docSpis tre ci
download 
Reklamacja Transkrypt
Spis tre ci
Spis tre!ci Wprowadzenie .................................................................................. 7 Rozdzia! 1. Infrastruktura klucza publicznego (PKI) ........................................... 11 1.1. Co to jest PKI? ...................................................................................................... 12 1.2. Dlaczego PKI? ...................................................................................................... 13 1.3. Standardy zwi$zane z PKI .................................................................................... 15 1.3.1. ITU X.509 ................................................................................................. 15 1.3.2. RSA PKCS ................................................................................................ 16 1.3.3. IETF PKIX ................................................................................................ 18 1.4. Architektura PKI w Windows Server 2008 .......................................................... 19 1.4.1. Urz%dy certyfikacji (CA) i urz%dy rejestracji (RA) .......................................... 19 1.4.2. Szablony certyfikatów i certyfikaty cyfrowe ............................................. 22 1.4.3. Repozytoria certyfikatów cyfrowych ......................................................... 26 1.4.4. Listy odwo"ania certyfikatów (CRL) ......................................................... 28 1.4.5. Narz%dzia do zarz$dzania PKI w Windows Server 2008 i Windows Vista .................................................................................... 30 1.5. PKI a szyfrowanie informacji ............................................................................... 36 1.5.1. Podstawowe poj%cia zwi$zane z szyfrowaniem informacji ....................... 37 1.5.2. Symetryczne i asymetryczne metody szyfrowania informacji .................. 38 1.6. Zastosowania PKI ................................................................................................. 43 1.7. Funkcje zabezpieczaj$ce w PKI ........................................................................... 44 Rozdzia! 2. Tworzenie infrastruktury PKI w Windows Server 2008 ..................... 45 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. Fazy projektu PKI ................................................................................................. 46 Projektowanie urz%dów certyfikacji .......................................................................... 47 Planowanie hierarchii i struktury urz%dów certyfikacji ........................................ 50 Planowanie wydajno#ci i skalowalno#ci urz%dów certyfikatów ........................... 55 Planowanie zg"aszania !$da' i dystrybucji certyfikatów cyfrowych .................... 57 Projektowanie zarz$dzania urz%dami certyfikacji i certyfikatami cyfrowymi .......... 61 Planowanie interwa"ów publikowania list CRL .................................................... 62 Projektowanie bezpiecze'stwa urz%dów certyfikacji i danych ............................. 63 2.8.1. Fizyczne #rodki ochronne .......................................................................... 64 2.8.2. Logiczne #rodki ochronne ......................................................................... 66 Rozdzia! 3. Nadrz"dny urz#d certyfikacji typu offline w Windows Server 2008 ...... 73 3.1. Minimalne wymagania systemowe i sprz%towe dla nadrz%dnego CA .................. 73 3.2. Zalecenia dla nadrz%dnego CA ............................................................................. 74 3.3. Instalowanie nadrz%dnego CA w trybie offline .................................................... 75 4 Windows Server 2008. Infrastruktura klucza publicznego (PKI) 3.4. Konfigurowanie okresu wa!no#ci certyfikatów cyfrowych wystawianych przez nadrz%dny CA .................................................................. 