Poznaj i wprowadź PKI dla własnego bezpieczeństwa i ochrony danych
* Jak zarządzać infrastrukturą PKI?
* Jak zabezpieczać konta administracyjne?
* Jak przygotować stację rejestrowania certyfikatów cyfrowych kart inteligentnych?
Infrastruktura klucza publicznego PKI (skrót od ang. Public Key Infrastructure) stanowi zbiór sprzętu, oprogramowania, reguł oraz procedur koniecznych do tworzenia, zarządzania, przechowywania i dystrybucji certyfikatów opartych na kryptografii z kluczem publicznym. Dzięki tej infrastrukturze można tworzyć bezpieczne kanały do wymiany informacji oraz przesyłania ważnych danych przy użyciu Internetu. Najczęściej infrastruktura PKI wykorzystywana jest w handlu elektronicznym, ponieważ pozwala na wzajemną weryfikację sprzedawcy i kupującego oraz zapewnia bezpieczny kanał podczas obustronnej komunikacji sieciowej.
Książka „Windows Server 2008. Infrastruktura klucza publicznego (PKI)” zawiera wszystkie niezbędne informacje, związane z infrastrukturą klucza publicznego. Dzięki temu podręcznikowi poznasz zasady tworzenia PKI w przedsiębiorstwach dowolnej wielkości, a także wszystkie zagadnienia dotyczące szczegółowego procesu instalacji oraz konfiguracji nadrzędnego i podrzędnego urzędu certyfikacji. Dowiesz się, na czym polega konfigurowanie zasad grupy, związanych z infrastrukturą klucza publicznego — w szczególności tych dotyczących kart inteligentnych i usług, które są z nimi związane — na komputerze pracującym pod kontrolą serwerowego systemu operacyjnego Windows Server 2008 Standard.
* Infrastruktura klucza publicznego
* Architektura PKI w Windows Server 2008
* PKI a szyfrowanie informacji
* Zastosowania PKI
* Tworzenie infrastruktury PKI
* Nadrzędny i podrzędny urząd certyfikacji
* Szablony certyfikatów cyfrowych
* Zasady grupy i usługi związane z PKI
* Konfigurowanie IIS 7, SSL i IE 7 na potrzeby PKI
* Uwierzytelnianie za pomocą kart inteligentnych w Windows Server 2008 i Windows Vista
* Zdalny dostęp w Windows Server 2008 i Windows Vista
Bezpieczeństwo to podstawa. Profesjonalnie ochroń wartościowe dane firmy.
Windows Server 2008. Infrastruktura klucza publicznego (PKI)
1. Windows Server 2008.
Infrastruktura klucza
publicznego (PKI)
Autor: Andrzej Szel¹g
ISBN: 83-246-1914-3
Stron: 300
Poznaj i wprowadŸ PKI dla w³asnego bezpieczeñstwa i ochrony danych
• Jak zarz¹dzaæ infrastruktur¹ PKI?
• Jak zabezpieczaæ konta administracyjne?
• Jak przygotowaæ stacjê rejestrowania certyfikatów cyfrowych kart inteligentnych?
Infrastruktura klucza publicznego PKI (skrót od ang. Public Key Infrastructure) stanowi
zbiór sprzêtu, oprogramowania, regu³ oraz procedur koniecznych do tworzenia,
zarz¹dzania, przechowywania i dystrybucji certyfikatów opartych na kryptografii
z kluczem publicznym. Dziêki tej infrastrukturze mo¿na tworzyæ bezpieczne kana³y
do wymiany informacji oraz przesy³ania wa¿nych danych przy u¿yciu Internetu.
Najczêœciej infrastruktura PKI wykorzystywana jest w handlu elektronicznym, poniewa¿
pozwala na wzajemn¹ weryfikacjê sprzedawcy i kupuj¹cego oraz zapewnia bezpieczny
kana³ podczas obustronnej komunikacji sieciowej.
Ksi¹¿ka „Windows Server 2008. Infrastruktura klucza publicznego (PKI)” zawiera
wszystkie niezbêdne informacje, zwi¹zane z infrastruktur¹ klucza publicznego.
Dziêki temu podrêcznikowi poznasz zasady tworzenia PKI w przedsiêbiorstwach
dowolnej wielkoœci, a tak¿e wszystkie zagadnienia dotycz¹ce szczegó³owego procesu
instalacji oraz konfiguracji nadrzêdnego i podrzêdnego urzêdu certyfikacji. Dowiesz siê,
na czym polega konfigurowanie zasad grupy, zwi¹zanych z infrastruktur¹ klucza
publicznego — w szczególnoœci tych dotycz¹cych kart inteligentnych i us³ug, które s¹
z nimi zwi¹zane — na komputerze pracuj¹cym pod kontrol¹ serwerowego systemu
operacyjnego Windows Server 2008 Standard.
• Infrastruktura klucza publicznego
• Architektura PKI w Windows Server 2008
• PKI a szyfrowanie informacji
• Zastosowania PKI
• Tworzenie infrastruktury PKI
• Nadrzêdny i podrzêdny urz¹d certyfikacji
Wydawnictwo Helion • Szablony certyfikatów cyfrowych
ul. Koœciuszki 1c
• Zasady grupy i us³ugi zwi¹zane z PKI
44-100 Gliwice
• Konfigurowanie IIS 7, SSL i IE 7 na potrzeby PKI
tel. 032 230 98 63
e-mail: helion@helion.pl • Uwierzytelnianie za pomoc¹ kart inteligentnych w Windows Server 2008
i Windows Vista
• Zdalny dostêp w Windows Server 2008 i Windows Vista
Bezpieczeñstwo to podstawa.
