Книги, научные публикации
Pages: | 1 | ... | 15 | 16 | 17 | 18 | Distributed Systems Guide Microsoft Windows 2000 Server Microsoft Press Распределенные системы Книга 1 Microsof Windows 2000 ...
-- [ Страница 17 ] --Х просмотр информации сертификатов;
Х экспорт сертификатов и закрытых ключей;
Х архивирование и восстановление центров сертификации;
Х отказ или одобрение запросов на сертификаты;
Х отзыв сертификатов;
Х публикация списков отозванных сертификатов (CRL);
Х обновление сертификатов центров сертификации;
Х восстановление зашифрованных данных;
Х поддержка программ командной строки служб сертификации.
Подробнее о выполнении текущих задач службами сертификации Ч в справочной системе служб сертификации.
Поддержка страниц подачи заявок на сертификаты через Интернет Для обращения к страницам подачи заявок на сертификаты через Интернет следу ет ввести в адресной строке браузера следующий URL-адрес:
//
Когда в окне Вашего браузера откроется страница Welcome (Добро пожаловать!), выберите требуемое действие. Элементы этой страницы описаны в таблице 16-20.
Таблица 16-20. Выбор операций на странице Welcome Вариант Описание Retrieve the CA certificate or Запрос на сертификат ЦС или на последний список CRL.
certificate revocation list После того как Вы щелкнете кнопку Next (Далее), откроет ся страница Retrieve the CA Certificate or Certificate (Получить сертификат ЦС Revocation List (Поиск сертификата ЦС или списка отзыва или список отзыва сертификатов) сертификатов). В ней можно создать доверительные отно шения с центром сертификации на локальном компьютере, задав путь сертификации ля сертификата ЦС в хранилище сертификатов локального компьютера Request a certificate Запрос на сертификат или отправка запроса на сертификат (Запросить сертификат) посредством указания дополнительных параметров, описан ных далее в этой главе. После того как Вы щелкнете кноп ку Next (Дален), откроется страница Choose Request Type (Выбор типа запроса) Check on a pending certificate Проверка состояния запросов на сертификаты, ожидающих (Проверить ожидающий обработки, и установка сертификата после одобрения зап роса. После того как Вы щелкнете кнопку Next (Далее), выполнения запрос откроется страница Check On a Pending Certificate Re на сертификат) quest (Проверка ожидающего выполнения запроса на сер тификат). Здесь можно проверить запросы, отправленные в изолированный ЦС. Если не проверять состояние ожидаю щих обработки запросов в течение 10 дней, сертификаты не будут выпущены, и придется запрашивать сертификат снова Службы сертификации и инфраструктура открытого ключа в Windows ГЛАВА 16 Выбрав вариант действий, щелкните Next (Далее). Какая Web-страница после это го откроется, зависит от выбранного Вами варианта.
Выбор типа запрашиваемого сертификата Запрос сертификата пользователя или создание расширенного запроса на сертифи кат осуществляется на Web-странице Choose Certificate Type (Выбор типа запро са). Параметры этой страницы описаны таблице 16-21.
Таблица 16-21. Выбор варианта действий на странице Choose Certificate Type Вариант Описание User certificate request Выбор одного из перечисленных типов сертификатов. На (Запрос сертификата Web-странице ЦС предприятия в списке есть только сер пользователя) тификат User Certificate (Сертификат пользователя), а на изолированном ЦС указаны сертификаты E-Mail Protection Certificate (Сертификат защиты электронной почты) и Web Browser Certificate (Сертификат программы обзора веба). В совокупности эти сертификаты обеспечивают боль шинство функциональных возможностей сертификата пользователя на ЦС предприятия (за исключением подлер жки EFS). После того как Вы щелкнете кнопку Next (Да лее), откроется страница User Certificate - Identifying Information (Сертификат пользователя Ч Идентифицирую щая информация) Advanced request Создание расширенного запроса на сертификат. После того (Расширенный запрос) как Вы щелкнете кнопку Next (Далее), откроется страница Advanced Certificate Requests (Расширенные запросы на сертификаты) Выбрав вариант действий, щелкните Next (Далее) и завершите процесс запроса сертификата, следуя инструкциям на Web-страницах.
При запросе сертификата на ЦС предприятия центр сертификации использует ;
паб лон сертификата и информацию учетной записи пользователя в Active Directory для проверки правомочности запроса и принятия решения о выдаче сертификата или отказе. Изолированные ЦС ведут себя по-другому;
по умолчанию они разме щают запросы на сертификаты в хранилище отложенных запросов до принятия администратором ЦС решения о выдаче сертификата или отказе. Запрашивая сер тификат в изолированном ЦС, следует сначала использовать Web-страницы для создания запроса на сертификат, а потом снова вернуться на главную страницу ЦС и проверить состояние отложенного запроса. После одобрения запроса следует ус тановить выданный сертификат. Допускается сконфигурировать изолированный ЦС на автоматическое (то есть немедленное) удовлетворение запросов на сертифи каты, по такой подход создает существенную угрозу безопасности и поэтому не ре комендуется.
Создание запроса на сертификат пользователя Запрос на сертификат пользователя создается на Web-странице User Certificate Ч Identifying Information (Сертификат пользователя Ч Идентифицирующая инфор мация). Элементы этой страницы описаны в таблице 16-22.
Безопасность в распределенных системах 756 ЧАСТЬ Таблица 16-22. Элементы страницы User Certificate Ч Identifying Information Элемент страницы Описание Ввод необходимой в сертификате идентифицирующей ин Identifying Information формации, в том числе имя, адрес электронной почты, (Идентифицирующая название организации, подразделение, город, область/штат информация) и страна/регион. ЦС предприятия получает эту информацию (только на из Active Directory. Эти данные используются для заполне изолированном ЦС) ния поля Subject (Субъект) выпущенного сертификата В этом разделе отображаются дополнительные параметры More options (Дополнительные параметры) для выбора CSP и/или для выбора устойчивого алгоритма закрытого ключи Enable strong private key Этот флажок управляет поддержкой алгоритма дополни тельной защиты закрытого ключа. При установке этого protection (Включить усиленную защиту закрытого флажка система будет запрашивать у пользователя разре шение на выполнением криптографических операций с его ключа) закрытым ключом По умолчанию выбран поставщик службы криптографии CSP [Выберите поставщика услуг криптографии (CSP)| Microsoft Base Cryptographic Provider или Microsoft Enhan ced Cryptographic Provider Ч в зависимости от того, под держиваются или нет не подлежащие экспорту криптогра фические технологии. Вам предоставляется возможность выбрать поставщик CSP из списка. Необходимо, чтобы он поддерживал запрашиваемый тип сертификатов. Например, поставщик CSP для смарт-карт не поддерживает сертифи кат Basic EFS (Базовое шифрование EFS) Задав параметры в окне User Certificate Ч Identifying Information, щелкните Next (Далее). На ЦС предприятия запросы обрабатываются и одобряются ЦС немедлен но. На изолированном ЦС Вы должны возвратиться на главную страницу Welcome и проверить состояние отложенного запроса, выбрав вариант Check on a pending certificate (Проверить ожидающий выполнения запрос на сертификат). После одоб рения запроса откроется страница Issued Certificate (Сертификат выдан), которая используется для установки выпущенного сертификата.
Создание расширенных запросов на сертификаты Расширенные запросы на сертификаты создаются на Web-странице Advanced Certificate Requests (Расширенные запросы на сертификаты). Режимы переклю чателя, расположенного на этой странице, описаны в таблице 16-23.
Таблица 16-23. Режим переключателя на странице Advanced Certificate Requests Режим переключателя Описание Submit advanced requests to Создание расширенного запроса на сертификат с помощью this СА using a form (Выдать формы на Web-странице. После тото как Вы нажмете кноп запрос на сертификат к этому ку Next (Далее), откроется страница Advanced Certificate Request (Расширенный запрос на сертификат) ЦС, используя форму) Службы сертификации и инфраструктура открытого ключа в Windows ГЛАВА 16 Таблица 16-23. (продолжение) Режим переключатели Описание Submit a certificate request Создание запроса на сертификат в форме файла запроса using a base 64 encoded сертификата или запроса на обновление сертификата. Пос PKCS #10 file or a renewal ле тото как Вы нажмете кнопку Next (Далее), откроется request using a base 64 enco- страница Submit a Saved Request (Выдача сохраненной!
ded PKCS #7 file (Выдать за- запроса) прос на сертификат с по мощью файла PKCS #10 в Ваке64-кодировке или запрос на обновление, используя файл PKCS #7 в Вайе64-кодировке) Request a certificate for a Создание запроса на сертификат для других пользователей.
smart card on behalf of another После того как Вы нажмете кнопку Next (Далее), откроет user by using the Smart Card ся страница Smart Card Enrollment Station (Станция пода Enrollment Station (Выдать чи заявок смарт-карт) запрос на сертификат для смарт-карты от имени другого пользователя, используя стан цию подачи заявок смарт-карт) Выбрав вариант действий, щелкните Next (Далее) и завершите процесс создания расширенного запроса сертификата, следуя инструкциям на Web-страницах.
Форма расширенного запроса на сертификат Расширенные запросы на сертификаты создаются на Web-странице Advanced Certificate Request (Расширенный запрос на сертификат). Элементы этой страни цы описаны в таблице 16-24.
Таблица 16-24. Элементы страницы Advanced Certificate Request Элемент страницы Описание Идентифицирующая информация в сертификате, в том Identifying Information числе имя, адрес электронной почты, название организа (Идентифицирующая ции, подразделения, город, область/штат и страна/регион, информация) (только на ПС предприятия получаст эту информацию от Active изолированном ЦС) Directory. Эта информация размещается в поле Subject (Субъект) выпущенного сертификата Выпор назначений запрашиваемого сертификата Intended Purpose (Назначение) (только па изолированном ЦС) Выбор шаблона сертификата из списка доступных на ЦС Certificate Template (Шаблон сертификата) предприятия, который следует использовать при выпуске (только на ЦС предприятия) сертификата По умолчанию выбран поставщик службы криптографии CSP Microsoft Base Cryptographic Provider или Microsoft Enhan ced Cryptographic Provider -- в зависимости от того, под держиваются или нет не подлежащие экспорту криптогра фические технологии. Вам предоставляется возможность выбрать поставщик CSP из списка. Необходимо, чтобы ип поддерживал запрашиваемый тип сертификата. Например, поставщик CSP для смарт-карт не поддерживает сертифи кат Basic EPS (Базовое шифрование EFS) (см. след, стр.) ЧАСТЬ 2 Безопасность в распределенных системах Таблица 16-24. (продолжение) Элемент страницы Описание Выбор основного назначения сертификата на следующих Key Usage (Назначение вариантов: Exchange (Обмен), Signature (Подпись) или ключа) Both (Оба). При назначении Exchange ключ используется только для обмена симметричными ключами. Вариант Sig nature подразумевает, что ключ применяется только для цифрового подписания. Значение но умолчанию - Both, то есть ключ предназначен для обеих целей При выборе вариантов Exchange или Both параметра Key Key Size (Размер ключа) Usage длина ключа составляет 384 Ч 1 024 бит. Минималь ная рекомендуемая длина ключа Ч 512 бит. В варианте Signature длина ключа составляет 384 Ч 16 384 бит. Следу ет иметь в виду, что на создание ключей с очень большой длиной иногда требуется много времени Create new key set (Создать Этот флажок установлен но умолчанию, поэтому обычно новый набор ключей) для выпускаемого сертификата создается новая пара лот крытый/закрытый ключи. Щелкните Select the container name (Задать имя контейнера), чтобы в поле Container name (Имя контейнера) ввести имя контейнера, где будет храниться закрытый ключ Use existing key set Если этот флажок установлен, следует использовать суще ствующий набор закрытого и открытого ключей. В поле (Использовать существующий набор ключей) Container name укажите контейнер для хранения закрытых ключей. Не следует применять ключи повторно, если при этом превышается максимальный безопасный срок дейст вия ключа Enable strong private key Этот флажок управляет поддержкой алгоритма дополни protection (Включить тельной защиты закрытого ключа. Когда он установлен, усиленную защиту закрытого система запрашивает у пользователя разрешение перед вы полнением криптографических операций с его закрытым ключа) ключом Mark keys as exportable Разрешает экспорт закрытого клточа, однако за одним ис (Пометить ключи как ключением: нельзя экспортировать закрытые ключи, ис экспортируемые) пользуемые для подписания Use local machine store Указывает, что полученный сертификат следует хранить (Использовать локальное в разделе HKEY_LOCAL_MACHINE реестра локального хранилище компьютера) компьютера. Доступ к этому флажку имеет только админи стратор. Хранилище по умолчанию для сертификатов пользователей Ч Personal (Личные). Этот флажок устанав ливается для запроса и установки сертификата Computer для локального компьютера Hash Algorithm (Алгоритм Выбор алгоритма создания хэша для подписания и обеспе хеширования) чения целостности запроса на сертификат. Алгоритм по умолчанию Ч SHA-1. Вы вправе выбрать другой алгоритм из списка Save request to a PKCS #10 Сохраняет запрос на сертификат в файл и не передает его в Ше(Сохранить запрос в файле ЦС. Имя файла следует указать в поле File name (Имя PKCS#10) файла). Этот файл с запросом отправляется в ЦС позже Attributes (Атрибуты) Поле ввода дополнительных атрибутов запрашиваемого сертификата. Подробное об атрибутах сертификатов и их синтаксисе Ч на Web-странице Web Resources по адресу bttp:// win dows.microsoft.com/windows2000/reskit/ wcbresourres, ссылка Microsoft Platform SDK.
Службы сертификации и инфраструктура открытого ключа в Windows ГЛАВА 16 На ЦС предприятия форма расширенного запроса сертификата позволяет запро сить сертификат любого из типов, указанных в политике выпуска сертификатов на ЦС предприятия. При обработке запросов и выпуске сертификатов ЦС предприя тия использует шаблоны сертификатов и информацию учетной записи пользовате ля. Для шаблонов сертификатов автономного запроса следует заполнить следую щие поля:
Х Name (Имя);
Х E-mail (Электронная почта);
Х Company (Организация);
Х Department (Подразделение);
Х City (Город);
Х State (Область, штат);
Х Country /region (Страна/регион).
Эта информация необходима для заполнения поля Subject (Субъект) нового сер тификата. При использовании шаблонов сертификатов интерактивного запроса эта информация извлекается из учетной записи текущего пользователя Windows 2000, На изолированном ЦС в разделе Intended Purpose (Назначение) Web-страницы можно выбрать один из следующих типов сертификатов:
Х Secure mail (Сертификат защиты электронной почты);
Х Client authentication (Сертификат проверки подлинности клиента);
Х Server authentication (Сертификат проверки подлинности сервера);
Х Code signing (Сертификат цифровой подписи);
Х IP security authentication (Сертификат IPSec);
Х Timestamp signing (Сертификат штампа времени подписи);
Х Other (Другой).