85 3.5. Konfigurowanie punktu dystrybucji listy CRL (CDP) i dost%pu do informacji o urz%dach (AIA) ........................................................ 86 3.6. Publikowanie listy odwo"ania certyfikatów (CRL) ............................................... 90 3.7. Eksportowanie certyfikatu nadrz%dnego CA i listy CRL ...................................... 91 Rozdzia! 4. Podrz"dny urz#d certyfikacji typu online w Windows Server 2008 ...... 93 4.1. Minimalne wymagania systemowe i sprz%towe dla podrz%dnego CA .................. 93 4.2. Zalecenia dla podrz%dnego CA ............................................................................. 94 4.3. Instalowanie podrz%dnego CA w trybie online ..................................................... 95 4.4. Uzyskiwanie certyfikatu cyfrowego z nadrz%dnego CA dla podrz%dnego CA ......... 104 4.5. Importowanie certyfikatu nadrz%dnego CA i listy CRL do podrz%dnego CA ........ 109 4.6. Uruchamianie us"ugi certyfikatów na podrz%dnym CA ...................................... 115 4.7. Konfigurowanie punktu dystrybucji listy CRL (CDP) i dost%pu do informacji o urz%dach (AIA) ...................................................... 119 4.8. Publikowanie certyfikatu cyfrowego nadrz%dnego CA w us"udze katalogowej Active Directory ........................................................ 121 Rozdzia! 5. Szablony certyfikatów cyfrowych w Windows Server 2008 ............. 123 5.1. Domy#lne uprawnienia szablonów certyfikatów cyfrowych .............................. 124 5.1.1. Szablon certyfikatu cyfrowego typu „Kontroler domeny” ...................... 125 5.1.2. Szablon certyfikatu cyfrowego typu „Logowanie kart$ inteligentn$” ..... 126 5.1.3. Szablon certyfikatu cyfrowego typu „Administrator” ............................. 126 5.2. Instalowanie certyfikatu cyfrowego typu „Kontroler domeny” na kontrolerze domeny .................................................................................... 127 5.3. W"$czanie szablonu certyfikatu cyfrowego typu „Logowanie kart$ inteligentn$” na podrz%dnym CA ...................................... 132 5.4. Instalowanie certyfikatu cyfrowego typu „Administrator” na podrz%dnym CA ....... 134 Rozdzia! 6. Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008 ......... 139 6.1. Zasady grupy ...................................................................................................... 139 6.2. Zasady kluczy publicznych ................................................................................. 140 6.3. Konfigurowanie zasad grupy dotycz$cych kart inteligentnych ........................... 146 6.3.1. Logowanie interakcyjne: wymagaj karty inteligentnej ............................ 148 6.3.2. Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej ................................................................................ 150 6.4. Us"ugi zwi$zane z kartami inteligentnymi .......................................................... 153 6.5. Uruchamianie us"ugi Zasady usuwania karty inteligentnej ................................. 154 Rozdzia! 7. Konfigurowanie IIS 7, SSL i IE 7 na potrzeby PKI ........................... 157 7.1. 7.2. 7.3. 7.4. 7.5. 7.6. 7.7. Bezpieczna komunikacja sieciowa ..................................................................... 157 Internet Information Services 7 (IIS 7) ............................................................... 158 Instalowanie certyfikatu typu „Serwer sieci Web” na serwerze IIS 7 ................. 160 Secure Socket Layer (SSL) ................................................................................. 164 Konfigurowanie ustawie' protoko"u SSL na serwerze IIS 7 .............................. 165 Internet Explorer 7 (IE 7) ................................................................................... 168 Przygotowanie programu IE 7 do bezpiecznej obs"ugi witryny CertSrv ............ 170 Rozdzia! 8. Uwierzytelnianie za pomoc# kart inteligentnych w Windows Server 2008 i Windows Vista ...................................... 