Profesjonalnie ochroñ wartoœciowe dane firmy
2. Spis tre ci
Wprowadzenie .................................................................................. 7
Rozdziaä 1. Infrastruktura klucza publicznego (PKI) ........................................... 11
1.1. Co to jest PKI? ...................................................................................................... 12
1.2. Dlaczego PKI? ...................................................................................................... 13
1.3. Standardy zwi zane z PKI .................................................................................... 15
1.3.1. ITU X.509 ................................................................................................. 15
1.3.2. RSA PKCS ................................................................................................ 16
1.3.3. IETF PKIX ................................................................................................ 18
1.4. Architektura PKI w Windows Server 2008 .......................................................... 19
1.4.1. Urz dy certyfikacji (CA) i urz dy rejestracji (RA) .......................................... 19
1.4.2. Szablony certyfikatów i certyfikaty cyfrowe ............................................. 22
1.4.3. Repozytoria certyfikatów cyfrowych ......................................................... 26
1.4.4. Listy odwoáania certyfikatów (CRL) ......................................................... 28
1.4.5. Narz dzia do zarz dzania PKI w Windows Server 2008
i Windows Vista .................................................................................... 30
1.5. PKI a szyfrowanie informacji ............................................................................... 36
1.5.1. Podstawowe poj cia zwi zane z szyfrowaniem informacji ....................... 37
1.5.2. Symetryczne i asymetryczne metody szyfrowania informacji .................. 38
1.6. Zastosowania PKI ................................................................................................. 43
1.7. Funkcje zabezpieczaj ce w PKI ........................................................................... 44
Rozdziaä 2. Tworzenie infrastruktury PKI w Windows Server 2008 ..................... 45
2.1. Fazy projektu PKI ................................................................................................. 46
2.2. Projektowanie urz dów certyfikacji .......................................................................... 47
2.3. Planowanie hierarchii i struktury urz dów certyfikacji ........................................ 50
2.4. Planowanie wydajno ci i skalowalno ci urz dów certyfikatów ........................... 55
2.5. Planowanie zgáaszania da i dystrybucji certyfikatów cyfrowych .................... 57
2.6. Projektowanie zarz dzania urz dami certyfikacji i certyfikatami cyfrowymi .......... 61
2.7. Planowanie interwaáów publikowania list CRL .................................................... 62
2.8. Projektowanie bezpiecze stwa urz dów certyfikacji i danych ............................. 63
2.8.1. Fizyczne rodki ochronne .......................................................................... 64
2.8.2. Logiczne rodki ochronne ......................................................................... 66
Rozdziaä 3. Nadrzödny urzñd certyfikacji typu offline w Windows Server 2008 ...... 73
3.1. Minimalne wymagania systemowe i sprz towe dla nadrz dnego CA .................. 73
3.2. Zalecenia dla nadrz dnego CA ............................................................................. 74
3.3. Instalowanie nadrz dnego CA w trybie offline .................................................... 75
3. 4 Windows Server 2008. Infrastruktura klucza publicznego (PKI)
3.4. Konfigurowanie okresu wa no ci certyfikatów cyfrowych
wystawianych przez nadrz dny CA .................................................................. 85
3.5. Konfigurowanie punktu dystrybucji listy CRL (CDP)
i dost pu do informacji o urz dach (AIA) ........................................................ 86
3.6. Publikowanie listy odwoáania certyfikatów (CRL) ............................................... 90
3.7. Eksportowanie certyfikatu nadrz dnego CA i listy CRL ...................................... 91
Rozdziaä 4. Podrzödny urzñd certyfikacji typu online w Windows Server 2008 ...... 93
4.1. Minimalne wymagania systemowe i sprz towe dla podrz dnego CA .................. 93
4.2. Zalecenia dla podrz dnego CA ............................................................................. 94
4.3. Instalowanie podrz dnego CA w trybie online ..................................................... 95
4.4. Uzyskiwanie certyfikatu cyfrowego z nadrz dnego CA dla podrz dnego CA ......... 104
4.5. Importowanie certyfikatu nadrz dnego CA i listy CRL do podrz dnego CA ........ 109
4.6. Uruchamianie usáugi certyfikatów na podrz dnym CA ...................................... 115
4.7. Konfigurowanie punktu dystrybucji listy CRL (CDP)
i dost pu do informacji o urz dach (AIA) ...................................................... 119
4.8. Publikowanie certyfikatu cyfrowego nadrz dnego CA
w usáudze katalogowej Active Directory ........................................................ 121
Rozdziaä 5. Szablony certyfikatów cyfrowych w Windows Server 2008 ............. 123
5.1. Domy lne uprawnienia szablonów certyfikatów cyfrowych .............................. 124
5.1.1. Szablon certyfikatu cyfrowego typu „Kontroler domeny” ...................... 125
5.1.2. Szablon certyfikatu cyfrowego typu „Logowanie kart inteligentn ” ..... 126