Назначения сертификата определяются идентификатором объекта (object identifier, IOD), размещенном в поле Extended Key Usage сертификатов Х.509 v3. Вы вправе выбрать тип Other сертификата и ввести идентификатор объекта в поле Usage OID (Код ОШ). Некоторые идентификаторы типов сертификатов не включены в спи сок Intended Purpose, в том числе:
Х EPS local file encryption (Локальное шифрование файлов EFS) 1.3.6.1.4.1.311.10.3.4;
Х EFS recovery agent (Агент восстановления EFS) Ч 1.3.6.1.4.1,311.10.3.4.1;
Х Trust List Signing (Подписывание списка доверия) Ч 1.3.6.1.4.1.311.10.3.1;
Х Enrollment Agent (Агент подачи заявок) Ч 1.3.6.1.4.1.311.20.2.1.
Подробнее о доступных типах сертификатов и их OID-идентификаторах Ч на Web странице Web Resources по адресу reskit/webresources, ссылка Microsoft Platform SDK.
Задав значения параметров на странице Advanced Certificate Request, щелкните Next (Далее). На ЦС предприятия запросы обрабатываются и одобряются ЦС не медленно. На изолированных ЦС запросы на сертификаты размещаются в очереди Безопасность в распределенных системах 760 ЧАСТЬ отложенных сертификатов до одобрения их администратором. Вы должны возвра титься на главную страницу Welcome и проверить состояние отложенного запроса, щелкнув вариант Check on a pending certificate. После одобрения запроса откроет ся страница Issued Certificate (Сертификат выдан), которая используется для ус тановки выпущенного сертификата, Страница отправки сохраненного запроса Отправка сохраненных запросов на сертификаты выполняется на Web-странице Submit a Saved Request (Выдача сохраненного запроса). Элементы этой страницы описаны в таблице 16-25.
Таблица 16-25. Элементы страницы Submit a Saved Request Элемент страницы Описание Saved Request Укажите данные запроса на сертификат в поле Saved Re (Сохранеппый запрос) quest или щелкните ссылку Search (Поиск), а затем Ч Browse (Обзор), чтобы найти и выбрать файл сохраненного запроса, который следует ввести в поле Saved Request. В это поле вставляются данные запроса на сертификат из файла PKCS #10 в кодировке Base64 или запроса на обнов ление из файла PKCS #7 в той же кодировке Certificate Template Поле со списком для выбора шаблона сертификата, кото (Шаблон сертификата) рый следует использовать центру сертификации предприя (только на ЦС предприятия) тия при обработке запроса и выпуске сертификата Attributes (Атрибуты) Поле ввода дополнительных атрибутов запрашиваемого сертификата. Подробнее об атрибутах сертификатов и их синтаксисе Ч на Web-странице Web Resources по адресу webresources, ссылка Microsoft Platform SDK Задав значения параметров на странице Submit a Saved Request, щелкните Next (Далее). На ЦС предприятия запросы обрабатываются и одобряются ЦС немедлен но. На изолированных ЦС запросы на сертификаты размещаются в очереди отло женных сертификатов до одобрения их администратором. Вы должны возвратить ся на главную страницу Welcome и проверить состояние отложенного запроса, ука зав вариант Check on a pending certificate. После одобрения запроса откроется страница Issued Certificate (Сертификат выдан), которая используется для уста новки выпущенного сертификата.
Страница станции подачи заявок смарт-карт Для централизованного и безопасного администрирования операций со смарт-кар тами пользуются Web-страницей Smart Card Enrollment Station (Станция подачи заявок смарт-карт), средствами которой администраторы или другие уполномочен ные пользователи могут запросить сертификаты для смарт-карт от имени других пользователей. При работе с этой Web-страницей следует иметь в виду следующее:
Х страница Smart Card Enrollment Station доступна только администраторам, об ладающим сертификатом Enrollment Agent (Агент подачи заявок). Запросы на сертификаты для смарт-карт должны подписываться сертификатом Enrollment Agent администратора;
Х по умолчанию подавать запрос и получать сертификат Enrollment Agent вправе только члены групп Domain Admins (Администраторы домена) и Enterprise Admins (Администраторы предприятия);
ГЛАВА 1 б Службы сертификации и инфраструктура открытого ключа в Windows 2000 Х по умолчанию подавать запросы и получать сертификаты Smart Card Logon и Smart Card User уполномочены только члены групп Domain Admins (Админис траторы домена) и Enterprise Admins (Администраторы предприятия);
Х выпущенные сертификаты сохраняются на смарт-карте пользователя, размешен ной в устройстве чтения смарт-карт на рабочей станции администратора см^рт карты;
Х сертификаты для входа в систему со смарт-картой должны быть сопоставлены сетевой учетной записи пользователя центром сертификации предприятия. По этому их невозможно запрашивать в изолированном ЦС. Тем не менее изолиро ванный ЦС поддерживает запрос и выпуск размещаемых на смарт-картах сер тификатов для проверки подлинности клиентов и сертификатов защищенной почты;
Х на смарт-карте разрешается выпускать сертификаты любых типов. Это создает дополнительную защиту закрытых ключей и позволяет пользователям легко перемещать сертификаты. Однако не все приложения и службы поддерживают смарт-карты. Например, бессмысленно размещать сертификаты Basic EFS на смарт-карте, так как шифрованная файловая система смарт-карты не поддержи вает.
Вы вправе изменить разрешение Enroll (Заявка) для шаблонов сертификатов Enrollment Agent, Smart Card Logon и Smart Card User, таким образом, разрешив другим пользователям и группам получать эти сертификаты. Например, изменив списки ACL шаблонов сертификатов для смарт-карт, Вы можете предоставить груп пе Domain Users (Пользователи домена) (все учетные записи пользователей в до мене) разрешение Enroll, позволяющее им запрашивать или обновлять свои серти фикаты для смарт-карт. Однако следует иметь в виду, что это ослабляет общую безо пасность, обеспечиваемую смарт-картами, поэтому этот вариант не рекомендуется.
Кроме того, обладая сертификатом Enrollment Agent, пользователь в состоянии подать заявку и получить сертификат для смарт-карты от имени любого другого пользователя в организации. Такая смарт-карта пригодна для входа в систему и выполнения операций от имени реального пользователя. Неправомочный пользо ватель, обладающий картой, получит все права и разрешения, предоставленные дей ствительному пользователю. По этой причине мы настоятельно рекомендуем пре доставлять сертификаты этого типа на основании строгих критериев.
Например, для минимизации риска злоупотребления сертификатом Enrollment Agent настройте один выделенный подчиненный ЦС на выпуск сертификатов толь ко этого типа. После выпуска необходимых сертификатов агента подачи заявок ад министратор этого ЦС должен запретить выпуск таких сертификатов до момента, когда они снова понадобятся. Ограничьте круг администраторов, донущеннх. х к управлению этим подчиненным ЦС и поддерживающих выпуск и распространение списков CRL. В принципе, другие ЦС в иерархии также способны выпускать сер тификаты агента подачи заявок при условии соответствующей настройки их пара метров политики выпуска, однако обнаружить факт выпуска неправомерных сер тификатов легко Ч достаточно регулярно проверять журнал выпущенных сертифи катов на каждом ЦС.
Вы также вправе предоставить в ACL шаблонов сертификатов разрешение на сер тификаты Enrollment Agent, Smart Card Logon и Smart Card User только неболь шой группе доверенных администраторов.
Безопасность в распределенных системах 762 ЧАСТЬ Совет В Windows 2000 на одной смарт-карте разрешается хранить только один сер тификат и один закрытый ключ. Шаблон сертификата Smart Card User в службе сертификации Windows 2000 поддерживает проверку подлинности при сетевом вхо де в систему, проверку подлинности клиентов при связи через Интернет и защи щенную почту. Для удобства и предоставления пользователю максимальных воз можностей, поддерживаемых смарт-картой, выпускайте для смарт-карт сертифика ты именно этого типа, а не Smart Card Logon, который пригоден только для про верки подлинности при сетевом входе в систему.
Запрос сертификатов для смарт-карт выполняется на Web-странице Smart Card Enrollment Station (Станция подачи заявок смарт-карт). Элементы этой страницы описаны в таблице 16-26.
Таблица 16-26. Параметры на странице Smart Card Enrollment Station Элемент страницы Описание Identifying Information Идентифицирующая информация в сертификате, в том (Идентифицирующая числе имя, адрес электронной почты, название организа ции, одразделения, город, область/штат и страна/регион.
информация) (только на изолированном ЦС) ЦС предприятия получает эту информацию из Active Directory.
Выбор назначений запрашиваемого сертификата Intended Purpose (Назначение) (только на изолированном ЦС) Certificate Template Выбор шаблона сертификата из списка доступных на ЦС (Шаблон сертификата) предприятия. Сертификат создается на основе выбранного (только на ЦС шаблона. Например, на основе Smart Card Logon (Вход со предприятия) смарт-картой) или Smart Card User (Пользователь со смарт-картой) Cryptographic Service Выбор поставщика CSP для смарт-карт в соответствии с Provider [Поставщик типом смарт-карты. Например, для смарт-карты Gemplus криптографии (CSP)j GemSAFE используется Gemplus GemSAFE Card CSP, а для смарт-карт Schlumberger Cryptoflex Ч Schlumberger Cryptographic Service Provider Administrator Signing Когда Вы щелкнете эту кнопку, откроется диалоговое окно Certificate (Администратор Select Certificate (Выбор сертификата), в котором следует сертификата подписи) выбрать Ваш сертификат агента подачи заявок. Использо вать сертификат другого пользователя не удастся User to Enroll Щелкните Select User (Выбор пользователя), чтобы вы (Заявляемый пользователь) брать учетную запись пользователя в Active Directory, для которой запрашивается сертификат для смарт-карты Задав значения параметров, вставьте смарт-карту в устройство чтения, щелкните Enroll (Заявка), чтобы отправить запрос на сертификат. Процесс подтверждения PIN-кода и состав открываемых далее диалоговых окон зависят от поставщика CSP для смарт-карт.
При применении поставщика Schlumberger Cryptographic Service Provider откроет ся диалоговое окно Smart Card PIN-код Confirmation. Если Вы пользуетесь постав щиком Gemplus Gc-mSAFE Card CSP, откроется диалоговое окно без заголовка.
Средствами диалогового окна подтвердите PIN-код для смарт-карты или измените PIN-код. В таблице 16-27 описаны параметры диалогового окна для Schlumberger CSP, а в таблице 16-28 Ч диалогового окна для Gemplus CSP.
Службы сертификации и инфраструктура открытого ключа в Windows ГЛАВА 16 Таблица 16-27. Элементы диалогового окна Smart Card PIN-код Confirmation (Schlumberger CSP) Элемент окна Описание ^^ Please enter your PIN-code Введите правильный PIN-код для смарт-карты в устройстве чтения смарт-карт. Щелкните ОК, чтобы отправить PIN код для обработки поставщиком CSP Change PIN-code after Этот флажок следует установить, когда требуется изменить Confirmation PIN-код. Когда Вы щелкнете кнопку ОК, поставщик CSP проверит PIN-код, который Вы ввели в поле Please enter your PIN, и откроет диалоговое окно Change PIN on Smartcard. Новый PIN-код следует ввести в полях New PIN и Confirm New PIN и щелкнуть ОК, завершив таким образом процесс смены PIN-кода Таблица 16-28. Элементы диалогового окна без заголовка (Gemplus CSP) Элемент окна Описание Поле без имени Введите правильный PIN-код для смарт-карты в устройстве чтения смарт-карт. Щелкните Change, чтобы изменить Е'Ш код, или ОК, чтобы отправить PIN-код для обработки по ставщиком CSP Change Изменение PIN-кода. Поставщик CSP проверяет PIN-код, который Вы ввели в поле без имени, и открывает диалого вое окно Please Enter New PIN Code. Введите новый PIN код в обоих Ч верхнем и нижнем Ч полях и щелкните ОК, чтобы завершить процесс смены PIN-кода Рекомендуется назначать уникальный PIN-код для каждой выпущенной смарт-кар ты. Обычно политика PIN-кодов менее строга, чем политика сетевых паролей. В общем случае сетевые пароли должны быть длинными и сложными, кроме того, ре комендуется, чтобы пользователи их часто изменяли. Как правило, в результате пользователи записывают их, так как сложные пароли трудны для запоминания. А PIN-коды обычно изменяются нечасто и сравнительно легки для запоминания, по этому вероятность того, что пользователи запишут их, существенно ниже. PIN-коды управляются поставщиком CSP для смарт-карт и изменяются только при выпуске или обновлении сертификата для смарт-карты.
После проверки или успешного изменения PIN-кода поставщик CSP генерирует открытый и закрытый ключи и размещает закрытый ключ и сертификат на смлрт карте. После выпуска сертификата для смарт-карты на Web-странице Smart Card Enrollment Station открывается раздел Status (Состояние) с сообщением о готов ности смарт-карты. Щелкните View Certificate (Просмотр сертификата), чтобы просмотреть сертификат и проверить корректность информации учетной записи пользователя и типа сертификата. Если требуется создать еще один сертификат, щелкните New User (Новый пользователь).
Установка сертификата после выпуска На ЦС предприятия запрос на сертификат одобряется, и сертификат выпускается практически мгновенно (за исключением случая отказа в сертификате). На изоли рованном ЦС запросы на сертификаты размещаются в очереди отложенных запро сов до одобрения их администратором.
ЧАСТЬ 2 Безопасность в распределенных системах После выпуска сертификата центром сертификации (за исключением сертифика тов для смарт-карт) открывается страница Issued Certificate (Сертификат выдан).
Щелкните Install this certificate (Установить сертификат ЦС), чтобы установить сертификат в хранилище Personal текущего пользователя. Запрашивая сертификат для компьютера, Вы должны выбрать Use local machine store (Использовать ло кальное хранилище компьютера) на странице Advanced Certificate Request (Рас ширенные запросы па сертификаты), чтобы установить сертификат в хранилище Personal компьютера, а не текущего пользователя.
При установке сертификатов подчиненного ЦС щелкните Install this certification path (Загрузить путь сертификации ЦС), чтобы установить путь сертификации для ЦС из файла. Далее средствами оснастки Certification Authority (Центр сертифи кации) установите файл пути сертификации и проверьте путь сертификации ЦС.
Запрос сертификатов средствами мастера запроса сертификатов Сертификаты на компьютерах под управлением Windows 2000 запрашивают также средствами оснастки Certificates (Сертификаты). Для этого щелкните правой кноп кой мыши хранилище Personal и в подменю All Tasks (Все задачи) контекстного меню выберите команду Request New Certificate (Запросить новый сертификат), чтобы запустить мастер Certificate Request wizard (Мастер запроса сертификата).