175 8.1. Karty inteligentne ............................................................................................... 176 8.2. Czytniki kart inteligentnych ............................................................................... 177 8.3. Zarz$dzanie kartami inteligentnymi w Windows Server 2008 .............................. 177 Spis tre$ci 5 8.3.1. Przygotowanie stacji rejestrowania certyfikatów cyfrowych kart inteligentnych ............................................................. 178 8.3.2. Przygotowanie karty inteligentnej do pracy ............................................ 181 8.3.3. Umieszczenie certyfikatu typu „Logowanie kart$ inteligentn$” na karcie inteligentnej .......................................................................... 184 8.4. Zarz$dzanie dost%pem u!ytkowników w Windows Vista ................................... 194 8.4.1. Zabezpieczanie kont administracyjnych .................................................. 194 8.4.2. Metody uwierzytelniania ......................................................................... 195 8.4.3. Konfigurowanie opcji kont u!ytkowników w us"udze Active Directory ....... 196 8.4.4. Logowanie do systemu Windows Vista za pomoc$ karty inteligentnej ...... 197 Rozdzia! 9. Zdalny dost"p w Windows Server 2008 i Windows Vista ............... 203 9.1. Narz%dzia administracji zdalnej serwera firmy Microsoft .................................. 204 9.2. Pulpit zdalny firmy Microsoft ............................................................................. 204 9.3. Instalowanie i konfigurowanie narz%dzi administracji zdalnej serwera w Windows Vista .............................................................................. 207 9.4. Zarz$dzanie PKI za pomoc$ narz%dzi administracji zdalnej serwera firmy Microsoft ................................................................................. 209 9.5. Konfigurowanie serwera na potrzeby us"ugi Pulpit zdalny firmy Microsoft ......... 215 9.5.1. W"$czanie us"ugi Pulpit zdalny firmy Microsoft ..................................... 216 9.5.2. Konfigurowanie ustawie' serwera terminali ........................................... 217 9.5.3. Zmiana domy#lnego numeru portu dla us"ug terminalowych .................. 222 9.5.4. Konfigurowanie ustawie' programu Zapora systemu Windows ............. 224 9.6. Konfigurowanie klienta us"ugi Pulpit zdalny ...................................................... 224 9.7. Zarz$dzanie infrastruktur$ PKI za pomoc$ klienta us"ugi Pulpit zdalny ............ 228 Skorowidz .................................................................................... 231 140 Windows Server 2008. Infrastruktura klucza publicznego (PKI) Rysunek 6.1. Zasady grupy dotycz<ce komputera 2. Zasady grupy dotycz<ce uZytkownika, które przedstawiono na rysunku 6.2. S$ one stosowane do tych u!ytkowników, którzy loguj$ si% do systemu na danym komputerze. Na ogó" zasady te s$ aktywowane natychmiast po uwierzytelnieniu to!samo#ci u!ytkownika, ale przed przyznaniem mu dost%pu do systemu Windows. Rysunek 6.2. Zasady grupy dotycz<ce uZytkownika Zasady grupy nie powoduj$ trwa"ych zmian w rejestrze systemu Windows. Mo!na je wi%c bardzo "atwo dodawa+ i usuwa+ bez „za#miecania” rejestru czy konieczno#ci ponownego uruchamiania systemu operacyjnego. 6.2. Zasady kluczy publicznych W tej cz%#ci ksi$!ki zostan$ przedstawione zasady grupy zwi$zane z infrastruktur$ klucza publicznego (PKI), a w szczególno#ci zawarto#+ kontenera o nazwie Zasady kluczy publicznych. Obiekty i opcje dost%pne w tym kontenerze umo!liwiaj$ zarz$dzanie Rozdzia! 6. Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008 141 ustawieniami infrastruktury klucza publicznego, które znajduj$ si% w sekcji dotycz$cej komputera (rysunek 6.3) i u!ytkownika (rysunek 6.4) w dowolnej wielko#ci przedsi%biorstwie lub organizacji. Rysunek 6.3. Zasady kluczy publicznych dotycz<ce komputera Rysunek 6.4. Zasady kluczy publicznych dotycz<ce uZytkownika Co mo!na skonfigurowa+ za pomoc$ obiektów oraz opcji dost%pnych w kontenerze Zasady kluczy publicznych? Najwa!niejsze ustawienia zosta"y przedstawione poni!ej w punktach. 