5.1.3. Szablon certyfikatu cyfrowego typu „Administrator” ............................. 126
5.2. Instalowanie certyfikatu cyfrowego typu „Kontroler domeny”
na kontrolerze domeny .................................................................................... 127
5.3. Wá czanie szablonu certyfikatu cyfrowego typu
„Logowanie kart inteligentn ” na podrz dnym CA ...................................... 132
5.4. Instalowanie certyfikatu cyfrowego typu „Administrator” na podrz dnym CA ....... 134
Rozdziaä 6. Zasady grupy i usäugi zwiñzane z PKI w Windows Server 2008 ......... 139
6.1. Zasady grupy ...................................................................................................... 139
6.2. Zasady kluczy publicznych ................................................................................. 140
6.3. Konfigurowanie zasad grupy dotycz cych kart inteligentnych ........................... 146
6.3.1. Logowanie interakcyjne: wymagaj karty inteligentnej ............................ 148
6.3.2. Logowanie interakcyjne: zachowanie przy usuwaniu
karty inteligentnej ................................................................................ 150
6.4. Usáugi zwi zane z kartami inteligentnymi .......................................................... 153
6.5. Uruchamianie usáugi Zasady usuwania karty inteligentnej ................................. 154
Rozdziaä 7. Konfigurowanie IIS 7, SSL i IE 7 na potrzeby PKI ........................... 157
7.1. Bezpieczna komunikacja sieciowa ..................................................................... 157
7.2. Internet Information Services 7 (IIS 7) ............................................................... 158
7.3. Instalowanie certyfikatu typu „Serwer sieci Web” na serwerze IIS 7 ................. 160
7.4. Secure Socket Layer (SSL) ................................................................................. 164
7.5. Konfigurowanie ustawie protokoáu SSL na serwerze IIS 7 .............................. 165
7.6. Internet Explorer 7 (IE 7) ................................................................................... 168
7.7. Przygotowanie programu IE 7 do bezpiecznej obsáugi witryny CertSrv ............ 170
Rozdziaä 8. Uwierzytelnianie za pomocñ kart inteligentnych
w Windows Server 2008 i Windows Vista ...................................... 175
8.1. Karty inteligentne ............................................................................................... 176
8.2. Czytniki kart inteligentnych ............................................................................... 177
8.3. Zarz dzanie kartami inteligentnymi w Windows Server 2008 .............................. 177
4. Spis tre ci 5
8.3.1. Przygotowanie stacji rejestrowania certyfikatów
cyfrowych kart inteligentnych ............................................................. 178
8.3.2. Przygotowanie karty inteligentnej do pracy ............................................ 181
8.3.3. Umieszczenie certyfikatu typu „Logowanie kart inteligentn ”
na karcie inteligentnej .......................................................................... 184
8.4. Zarz dzanie dost pem u ytkowników w Windows Vista ................................... 194
8.4.1. Zabezpieczanie kont administracyjnych .................................................. 194
8.4.2. Metody uwierzytelniania ......................................................................... 195
8.4.3. Konfigurowanie opcji kont u ytkowników w usáudze Active Directory ....... 196
8.4.4. Logowanie do systemu Windows Vista za pomoc karty inteligentnej ...... 197
Rozdziaä 9. Zdalny dostöp w Windows Server 2008 i Windows Vista ............... 203
9.1. Narz dzia administracji zdalnej serwera firmy Microsoft .................................. 204
9.2. Pulpit zdalny firmy Microsoft ............................................................................. 204
9.3. Instalowanie i konfigurowanie narz dzi administracji zdalnej
serwera w Windows Vista .............................................................................. 207
9.4. Zarz dzanie PKI za pomoc narz dzi administracji zdalnej
serwera firmy Microsoft ................................................................................. 209
9.5. Konfigurowanie serwera na potrzeby usáugi Pulpit zdalny firmy Microsoft ......... 215
9.5.1. Wá czanie usáugi Pulpit zdalny firmy Microsoft ..................................... 216
9.5.2. Konfigurowanie ustawie serwera terminali ........................................... 217
9.5.3. Zmiana domy lnego numeru portu dla usáug terminalowych .................. 222
9.5.4. Konfigurowanie ustawie programu Zapora systemu Windows ............. 224
9.6. Konfigurowanie klienta usáugi Pulpit zdalny ...................................................... 224
9.7. Zarz dzanie infrastruktur PKI za pomoc klienta usáugi Pulpit zdalny ............ 228
Skorowidz .................................................................................... 231
5. 140 Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Rysunek 6.1.
Zasady grupy
dotycz ce komputera
2. Zasady grupy dotycz ce u ytkownika, które przedstawiono na rysunku 6.2. S
one stosowane do tych u ytkowników, którzy loguj si do systemu na danym
komputerze. Na ogóá zasady te s aktywowane natychmiast po uwierzytelnieniu
to samo ci u ytkownika, ale przed przyznaniem mu dost pu do systemu Windows.
Rysunek 6.2.
Zasady grupy
dotycz ce
u ytkownika
Zasady grupy nie powoduj trwaáych zmian w rejestrze systemu Windows. Mo na je
wi c bardzo áatwo dodawaü i usuwaü bez „za miecania” rejestru czy konieczno ci
ponownego uruchamiania systemu operacyjnego.