Он создаст запрос на сертификат для активного ЦС предприятия. Мастер запроса сертификата предоставляет список всех типов сертификатов, разрешенных к полу чению пользователю или компьютеру. Выберите тип сертификата и отправьте за прос в один из активных ЦС, поддерживающих выпуск сертификатов данного типа.
Окно мастера запроса сертификата не откроется, если нет ни одного доступного ЦС, способного обработать запрос, или если пользователь (или компьютер) не имеет полномочий на получение сертификата ни одного из указанных типов.
При установленном флажке Advanced (Дополнительные возможности) на первой странице мастера запроса сертификата Вы можете указать дополнительные пара метры, в том числе выбрать поставщик CSP для указанного сертификата (при ус ловии, что этот CSP поддерживает криптографические операции, требуемые для этого типа сертификата). Для сертификатов пользователя (и только для них) раз решается также выбирать в качестве дополнительного параметра усиленную защи ту закрытого ключа. Для этого следует пометить флажок Enable strong private key protection (Включить усиленную защиту закрытого ключа). В этом случае система будет каждый раз запрашивать разрешения пользователя на выполнение криптогра фических операций с его закрытым ключом. Усиленная защита закрытого ключа до ступна только для сертификатов пользователя, но не для сертификатов компьютера.
В режиме усиленной защиты закрытого ключа Вы можете выбрать уровень защи ты - Medium security (Средний) или High security (Высокий). При среднем уров не защиты система запрашивает пользователя на применение закрытого ключа, но не требует пароля, а при высоком уровне защиты пользователь обязан указать пароль.
При запросе сертификатов пользователя EFS Вы, конечно же, вправе установить флажок Enable strong private key, по поскольку EPS не поддерживает пользова тельского интерфейса, система запрашивать разрешение на операции пользователя EFS не будет. Тем не менее усиленная защита закрытого ключа успешно работает с сертификатами агента восстановления EFS. При запросе сертификатов агента вое Службы сертификации и инфраструктура открытого ключа в Windows 2000 ГЛАВА становления рекомендуется выбирать усиленную защиту закрытого ключа для обес печения дополнительной безопасности таких операций. Аналогично следует уста навливать высокий уровень защиты с паролем для закрытых ключей при получе нии сертификатов агента подачи заявок для смарт-карт, подписания кода и подпи сания списка доверия -- сертификатов, злоупотребление которыми способно нане сти существенный ущерб.
После выпуска требуемого сертификата центром сертификации система предоста вит Вам возможность просмотреть сертификат, а также установить его в хранили ще Personal текущего пользователя или компьютера. Получить сертификат можно и посредством Web-страниц для подачи заявок через Интернет (Web Enrollment Support).
Просмотр сертификата Когда Вы дважды щелкнете сертификат левой кнопкой мыши или один раз Ч пра вой кнопкой мыши и в контекстном меню выберете команду Open (Открыть), от кроется диалоговое окно Certificate (Сертификат) со следующими сведениями (рис. 16-14):
на вкладке General (Общие) - общая информация;
Х на вкладке Details (Состав) Х подробная информация сертификата;
Х на вкладке Certification path (Путь сертификации) сведения о пути сертифи кации.
Certificate Information This certificate is intended to:
ХEnsures software came ftom software publisher ХProtects software from alteration after publication Windows Hardware Driver Verification Issued to: Microsoft Windows Hardware Compatibility Issued by: Microsoft Root Authority Valid from 10/1/97 to 12/3U Рис. 16-14. Вкладка General диалогового окна Certificate На вкладке General диалогового окна Certificate находится общая информация о сертификате, в том числе назначения сертификата, выпустивший его ЦС и срок действия. При наличии проблем с сертификатом в этом диалоговом окне отобра Безопасность в распределенных системах 766 ЧАСТЬ жается предупреждающее сообщение с дополнительной информацией. На рис. 16- кнопка Issuer Statement (Заявление поставщика) недоступна, так как выпустивший сертификат ЦС не предоставил заявление поставщика о правилах применения ЦС.
Если ЦС предоставил такое заявление, его можно просмотреть, щелкнув кнопку Issuer Statement, и получить дополнительную информацию о сертификате на Web узле центра сертификации.
' JSetial number ;
98B 11D1 3F9ASFFE69AQ I Signature algorithm rndSRSA 1 Issuer Microsoft Root Authority, Mer.
Wednesday, October 01, 199, Valid fi Subject Microsoft Windows Hardware HlPublic key RSA (1024 Bits), December 31. 2002 12:
Рис. 16-15. Вкладка Details диалогового окна Certificate На вкладке Details диалогового окна Certificate отображена подробная информа ция о сертификате, в том числе о назначениях сертификата, поставщике (ЦС, вы пустивший сертификат) и сроке действия. При выборе элемента списка в столбце Field (Поле) содержание столбца Value (Значение) отображается в информацион ном поле в нижней части диалогового окна. Например, на рис. 16-15 выбран пара метр Valid to (Действителен по) и в информационном поле отображается значение Tuesday, December 31, 2002 12:00:00 AM.
Вы можете щелкнуть кнопку Edit Properties (Изменить свойства) и отредактиро вать параметры Friendly Name (Понятное имя) и Description (Описание) серти фиката, а также при необходимости ограничить перечень разрешенных назначений для сертификата. По умолчанию разрешены все назначения, перечисленные в сер тификате. Вы вправе запретить все назначения (таким образом сертификат стано вится недействительным) или укапать, что сертификат предназначен только для отдельных задач. Например, сертификат, действительный для подписания кода, за щищенной почты и защищенной связи через Интернет, Вы можете назначить только для защищенной почты.
Чтобы экспортировать сертификат, щелкните кнопку Copy to File (Копировать в файл). Сертификат можно экспортировать с закрытым ключом, если это разреше но при его создании.
ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 ~Э ("Sa'asgEtRoOt Authority О Microsoft Windows Hardware Compatibility atus:
This certificate is OK Рис. 16-16. Вкладка Certificate Certification Path диалогового окна Certificate На вкладке Certification Path диалогового окна Certificate графически представлен путь сертификации и иллюстрируется состояние доверия сертификату (рис. 16-16).
В поле Certificate status (Состояние сертификата) указано состояние сертифика та. Подробные сведения о проблемах с сертификатом или путем (если таковые име ются) отображаются именно па этой вкладке. К общим проблемам относится от сутствие родительского сертификата в хранилище Trusted Root Certification Authorities (Доверенные корневые центры сертификации) или наличие в пути сер тификации сертификата, действительность которого проверить не удается. Чтобы просмотреть информацию о любом из сертификатов в пути сертификации, выберите интересующий Вас сертификат и щелкните кнопку View Certificate (Просмотр сер тификата).
Экспорт сертификатов и закрытых ключей Запускают мастер Certificate Export wizard (Мастер экспорта сертификата) одним из двух способов: щелкают правой кнопкой мыши сертификат, в контекстном меню переходят к подменю All Tasks (Все задачи) и щелкают Import (Импорт) или на вкладке Details (Состав) диалогового окна Certificate щелкают кнопку Copy to File (Копировать в файл). Мастер экспорта сертификата используется для сохранения выбранного сертификата в файле, при этом сертификат можно экспортировать с закрытым ключом, если это разрешено для него. При экспорте закрытый ключ со храняется в зашифрованном и защищенном паролем файле. Пароль, необходимый для шифрования и расшифровки ключа, задается при экспорте. Для получения ключа знание этого пароля обязательно.
Следует иметь в виду, что пароль обеспечивает сравнительно слабую защиту, и зло умышленник, получивший в свое распоряжение экспортированный закрытый ключ, способен извлечь его в сравнительно короткий срок, выполнив атаку простым пе ЧАСТЬ 2 Безопасность в распределенных системах ребором или атаку по словарю. Поэтому во избежание компрометации закрытых ключей советуем Вам крайне внимательно управлять экспортом закрытых ключей и обеспечить надежную защиту всех носителей с экспортированными закрытыми ключами.
Внимание! Закрытые ключи цифрового подписания никогда не следует экспорти ровать или сохранять в файле или архиве, так как там они доступны не только за конному владельцу. Злоумышленники в состоянии получить доступ к дубликату и выступать от лица, владельца. Наличие копии ключа подписания компрометирует проверку подлинности, целостность и невозможность отрицания авторства, обес печиваемые этим ключом. Поэтому в Windows 2000 экспорт закрытых ключей, ис пользуемых для подписания, запрещен.
В стандартных сертификатах, выпускаемых службами сертификации Windows 2000, к экспорту разрешены только закрытые ключи сертификатов пользователя EFS и сертификатов агентов восстановления. Это позволяет создавать архивы восстанов ления ключей. Разрешение на экспорт закрытых ключей указан в атрибуте серти фиката, определяемом при создании последнего. Средствами Web-страницы Advanced Certificate Request (Расширенные запросы на сертификаты) можно раз решить экспорт закрытого ключа для специальных сертификатов, создаваемых ис ключительно для обмена ключами, но нельзя создать специальный сертификат с экспортируемым ключом, который используется как для обмена ключами, так и для подписания.
Разрешайте экспорт закрытых ключей только для сертификатов, ключи которых используются для постоянных данных длительного хранения, таких, как зашифро ванные файлы на жестком диске. Например, запрашивая сертификат только для конфиденциальной почты (не для подписания), разрешите экспорт закрытого клю ча Ч это позволит надежно сохранить резервные копии ключа и использовать их в случае утери или разрушения основного ключа. Для подписания почтовых сообще ний получите другой сертификат защищенной почты, экспорт закрытого ключа которого запрещен.
Архивирование и восстановление центров сертификации Для предупреждения потери данных и для их восстановления после сбоев и серь езных неполадок (например, отказа жесткого диска) рекомендуется регулярно ар хивировать данные центра сертификации. При отказе жесткого диска теряется вся информация об изменениях со времени последнего архивирования, в том числе:
Х изменения конфигурации служб сертификации;
Х перечень выпущенных сертификатов;
Х перечень запросов на сертификаты;
Х очередь отложенных запросов на сертификаты;
Х перечень отозванных сертификатов.
Для минимизации отрицательных последствий отказа сервера рекомендуется ис пользовать программу Windows 2000 Backup (Средства архивации и восстановле ния Windows 2000) для архивирования и восстановления ЦС в процессе общей про цедуры архивирования и восстановления сервера. Допустимо также архивировать и восстанавливать данные конфигурации служб сертификации, закрытый ключ.
ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 сертификат и базу данных средствами оснастки Certification Authority (Центр сер тификации).
Архивирование и восстановление в Windows Для периодического архивирования данных сервера с ЦС следует использовать программу Windows 2000 Backup (Средства архивации и восстановления Win dows 2000). При отказе или сбое сервера (например, при отказе жесткого диска) сервер и все его службы восстанавливаются из последнего архива.
В программе архивации Windows 2000 разрешается планировать (определять рас писание) и создавать следующие типы архивов:
Х обычный (Normal) Ч содержит полную файловую систему сервера и данные со стояния системы;
Х разностный (Differential) Ч содержит все изменения файловой системы сернера и данные состояния системы со времени создания последнего обычного архива;
Х добавочный (Incremental) содержит все изменения файловой системы сернера и данные состояния системы со времени создания последнего архива.
Хотя система и позволяет при архивировании файловой системы отказаться от со хранения данных состояния системы, мы не рекомендуем это делать, - сохранение состояния системы позволит в будущем полностью восстановить сервер. Посколь ку службы сертификации содержат страницы подачи заявок на сертификаты через Интернет, обязательно убедитесь, чтобы при архивировании сохранялись также данные сервера Internet Information Services.
Windows 2000 Backup поддерживает множество устройств хранения данных, в том числе жесткие диски, ленту, съемные диски, записываемые компакт-диски или це лые библиотеки дисков или лент, организованных в пул носителей и управляемый автоматизированным устройством смены носителей. Подробнее об использовании программы Windows 2000 Backup - в справочной системе Windows 2000 Server.
Архивирование и восстановление средствами оснастки Certification Authority Мастеры Certification Authority Backup wizard (Мастер архивации центра сертифи кации) и Certification Authority Restore wizard (Мастер восстановления центра сер тификации), запускаемые средствами оснастки Certification Authority (Центр сер тификации), используются для архивирования и восстановления следующих дан ных центра сертификации:
Х закрытого ключа и сертификата;
Х базы данных сертификатов.
Поддерживается выборочное и полное архивирование данных ЦС. Например, ар хивирование только закрытого ключа и сертификата или только базы данных сер тификатов. Кроме того, поддерживается создание обычных (Normal), или пол! ых, и добавочных (Incremental) архивов. Создавать архивы разрешается в пустой пап ке на любом типе, томов, поддерживаемых Windows 2000, Ч NTFS, FAT или FAT32.
При отказе сервера ЦС восстанавливается из последнего архива. Сначала следует восстановить ЦС из последнего обычного архива, а затем последовательно разиер путь все разностные архивы в том порядке, в каком они создавались.
При архивировании закрытого ключа ЦС следует указать пароль. Закрытый ключ размещается в защищенном паролем, зашифрованном файле, обеспечивающем за Безопасность в распрэделенных системах 770 ЧАСТЬ щиту и конфиденциальность ключа. При восстановлении закрытого ключа система попросит ввести пароль. Подробнее об использовании оснастки Certification Authority для архивирования и восстановления ЦС Ч в справочной системе служб сертификации.
Стратегии архивирования Рекомендуется планировать и выполнять архивирование часто, чтобы обеспечить быстрое и с минимальными потерями восстановление ЦС. Обычно при архивиро вании комбинируют несколько типов архивирования Ч обычное (Normal), разно стное (Differential) и добавочное (Incremental).
Ежедневное создание обычного архива Ч наиболее простой способ, который по зволяет легко и полностью восстановить систему. Однако он длительный, требует много времени и дискового пространства, а также создает большую нагрузку на сер веры и сеть.
Комбинация еженедельного обычного и ежедневного разностного архивирования выполняется существенно быстрее, требует меньше дискового пространства и со здает меньшую нагрузку на серверы и сеть по сравнению с предыдущим вариан том. Однако восстановление занимает больше времени, так как приходится восста навливать ЦС из обычного архива, а затем развертывать последний разностный архив.
Комбинация еженедельного обычного и ежедневного добавочного архивирования еще быстрее, требует еще меньше дискового пространства и позволяет снизить на грузку на серверы и сеть по сравнению с ежедневным разностным архивировани ем. Но, с другой стороны, процесс восстановления удлиняется, так как приходится восстанавливать последний обычный архив и последовательно развертывать все добавочные архивы, начиная с момента создания последнего обычного архива.
Кроме того, можно чередовать обычное архивирование с разностным или добавоч ным в любой последовательности Ч как Вам удобнее. Например, выполнять обыч ное архивирование раз в три дня, а разностное Ч ежедневно.