142 Windows Server 2008. Infrastruktura klucza publicznego (PKI) 1. Automatyczne rejestrowanie certyfikatów cyfrowych u#ytkownika i komputera Automatyczne rejestrowanie certyfikatów cyfrowych u!ytkownika i komputera pozwala w niezwykle prosty sposób zautomatyzowa+: proces odnawiania wygas"ych certyfikatów cyfrowych, aktualizowanie oczekuj$cych certyfikatów cyfrowych (równie! tych, które u!ywaj$ opisanych wcze#niej szablonów certyfikatów cyfrowych), usuwanie odwo"anych certyfikatów cyfrowych, powiadamianie o wygasaniu danego certyfikatu cyfrowego, zanim sko'czy si% jego okres wa!no#ci. Powy!sze cele mo!na osi$gn$+, edytuj$c w"a#ciwo#ci obiektu Klient usSug certyfikatów — automatyczne rejestrowanie z poziomu kontenera Zasady kluczy publicznych, co przedstawiono na rysunku 6.5. Rysunek 6.5. Klient usSug certyfikatów — automatyczne rejestrowanie dla komputera Zgodnie z rysunkiem 6.5, na zak"adce Definiowanie ustawie= zasad mo!na skonfigurowa+ automatyczne rejestrowanie certyfikatów cyfrowych u!ytkowników oraz komputerów. W tym odnawianie wygas"ych certyfikatów cyfrowych, aktualizacj% oczekuj$cych czy usuni%cie odwo"anych certyfikatów cyfrowych. Poza tym mo!na zaktualizowa+ certyfikaty cyfrowe, które zosta"y utworzone na podstawie szablonów certyfikatów cyfrowych. W przypadku skonfigurowania automatycznego rejestrowania dla u!ytkowników dodatkowo pojawi si% (rysunek 6.6) opcja Powiadomienie o wyga[ni*ciu. Jej w"$czenie spowoduje wy#wietlanie powiadomienia o wygasaniu certyfikatu cyfrowego, gdy procent pozosta"ego okresu wa!no#ci tego certyfikatu wyniesie 10%. T% domy#ln$ warto#+ mo!na oczywi#cie zmienia+ w zale!no#ci od wymaga' danego przedsi%biorstwa lub innej organizacji. Rozdzia! 6. Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008 143 Rysunek 6.6. Klient usSug certyfikatów — automatyczne rejestrowanie dla uZytkownika 2. Konfigurowanie ustawie? sprawdzania poprawno$ci $cie#ki certyfikatu U!ytkownicy przedsi%biorstwa lub innej organizacji mog$ w dowolnym stopniu korzysta+ z certyfikatów cyfrowych. W najnowszych serwerowych systemach operacyjnych Microsoft Windows Server 2008 Standard administrator domeny ma mo!liwo#+ kontrolowania (dzi%ki obiektowi o nazwie Ustawienia sprawdzania poprawno[ci [cieZki certyfikatu, który jest dost%pny w kontenerze Zasady kluczy publicznych) stopie' zu!ytkowania tych certyfikatów. Po wybraniu w"a#ciwo#ci obiektu Ustawienia sprawdzania poprawno[ci [cieZki certyfikatu mo!na przej#+ do konfigurowania ustawie' sprawdzania poprawno#ci #cie!ki certyfikatu cyfrowego. S"u!$ do tego opcje, które s$ dost%pne na czterech zak"adkach (Magazyny, Zaufani wydawcy, Pobieranie z sieci i OdwoSywanie), oraz zasady Sprawdzanie poprawno[ci [cieZki certyfikatu. Na potrzeby tej ksi$!ki zostanie omówiona jedynie zak"adka Magazyny, gdy! pozosta"e nie s$ tak istotne. Jak ogólnie wiadomo, przedsi%biorstwa i inne organizacje chc$ jednoznacznie identyfikowa+ oraz rozprowadza+ w sieci komputerowej tylko zaufane certyfikaty cyfrowe nadrz%dnych urz%dów certyfikacji. Umo!liwiaj$ to opcje dost%pne na zak"adce o nazwie Magazyny, przedstawionej na rysunku 6.7. Z poziomu tej zak"adki mo!na okre#la+ m.in. regu"y zaufania u!ytkownika do certyfikatu cyfrowego nadrz%dnego CA, który funkcjonuje w danym przedsi%biorstwie lub organizacji. 3. Konfigurowanie ustawienia automatycznego #%dania certyfikatu dla komputerów Jak ju! wspomniano na pocz$tku tego rozdzia"u, zarz$dzanie ka!dym certyfikatem cyfrowym z osobna jest czasoch"onne. W kontenerze o nazwie Ustawienia automatycznego Z<dania certyfikatu administrator domeny mo!e 144 Windows Server 2008. Infrastruktura klucza publicznego (PKI) Rysunek 6.7. ZakSadka „Magazyny” zdefiniowa+, których typów certyfikatów cyfrowych komputer mo!e za!$da+ automatycznie. W przypadku tworzenia nowego !