6.2. Zasady kluczy publicznych
W tej cz ci ksi ki zostan przedstawione zasady grupy zwi zane z infrastruktur klu-
cza publicznego (PKI), a w szczególno ci zawarto ü kontenera o nazwie Zasady kluczy
publicznych. Obiekty i opcje dost pne w tym kontenerze umo liwiaj zarz dzanie
6. Rozdziaä 6. i Zasady grupy i usäugi zwiñzane z PKI w Windows Server 2008 141
ustawieniami infrastruktury klucza publicznego, które znajduj si w sekcji dotycz cej
komputera (rysunek 6.3) i u ytkownika (rysunek 6.4) w dowolnej wielko ci przedsi -
biorstwie lub organizacji.
Rysunek 6.3. Zasady kluczy publicznych dotycz ce komputera
Rysunek 6.4. Zasady kluczy publicznych dotycz ce u ytkownika
Co mo na skonfigurowaü za pomoc obiektów oraz opcji dost pnych w kontenerze
Zasady kluczy publicznych? Najwa niejsze ustawienia zostaáy przedstawione poni ej
w punktach.
7. 142 Windows Server 2008. Infrastruktura klucza publicznego (PKI)
1. Automatyczne rejestrowanie certyfikatów cyfrowych u ytkownika
i komputera
Automatyczne rejestrowanie certyfikatów cyfrowych u ytkownika
i komputera pozwala w niezwykle prosty sposób zautomatyzowaü:
proces odnawiania wygasáych certyfikatów cyfrowych,
aktualizowanie oczekuj cych certyfikatów cyfrowych (równie tych,
które u ywaj opisanych wcze niej szablonów certyfikatów cyfrowych),
usuwanie odwoáanych certyfikatów cyfrowych,
powiadamianie o wygasaniu danego certyfikatu cyfrowego, zanim sko czy
si jego okres wa no ci.
Powy sze cele mo na osi gn ü, edytuj c wáa ciwo ci obiektu Klient usáug
certyfikatów — automatyczne rejestrowanie z poziomu kontenera Zasady
kluczy publicznych, co przedstawiono na rysunku 6.5.
Rysunek 6.5.
Klient usáug
certyfikatów
— automatyczne
rejestrowanie
dla komputera
Zgodnie z rysunkiem 6.5, na zakáadce Definiowanie ustawie zasad mo na
skonfigurowaü automatyczne rejestrowanie certyfikatów cyfrowych
u ytkowników oraz komputerów. W tym odnawianie wygasáych certyfikatów
cyfrowych, aktualizacj oczekuj cych czy usuni cie odwoáanych certyfikatów
cyfrowych. Poza tym mo na zaktualizowaü certyfikaty cyfrowe, które zostaáy
utworzone na podstawie szablonów certyfikatów cyfrowych. W przypadku
skonfigurowania automatycznego rejestrowania dla u ytkowników dodatkowo
pojawi si (rysunek 6.6) opcja Powiadomienie o wyga ni ciu. Jej wá czenie
spowoduje wy wietlanie powiadomienia o wygasaniu certyfikatu cyfrowego,
gdy procent pozostaáego okresu wa no ci tego certyfikatu wyniesie 10%.
T domy ln warto ü mo na oczywi cie zmieniaü w zale no ci od wymaga
danego przedsi biorstwa lub innej organizacji.
8. Rozdziaä 6. i Zasady grupy i usäugi zwiñzane z PKI w Windows Server 2008 143
Rysunek 6.6.
Klient usáug
certyfikatów
— automatyczne
rejestrowanie
dla u ytkownika
2. Konfigurowanie ustawie sprawdzania poprawno ci cie ki certyfikatu
U ytkownicy przedsi biorstwa lub innej organizacji mog w dowolnym
stopniu korzystaü z certyfikatów cyfrowych. W najnowszych serwerowych
systemach operacyjnych Microsoft Windows Server 2008 Standard
administrator domeny ma mo liwo ü kontrolowania (dzi ki obiektowi
o nazwie Ustawienia sprawdzania poprawno ci cie ki certyfikatu, który jest
dost pny w kontenerze Zasady kluczy publicznych) stopie zu ytkowania tych
certyfikatów. Po wybraniu wáa ciwo ci obiektu Ustawienia sprawdzania
poprawno ci cie ki certyfikatu mo na przej ü do konfigurowania ustawie
sprawdzania poprawno ci cie ki certyfikatu cyfrowego. Sáu do tego opcje,
które s dost pne na czterech zakáadkach (Magazyny, Zaufani wydawcy,
Pobieranie z sieci i Odwoáywanie), oraz zasady Sprawdzanie poprawno ci
cie ki certyfikatu. Na potrzeby tej ksi ki zostanie omówiona jedynie zakáadka
Magazyny, gdy pozostaáe nie s tak istotne.
Jak ogólnie wiadomo, przedsi biorstwa i inne organizacje chc jednoznacznie
identyfikowaü oraz rozprowadzaü w sieci komputerowej tylko zaufane certyfikaty
cyfrowe nadrz dnych urz dów certyfikacji. Umo liwiaj to opcje dost pne
na zakáadce o nazwie Magazyny, przedstawionej na rysunku 6.7. Z poziomu tej
zakáadki mo na okre laü m.in. reguáy zaufania u ytkownika do certyfikatu
cyfrowego nadrz dnego CA, który funkcjonuje w danym przedsi biorstwie
lub organizacji.