Стратегия архивирования зависит от объема наличных носителей для архивирова ния и ограничений на нагрузку сети. Делайте резервную копию данных служб сер тификации по крайней мере каждый день, чтобы при отказе жесткого диска с ба зой данных ЦС потери составляли не более однодневного объема изменений.
Кроме стандартных архивов Вы можете средствами мастера Certification Authority Backup wizard создавать архивы, содержащие только закрытый ключ ЦС, сертифи кат и данные конфигурации. Такой архив обновляется нечасто Ч только при изме нении базовых данных ЦС. Он позволяет вернуть ЦС к жизни, даже когда не возможно воспользоваться стандартными архивами, Особенности восстановления центра сертификации После завершения восстановления ЦС очень важно полностью заархивировать базу данных сервера сертификации. Это необходимо для уменьшения объема восстанов ленных журналов и создания нового базового архива для восстановления ЦС в бу дущем. Архивы, созданные после восстановления, не следует смешивать с архива ми (полными или добавочными), созданными до восстановления, так как последние не годятся для восстановления БД до текущего состояния.
Службы сертификации и инфраструктура открытого ключа в Windows 2000 ГЛАВА При восстановлении отказавшего ЦС средствами Windows 2000 Backup (Средства архивации и восстановления Windows 2000) кроме служб сертификации, следует обязательно также восстановить сервер Internet Information Services, в противном случае после перезапуска системы его не удастся запустить. Для нормальной рабо ты служб сертификации сервер Internet Information Services жизненно необходим, так как именно он поддерживает страницы подачи заявок на сертификаты через Интернет (Web Enrollment Support).
Если до восстановления служб сертификации журналы базы данных предваритель но не удалить вручную, службы сертификации будут обновлены до самого свеже го состояния. В противном случае службы сертификации будут восстановлены до состояния на момент создания архива. По умолчанию база данных сертификатов и журнал запросов располагаются в папке:
<диск>:\WINNT\System32\CertLog где <диск> Ч буква диска, на котором установлен ЦС.
Отзыв сертификатов В базе данных сертификатов службы сертификации Windows 2000 регистрируются все сертификаты, выпущенные ЦС. Средства оснастки Certification Authority по зволяют отзывать выпущенные сертификаты. Например, сертификаты уволивших ся или перешедших в другой отдел сотрудников. Также следует отозвать сертифи каты, закрытые ключи которых скомпрометированы (явно или неявно, то есть Вы всего лишь подозреваете нарушение защиты) или использованы во вред. Такие сер тификаты надо публиковать в списке отозванных сертификатов до окончания сро ка их действия.
Отозванный сертификат недействителен и восстановлению не подлежит, поэтому ото званный по ошибке сертификат заменяется новым действительным сертификатом.
Чтобы отозвать сертификат средствами консоли Certification Authority в требуемом ЦС, щелкните контейнер Issued Certificates (Выданные сертификаты) и затем сертификат в области сведений. Далее в подменю All Tasks (Все задачи) основш)го меню Action (Действие) выберите команду Revoke Certificate (Отзыв сертифика та). В открывшемся диалоговом окне Certificate Revocation (Отзыв сертификатов) в поле со списком Select a reason code (Код причины) укажите код причины отзы ва сертификата и затем щелкните Yes (Да). Кодов причины несколько: Unspecilied (Не определен), Key Compromise (Компрометация ключа), СА Compromise (Ком прометация ЦС), Change of Affiliation (Изменение принадлежности), Super/ceded (Сертификат заменен), Cease of Operation (Прекращение работы) и Certificate Huld (Приостановка действия). Отозванные сертификаты перемещаются в контейнер Revoked Certificates (Отозванные сертификаты).
Публикация списков отозванных сертификатов Службы сертификации Windows 2000 периодически публикуют списки отозванных сертификатов (CRL). Однако Вы можете сделать это вручную в любой момент сред ствами консоли Certification Authority. Например, опубликовать новый CRL немед ленно после отзыва сертификатов.
Для этого щелкните правой кнопкой мыши контейнер Revoked Certificates (Ото званные сертификаты) и в подменю АН Tasks (Все задачи) контекстного меню ьы Безопасность в распределенных системах 772 ЧАСТЬ берите команду Publish (Публикация). В открывшемся диалоговом окне Certificate Revocation List (Список отзыва сертификатов) щелкните Yes (Да), чтобы обновить список CRL.
Отклонение или одобрение запросов на сертификат Службы сертификации в Windows 2000 размещают отложенные запросы в контей нере Pending Request (Запросы в ожидании). На ЦС предприятия запросы обра батываются автоматически и немедленно, то есть решение об удовлетворении или отказе в выдаче сертификата принимается самим ЦС в интерактивном режиме. По умолчанию на изолированном ЦС запросы откладываются в очередь отложенных запросов (в папку Pending Request) до принятия решения о выдаче или отказе в сертификате администратором ЦС. Эти операции администратор выполняет сред ствами оснастки Certification Authority (Центр сертификации).
^ Удовлетворение запроса на сертификат средствами консоли Certification Authority (Центр сертификации) 1. Щелкните контейнер Pending Requests (Запросы в ожидании) соответствую щего ЦС.
В области сведений отобразятся все отложенные запросы на сертификаты.
2. Щелкните правой кнопкой мыши соответствующий запрос на сертификат и в подменю All Tasks (Все задачи) контекстного меню выберите команду Issue (Выдать).
ЦС выпустит сертификат.
^ Отклонение запроса на сертификат средствами консоли Certification Authority (Центр сертификации) 1. Щелкните контейнер Pending Requests (Запросы в ожидании) соответствую щего ЦС.
В области сведений отобразятся все отложенные запросы на сертификаты.
2. Щелкните правой кнопкой мыши соответствующий запрос сертификата и в под меню All Tasks (Все задачи) контекстного меню выберите команду Deny (За претить).
3. В открывшемся диалоговом окне Deny Certificate Requests (Отклонить запрос сертификата) щелкните кнопку Yes (Да).
Запрос сертификата переместится в контейнер Failed Requests (Неудачные за просы).
Обновление центров сертификации Центр сертификации, срок действия которого истек, не в состоянии оказывать ус луги по сертификации. Сертификат ЦС следует обновлять до истечения этого сро ка посредством оснастки Certification Authority (Центр сертификации). Это обес печит непрерывность работы служб сертификации. Период обновления ЦС зави сит от жизненных циклов сертификатов, определенных Вами для своей инфра структуры открытого ключа.
После обновления ЦС продолжает работу на основе полученного им сертификата ЦС. Старый сертификат ЦС остается в силе, поэтому сертификаты, выпущенные ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 с его применением, не становятся недействительными Ч они остаются доверенны ми до окончания своего срока действия или отзыва.
Вы вправе обновить сертификат ЦС с существующей парой ключей старого серти фиката ЦС. Однако следует иметь в л иду, что чем дольше используются ключи, тем больше риск их компрометации. Угроза безопасности вследствие длительного ис пользования ключей зависит от многих факторов, в том числе от длины ключа и защиты его от атаки. Подробнее о факторах риска для криптографических ключей --- в главе 14 Криптография в сетевых информационных системах.
^ Обновление сертификата ЦС средствами оснастки Certification Authority (Центр сертификации) 1. Выберите узел ЦС и в подменю All Tasks (Все задачи) основного меню Action (Действие) щелкните команду Stop Service (Остановить ЦС), чтобы остановить центр сертификации. Если Вы пропустите это действие, система сама предло жит остановить ЦС.
2. В подмены) All Tasks (Все задачи) основного меню Action (Действие) выберите команду Renew CA Certificate (Обновить сертификат ЦС).
3. В открывшемся диалоговом окне Renew CA Certificate (Обновление сертифи ката ЦС) установите переключатель в положение Yes (Да), чтобы создать но вый набор ключей, или в No (Нет) чтобы повторно использовать старый на бор ключей. Щелкните кнопку ОК.
На корневом ЦС сертификат обновляется, и никаких дополнительных действий не требуется. На подчиненном ЦС откроется диалоговое окно Complete this CA Installation (Запрос сертификата ЦС).
4. Введите в поле Computer Name (Имя компьютера) доменное имя сервера для родительского ЦС или щелкните кнопку Browse (Обзор), чтобы выбрать сер вер из списка.
В поле Parent CA (Родительский ЦС) отображается имя ЦС, работающего на выбранном компьютере.
5. Щелкните ОК.
Запрос на обновление отправлен родительскому ЦС для обработки. Когда ро дительский ЦС выпустит новый сертификат, сертификат дочернего ЦС 6>дет обновлен.
Сертификаты корневых ЦС обновляются с таким же сроком действия, как и пер воначальный сертификат. Срок действия обновленных сертификатов подчиненных ЦС определяется родительским ЦС.
Восстановление зашифрованных данных Windows 2000 поддерживает шифрование постоянных данных средствами EFS и системы защищенной почты. Зашифрованные данные обычно доступны только для пользователя, обладающего соответствующим закрытым ключом расшифровки дан ных. Однако при утере или разрушении закрытого ключа пользователя такие дан ные становятся непригодными для применения, если только нет особых средств восстановления открытого текста или закрытого ключа. Кроме того, если пользо ватель, зашифровавший информацию, увольняется или его удаляют из системы, Безопасность в распределенных системах 776 ЧАСТЬ Программы командной строки предоставляют дополнительные функции по управ лению службами сертификации. Эти средства предназначены в первую очередь для разработчиков и опытных администраторов центра сертификации.
Подробнее о программах командной строки Ч в справочной системе служб серти фикации.
CertUtil.exe Эта служебная программа выполняет следующие задачи:
Х записывает в файл информацию о конфигурации служб сертификации, запро сах на сертификаты, сертификатах и списках отозванных сертификатов;
Х отображает строки настройки ЦС;
Х просматривает сертификат подписи ЦС;
Х отзывает сертификаты;
Х публикует или получает список отозванных сертификатов ЦС;
Х проверяет, действителен ли сертификат или совместима ли его длина шифрова ния со старыми параметрами заявки;
Х проверяет один или все уровни пути сертификата;
Х повторяет или отменяет ожидающие выполнения запросы;
Х задает атрибуты Ч либо числовые, либо строковые Ч для ожидающих выполне ния запросов;
Х проверяет пару лоткрытый/закрытый ключи*;
Х декодирует шестнадцатеричные файлы или файлы в формате base64;
Х преобразует файлы в формат base64;
Х останавливает сервер службы сертификации;
Х отображает схему базы данных;
Х преобразует базу данных сервера Certificate Server 1.0 в базу данных служб сер тификации Windows 2000;
Х архивирует и восстанавливает ключи и базы данных ЦС;
Х отображает сертификаты, размещенные в определенном хранилище сертификатов;
Х отображает текст сообщения об ошибке по коду ошибки;
Х импортирует выпушенные сертификаты, отсутствующие в базе данных;
Х отображает и настраивает параметры ЦС в реестре;
Х создает или удаляет виртуальные панки и общие файлы служб сертификации на Web-сервере.
CertReq.exe Служебная программ CertReq.exe предназначена для запроса сертификатов в цент ре сертификации. CertReq поддерживает запросы на сертификат в виде файла в формате PK.CS 10 и запросы на обновление сертификата в виде файла в формате PKCS 7. Для подачи запросов в этих форматах также используются Web-страницы подачи заявок через Интернет.
Службы сертификации и инфраструктура открытого ключа в Windows ГЛАВА 16 CertSrv.exe CertSrv.exe это ядро сервера ЦС. Используйте эту программу в командной стро ке, как автономное приложение только, для отладки. В режиме диагностики CertSrv отображает журнал своих действий в окне командной строки. Запускать CertSrv как службу следует средствами элемента Services (Службы) в Control Panel (Панель управления).
Восстановление после сбоя Серьезные сбои, такие, как отказ жесткого диска или компрометация сертификата ЦС, способны полностью нарушить работу служб сертификации. Существует не сколько путей минимизации отрицательных последствий таких сбоев и обеспече ния своевременного восстановления. К операциям но снижению риска отказа или компрометации ЦС относятся:
Х превентивные операции на серверах;
Х обеспечение безопасности серверов с центрами сертификации;
Х защита закрытых ключей центров сертификации;
Х разработка планов восстановления.
Превентивные операции на серверах Отказ сервера, на котором выполняется ЦС, влечет за собой нарушение работы служб сертификации. Следующие операции позволяют предупредить риск отказа ЦС и свести к минимуму время простоя служб ЦС:
Х создание дублирующих ЦС;
если один из серверов становится недоступным, его обязанности по выпуску сертификатов берет на себя резервный сервер;
Х частое архивирование ЦС, позволяющее быстро и с минимальными потерями данных восстановить центр сертификации;
Х установка служб сертификации на дисковых массивах и массивах RAID-5;
Х разработка планов восстановления и обучение администраторов выполнению этих планов;
Х сохранение данных конфигурации сервера и ЦС для беспроблемного и точного восстановления конфигурации в случае сбоя;
Х обеспечение резервных серверов в режиме готовности (standby) или готовых к замене и немедленному восстановлению.
Обеспечение безопасности серверов с центрами сертификации Компьютеры, на которых работают ЦС, Ч это наиболее вероятные цели для атаки злоумышленников, пытающихся нарушить работу сетевых служб или скомпроме тировать защиту сетевых и информационных систем. Получив доступ к серверу с ЦС или воспользовавшись недостатками защиты сервера, атакующие могут полу чить доступ к ценным сетевым ресурсам и скомпрометировать безопасность целой цепочки доверия. Поэтому серверы с ЦС нуждаются в более надежной защите, чем обычные серверы.
Безопасность в распределенных системах 778 ЧАСТЬ Риск атаки на ЦС зависит от многих факторов, в том числе от защищенности сети, целей атаки и затрат на нее. Риск нападения на ЦС, расположенный в защищенной брандмауэром интрасети и использующийся в ней для обычных деловых операций, незначителен. Однако он повышается, если ЦС не защищен брандмауэром и при меняется в экстрасети.
Компрометация ЦС чревата существенным ущербом и убытками. К возможным не гативным последствиям компрометации ЦС относятся:
Х потеря информации, составляющей интеллектуальную собственность организации;
Х усилия на расследование и блокирование атаки на сеть;
Х отказ или простой сетевых служб;
Х повреждение или разрушение сетевых ресурсов;
Х затраты на устранение последствий компрометации ЦС и повторное разверты вание центров сертификации и сертификатов.
Компрометация корневого ЦС обойдется Вам гораздо дороже, чем промежуточно го или выпускающего ЦС. Дабы снизить потенциальные убытки, стоит создать в организации иерархию из нескольких ЦС.