$dania certyfikatu cyfrowego zostanie uruchomione narz%dzie Kreator instalatora automatycznego Z<dania certyfikatu, co przedstawia rysunek 6.8. Rysunek 6.8. „Kreator instalatora automatycznego Z<dania certyfikatu” Rozdzia! 6. Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008 145 4. Importowanie certyfikatu nadrz!dnego CA do magazynu „Zaufane g"ówne urz!dy certyfikacji” Po zainstalowaniu w przedsi%biorstwie lub innej organizacji nadrz%dnego CA nale!y doda+ (zaimportowa+) jego certyfikat cyfrowy do magazynu Zaufane gSówne urz*dy certyfikacji, co pozwoli przenie#+ go automatycznie (za pomoc$ zasad grupy) na ró!ne komputery (komputery klienckie, serwery cz"onkowski itp.). Certyfikat cyfrowy nadrz%dnego CA mo!na doda+ do magazynu Zaufane gSówne urz*dy certyfikacji po zaznaczeniu obiektu o nazwie Zaufane gSówne urz*dy certyfikacji. Nast%pnie trzeba wybra+ z menu Akcja opcj% Importuj… Zostanie wówczas uruchomiony dobrze znany z poprzednich rozdzia"ów kreator o nazwie Kreator importu certyfikatów — za jego pomoc$ mo!na zaimportowa+ certyfikat cyfrowy nadrz%dnego CA (rysunek 6.9). Rysunek 6.9. Certyfikat cyfrowy nadrz*dnego CA zaimportowany do magazynu „Zaufane gSówne urz*dy certyfikacji” 5. Importowanie certyfikatu podrz!dnego CA do magazynu „Po$rednie urz!dy certyfikacji” Po zainstalowaniu w przedsi%biorstwie lub innej organizacji podrz%dnego CA nale!y (podobnie jak w przypadku certyfikatu nadrz%dnego CA) zaimportowa+ jego certyfikat cyfrowy do magazynu Po[rednie urz*dy certyfikacji. Po zaimportowaniu certyfikatu cyfrowego podrz%dnego CA do magazynu Po[rednie urz*dy certyfikacji w prawym oknie konsoli powinien pojawi+ si% certyfikat CA-02, jak na rysunku 6.10. Zostaje dodany równie! certyfikat cyfrowy nadrz%dnego CA (CA-01), co tak!e obrazuje ten sam rysunek. Jak pami%tamy z rozdzia"u 4., podczas eksportu certyfikatu cyfrowego 146 Windows Server 2008. Infrastruktura klucza publicznego (PKI) Rysunek 6.10. Certyfikat podrz*dnego CA zaimportowany do magazynu „Po[rednie urz*dy certyfikacji” podrz%dnego CA zosta" wybrany format PKCS #7 (.P7B) wraz z opcj$ JeZeli jest to moZliwe, doS<cz wszystkie certyfikaty do [cieZki certyfikacji. Poniewa! certyfikat cyfrowy nadrz%dnego CA nale!y do tej #cie!ki, jest dodawany wsz%dzie tam, gdzie wprowadzono certyfikat cyfrowy podrz%dnego CA. Po wykonaniu powy!szych kroków nale!y od#wie!y+ zasady grupy (u!ytkownika oraz komputera) za pomoc$ komendy gpupdate /force. Wykonanie tej komendy wymusza natychmiastow$ aktualizacj% zasad grupy u!ytkownika i komputera. 6.3. Konfigurowanie zasad grupy dotycz=cych kart inteligentnych Najnowsze serwerowe systemy operacyjne Windows Server 2008 Standard zawieraj$ kilka zasad, które dotycz$ kart inteligentnych. W tej cz%#ci ksi$!ki zaprezentowane zostan$ dwie najcz%#ciej wykorzystywane, czyli: 1. Logowanie interakcyjne: wymagaj karty inteligentnej. To ustawienie zabezpiecze' okre#la, !e u!ytkownicy domeny mog$ si% zalogowa+ si% do komputera tylko przy u!yciu karty inteligentnej z w"a#ciwym certyfikatem cyfrowym. Rozdzia! 6. Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008 147 2. Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej. To ustawienie zabezpiecze' okre#la, co si% stanie, je#li karta inteligentna aktualnie zalogowanego do komputera u!ytkownika zostanie wyj%ta z czytnika kart inteligentnych. Powy!sze zasady, których w"$czenie podnosi poziom bezpiecze'stwa w przedsi%biorstwie lub innej organizacji wykorzystuj$cych infrastruktur% klucza publicznego (PKI), s$ dost%pne z poziomu konsoli Zarz<dzanie zasadami grupy na kontrolerze domeny. Najcz%#ciej zasady grupy dotycz$ce kart inteligentnych mo!na definiowa+ dla ca"ej domeny sieciowej lub dla wybranej jednostki organizacyjnej (ang. Organizational Unit). Na potrzeby tej ksi$!ki zdefiniowane zostan$ zasady dla jednostki organizacyjnej o nazwie PKI. W tym celu Administrator domeny (u!ytkownik EA.pl\Administrator) na kontrolerze domeny o nazwie DC-01 musi: 1. Uruchomi+ konsol% Zarz<dzanie zasadami grupy (np. za pomoc$ komendy gpmc.msc). 