3. Konfigurowanie ustawienia automatycznego dania certyfikatu
dla komputerów
Jak ju wspomniano na pocz tku tego rozdziaáu, zarz dzanie ka dym
certyfikatem cyfrowym z osobna jest czasocháonne. W kontenerze o nazwie
Ustawienia automatycznego dania certyfikatu administrator domeny mo e
9. 144 Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Rysunek 6.7.
Zakáadka „Magazyny”
zdefiniowaü, których typów certyfikatów cyfrowych komputer mo e za daü
automatycznie. W przypadku tworzenia nowego dania certyfikatu cyfrowego
zostanie uruchomione narz dzie Kreator instalatora automatycznego dania
certyfikatu, co przedstawia rysunek 6.8.
Rysunek 6.8.
„Kreator instalatora
automatycznego
dania certyfikatu”
10. Rozdziaä 6. i Zasady grupy i usäugi zwiñzane z PKI w Windows Server 2008 145
4. Importowanie certyfikatu nadrz dnego CA do magazynu
„Zaufane gáówne urz dy certyfikacji”
Po zainstalowaniu w przedsi biorstwie lub innej organizacji nadrz dnego CA
nale y dodaü (zaimportowaü) jego certyfikat cyfrowy do magazynu Zaufane
gáówne urz dy certyfikacji, co pozwoli przenie ü go automatycznie (za pomoc
zasad grupy) na ró ne komputery (komputery klienckie, serwery czáonkowski itp.).
Certyfikat cyfrowy nadrz dnego CA mo na dodaü do magazynu Zaufane
gáówne urz dy certyfikacji po zaznaczeniu obiektu o nazwie Zaufane gáówne
urz dy certyfikacji. Nast pnie trzeba wybraü z menu Akcja opcj Importuj…
Zostanie wówczas uruchomiony dobrze znany z poprzednich rozdziaáów
kreator o nazwie Kreator importu certyfikatów — za jego pomoc mo na
zaimportowaü certyfikat cyfrowy nadrz dnego CA (rysunek 6.9).
Rysunek 6.9. Certyfikat cyfrowy nadrz dnego CA zaimportowany do magazynu „Zaufane gáówne
urz dy certyfikacji”
5. Importowanie certyfikatu podrz dnego CA do magazynu
„Po rednie urz dy certyfikacji”
Po zainstalowaniu w przedsi biorstwie lub innej organizacji podrz dnego CA
nale y (podobnie jak w przypadku certyfikatu nadrz dnego CA) zaimportowaü
jego certyfikat cyfrowy do magazynu Po rednie urz dy certyfikacji.
Po zaimportowaniu certyfikatu cyfrowego podrz dnego CA do magazynu
Po rednie urz dy certyfikacji w prawym oknie konsoli powinien pojawiü si
certyfikat CA-02, jak na rysunku 6.10. Zostaje dodany równie certyfikat
cyfrowy nadrz dnego CA (CA-01), co tak e obrazuje ten sam rysunek.
Jak pami tamy z rozdziaáu 4., podczas eksportu certyfikatu cyfrowego
11. 146 Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Rysunek 6.10. Certyfikat podrz dnego CA zaimportowany do magazynu „Po rednie urz dy certyfikacji”
podrz dnego CA zostaá wybrany format PKCS #7 (.P7B) wraz z opcj Je eli
jest to mo liwe, doá cz wszystkie certyfikaty do cie ki certyfikacji. Poniewa
certyfikat cyfrowy nadrz dnego CA nale y do tej cie ki, jest dodawany
wsz dzie tam, gdzie wprowadzono certyfikat cyfrowy podrz dnego CA.
Po wykonaniu powy szych kroków nale y od wie yü zasady grupy (u ytkownika oraz
komputera) za pomoc komendy gpupdate /force. Wykonanie tej komendy wymusza
natychmiastow aktualizacj zasad grupy u ytkownika i komputera.
6.3. Konfigurowanie zasad grupy
dotyczñcych kart inteligentnych
Najnowsze serwerowe systemy operacyjne Windows Server 2008 Standard zawieraj
kilka zasad, które dotycz kart inteligentnych. W tej cz ci ksi ki zaprezentowane zo-
stan dwie najcz ciej wykorzystywane, czyli:
1. Logowanie interakcyjne: wymagaj karty inteligentnej. To ustawienie
zabezpiecze okre la, e u ytkownicy domeny mog si zalogowaü si
do komputera tylko przy u yciu karty inteligentnej z wáa ciwym certyfikatem
cyfrowym.
12. Rozdziaä 6. i Zasady grupy i usäugi zwiñzane z PKI w Windows Server 2008 147
2. Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej.
To ustawienie zabezpiecze okre la, co si stanie, je li karta inteligentna
aktualnie zalogowanego do komputera u ytkownika zostanie wyj ta z czytnika
kart inteligentnych.
Powy sze zasady, których wá czenie podnosi poziom bezpiecze stwa w przedsi bior-
stwie lub innej organizacji wykorzystuj cych infrastruktur klucza publicznego (PKI),
s dost pne z poziomu konsoli Zarz dzanie zasadami grupy na kontrolerze domeny.
Najcz ciej zasady grupy dotycz ce kart inteligentnych mo na definiowaü dla caáej do-
meny sieciowej lub dla wybranej jednostki organizacyjnej (ang. Organizational Unit).