Определяя адекватность мер безопасности, взвесьте и оцените расходы на эти ме роприятия но обеспечению безопасности и возможные убытки в случае компроме тации ЦС. К мерам по обеспечению безопасности серверов ЦС относятся:
Х размещение серверов в защищенных центрах данных и предоставление физичес кого доступа к ним только доверенным администраторам;
Х использование аппаратных центров сертификации или аппаратных поставщиков CSP для обеспечения максимальной защиты закрытых ключей ЦС;
Х конфигурирование параметров безопасности сервера для обеспечения высокого уровня защиты, такого, как уровень High Security (Высокий) защиты шаблонов;
Х использование служебной программы Windows 2000 System Key (Sy.sKey) для обеспечения шифрования защищенных хранилищ серверов ЦС;
Х аудит безопасности для контроля и наблюдения за возможными атаками на сер веры с ЦС;
Х ограничение предоставления прав пользователям путем предоставления нрав только соответствующей группе администраторов (остальным пользователям или группам надо запретить просмотр или выполнение любых задач на локаль ном компьютере с ЦС);
Х отключение ненужных служб на серверах с ЦС;
работающие службы представ ляют собой дополнительные лазейки для злоумышленников;
Х развертывание политики и выполнение процедур безопасности при развертыва нии ЦС на предприятии.
При выборе мер безопасности ЦС следует взвесить затраты на их реализацию и поддержание, с одной стороны, и риск нападения на ЦС и возможные убытки от компрометации ЦС, с другой стороны. В общем случае чем выше риск нападения и убытки от компрометации, тем больше затраты на мероприятия по обеспечению безопасности ЦС. Максимальную защиту следует обеспечить корневым ЦС, а про межуточные ЦС надо обезопасить надежнее, чем выпускающие ЦС.
ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 /(опустим, что в Вашей организации принято решение защитить большой объем чрезвычайно ценной и конфиденциальной информации, использовав решение на основе открытых ключей. Также решено приобрести дорогой аппаратный ЦС для выполнения функций корневого ЦС и разместить его для пущей безопасности в защищенном хранилище, расположенном в главном офисе организации. Доступ к корневому ЦС, который сертифицирует все промежуточные ЦС в подразделениях, предоставляется только доверенным администраторам. Промежуточные ЦС Ч это изолированные ЦС на компьютерах под управлением Windows 2000, отсоединен ных от сети и размещенных в защищенных центрах данных под надзором админис тратора подразделения. Промежуточный ЦС используется по мере необходимости для сертификации выпускающих ЦС под управлением Windows 2000 в соответ ствии с потребностями каждого подразделения. Выпускающие ЦС - это ЦС Win dows 2000 предприятия или изолированные ЦС, размещенные в защищенных ген трах данных каждого подразделения. Политика безопасности Вашей организации должна подразумевать самые строгие меры безопасности выполнения запроса, ав торизации и внедрения корневого, промежуточных и выпускающих ЦС на предпри ятии и контроль за ними.
С другой стороны, если в организации решения безопасности на базе открытого ключа применяются для защиты не очень ценной информации, вполне достаточно изолированного корневого ЦС Windows 2000, размешенного в центре данных, а не упомянутого в предыдущем примере дорогого аппаратного ЦС, размещенного в за щищенном хранилище. При этом допустимо разместить промежуточные и выпус кающие ЦС в подразделениях за пределами центра данных. Также не требуется та ких строгих ограничений на внедрение, запросы и авторизацию ЦС.
Службы сертификации Windows 2000 па базе поставщика Microsoft Base CSP смо гут удовлетворить большинство потребностей в защите ЦС. Для обеспечения вы сочайшей безопасности ЦС следует использовать аппаратные ЦС. За более подроб ной информацией об аппаратных криптографических решениях, совместимых с Windows 2000 Server и службами сертификации Windows 2000, обращайтесь непо средственно к разработчикам соответствующего оборудования.
Защита закрытых ключей центров сертификации Если у злоумышленника есть доступ к компьютеру ЦС непосредственно или по сети, он в состоянии расшифровать закрытый ключ и затем выступать от имени I [С и получать доступ к ценным сетевым ресурсам. Он сможет воровать информацию, нарушить работу сетевых служб и уничтожить сетевые ресурсы. Скомпрометиро ванный ключ ЦС подрывает и сводит на нет вето систему безопасности, обеспе ченную этим ЦС, и всю его иерархию ЦС. Постарайтесь регулярно проводить ме роприятия по снижению риска атаки на ключи ЦС.
Обеспечьте защиту серверов с центрами сертификации, как описано ранее в этом разделе. Обеспечение физической безопасности минимизирует риск получения ата кующими доступа к серверу ЦС или защищенному хранилищу (будь оно аппарат ным или программным), где хранится ключ ЦС. Обеспечение безопасности сети и сервера (программного обеспечения) снижает риск того, что нарушители получат доступ к серверу ЦС или воспользуются недостатками приложений или служб это го сервера для компрометации ключа ЦС.
Обеспечьте усиленную защиту ключей центра сертификации. Если требуется мак симальная безопасность закрытых ключей, воспользуйтесь аппаратными поставит Безопасность в распределенных системах 780 ЧАСТЬ ками CSP, так как в этом случае ключи хранятся на стойких ко взлому аппаратных устройствах и никогда не предоставляются операционной системе. Используйте служебную программу SysKey для обеспечения дополнительной защиты закрытых ключей ЦС, хранимых поставщиками Microsoft CSP.
Использование в центрах сертификации ключей большой длины снижает риск атаки на ключ, однако длинные ключи требуют больше дискового пространства и вычислительных мощностей для подписания сертификатов. Следует выбрать мак симальную возможную длину ключа и учесть ограничения на память и производи тельность ЦС.
Например, 4 096-битный ключ ЦС обеспечивает превосходную безопасность, но подписание сертификатов таким длинным ключом занимает слишком много вре мени даже при наличии платы криптоакселератора. Такой ключ вполне пригоден для корневого или промежуточного ЦС, которые используются нечасто и только для сертификации подчиненного ЦС. Кроме того, некоторые ЦС с аппаратными поставщиками CSP не поддерживают хранение 4 096-битных ключей.
Для большинства выпускающих ЦС 4 096-битный ключ неприемлем из-за недопу стимого снижения производительности работы ЦС. На выпускающих ЦС следует использовать ключи, которые обеспечивают удовлетворительную безопасность, не замедляют работу ЦС и соответствуют долгосрочным целям конкретной службы сертификации. Для повышения производительности выпускающего ЦС и исполь зования более длинных ключей рекомендуется установить плату криптоакселера тора. Прежде чем развертывать ЦС на предприятии, протестируйте его производи тельность для различных длин ключей в лабораторных условиях и на пилотных системах.
Определите адекватные сроки действия ключей ЦС. Чем больше срок действия ключа, тем выше риск его компрометации, так как у атакующих больше времени на взлом. Не существует простого правила определения максимальных сроков дей ствия ключей. Однако в общем случае сроки действия ключей в значительной сте пени зависят от качества их защиты и длины. В общем случае, сроки действия бо лее длинных ключей больше. Аналогично более защищенные ключи служат доль ше. Например, ключи, хранящиеся в стойких к взлому аппаратных крипгоустрой ствах надежнее, чем ключи, размещенные на жестком диске локального компьюте ра. Поэтому для двух ключей одной длины срок действия ключа, хранимого на ап паратном криптографическом устройстве, обычно больше, чем ключа, размещенно го в программном поставщике CSP на жестком диске.
Подробнее об основных факторах риска для криптографических ключей - в главе 14 Криптография в сетевых информационных системах.
Разработка планов восстановления Разработка детального плана восстановления позволяет быстро вернуть ЦС в ра бочее состояние в случае сбоя служб сертификации или компрометации. Рекомен дуется протестировать составленный план, чтобы убедиться в его корректности.
Кроме того следует провести обучение сотрудников, чтобы быть уверенным в том, что они знают, как действовать в соответствии с этим планом.
ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 План восстановления должен предусматривать:
Х процедуры восстановления и контрольные списки для администраторов;
Х наборы средств и служебных программ восстановления или указатели на такие средства;
Х план действий в непредвиденных обстоятельствах.
Восстановление потерпевшего сбой центра сертификации Существует множество причин, по которым ЦС может потерпеть сбой, в том числе поломка жесткого диска сервера, отказ сетевой карты или выход из строя систем ной (материнской) платы сервера. Некоторые сбои устраняются быстро - путем локализации и исправления источника неполадки сервера ЦС. Например, после замены неисправной сетевой карты или системной платы для восстановления служ бы сертификации достаточно перезапустить компьютер.
Отказавший жесткий диск заменяется, и сервер вместе с ЦС восстанавливается из последнего архива. При повреждении или разрушении ЦС его восстанавливают также из последнего архива. При замене сервера сконфигурируйте новый сервер с тем же самым сетевым именем и IP-адресом, что были у потерпевшего сбой серве ра ЦС. После этого ЦС устанавливают в исходной конфигурации и с исходным за крытым ключом и сертификатом ЦС.
Если Вы делаете это посредством мастера Windows Component wizard (Мастер ком понентов Windows), пометьте флажок Advanced options (Дополнительные возмож ности), что позволит Вам воспользоваться старым ключом и соответствующим ему сертификатом. На странице Public and Private Key Selection (Пара открытого и закрытого ключей) следует установить флажок Use existing keys (Использовать существующие ключи) и выбрать ключ из списка, а также необходимо пометить флажок Use the associated certificate (Использовать связанный сертификат). Что бы импортировать закрытый ключ от архива, следует щелкнуть кнопку Import (Им порт). Информация ЦС, содержащаяся в сертификате, автоматически заносится в поля на странице СА Identifying Information (Сведения о центре сертификации).
ЦС устанавливается вместо исходного центра сертификации.
Если флажок Use the associated certificate недоступен, Вам не удастся использо вать информацию, содержащуюся в сертификате. В этом случае заполните поля на странице СА Identifying Information точно, как для исходного ЦС, иначе восста новление не удастся. Далее на странице СА Certificate Request (Запрос сертифи ката ЦС) следует установить переключатель Save the request to a file (Сохранять запрос в файле), а не запрашивать сертификат в интерактивном ЦС (в противном случае родительский ЦС выпустит новый сертификат для устанавливаемого ЦС).
После завершения установки ЦС средствами консоли Certification Authority (Цеитр сертификации) установите исходный (лстарый) сертификат на новом ЦС.
На странице Data Storage Location (Размещение хранилища данных) пометьте флажок Preserve existing certificate database (Сохранить существующую базу дан ных сертификатов). В противном случае новая база данных будет записана поверх старой и уничтожит всю предыдущую версию БД.
Безопасность в распределенных системах 782 ЧАСТЬ Следует иметь в виду (и это важно), что с закрытым ключом совместим только свя занный сертификат, так как последний содержит парный открытый ключ. Также чрезвычайно важно, чтобы идентификационная информация ЦС в поле Subject (Субъект) сертификата в точности совпадала с данными исходного ЦС, иначе но вый центр сертификации выполнять возложенные на него функции не сможет. На странице СА Identifying Information n процессе установки ЦС надо заполнить сле дующие поля:
Х СА name (Имя ЦС);
Х Organization (Организация);
Х Organizational unit (Подразделение);
Х Locality (Город);
Х State or province (Область);
Х Country/region (Страна/регион);
Х E-mail (Электронная почта).
Информация в поле Subject (Субъект) чувствительна к регистру, поэтому следует очень внимательно отнестись к заполнению полей на странице СА Identifying Information. Просмотреть информацию в поле Subject сертификата можно на вклад ке Details (Состав) в диалоговом окне Certificate (Сертификат), выбрав поле Subject (Субъект).
После установки и запуска восстанавливаемого ЦС средствами Windows Backup (Средства архивации и восстановления Windows 2000) или мастера Cer tification Authority Restore wizard (Мастер восстановления центра сертификации) восстановите данные конфигурации ЦС из последнего архива.
Восстановление после компрометации центра сертификации При обнаружении факта компрометации ЦС единственный выход Ч отозвать сер тификат ЦС. Таким образом, Вы лишите законной силы сам центр сертификации, все его подчиненные ЦС, а также все сертификаты, выпущенные самим ЦС и его подчиненными ЦС. При компрометации ЦС следует немедленно:
Х отозвать сертификат скомпрометированного ЦС:
Х опубликовать новый список CRL с отозванным сертификатом ЦС;
Х удалить скомпрометированные сертификаты ЦС из хранилища Trusted Root Certification Authorities (Доверенные корневые центры сертификации) и из всех списков доверия (CTL);
Х известить всех заинтересованных пользователей и администраторов о компро метации и сообщить, что сертификаты, выпущенные скомпрометированным ЦС, отзываются;
Х устранить все лазейки*, ставшие причиной компрометации.
Для восстановления иерархии центров сертификации следует повторно выполнить развертывание нового ЦС, далее повторно выпустить все сертификаты для пользователей, компьютеров и служб.
ГЛАВА 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000 Дополнительные материалы Подробнее о разработке собственных специализированных приложений, сонме стимых со службами сертификации Windows 2000, и об использовании Microsoft CryptoAPI и поставщиков Microsoft CSP на Web-странице Web Resources no адресу ссь. яка Microsoft Platform SDK, Подробнее о документах и рекомендациях сообщества IETF проекты (Internet Engineering Task Force) Ч на Web-странице Web Resources по адресу htl >:// windows.microsoft.com/windows2000/reskit/webresources, ссылка Internet En gineering Task Force (IETF).
Подробнее о стандартах криптографии с применением открытых ключей (Public Key Cryptography Standards, PKCS) Ч на Web-странице Web Resources но адре су ссылка RSA Data Security.
Подробнее о стандарте F1PS 140-1 Ч на Web-странице Web Resources по адресу ссылка Natii mal Institute of Standards and Technology (NIST). Выполните поиск словосочетания Security Requirements for Cryptographic Modules.
Подробнее о FIPS 140-1 как о международном стандарте де-факто криптог рафических модулей Ч на Web-странице Web Resources по адресу dows.microsoft.com/windows2000/reskit/webresources, ссылка International Or ganization for Standardization. Выполните поиск словосочетания International Standard 15408: Evaluation Criteria for Information Technology Security.
Подробнее о программе Certified for Microsoft и текущем списке совмести мых изделий для смарт-карт - на Web-странице Web Resources no адресу windows.microsoft.com/windows2000/re.skit/webresourccs, ссылка Microsoft Windows Hardware Compatibility List Подробнее о технологиях обеспечения безопасности в изделиях Microsoft, в том числе об ограничениях на экспорт криптографических технологий и тре бованиях по лицензированию, на Web-странице Web Resources no адресу ссылка Microsoft Security Advisor.
ЧАСТЬ Приложения Здесь детально описаны особенности распределенных систем в Microsoft Win dows 2000, предназначенных в первую очередь администраторам сетей, нуждаю щимся в технической информации о службах каталогов, системе безопасности и об управлении изменениями и конфигурациями.