2. Przej#+ do obiektu o nazwie PKI i utworzy+ w nim nowy obiekt zasad grupy o nazwie Karty inteligentne, jak na rysunku 6.11. Rysunek 6.11. Nowy obiekt zasad grupy o nazwie „Karty inteligentne” 3. Rozwin$+ w%ze" Obiekty zasad grupy i zaznaczy+ zasad% Karty inteligentne. 4. Z menu Akcja wybra+ opcj% Edytuj… 5. Przej#+ do w%z"a Opcje zabezpiecze=, przedstawionego na rysunku 6.12. Rysunek 6.12. W*zeS „Opcje zabezpiecze=” wraz z domy[lnymi zasadami grypy 148 Windows Server 2008. Infrastruktura klucza publicznego (PKI) Z poziomu w%z"a Opcje zabezpiecze= zostan$ skonfigurowane dwie wspomniane wcze#niej zasady grupy dotycz$ce kart inteligentnych, czyli: Logowanie interakcyjne: wymagaj karty inteligentnej, Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej. 6.3.1. Logowanie interakcyjne: wymagaj karty inteligentnej Je!eli przedsi%biorstwo lub inna organizacja zechce umo!liwi+ dost%p do jakiego# serwera cz"onkowskiego, np. o nazwie CA-02 (podrz%dnego CA), jedynie z wykorzystaniem kart inteligentnych, musi w"$czy+ zasad% o nazwie Logowanie interakcyjne: wymagaj karty inteligentnej. Dzi%ki tej zasadzie podczas logowania za pomoc$ has"a dost%powego do tego serwera pojawi si% komunikat przedstawiony na rysunku 6.13. Oczywi#cie po wcze#niejszym wykonaniu omawianych w tym podrozdziale kroków i po przeniesieniu konta serwera cz"onkowskiego o nazwie CA-02 do jednostki organizacyjnej PKI, dla której zosta"a ustawiona powy!sza zasada. Trzeba pami%ta+ o tym, aby przed przeniesieniem konta komputera do wspomnianej jednostki organizacyjnej zaimportowa+ do odpowiednich magazynów certyfikaty cyfrowe nadrz%dnego i podrz%dnego CA oraz listy CRL. Rysunek 6.13. Wynik dziaSania zasady „Logowanie interakcyjne: wymagaj karty inteligentnej” Aby w"$czy+ zasad% o nazwie Logowanie interakcyjne: wymagaj karty inteligentnej, Administrator domeny (u!ytkownik EA.pl\Administrator) musi wykona+ wymieniane poni!ej dzia"ania na kontrolerze domeny. 1. Zaznaczy+ w prawym oknie zasad% Logowanie interakcyjne: wymagaj karty inteligentnej, jak na rysunku 6.14. 2. Z menu Akcja wybra+ opcj% WSa[ciwo[ci. 3. Na zak"adce Ustawianie zasad zabezpiecze= zaznaczy+ pole wyboru Definiuj nast*puj<ce ustawienie zasad, a nast%pnie wybra+ opcj% WS<czone, jak na rysunku 6.15. Rozdzia! 6. Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008 Rysunek 6.14. Zasada „Logowanie interakcyjne: wymagaj karty inteligentnej” Rysunek 6.15. ZakSadka „Ustawianie zasad zabezpiecze=” dla „Logowanie interakcyjne: wymagaj karty inteligentnej” 4. Klikn$+ na przycisk OK, aby zamkn$+ okno WSa[ciwo[ci: Logowanie interakcyjne: wymagaj karty inteligentnej. Nie nale!y zamyka+ konsoli Zarz<dzanie zasadami grupy, gdy! b%dzie ona potrzebna do ustawienia kolejnej zasady o nazwie „Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej”. 149 150 Windows Server 2008. Infrastruktura klucza publicznego (PKI) 6.3.2. Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej Je!eli chcemy, aby dost%p do jakiego# serwera cz"onkowskiego, np. o nazwie CA-02 (podrz%dnego CA), by" blokowany po wyj%ciu karty inteligentnej z czytnika kart inteligentnych (rysunek 6.16), trzeba w"$czy+ zasad% o nazwie Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej. Oczywi#cie po wcze#niejszym wykonaniu przedstawionych w tym podrozdziale (i w dwóch kolejnych) kroków, a nast%pnie po przeniesieniu konta serwera cz"onkowskiego o nazwie CA-02 do jednostki organizacyjnej PKI, dla której zosta"a ustawiona ta zasada grupy. Rysunek 6.16. Wynik dziaSania zasady „Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej” Aby skonfigurowa+ zasad% dotycz$c$ zachowania si% komputera podczas usuwania karty inteligentnej z czytnika kart inteligentnych, Administrator domeny (u!ytkownik EA.pl\Administrator) musi wykona+ wymieniane poni!ej dzia"ania. 1. Zaznaczy+ w prawym oknie konsoli Zarz<dzanie zasadami grupy zasad% Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej, jak na rysunku 6.17. 