Na potrzeby tej ksi ki zdefiniowane zostan zasady dla jednostki organizacyjnej o na-
zwie PKI. W tym celu Administrator domeny (u ytkownik EA.plAdministrator) na kon-
trolerze domeny o nazwie DC-01 musi:
1. Uruchomiü konsol Zarz dzanie zasadami grupy (np. za pomoc
komendy gpmc.msc).
2. Przej ü do obiektu o nazwie PKI i utworzyü w nim nowy obiekt zasad grupy
o nazwie Karty inteligentne, jak na rysunku 6.11.
Rysunek 6.11.
Nowy obiekt zasad
grupy o nazwie
„Karty inteligentne”
3. Rozwin ü w zeá Obiekty zasad grupy i zaznaczyü zasad Karty inteligentne.
4. Z menu Akcja wybraü opcj Edytuj…
5. Przej ü do w záa Opcje zabezpiecze , przedstawionego na rysunku 6.12.
Rysunek 6.12. W zeá „Opcje zabezpiecze ” wraz z domy lnymi zasadami grypy
13. 148 Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Z poziomu w záa Opcje zabezpiecze zostan skonfigurowane dwie wspomniane wcze-
niej zasady grupy dotycz ce kart inteligentnych, czyli:
Logowanie interakcyjne: wymagaj karty inteligentnej,
Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej.
6.3.1. Logowanie interakcyjne:
wymagaj karty inteligentnej
Je eli przedsi biorstwo lub inna organizacja zechce umo liwiü dost p do jakiego ser-
wera czáonkowskiego, np. o nazwie CA-02 (podrz dnego CA), jedynie z wykorzysta-
niem kart inteligentnych, musi wá czyü zasad o nazwie Logowanie interakcyjne:
wymagaj karty inteligentnej. Dzi ki tej zasadzie podczas logowania za pomoc hasáa
dost powego do tego serwera pojawi si komunikat przedstawiony na rysunku 6.13.
Oczywi cie po wcze niejszym wykonaniu omawianych w tym podrozdziale kroków
i po przeniesieniu konta serwera czáonkowskiego o nazwie CA-02 do jednostki orga-
nizacyjnej PKI, dla której zostaáa ustawiona powy sza zasada. Trzeba pami taü o tym,
aby przed przeniesieniem konta komputera do wspomnianej jednostki organizacyjnej
zaimportowaü do odpowiednich magazynów certyfikaty cyfrowe nadrz dnego i pod-
rz dnego CA oraz listy CRL.
Rysunek 6.13. Wynik dziaáania zasady „Logowanie interakcyjne: wymagaj karty inteligentnej”
Aby wá czyü zasad o nazwie Logowanie interakcyjne: wymagaj karty inteligentnej,
Administrator domeny (u ytkownik EA.plAdministrator) musi wykonaü wymieniane
poni ej dziaáania na kontrolerze domeny.
1. Zaznaczyü w prawym oknie zasad Logowanie interakcyjne: wymagaj karty
inteligentnej, jak na rysunku 6.14.
2. Z menu Akcja wybraü opcj Wáa ciwo ci.
3. Na zakáadce Ustawianie zasad zabezpiecze zaznaczyü pole wyboru Definiuj
nast puj ce ustawienie zasad, a nast pnie wybraü opcj Wá czone,
jak na rysunku 6.15.
14. Rozdziaä 6. i Zasady grupy i usäugi zwiñzane z PKI w Windows Server 2008 149
Rysunek 6.14. Zasada „Logowanie interakcyjne: wymagaj karty inteligentnej”
Rysunek 6.15.
Zakáadka
„Ustawianie zasad
zabezpiecze ”
dla „Logowanie
interakcyjne:
wymagaj karty
inteligentnej”
4. Klikn ü na przycisk OK, aby zamkn ü okno Wáa ciwo ci: Logowanie
interakcyjne: wymagaj karty inteligentnej. Nie nale y zamykaü konsoli
Zarz dzanie zasadami grupy, gdy b dzie ona potrzebna do ustawienia
kolejnej zasady o nazwie „Logowanie interakcyjne: zachowanie przy
usuwaniu karty inteligentnej”.
15. 150 Windows Server 2008. Infrastruktura klucza publicznego (PKI)
6.3.2. Logowanie interakcyjne:
zachowanie przy usuwaniu karty inteligentnej
Je eli chcemy, aby dost p do jakiego serwera czáonkowskiego, np. o nazwie CA-02
(podrz dnego CA), byá blokowany po wyj ciu karty inteligentnej z czytnika kart in-
teligentnych (rysunek 6.16), trzeba wá czyü zasad o nazwie Logowanie interakcyjne:
zachowanie przy usuwaniu karty inteligentnej. Oczywi cie po wcze niejszym wyko-
naniu przedstawionych w tym podrozdziale (i w dwóch kolejnych) kroków, a nast p-
nie po przeniesieniu konta serwera czáonkowskiego o nazwie CA-02 do jednostki or-
ganizacyjnej PKI, dla której zostaáa ustawiona ta zasada grupy.
Rysunek 6.16. Wynik dziaáania zasady „Logowanie interakcyjne: zachowanie przy usuwaniu karty
inteligentnej”
Aby skonfigurowaü zasad dotycz c zachowania si komputera podczas usuwania
karty inteligentnej z czytnika kart inteligentnych, Administrator domeny (u ytkownik
EA.plAdministrator) musi wykonaü wymieniane poni ej dziaáania.