В этой части Приложение А Наиболее часто используемые функции LDAP API Приложение Б Документы RFC, относящиеся к протоколу LDAP Приложение В Ntdsutil.exe Ч служебная программа диагностики Active Directory Приложение Г Права пользователей Приложение Д Наиболее известные идентификаторы безопасности Приложение Е Приложения с логотипом Certified for Microsoft Windows* ПРИЛОЖЕНИЕ А Наиболее часто используемые функции LDAP API В таблице А-1 описаны наиболее часто используемые функции интерфейса LDAP API (Lightweight Directory Access Protocol Application Programming Interface).
Таблица А-1. Функции LDAP API Ч интерфейса прикладного программирования на языке С Имя функции Назначение ldap_open Создает соединение с сервером LDAP Idap^bind Создает привязку к LDAP-серверу, то есть проверяет подлинно! ть клиента для доступа к каталогу LDAP-сервера ldap_unbind Снимает привязку к LDAP-серверу, то есть освобождает все ресур сы, занятые в LDAP-сеансе ldap_search Выполняет поиск в каталоге LDAP и возвращает требуемый набор атрибутов для каждого найденного объекта ldap_inodify Изменяет существующий объект LDAP !dap_modrdn Изменяет относительное составное имя объекта LDAP. Эта уста ревшая функция существует исключительно для совместимости с версией 1 протокола LDAP Idap_add Добавляет запись в каталог LDAP ldap_delete Удаляет запись из каталога LDAP idap_abandon При вызове этой функции клиентом отменяется другой текущий асинхронный LDAP-залрос ldap_result Возвращает результат асинхронной операции !dap_result2error Интерпретирует ошибки, возвращенные другими функциями АИ Idap_err2strmg Преобразует числовой код ошибки LDAP в символьную строку i:
ее описанием Idap_first_entry Возвращает первую запись сообщения ldap_next_entry Извлекает следующую запись из цепочки результатов поиска (см. след, стр.) 786 ЧАСТЬ 3 Приложения Таблица А-1. (продолжение) Имя функции Назначение ldap_coimt_entries Возвращает число записей, возращенных сервером в ответ на зап рос о поиске ldap_first_altribute Возвращает первый атрибут выбранного объекта каталога ldap_next_atlribute Возвращает следующий атрибут выбранного объекта каталога Возвращает значение 1 (или значения) указанного атрибута объекта ldap_get_vaiues ldap_get_values_len Извлекает список значений определенного атрибута. Служба ката логов LDAP использует эту информацию при анализе ответа на запрос о поиске ldap_get_dn Возвращает составное имя выбранной записи ldap_explode_dn Разбивает имя записи па составляющие Idap_dn2ufn Преобразует составное имя в дружественный, понятный пользова телю формат Полный перечень всех функций LDAP API Ч на Web-странице Web Resources по адресу ссылка Mic rosoft Platform SDK.
ПРИЛОЖЕНИЕ Б Документы RFC, относящиеся к протоколу LDAP В таблицах Б-1 и Б-2 описаны наиболее важные документы RFC, относящиеся к версиям 2 (LDAPv2) и 3 (LDAPv3) протокола LDAP.
Таблица Б-1. Документы RFC, относящиеся к протоколу LDAPv Документ RFC Содержание RFC 1777 Lightweight Directory Access Protocol Описанный в этом документе протокол обеспечивает доступ к катало гам, поддерживающим модели Х.500, причем ресурсов при этом тре буется меньше, чем при использовании протокола DAP (Directory Access Protocol). LDAPv2 является продолжением DAP и разработан специально для применения в приложениях управления и приложени ях просмотра, которые предоставляют простой интерактивный доступ к каталогам Х.500 в режимах чтения и записи. Подробнее об RFC Ч на Web-странице Web Resources по адресу windows.microsoft.com/windows2000/resldt/webresources, ссылка Request for Comments (RFC) RFC 1778 The String Representation of Standard Attribute Syntaxes (Строковое представление стандартного синтаксиса атрибутов) В соответствии со стандартом LDAP поле AttributeValue элементов протокола должно состоять из строк октетов. В этом документе опре делены требования к правилам преобразования синтаксиса атрибутов каталога Х.500 в форму приемлемую для LDAP. Кроме того, в нем описаны правила кодирования стандартного синтаксиса LDAP-атрЕ бутов (см. след, стр.) Приложения 788 ЧАСТЬ Таблица Б-1, (продолжение) Содержание Документ RFC RFC 1779 A String Representation of Distinguished Names (Строковое представ ление составных имен) Составные имена в формате ASN.1 используются в качестве основно го средства идентификации записей в ОSI-каталore. Поэтому при об мене составными именами средствами, отличными от протокола ката лога (например, в сообщении электронной почты), необходимо согла шение о строковом представлении этого имени. Такой строковый фор мат представления составных имен определен в данном RFC. Эта спе цификация специально разработана для однозначного представления всевозможных составных имен RFC 1959 An LDAP URL Format* (Формат адреса LDAP URL) В этом документе описан формат URL-адреса в протоколе LDAP, по зволяющий получить прямой доступ ио протоколу LDAP из Интерне та. Хотя в настоящее время LDAP используется только в качестве клиентского интерфейса к каталогу Х.500, формат URL-алреса, опи санный в этом RFC, Ч достаточно общий, и его можно обрабатывать на изолированных LDAP-серверах (то есть LDAP-серверах, не связан ных с сопутствующим Х.500-сервером.). Этот документ RFC заменен спецификацией RFC 2255 для LDAPv RFC 1960 A String Representation of LDAP Search Filters?- (Строковое представ ление фильтров LDAP-поиска) В LDAP существует определенное сетевое представление фильтров поиска, передаваемых на LDAP-сервер. В данном документе опреде лен строковый формат попятного для пользователя представления фильтров LDAP-поиска, что может применяться в некоторых прило жениях. Этот документ RFC заменен спецификацией RFC 2254 для LDAPul RFC 1823 The LDAP Application Program Interface (Интерфейс прикладного программирования для LDAP) В данном документе описаны свойства мощного и вместе с тем про стого интерфейса LDAP API для программ на языке С. В специфика ции определены совместимые синхронные и асинхронные интерфейсы к LDAP, удовлетворяющие требованиям широкого спектра приложе ний. Кроме того, в документе содержится краткое описание модели LDAP и порядка извлечения информации приложением посредством API. В нем подробно изложен порядок вызова функций LDAP API, a в приложении приведены примеры кода, иллюстрирующего использо вание API Таблица Б-2. Документы RFC, относящиеся к протоколу LDAPvS Документ RFC Содержание RFC 2251 Lightweight Directory Access Protocol (v3)s> Описанный в этом документе протокол обеспечивает доступ к катало гам, поддерживающим модели Х.500, причем ресурсов при этом тре буется меньше, чем при использовании протокола DAP (Directory Access Protocol). LDAPv3 разработан специально для приложений управления и просмотра, которые предоставляют простой интерактив ный доступ к каталогам Х.500 в режимах чтения и записи. Протокол LDAPvS используется в качестве дополнения к DAP при работе с каталогом, поддерживающим протоколы Х.500.
Документы RFC, относящиеся к протоколу LDAP Приложение Б Таблица Б-2. (продолжение) Содержание Документ RFC Подробнее об RFC 1777 Ч на Web-странице Web Resources по адресу ссылка Request for Comments (RFC) RFC 2252 Lightweight Directory Access Protocol (v3): Attribute Syntax Defini tions (LDAPvS: определения синтаксиса атрибутов) В соответствии со стандартом LDAP поле AttributeValue элементов протокола должно состоять из строк октетов. В этом документе опре делены наборы синтаксиса LDAPvS и правил, по которым значения атрибутов в таком синтаксисе Представляются в виде строк октетои для передачи в LDAP. Синтаксис определен в этом и других докумен тах, описывающих типы атрибутов. В данной спецификации также задан набор типов атрибутов, которые должны поддерживать LDAP серверы RFC 2253 Lightweight Directory Access Protocol (v3): UTF-8 String Represen tation of Distinguished Names (LDAPv3: Строковое представление составных имен в виде строк в формате UTF-8) В каталоге Х.500 составные имена в формате ASN.1 используются з качестве основного средства идентификации его записей. В LDAP строковое представление составных имен изменено. В этом RFC опре делен строковый формат для однозначного представления составн.ix имен любого вида RFC 2254 The String Representation of LDAP Search Filters* (Строковое пред ставление фильтров LDAP-поиска) В LDAP существует определенное сетевое представление фильтрол поиска, передаваемых на LDAP-сервср. Этот документ определяет стро ковый формат для удобочитаемого представления фильтров LDAP поиска, что может оказаться очень удобным в некоторых приложени ях. Этот документ сменил RFC 196Q RFC 2255 The LDAP URL Format (Формат адреса LDAP URL) В этом документе описан формат URL-адресов в протоколе LDAP для поиска информации в каталоге LDAP. Этот формат является расшире нием формата, определенного в LDAPv2 и содержит более подробную информацию о разрешении адресов LDAP URL. В данном документе также определен механизм расширения LDAP URL в последующих документах (например, для предоставления доступа к новым расшире ниям LDAPvS по мере их появления). Этот документ сменил RFC RFC 2256 A Summary of the X.500(96) User Schema for Use with LDAPv3 (Об зор схемы пользователя в Х.500(96) для работы с LDAPvS) Данный документ предоставляет краткий обзор типов атрибутов и классов объектов, определенных комитетами ISO и ITU-T в докумен тах RFC, относящихся к Х.500, В частности, в нем описаны типы ат рибутов и классы объектов, используемых клиентами каталога. Это наиболее широко применяемая схема каталогов LDAP и Х.500, в том числе и в качестве основы для многих других определений объектов схемы в технической документации. В данном документе не рассмит риваются атрибуты, используемые для администрирования ссрверив каталогов Х.500, а также атрибуты, определенные в других докуме;
ч тах RFC, опубликованных ISO и ITU-T ПРИЛОЖЕНИЕ В Ntdsutil.exe служебная программа диагностики Active Directory Ntdsutil.exe Ч это служебная программа командной строки, предоставляющая сред ства управления службой каталогов Active Directory. Применяйте Ntdsutil для под держки базы данных Active Directory, управления операциями одиночного хозяи на, удаления метаданных, оставшихся после некорректного удаления контроллеров доменов. Этот инструмент предназначен для опытных администраторов. По умол чанию Ntdsutil находится в папке Wmnt\System32.
В этом приложении Вызов команд и параметров Ntdsutil Управление файлами базы данных Active Directory Подменю Server Connections Выбор адресата операции Управление ролями одиночного хозяина операций Управление потерянными метаданными Выполнение принудительного восстановления Управление доменами Управление политиками LDAP Управление списком запрещений IP LDAP Управление учетными записями безопасности Анализ семантики базы данных Список команд меню Ntdsutil.exe Ч служебная программа диагностики Active Directory Приложение В Вызов команд и параметров Ntdsutil Ntdsutil предоставляет информацию о наборе доступных команд Ч для этого дос таточно на любом этапе ввести ? или Help (или даже h, если на данном этапе нет других параметров, названия которых начинаются с символа h). В общем случае команда quit (или просто q, если нет других пунктов, начинающихся с этой буквы) служит для возврата в предыдущее меню. Применив ее на наивысшем уровне иерар хии меню, Вы закроете программу.
Подробнее о командах меню Ntdsutil Ч в разделе Список команд меню далее в этом приложении.
Выполнение команд меню Ntdsutil Ntdsutil можно запустить без параметров. В данной служебной программе нет нагро мождения обширного, постоянно растущего набора сложных для понимания и запо минания сокращенных параметров командной строки Ч программа анализирует ин формацию, вводимую с клавиатуры, по мере ее поступления. Общение с командной строкой в Ntdsutil максимально приближено к диалогу. Например, Бы можете ввести*:
list roles for connected server connect to server xxx Для удобства Ntdsutil позволяет сокращать команды: достаточно задать несколько первых букв каждого слова, однозначно определяющих команду на данном уровне.
Таким образом, освоив эту служебную программу, вместо:
list roles for connected server Вы будете вводить:
l гfсs i Как Ntdsutil обрабатывает ввод команд Ntdsutil рассматривает в качестве входных данных все параметры, вводимые после запуска программы. Например, если Вы введете:
ntdsutil help ROLES help quit quit то будут выполнены следующие действия:
1. запустится Ntdsutil.exe;
2. программа отобразит справочную информацию;
программа войдет в подменю fsmo maintenance;
3.
4. программа отобразит справочную информацию этого подменю:
программа закроет подменю fsmo maintenance и возвратится в меню верхнего 5.
уровня;
6. будет закрыта служебная программа.
Параметры в командах Ntdsutil Некоторые команды принимают параметры, Ч они изображаются в справке в виде %s или %d. Возможно, Вы знаете, что %d - спецификатор десятичного числа, * Указанные команды являются вполне осмысленными фразами на английском: перечислить роли подключенного сервера и подключиться к серверу ххх. Ч Прим, перев.
Приложения 792 ЧАСТЬ a %s Ч спецификатор строки в командах print и scan в языке С. Поэтому вместо этих символов, указанных в справке, нужно вводить число или строку соответствен но. Например, если справка сообщает о следующем формате команды:
connect to server Xs это значит, что команда должна иметь вид:
connect to server xxx где xxx строка символов, подставляемая вместо %s. Строку с пробелами следует заключить в кавычки:
connect to server "xxx yyy" Автоматизация команд Ntdsutil Работу Ntdsutil можно автоматизировать, создавая командные файлы или сцена рии с наборами команд этой программы. Многие команды Ntdsutil, выполняющие операции записи, по умолчанию выводят предупреждение и требуют от пользова теля подтвердить выполнение данной операции. При этом программа приостанав ливается и ожидает ввода с клавиатуры. Для отключения этих сообщений в коман дных файлах или сценариях предназначена команда Popups %s. Например, чтобы отключить сообщения, введите:
popups по Для восстановления режима отображения сообщений нужно ввести:
popups yes Хорошим стилем считается отключение этих сообщений при создании командных сценариев Ntdsutil и включение сразу после завершения этой работы.
Управление файлами базы данных Active Directory Служба каталогов Windows 2000 реализована на основе диспетчера ISAM-таблиц (Indexed Sequential Access Method) базе данных, которая также используется в Microsoft Exchange Server, службе репликации файлов, редакторе конфигурации безопасности, сервере сертификации, WINS и в других компонентах Windows 2000.
В Windows 2000 применяется версия этой базы Ч ESENT (extensible storage engine).
ESENT транзактная система базы данных, в которой для поддержки семантики отката и обеспечения завершения транзакций используются журналы. В общем слу чае из соображений производительности и восстановления базы при сбоях дисков данные и журналы должны находится на разных дисках.
Файл данных называется Ntds.dit. В меню Files программы Ntdsutil собраны ко манды для управления данными и журналами службы каталогов.