2. Z menu Akcja wybra+ opcj% WSa[ciwo[ci. 3. Na zak"adce Ustawianie zasad zabezpiecze= zaznaczy+ pole wyboru Definiuj nast*puj<ce ustawienie zasad, a nast%pnie z listy rozwijalnej wybra+ akcj% Zablokuj stacj* robocz<, jak na rysunku 6.18. Poza t$ akcj$ s$ dost%pne inne opcje: Brak akcji, Wymuszaj wylogowanie, RozS<cz w przypadku zdalnej sesji usSug terminalowych. Rozdzia! 6. Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008 151 Rysunek 6.17. Zasada „Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej” Rysunek 6.18. ZakSadka „Ustawianie zasad zabezpiecze= dla Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej” 4. Klikn$+ na przycisk OK. 5. Zamkn$+ konsol% Edytor zarz<dzania zasadami grupy. Po wykonaniu powy!szych dzia"a' nale!y od#wie!y+ zasady grupy (u!ytkownika oraz komputera) za pomoc$ komendy gpupdate /force. Komenda ta wymusza natychmiastow$ aktualizacj% zasad grupy u!ytkownika i komputera. W przypadku zasady Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej warto pami%ta+ o jeszcze jednym. Zasada ta dzia"a dopiero po w"$czeniu na komputerze wyposa!onym w czytnik kart inteligentnych i kart% inteligentn$ (za pomoc$ 152 Windows Server 2008. Infrastruktura klucza publicznego (PKI) którego realizowane jest uwierzytelnianie z wykorzystaniem certyfikatu cyfrowego karty inteligentnej) us"ugi o nazwie Zasady usuwania karty inteligentnej. Jest to nowa us"uga w systemach operacyjnych Windows Server 2008 Standard i Windows Vista Business, uruchamiana r%cznie lub automatycznie. Druga metoda zostanie przedstawiona w dalszej cz%#ci tego rozdzia"u. W przypadku r%cznego uruchamiania powy!szej us"ugi mo!na j$ w"$czy+ poprzez ustawienie trybu uruchomienia na Automatyczny. Próba zmiany stanu us"ugi z domy#lnej warto#ci Zatrzymano na Uruchom wygeneruje komunikat, który przedstawia rysunek 6.19. Rysunek 6.19. Okno „UsSugi” Zgodnie z komunikatem przedstawionym na rysunku 6.19, us"uga Zasady usuwania karty inteligentnej zosta"a uruchomiona, a nast%pnie z powrotem zatrzymana. Dlaczego tak si% dzieje? Poniewa! jest ona zale!na od innych us"ug. Mo!na jednak wymusi+ w"$czenie powy!szej us"ugi (bez komunikatu z rysunku 6.19) z poziomu okna Edytor rejestru poprzez zmian% warto#ci ci$gu binarnego o nazwie scremoveoption z 0 na 1. Warto#+ ta znajduje si% w kluczu o nazwie HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon, co przedstawia rysunek 6.20. Na potrzeby niniejszej ksi$!ki us"uga ta zostanie w"$czona za pomoc$ zasad grupy. R%czne modyfikacje rejestru s$ niebezpieczne i nale!y si% ich wystrzega+. Rysunek 6.20. Okno „Edytor rejestru” Rozdzia! 6. Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008 153 Wszystkie omówione w tym rozdziale ustawienia zasad grupy Karty inteligentne dla obiektu PKI (jednostki organizacyjnej o nazwie PKI) mo!na sprawdzi+ na zak"adce Ustawienia, przedstawionej na rysunku 6.21. Rysunek 6.21. Ustawienia zasad grupy „Karty inteligentne” dla obiektu PKI Ustawienia zasad grupy Karty inteligentne dla obiektu PKI mo!na wyeksportowa+ do formatu HTML (jako raport), a nast%pnie przegl$da+ je za pomoc$ przegl$darki internetowej Internet Explorer 7, co przedstawia rysunek 6.22. 6.4. UsMugi zwi=zane z kartami inteligentnymi Najnowsze systemy operacyjne firmy Microsoft: Windows Server 2008 Standard oraz Windows Vista Business, zawieraj$ kilka us"ug, które s$ zwi$zane z infrastruktur$ klucza publicznego (PKI). Najwa!niejsze zosta"y przedstawione w tabeli 6.1 wraz z ich domy#lnymi trybami uruchomienia i stanami. Domy#lny tryb uruchomienia i stany poszczególnych us"ug zwi$zanych z infrastruktura klucza publicznego (PKI) mog$ si% zmieni+ w zale!no#ci od potrzeb przedsi%biorstwa lub innej organizacji, o czym b%dzie mowa w nast%pnych rozdzia"ach. Ogólnie rzecz ujmuj$c, np. us"uga o nazwie Karta inteligentna po zainstalowaniu sterownika 154 Windows Server 2008. Infrastruktura klucza publicznego (PKI) Rysunek 6.22. Raport dla obiektu zasad grupy „Karty inteligentne” Tabela 6.1. Domy[lne ustawienia wybranych usSug zwi<zanych