищенные каналы
ВWindows Server пакет аутентификации Secure Channel (SChannel) расположен ниже интерфейса Security Support Provider Interface (SSPI) (рис. 8.5).
216
Рис. 8.5. Архитектура Authentication Services в Windows Server
Пакет аутентификации SChannel поддерживает протоколы
Secure Sockets Layer (SSL) 3.0и Transport Layer Security (TLS). SSL и TLS — гибкие защищенные протоколы, способные выполняться поверх прочих транспортных протоколов, — основаны на технологии аутентификации с применением открытых ключей и для создания уникального ключа шифрования для каждого сеанса связи клиента с сервером обмениваются открытыми ключами.
Протокол TLS основан на протоколе SSL 3.0. Хотя различия между TLS 1.0 и SSL 3.0 и незначительны, взаимодействовать TLS 1.0 и SSL 3.0 не могут. Однако в TLS 1.0 предусмотрен механизм согласования, поэтому TLS может использовать SSL 3.0. Следовательно, клиент, поддерживающий только SSL 3.0, может общаться с сервером, поддерживающим TLS 1.0.
SSL и TLS, обеспечивают безопасную передачу информации путем шифрования, аутентификации клиента и (необязательно) аутентификации сервера. Оба применяются для обмена
217
конфиденциальными данными по Интернету с применением аутентификации по открытому ключу.
Протокол SSL/TLS обеспечивается поставщиком SChannel (таким как IIS, Proxy Server и Exchange) и клиентским интернетприложением (например, Internet Explorer или клиент электронной почты Outlook). Приложения запрашивают службы SSL и TLS через API-интерфейс SSPI.
•SSL и TLS дают следующие преимущества:
•аутентификация гарантирует клиенту, что данные посылаются на нужный сервер и этот сервер защищен;
•шифрование гарантирует, что данные сможет прочитать только целевой защищенный сервер;
•проверка целостности обеспечивает неизменность полученных данных.
8.2.2. Смарт-карты
Применяются для хранения открытого и закрытого ключа пользователя и сертификата. Это более надежный способ защиты и контроля ключей пользователя, чем хранение их на компьютере. Пользовательские ключи и сертификаты перемещаются вместе с ним. Смарт-карта производит уязвимые с точки зрения безопасности вычисления, не открывая закрытый ключ пользователя компьютеру.
Для работы со смарт-картой компьютеру требуется устройство считывания. Смарт-карта — это совместимое со стандартом ISO 7816 устройство, содержащее встроенный микропроцессор, RSA или эквивалентный криптографический сопроцессор и локальное запоминающее устройство.
Локальное запоминающее устройство обычно включает: 6–24 кб ПЗУ для ОС смарт -карты и программ; 128–512 байт ОЗУ для временных данных; 1–16 кб ОЗУ для данных пользователя.
8.2.2.1. Вход в систему с помощью смарт-карты
Windows поддерживает вход в систему со смарт-карты как альтернативу паролям для доменной аутентификации. Для взаи-
218
модействия с системой контроля доступа Kerberos в процессе аутентификации используется протокол PKINIT.
Система распознает событие вставки смарт-карты как альтернативу стандартной комбинации клавиш Ctrl+Alt+Del
для входа, а затем запрашивает у пользователя PIN-код смарткарты, открывающий доступ к операциям с сохраненным на смарт-карте закрытым ключом. Смарт-карта также содержит копию сертификата пользователя (выпущенного ЦС предприятия). Это позволяет пользователю входить в домен с разных компьютеров.
8.2.3. Технология Authenticode
Широкое использование Интернета увеличило зависимость от его активного содержания: Windows-приложений, элементов управления ActiveX и Java-апплетов. Появилась острая необходимость защитить клиентские системы от опасного кода, зачастую выполняемого без ведома пользователя.
В 1996 г. Microsoft была введена технология цифровой подписи Authenticode, а в 1997 г. она была значительно усовершенствована.
Технология Authenticode, элемент безопасности в Microsoft Internet Explorer, гарантирует аутентификацию программных компонентов в Интернете. Authenticode проверяет, что ПО не искажено и распознает его изготовителя. В каждом конкретном случае пользователи могут принимать решения о загрузке кода, основанные на их опыте и доверии изготовителю ПО. Подпись, которую разработчики удостоверяют свой код, — основа доверия к ним со стороны пользователей.
Authenticode позволяет разработчикам ПО ставить цифровую подпись на любую форму активного содержания, включая многотомные архивы. Эти подписи могут быть использованы для проверки как разработчиков содержимого, так и целостности самого содержимого при загрузке. Windows. PKI позволяет выпускать Authenticode-сертификаты для внутренних разработчиков или подрядчиков, так что любой сотрудник может проверить источник и целостность загружаемых приложений.