1. Zaznaczyü w prawym oknie konsoli Zarz dzanie zasadami grupy zasad
Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej,
jak na rysunku 6.17.
2. Z menu Akcja wybraü opcj Wáa ciwo ci.
3. Na zakáadce Ustawianie zasad zabezpiecze zaznaczyü pole wyboru Definiuj
nast puj ce ustawienie zasad, a nast pnie z listy rozwijalnej wybraü akcj
Zablokuj stacj robocz , jak na rysunku 6.18. Poza t akcj s dost pne inne opcje:
Brak akcji,
Wymuszaj wylogowanie,
Rozá cz w przypadku zdalnej sesji usáug terminalowych.
16. Rozdziaä 6. i Zasady grupy i usäugi zwiñzane z PKI w Windows Server 2008 151
Rysunek 6.17. Zasada „Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej”
Rysunek 6.18.
Zakáadka
„Ustawianie zasad
zabezpiecze
dla Logowanie
interakcyjne:
zachowanie przy
usuwaniu karty
inteligentnej”
4. Klikn ü na przycisk OK.
5. Zamkn ü konsol Edytor zarz dzania zasadami grupy.
Po wykonaniu powy szych dziaáa nale y od wie yü zasady grupy (u ytkownika oraz
komputera) za pomoc komendy gpupdate /force. Komenda ta wymusza natychmia-
stow aktualizacj zasad grupy u ytkownika i komputera.
W przypadku zasady Logowanie interakcyjne: zachowanie przy usuwaniu karty inte-
ligentnej warto pami taü o jeszcze jednym. Zasada ta dziaáa dopiero po wá czeniu na
komputerze wyposa onym w czytnik kart inteligentnych i kart inteligentn (za pomoc
17. 152 Windows Server 2008. Infrastruktura klucza publicznego (PKI)
którego realizowane jest uwierzytelnianie z wykorzystaniem certyfikatu cyfrowego karty
inteligentnej) usáugi o nazwie Zasady usuwania karty inteligentnej. Jest to nowa usáuga
w systemach operacyjnych Windows Server 2008 Standard i Windows Vista Business,
uruchamiana r cznie lub automatycznie. Druga metoda zostanie przedstawiona w dal-
szej cz ci tego rozdziaáu. W przypadku r cznego uruchamiania powy szej usáugi mo na
j wá czyü poprzez ustawienie trybu uruchomienia na Automatyczny. Próba zmiany
stanu usáugi z domy lnej warto ci Zatrzymano na Uruchom wygeneruje komunikat,
który przedstawia rysunek 6.19.
Rysunek 6.19.
Okno „Usáugi”
Zgodnie z komunikatem przedstawionym na rysunku 6.19, usáuga Zasady usuwania
karty inteligentnej zostaáa uruchomiona, a nast pnie z powrotem zatrzymana. Dlaczego
tak si dzieje? Poniewa jest ona zale na od innych usáug. Mo na jednak wymusiü
wá czenie powy szej usáugi (bez komunikatu z rysunku 6.19) z poziomu okna Edytor
rejestru poprzez zmian warto ci ci gu binarnego o nazwie scremoveoption z 0 na 1.
Warto ü ta znajduje si w kluczu o nazwie HKEY_LOCAL_MACHINESOFTWARE
´MicrosoftWindows NTCurrentVersionWinlogon, co przedstawia rysunek 6.20. Na
potrzeby niniejszej ksi ki usáuga ta zostanie wá czona za pomoc zasad grupy. R czne
modyfikacje rejestru s niebezpieczne i nale y si ich wystrzegaü.
Rysunek 6.20. Okno „Edytor rejestru”
18. Rozdziaä 6. i Zasady grupy i usäugi zwiñzane z PKI w Windows Server 2008 153
Wszystkie omówione w tym rozdziale ustawienia zasad grupy Karty inteligentne dla
obiektu PKI (jednostki organizacyjnej o nazwie PKI) mo na sprawdziü na zakáadce
Ustawienia, przedstawionej na rysunku 6.21.
Rysunek 6.21. Ustawienia zasad grupy „Karty inteligentne” dla obiektu PKI
Ustawienia zasad grupy Karty inteligentne dla obiektu PKI mo na wyeksportowaü do
formatu HTML (jako raport), a nast pnie przegl daü je za pomoc przegl darki inter-
netowej Internet Explorer 7, co przedstawia rysunek 6.22.
6.4. Usäugi zwiñzane
z kartami inteligentnymi
Najnowsze systemy operacyjne firmy Microsoft: Windows Server 2008 Standard oraz
Windows Vista Business, zawieraj kilka usáug, które s zwi zane z infrastruktur klu-
cza publicznego (PKI). Najwa niejsze zostaáy przedstawione w tabeli 6.1 wraz z ich do-
my lnymi trybami uruchomienia i stanami.