В ESENT существует собственная служебная программа для выполнения некото рых функций управления файлами базы данных. Она называется Esentutl.exe и так же размещена в папке Winnt\System32. Некоторые команды Ntdsutil по управле нию файлами обращаются к Esentutl, избавляя от необходимости изучать парамет ры этой служебной программы. Обращаясь к Esentutl, Ntdsutil открывает отдель ное окно, в котором Вы можете просмотреть ход работы Esentutl.
Служба каталога Windows 2000 открывает свои файлы в монопольном режиме. Это означает, что на контроллере домена управлять файлами не удастся.
l\ltdsutil.exe Ч служебная программа диагностики Active Directory Приложение В ^ Управление файлами служб каталогов 1. Запустите компьютер.
2. В меню загрузки нажмите F8, 3. В меню Windows 2000 Advanced Options Menu (Меню дополнительных вари антов загрузки Windows 2000) выберите Directory Services Restore Mode (Вос становление службы каталогов) и нажмите Enter.
Примечание При запуске в режиме Directory Services Restore Mode (Восстановле ние службы каталогов) контроллер домена временно работает как изолированный сервер, поэтому некоторые службы могут не функционировать, в частности интег рированные со службой каталогов. В этом режиме диспетчер SAM (Security Account Manager) использует минимальный набор определений пользователей и групп, на ходящихся в реестре. Если Вы не уверены в физической безопасности своего кон троллера домена, следует установить пароль на переход в режим восстановления службы каталогов.
В таблице В-1 приведены команды управления файлами.
Таблица В-1. Команды управления файлами Назначение Команда Compact to %s (где %s Вызывает Esenuitl.exe для дефрагментации сушествующего файла данных и записывает дефрагментированный файл в ука свободный каталог занный каталог. Каталог-приемник может быть удаленным то приемник) есть подключенным одним из сетевых средств, например, командой net use. После завершения дефрагментации сохрани те старый файл данных в архиве, а сжатый файл поместите на его место. ESENT поддерживает дефрагментацию в подключен ном состоянии (online), однако при этом выполняется только реорганизация страниц файла данных, но освобожденное про странство в файловую систему не возвращается. Такая дефраг ментация регулярно выполняется службой каталогов Выводит в окно заголовок файла данных Ntds.dit.
Header Используется для анализа при сбое базы данных Анализирует и сообщает о наличии свободного пространства Info на установленных в системе дисках, считывает реестр и сооб щает о размерах данных и журналов. (Сведения о местонахож дении файлов данных, журналов и рабочего каталога службы каталогов хранятся в реестре.) Вызывает Esentntl.exe для обнаружения низкоуровневых (уро Integrity вень двоичного кода) искажений базы данных. Команда Integrity вызывает служебную программу командной строки Esentutl, которая побайтово считывает файл данных. Обработ ка файлов больших размеров иногда требует значительного времени. Имейте в виду, что перед проверкой целостности следует выполнить команду Recover.
Перемещает файл данных Ntds.dit в другой каталог, указанный Move DB to %s (где %s Х в параметре %s, и вносит соответствующие изменения в реестр.
катал or-приемник) Изменения вступают в силу после перезагрузки Перемещает журнал службы в другой каталог, указанный в Move logs to %s (где %s параметре %s, и вносит соответствующие изменения в реестр.
каталог-приемник) Изменения вступают в силу после перезагрузки (см. след, стр.) Приложения 794 ЧАСТЬ Таблица В-1. (продолжение) Назначение Команда Вызывает Esentutl.exe для мягкого восстановления базы дан Recover ных. Процесс восстановления просматривает журналы и прове ряет внесение всех зафиксированных транзакций в файл дан ных. В процессе работы программа Windows 2000 Backup при водит в соответствие эти данные путем корректировки журна лов (отсечения лишних данных). Журналы хранят данные о зафиксированных сделках, и эти данные используются в слу чае сбоя системы или ее выключения вследствие отключения питания. По существу, данные о транзакциях сначала записы ваются в журнал, а затем в файл данных. При запуске после сбоя Вы можете повторно запустить журнал и воспроизвести сделки, которые зафиксированы, но не внесены в базу данных Вызывает Esentutl.exe для низкоуровневой коррекции файла Repair данных. Используйте эту команду, только посоветовавшись с квалифицированным специалистом, так как данная команда может привести к потере данных. Она восстанавливает только данные, с которыми работает ESENT, поэтому может посчитать лишними и удалить данные, жизненно необходимые для нор мальной работы службы каталогов Set path backup %s (где Задает оперативный путь архивного каталога-приемника.
%$ Ч каталог-приемник) Службу каталогов можно настроить для проведения периоди ческого архивирования в подключенном режиме (online) Set path DB %s (где %s - Переопределяет в реестре путь и имя файла данных. Исполь новый каталог) зуйте эту команду исключительно для восстановления кон троллера домена, файл данных которого разрушен и HI;
поддается восстановлению стандартными процедурами Set path logs %s (где %s Переопределяет в реестре путь к журналам. Используйте эту новый каталог) команду исключительно для восстановления контроллера до мена, файл данных которого разрушен и не поддастся восста новлению стандартными процедурами Set path working dir %s Вносит изменения в реестр, связанные с переносом рабочей (где %s Ч имя нового папки службы каталогов по адресу, указанному в %s каталога) Подменю Server connections Некоторые процедуры Ntdsutil отправляют LDAP- или RFC-команды на заранее определенный сервер (или домен). Имя и порядок подключения к такому серверу задаются в меню Server connections. По умолчанию подлинность соединения заве ряется удостоверениями текущего пользователя. Этот порядок можно изменить и указать реквизиты, используемые при прохождении проверки подлинности на сер вере. В таблице Б-2 перечислены и описаны команды меню Server connections.
Таблица В-2. Команды меню Server connections Команда Назначение Clear creds Отменяет все ранее определенные учетные данные и разъеди няет все соединения Connect to domain %s Находит контроллер домена, указанный в параметре %s, и ус (где %s --- имя домена) танавливает с ним соединение, используя заданные по умолча нию учетные данные, указанные ранее командой Set creds Приложение В Ntdsutil.exe Ч служебная программа диагностики Active Directory Таблица В-2. (продолжение) Команда Назначение Connect to server %s Устанавливает соединение с контроллером домена, указанным (где %s - имя в %s, используя заданные по умолчанию учетные данные, ука коптроллсра домена) занные ранее командой Set creds Info Отображает сведения о текущих учетных данных и состоянии соединения Set creds %s %s %s (где Задаст учетные данные для подключения командой Connect to.
первый параметр %s Ч Пустой пароль задается литеральной строкой Null имя домена, второй Ч имя пользователя, а третий Ч пароль) Выбор адресата операции В некоторых операциях Ntdsutil требуется указать сведения о конкретном сайте, сервере или домене Ч они потребуются для дальнейших операций. Сведения соот ветствуют данным объекта контейнера конфигурации. Во многих из них не требу ется вводить полные составные имена объектов, а всего лишь выбрать их из списка допустимых.
Подменю Select operation target есть в некоторых других меню Ntdsutil;
его сред ствами можно запрашивать у существующего рабочего контроллера домена сведе ния об объектах контейнера конфигурации. Обычно создается соединение с серве ром, в консоли выводится список всех известных ему объектов, пронумерованных, начиная с нуля, и выбирается объект по его номеру, а не по составному имени. В таблице В-3 перечислены и описаны команды этого подменю.
Таблица В-3. Команды подменю Select operation target Команда Назначение Вызывает тюдигеню Server connections Connections List current selections Отображает текущие сайт, домен и сервер List domains Перечисляет все домены, указанные в объектах перекрестных ссылок в контейнере Partitions. Обратите внимание, что неко торые из этих доменов могут в действительности отсутствовать, если последний контроллер домена был удален некорректло List domains in site Перечисляет домены, контроллеры которых размещены в текущем сайте List roles for connected Перечисляет все известные текущему серверу роли одиночного server хозяина операций и отображает контроллеры доменов, облада ющие этими ролями. Из-за задержки распространения сервер может обладать неверными сведениями о текущих владельцах ролей List servers for domain Перечисляет все серверы в выбранном домене и сайте in site List servers in site Перечисляет все серверы в выбранном сайте List sites Перечисляет все сайты в лесе Select domain %d Устанавливает текущим домен, указанный в %d Select server %d Устанавливает текущим сервер, указанный в %d Select site %d Устанавливает текущим сайт, указанный в %d Приложения 796 ЧАСТЬ Управление ролями одиночного хозяина операций Хотя Active Directory основана на модели администрирования с несколькими хо зяевами, некоторые операции выполняются только одним хозяином. В операциях с несколькими хозяевами механизм разрешения конфликтов гарантирует, что после завершения репликации все атрибуты всех объектов во всех репликах совпадают.
Однако для некоторых данных, жизненно важных для работы всей системы, кор ректное разрешение противоречий невозможно. Такие данные управляются специ ально назначенными контроллерами доменов, называемыми хозяевами операций;
говорят, что они обладают определенной ролью одиночного хозяина операций.
Подробнее об операциях и ролях одиночного хозяина в главе 7 Управление опе рациями одиночного хозяина.
Подменю fsmo maitenance (команда Roles) в Ntdsutil используется для управляе мого перемещения и восстановления ролей одиночных хозяев операций, причем оно происходит простого и безопасно. Поскольку исходный сервер и сервер-приемник находятся в рабочем состоянии, система обеспечивает корректную и транзактную (в случае неудачи все изменения отменяются, и системы возвращаются в исходное состояние) передачу маркера роли хозяина операций и всех соответствующих дан ных. Принудительное перемещение роли хозяина операций проводится также про сто, но оно не так безопасно, ведь Вы принудительно передаете определенному кон троллеру домена одну из FSMO-ролей.
Внимание! Не передавайте FSMO-роли в принудительном порядке, если в сети уже существует такой хозяин, так как это может вызвать неисправимый конфликт жиз ненно важных системных данных. Не следует этого делать, даже если владелец роли временно недоступен.
В таблице В-4 перечислены и описаны команды подменю fsmo maitenance.
Таблица В-4. Команды подменю fsmo maitenance Команда Назначение Abandon all roles Заставляет текущий контроллер домена освободить все при надлежащие ему роли одиночного хозяина операций. Эта команда не приноднт к желаемому результату, если владелец роли временно недоступен или если текущий контроллер домена является последним (единственным) контроллером данного домена Connections Вызывает подменю Server connections Seize domain naming master Принудительно передает текущему контроллеру домена роль хозяина именования доменов. Используйте эту команду только для восстановления Seize infrastructure master Принудительно перелает текущему контроллеру домена роль хозяина инфраструктуры. Используйте эту команду только для восстановления Seize PDC Принудительно передает текущему контроллеру домена роль хозяина эмулятора PDC. Используйте эту команду только для восстановления Seize RID master Принудительно передает текущему контроллеру домена роль хозяина относительных идентификаторов. Используйте эту команду только для восстановления Приложение В Ntdsutil.exe Ч служебная программа диагностики Active Directory Таблица В-4. (продолжение) Команда Назначение Seize schema master Принудительно передает текущему контроллеру домена роль хозяина схемы. Используйте эту команду только для восстановления Select operation target Вызывает подменю Select operation target Transfer domain naming Корректно перемещает роль хозяина именования доменов master в текущий контроллер домена Transfer infrastructure Корректно перемещает роль хозяина инфраструктуры в тепу master щий контроллер домена Transfer PDC Корректно перемещает роль хозяина эмулятора PDC в текущий контроллер домена Transfer RID master Корректно перемещает роль хозяина относительных идентификаторов в текущий контроллер домена Transfer schema master Корректно перемещает роль хозяина схемы в текущий контроллер домена Управление потерянными метаданными В Active Directory хранятся самые разнообразные метаданные доменов и серверов в лесе. Обычно домены и контроллеры доменов создаются повышением ролей сред ствами мастера установки Active Directory (Active Directory Installation wizurd).
Этот же мастер используется для понижения роли и удаления Active Directory.
Мастер установки Active Directory можно запустить из командной строки, выпол нив команду dcpromo, или из программы Windows 2000 Configure Your Server ( На стройка сервера), выбрав команду установки Active Directory.
Процедуры повышения и понижения роли удаляют все сопутствующие метаданные, но если эти операции проводятся некорректно, то метаданные не уничтожаются.
Это может произойти, например, в случае сбоя контроллера домена, если Вы ре шили не восстанавливать сервер, а просто удалить его. При этом информация об уже несуществующем контроллере домена останется в каталоге. Такие метаданные называются потерянными (orphaned). В этом случае следует подключиться к сер веру, хранящему копию устаревших метаданных, выбрать и удалить ставшими не нужными записи.
Внимание! Будьте осторожны и не удалите метаданных существующих доменов и контроллеров.
В таблице В-5 перечислены и описаны команды меню Metadata cleanup.
Таблица В-5. Команды меню Metadata cleanup Команда Назначение Connections Вызывает подменю Server connections Remove selected domain Удаляет метаданные, относящиеся к домену, выбранному в подменю Select operation target Remove selected server Удаляет метаданные, относящиеся к контроллеру домена, выбранному в подменю Select operation target Select operation target Вызывает подменю Select operation target Приложения 798 ЧАСТЬ Выполнение принудительного восстановления В домене с несколькими контроллерами Active Directory реплицирует объекты ка талога, такие, как пользователь*, группа, подразделение и компьютер, на все контроллеры данного домена.
Восстановление контроллера домена средствами программы Windows 2000 Ntbackup (Средства архивации и восстановления данных Windows 2000) или программ сто ронних поставщиков по умолчанию выполняется в режиме непринудительного вос становления. Это означает, что реплика на восстанавливаемом сервере обновляется путем стандартного механизма репликации. Например, если контроллер домена вос становлен из архива двухнедельной давности, стандартный механизм репликации об новит его данные сведениями текущих реплик партнеров репликации.
Принудительное восстановление позволяет администратору восстановить контрол лер домена в том виде, в котором он существовал ранее, а также отметить отдель ные объекты в Active Directory как обладающие более высоким приоритетом по отношению к объектам партнеров репликации. Принудительное восстановление обычно используется при случайном удалении подразделения с большим количе ством пользователей. Восстановить подразделение удастся только в принудитель ном режиме, отметив подразделение для принудительного восстановления и, таким образом, вынудив процесс репликации восстановить его на всех остальных контрол лерах данного домена.
В таблице В-6 перечислены и описаны команды меню Authoritative restore.
Таблица В-6. Команды меню Authoritative restore Команда Назначение Restore database Отмечает для принудительного восстановления всю базу данных Ntds.dil (разделы домена и конфигурации). Схему восстанавливать в принудительном порядке не разрешается Restore database verinc %d Отмечает для принудительного восстановления всю базу данных Ntds.dit (разделы домена и конфигурации) и увеличи вает номер версии на значение, указанное в параметре %d.