z PKI Domy$lny tryb uruchomienia Stan us!ugi Zarz$dza dost%pem do kart inteligentnych czytanych przez ten komputer. R%czny Zatrzymano Propagacja certyfikatu (CertPropSvc) Propaguje certyfikaty z kart inteligentnych. R%czny Zatrzymano Zasady usuwania karty inteligentnej (SCPolicySvc) Umo!liwia skonfigurowanie systemu w taki sposób, aby po usuni%ciu karty inteligentnej by" blokowany pulpit u!ytkownika. R%czny Zatrzymano Nazwa us!ugi Opis us!ugi Karta inteligentna (SCardSvr) czytnika kart inteligentnych na danym komputerze klienckim, serwerze cz"onkowskim czy kontrolerze domeny zmienia automatycznie domy#lny tryb uruchomienia na Automatyczny oraz stan na Uruchomiono. 6.5. Uruchamianie usMugi Zasady usuwania karty inteligentnej Je!eli w sieci komputerowej przedsi%biorstwa lub innej organizacji korzystaj$cej z najnowszych systemów operacyjnych firmy Microsoft: Windows Server 2008 Standard i Windows Vista Business z dodatkiem Service Pack 1, do uwierzytelniania si% w domenie b%d$ wykorzystywane karty inteligentne, na komputerach nale!$cych do sieci Rozdzia! 6. Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008 155 trzeba uruchomi+ us"ug% o nazwie Zasady usuwania karty inteligentnej, o której by"a ju! wcze#niej mowa. Dopóki ta us"uga nie b%dzie uruchomiona, komputer po wyj%ciu karty inteligentnej z czytnika kart inteligentnych b%dzie blokowany. Samo ustawienie zasady Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej nie wystarcza. Us"uga Zasady usuwania karty inteligentnej (SCPolicySvc) umo!liwia skonfigurowanie najnowszych systemów operacyjnych firmy Microsoft w taki sposób, aby po usuni%ciu karty inteligentnej z czytnika kart inteligentnych by" blokowany pulpit aktualnie zalogowanego u!ytkownika. W przypadku systemów operacyjnych Windows Server 2003 z dodatkiem Service Pack 2 czy Windows XP Professional z dodatkiem Service Pack 3 nie jest wymagane uruchamianie us"ugi Zasady usuwania karty inteligentnej, gdy! us"uga taka nie jest w nich dost%pna. Systemy automatycznie blokuj$ komputer po wyj%ciu karty inteligentnej z czytnika kart inteligentnych. Nie trzeba wi%c wykonywa+ omawianych w tym podrozdziale czynno#ci. Wystarczy tylko dokona+ ustawie' zasad grupy dotycz$cych kart inteligentnych, które zosta"y przedstawione w poprzednich podrozdzia"ach. Odpowiednio skonfigurowane musz$ by+ tylko najnowsze systemy operacyjne firmy Microsoft. Jak ju! wcze#niej wspomniano, istnieje kilka metod uruchamiania us"ugi Zasady usuwania karty inteligentnej. Mo!na to wykona+ r%cznie (na ka!dym komputerze wyposa!onym w czytnik kart inteligentnych) z poziomu konsoli MMC o nazwie UsSugi (ang. Services), któr$ w"$cza si% za pomoc$ komendy services.msc. Mo!na równie! skorzysta+ z metody automatycznej, tj. z wykorzystaniem zasad grupy, co b%dzie omówione dalej. To rozwi$zanie jest znacznie mniej pracoch"onne, co ma niebagatelne znaczenie w przypadku konfigurowania setek czy tysi%cy komputerów. Wystarczy jedynie skonfigurowa+ jedn$ zasad% i za pomoc$ us"ugi katalogowej Active Directory rozprowadzi+ j$ do komputerów znajduj$cych si% w okre#lonej jednostce organizacyjnej. Aby uruchomi+ us"ugi Zasady usuwania karty inteligentnej za pomoc$ zasad grupy, Administrator domeny (u!ytkownik EA.pl\Andministrator) musi wykona+ nast%puj$ce czynno#ci. 1. Uruchomi+ konsol% Zarz<dzanie zasadami grupy (np. za pomoc$ komendy gpmc.msc), a nast%pnie wyedytowa+ wcze#niej utworzon$ zasad% grupy o nazwie Karty inteligentne. 2. Przej#+ do w%z"a UsSugi systemowe i zaznaczy+ w prawym oknie us"ug% Zasady usuwania karty inteligentnej, jak na rysunku 6.23. 3. Z menu Akcja wybra+ opcj% WSa[ciwo[ci. 4. Na zak"adce Ustawianie zasad zabezpiecze= dokona+ takich ustawie', jakie zosta"y przedstawione na rysunku 6.24, a nast%pnie klikn$+ na przycisk OK. 5. Zamkn$+ konsol% Zarz<dzanie zasadami grupy. 6. Od#wie!y+ zasady grupy (u!ytkownika i komputera) za pomoc$ komendy gpupdate /force. Komenda ta wymusza natychmiastow$ aktualizacj% zasad grupy u!ytkownika i komputera.