Domy lny tryb uruchomienia i stany poszczególnych usáug zwi zanych z infrastruk-
tura klucza publicznego (PKI) mog si zmieniü w zale no ci od potrzeb przedsi -
biorstwa lub innej organizacji, o czym b dzie mowa w nast pnych rozdziaáach. Ogól-
nie rzecz ujmuj c, np. usáuga o nazwie Karta inteligentna po zainstalowaniu sterownika
19. 154 Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Rysunek 6.22. Raport dla obiektu zasad grupy „Karty inteligentne”
Tabela 6.1. Domy lne ustawienia wybranych usáug zwi zanych z PKI
Domy lny tryb
Nazwa usäugi Opis usäugi Stan usäugi
uruchomienia
Karta inteligentna Zarz dza dost pem do kart inteligentnych R czny Zatrzymano
(SCardSvr) czytanych przez ten komputer.
Propagacja certyfikatu Propaguje certyfikaty z kart inteligentnych. R czny Zatrzymano
(CertPropSvc)
Zasady usuwania Umo liwia skonfigurowanie systemu w taki R czny Zatrzymano
karty inteligentnej sposób, aby po usuni ciu karty inteligentnej
(SCPolicySvc) byá blokowany pulpit u ytkownika.
czytnika kart inteligentnych na danym komputerze klienckim, serwerze czáonkowskim
czy kontrolerze domeny zmienia automatycznie domy lny tryb uruchomienia na Auto-
matyczny oraz stan na Uruchomiono.
6.5. Uruchamianie usäugi Zasady
usuwania karty inteligentnej
Je eli w sieci komputerowej przedsi biorstwa lub innej organizacji korzystaj cej z naj-
nowszych systemów operacyjnych firmy Microsoft: Windows Server 2008 Standard
i Windows Vista Business z dodatkiem Service Pack 1, do uwierzytelniania si w do-
menie b d wykorzystywane karty inteligentne, na komputerach nale cych do sieci
20. Rozdziaä 6. i Zasady grupy i usäugi zwiñzane z PKI w Windows Server 2008 155
trzeba uruchomiü usáug o nazwie Zasady usuwania karty inteligentnej, o której byáa
ju wcze niej mowa. Dopóki ta usáuga nie b dzie uruchomiona, komputer po wyj ciu
karty inteligentnej z czytnika kart inteligentnych b dzie blokowany. Samo ustawie-
nie zasady Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej
nie wystarcza.
Usáuga Zasady usuwania karty inteligentnej (SCPolicySvc) umo liwia skonfigurowa-
nie najnowszych systemów operacyjnych firmy Microsoft w taki sposób, aby po usu-
ni ciu karty inteligentnej z czytnika kart inteligentnych byá blokowany pulpit aktual-
nie zalogowanego u ytkownika. W przypadku systemów operacyjnych Windows Server
2003 z dodatkiem Service Pack 2 czy Windows XP Professional z dodatkiem Service
Pack 3 nie jest wymagane uruchamianie usáugi Zasady usuwania karty inteligentnej,
gdy usáuga taka nie jest w nich dost pna. Systemy automatycznie blokuj komputer
po wyj ciu karty inteligentnej z czytnika kart inteligentnych. Nie trzeba wi c wykony-
waü omawianych w tym podrozdziale czynno ci. Wystarczy tylko dokonaü ustawie
zasad grupy dotycz cych kart inteligentnych, które zostaáy przedstawione w poprzednich
podrozdziaáach. Odpowiednio skonfigurowane musz byü tylko najnowsze systemy ope-
racyjne firmy Microsoft.
Jak ju wcze niej wspomniano, istnieje kilka metod uruchamiania usáugi Zasady usu-
wania karty inteligentnej. Mo na to wykonaü r cznie (na ka dym komputerze wypo-
sa onym w czytnik kart inteligentnych) z poziomu konsoli MMC o nazwie Usáugi
(ang. Services), któr wá cza si za pomoc komendy services.msc. Mo na równie
skorzystaü z metody automatycznej, tj. z wykorzystaniem zasad grupy, co b dzie
omówione dalej. To rozwi zanie jest znacznie mniej pracocháonne, co ma niebagatelne
znaczenie w przypadku konfigurowania setek czy tysi cy komputerów. Wystarczy je-
dynie skonfigurowaü jedn zasad i za pomoc usáugi katalogowej Active Directory
rozprowadziü j do komputerów znajduj cych si w okre lonej jednostce organizacyjnej.
Aby uruchomiü usáugi Zasady usuwania karty inteligentnej za pomoc zasad grupy,
Administrator domeny (u ytkownik EA.plAndministrator) musi wykonaü nast puj ce
czynno ci.
1. Uruchomiü konsol Zarz dzanie zasadami grupy (np. za pomoc komendy
gpmc.msc), a nast pnie wyedytowaü wcze niej utworzon zasad grupy
o nazwie Karty inteligentne.
2. Przej ü do w záa Usáugi systemowe i zaznaczyü w prawym oknie usáug
Zasady usuwania karty inteligentnej, jak na rysunku 6.23.
3. Z menu Akcja wybraü opcj Wáa ciwo ci.
4. Na zakáadce Ustawianie zasad zabezpiecze dokonaü takich ustawie , jakie
zostaáy przedstawione na rysunku 6.24, a nast pnie klikn ü na przycisk OK.
5. Zamkn ü konsol Zarz dzanie zasadami grupy.
6. Od wie yü zasady grupy (u ytkownika i komputera) za pomoc komendy
gpupdate /force. Komenda ta wymusza natychmiastow aktualizacj zasad
grupy u ytkownika i komputera.