Эта команда используется только для восстановления после (и поверх) предпринятой ранее неудачной попытки принуди тельного восстановления, например, из некорректного архива Restore subtree %s Отмечает для принудительного восстановления поддерево вместе со всеми его потомками. В параметре %$ указывается полное составное имя поддерева Restore subtree %s Х Отмечает для принудительного восстановления поддерево verinc %d поддерево вместе со всеми его потомками и увеличивает номер версии на значение, указанное в параметре %d. В параметре %s указывается полное составное имя поддерева. Эта команда используется только для восстановления после (и поверх) предпринятой ранее неудачной попытки принудительного восстановления, например из некорректного архива Управление доменами Обычно для создания дочерних доменов и повышения роли серверов до контрол леров домена требуются полномочия группы Enterprise Administrators (Админист раторы предприятия). Но зачастую сотрудник, занимающийся установкой аппара Приложение В l\ltdsutil.exe Ч служебная программа диагностики Active Directory туры и программного обеспечения на контроллерах домена, не обладает такими высокими административными привилегиями, да они ему и не нужны. Команды меню Domain management позволяют администраторам Ч членам группы Адми нистраторы предприятия, Ч заранее создавать (предустанавливать) в каталоге объекты перекрестных ссылок и серверные объекты.
В таблице В-7 перечислены и описаны команды меню Domain management.
Таблица В-7. Команды меню Domain management Команда Назначение '_ List Перечисляет вес контексты именования, существующие на предприятии: разделы схемы, конфигурации и доменов Precreate %s1 %s2 Создает объект перекрестной ссылки на домен %s1, повышая роль сервера, указанного в параметре %s2, до ранга контролле ра данного домена. В параметре %s1 следует указать полное составное имя домена, а в параметре %$2 Ч полное DNS-имя сервера Управление политиками LDAP Для обеспечения устойчивости служб, предоставляемых контроллерами домена нужно задать определенные ограничения на ряд LDAP-онераций. Эти ограничения позволяют предупредить возможное негативное влияние определенных операций на производительность сервера, а также повысить устойчивость сервера к атакам типа лотказ в обслуживании.
Политика LDAP управляется с помощью объектов класса queryPolicy. Объекты поли тики запросов создаются в контейнере Query Policies, который является прямым по томком контейнера Directory Service в разделе конфигурации. Например: cn=Query Policies,cn=Directory Service, cn=WmdawsNT,cu=Services,
Существуют три механизма, используемых контроллером домена для применения политики LDAP:
Х ссылка на существующую политику LDAP. В объекте класса nTDSA Settings име ется дополнительный атрибут queryPolicy Object, в котором разрешается указы вать составное имя политики запросов;
Х если подходящей политики запросов для контроллера домена не существует, ис пользуется политика запросов, определенная для данного сайта. В объекте класса ntDSSiteSettings имеется дополнительный атрибут query Policy Object, в котором раз решается указывать составное имя политики запросов;
Х при отсутствии какой-либо конкретной политики запросов для контроллера до мена и для сайта контроллер домена использует политику запросов по умолча нию (Default-Query Policy).
Объект политики запросов содержит многозначные атрибуты LDAPlPDenyList и LDAPAdminLimits. Ntdsutil позволяет администратору установить административ ные ограничения LDAP и список IP Deny List (список запрещений IP LDAP) в объекте стандартной политики Default-Query Policy, Приложения 800 ЧАСТЬ Далее перечислены параметры административных ограничений LDAP (в скобках приведены значения по умолчанию):
InitRecvTimeout Ч таймаут начала приема (120 секунд);
MaxConnections Ч максимальное число открытых соединений (5 000);
MaxConnldleTime - максимально допустимый период отсутствия активности со единения (900 секунд);
Max Active Queries Ч максимальное число параллельных активных запросов (20);
MaxNotificationPerConnect!on Ч максимальное число уведомлений, запрашивае мых клиентом в данном подключении (5);
MaxPageSize максимальный размер страницы, выделенной для ответов LDAP (1 000 записей);
MaxQueryDuration Ч максимальная длительность обработки запроса (120 секунд);
MaxTempTableSize Ч максимальный размер временной памяти, выделенной, для выполнения запросов (10 000 записей);
MaxResultSetSize Ч максимальный размер LDAP Result Set памяти, выделен ной для размещения результатов запросов (262 144 байта);
MaxPoolThreads Ч максимальное число потоков, созданных контроллером домена для выполнения запроса (4 потока на каждый из процессоров);
MaxDatagramRecv Ч максимальное число дейтаграмм, которые могут быть одно временно обработаны контроллером домена (1 024).
В таблице В-8 перечислены и описаны команды меню LDAP policy.
Таблица В-8. Команды меню LDAP policy Команда Назначение Cancel Отменяет все незафиксированные изменения границ админист рирования LDAP заданной по умолчанию политики запросов Commit Фиксирует изменения границ администрирования LDAP за данной но умолчанию политики запросов List Выводит список всех поддерживаемых границ администриро вания LDAP для контроллера домена Set %s1 to %s2 Изменяет значение границы администрирования LDAP, ука занной в %s1, на значение, определенное в %s Show values Показывает текущее и предлагаемые значения границ админис трирования LDAP Управление списком запрещений IP LDAP Для повышения безопасности контроллера домена можно воспользоваться списком запрещений IP LDAP (IP Deny List), в котором перечислены IP-адреса клиентов, LDAP-запросы от которых не принимаются. Подобно административным ограни чениям LDAP, этот список только изменяет стандартный объект политики LDAP, применяемый по умолчанию ко всем контроллерам домена, в которых эта полити ка не задана.
Ntdsuti1.exe Ч служебная программа диагностики Active Directory Приложение В В таблице В-9 перечислены и описаны команды меню IP Deny List.
Таблица В-9. Команды меню IP Deny List Команда Назначение Add %s1 % s2 Добавляет запись в список IP Deny List. В первом параметре %s1 указывается IP-адрес узла или сетевая компонента IP адреса. Если в %s1 задается адрес узла, то в параметре %& перелается значение NODE;
и противном случае в нем переда ется маска подсети. Например, чтобы запретить доступ с у:ша 192.168.100.10, нужно ввести команду:
Add 192.168.100.10 NODE А чтобы закрыть доступ со всех узлов с адресом 192.168.100.0, нужно выполнить команду:
Add 192.168.100.0 255.255.255. Записи, добавленные командой Add, не вступят в силу, попа не выполнена команда Commit Cancel Отменяет все незафиксированные добавления или удаления к объекту политики LDAP Commit Фиксирует добавления или удаления, примененные к объекту политики LDAP Delete %d Удаляет запись с номером, указанным в параметре %d. Для получения списка с номерами используйте команду Show Show Отображает все IP-адреса в списке IP Deny List Test %s Информирует о разрешенном или запрещенном доступе к IP-адресу, указанному в параметре %s. Например, при условии наличия в списке IP Deny List записи 192.168.100.0 255.255.255. команда Test 192.168.100. сообщит о том, что с этого адреса доступ закрыт Управление учетными записями безопасности Учетные записи безопасности (пользователи, группы и компьютеры) идентифици руются по их идентификаторам безопасности (security ID, SID), которые позво ляют уникально идентифицировать учетные записи безопасности и проверять дос туп к таким ресурсами, как файлы, файловые каталоги, принтеры, почтовые яп,ики Exchange, базы данных Microsoft SQL Server, объекты Active Directory, а также любые другие данные, защищенные механизмом безопасности Windows 2000.
SID состоит из заголовочной информации и набора относительных идентифика торов (relative ID, RID), указывающих на домен и учетную запись защиты. Каж дый из контроллеров данного домена способен создавать новые учетные записи и присваивать им уникальные SID. Идентификаторы безопасности создаются ни ос нове поддерживаемого контроллером домена пула относительных идентификато ров. Израсходовав 80% этого пула, контроллер домена, запрашивает новый пул у хозяина относительных идентификаторов. Такой механизм гарантирует, что один и тот же пул не будет выделен двум разным контроллерам домена, а также предотв ращает появление одинаковых SID. Тем не менее, поскольку иногда (очень ре^ко) контроллерам домена выделяются одинаковые пулы RID, система обнаруживает 802 ЧАСТЬ 3 Приложения учетные записи с одинаковыми SID и предотвращает нарушение работы механиз ма безопасности.
Одна из причин появления пула-двойника Ч принудительное перемещение роли хозяина относительных идентификаторов при временной недоступности текущего хозяина операций. Обычно после одного цикла репликации роль хозяина относи тельных идентификаторов остается только у одного контроллера домена, но воз можна ситуация, когда до разрешения конфликта хозяев операций два различных контроллера домена запрашивают новый пул у разных хозяев и получают идентич ные наборы относительных идентификаторов.
В таблице В-10 перечислены и описаны команды меню Security Account Ma nagement (Обслуживание учетных записей безопасности).
Таблица В-10. Команды меню Security Account Management Команда Назначение Check Duplicate SID Выявляет идентификаторы-двойники Cleanup Duplicate SID Удаляет все объекты с одинаковыми SID и записывает эти све дения в журнал Log File %s Задает в качестве текущего журнал с именем, указанным в па раметре %s. По умолчанию имя файла журнала Ч Dupsid.log Анализ семантики базы данных В отличие от описанных выше команд управления файлами, используемых для проверки целостности базы данных в соответствии с семантикой базы данных ESE, семантический анализ позволяет проверить данные на предмет соответствия семан тике Active Directory. Эти команды создают сообщения о числе имеющихся запи сей, в том числе об удаленных записях и записях-фантомах.
Примечание Пользователи не должны использовать эту команду за исключением тех случаев, когда компания Microsoft потребует применить ее для диагностики ошибок.
В таблице В-11 перечислены и описаны команды меню Semantic Database Analysis.
Таблица В-11. Команды меню Semantic Database Analysis Команда Назначение Get %d Отображает запись в файле Ntds.dit. Номер записи указывает ся в параметре %d Go Запускает процесс семантического анализа базы данных Ntds.dit.
Отчет записывается в текущую папку в файл Dsdit.dmp.n, где п Ч целое число, которое увеличивается на единицу при каж дом последующем запуске команды Verbose %s Включает или отключает режим подробного отображения ин формации Ntdsutil.exe Ч служебная программа диагностики Active Directory Приложение В Список команд меню В таблице В-12 перечислены команды меню и подменю служебной программы Ntdsutil. Команды help, quit и ? не включены.
Примечание Команды меню, отмеченные звездочкой доступны только в режиме Directory Services Restore Mode (Восстановление службы каталогов) контроллера домена.
Таблица В-12. Команды меню Команда главного меню Команды подменю * Authoritative restore Restore database Restore database verinc %d Restore subtree %s Restore subtree %s verinc %d Domain management Connections List Precreate %s %s Select operation target Files Compact to %s Header Info Integrity Move DB to %s Move logs to %s Recover Repair Set path backup %s Set path DB %s Set path logs %s Set path working dir %s Add %s %s TPDenv List Cancel Commit Connections Delete %d Show Test %s Cancel Changes LDAP policies Commit Changes Connections List Set %s to %s Show Values (\:м. след, стр.) Приложения 804 ЧАСТЬ Таблица В-12. (продолжение) Команды подменю Основная команда меню Connections Metadata cleanup Remove selected domain Remove selected Naming Context Remove selected server Select operation target Connections Seize domain naming master Seize infrastructure master Seize PDC Seize RID master Seize schema master Select operation target Transfer domain naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master Security account management Check Duplicate SID Cleanup Duplicate SID Connect to server %s Log File %s * Semantic database analysis Get %d Х.
Co Fixup Verbose %s ПРИЛОЖЕНИЕ Г Права пользователей Существует два типа прав пользователей: права на вход в систему и привилегии.
Права на вход в систему (logon rights) задают порядок и процедуру входа в систе му определенного компьютера. Привилегии (privileges) управляют доступом к сис темным ресурсам и, обладая более высоким приоритетом, способны отменять раз решения объектов.
Специальная учетная запись LocalSystem наделена практически всеми привилеги ями и правами на вход в систему, поскольку все процессы, работающие в режиме операционной системы, выполняются под этой учетной записью, и для них необхо дим полный набор прав. Службы, поставляемые в составе Microsoft Windows !;
!000, автоматически конфигурируются для работы под учетной записью LocalSystem.
Другие службы также разрешается запускать под этой учетной записью Ч со всеми мерами предосторожности.
Права на вход в систему Права пользователей определяют возможности участников безопасности по досту пу к компьютеру Ч с клавиатуры или по сети, в виде службы или пакетного зада ния. Для каждого способа входа в систему существует пара прав -- разрешение и отказ на вход в систему компьютера. Отказ предоставляется так же, как и разреше ние, и служит для исключения определенной подгруппы из числа допущенных ко входу в систему. Предположим, что Алиса хочет предоставить всем пользователям, кроме членов группы Marketing, право на вход со своего компьютера. Для этого она создает локальную группу LocalLogonDenied и конфигурирует свой компьютер сле дующим образом:
1. предоставляет право локального входа в систему членам группы Users (Пользо ватели);
2. запрещает локальный вход членам группы LocalLogonDenied;
3. размещает группу Marketing в группе LocalLogonDenied (то есть Marketing ста новится членом LocalLogonDenied).
Приложения 806 ЧАСТЬ Отказ обладает более высоким приоритетом, чем право, поэтому локальный вход членам группы Marketing будет закрыт, невзирая на то, что они входят в группу Users, которой предоставлено право на такой вход Б систему.
Общее правило звучит так: сначала даются права всему множеству, а потом отдель ным подмножествам в праве отказывается. Обратный порядок способен привести к серьезным последствиям. Допустим, Алиса желает получить исключительное пра во на локальный вход. Если она сначала предоставит себе это право и затем отка жет в нем членам группы User, то ее ждет огорчение ее доступ в систему окажет ся заблокированным. Ведь Алиса Ч член группы User, и предоставленное право на локальный вход блокируется отказом, который, как сказано выше, обладает более высоким приоритетом.
В таблице Г-1 перечислены и описаны права на вход в систему, которые разрешает ся назначать пользователям. Для удобства программистов, которым константы в Winnt.h более понятны, чем названия прав в пользовательском интерфейсе, мы при водим имена этих констант после запятой.
Таблица Г-1. Права на вход в систему Описание Право на вход в систему Access this computer from network Право подключаться к данному компьютеру по сети. По умолчанию оно предоставляется группам Administrators (Доступ к этому компьютеру из сети), SeNetworkLogonRight (Администраторы), Everyone (Все) и Power Users (Опытные пользователи) Право входа в систему с помощью средства обработки Log on as a batch job (Вход пакетных заданий. По умолчанию предоставляется чле в качестве пакетного задания), ScBatch LogonRight нам группы Administrators (Администраторы) Log on locally (Локальный вход Право входа с клавиатуры данного компьютера. По в систему), Selnteractive умолчанию предоставляется членам групп Administra tors (Администраторы), Account Operators (Операторы LogonRight учета), Backup Operators (Операторы архива), Print Operators (Операторы печати) и Server Operators (One раторы сервера) Log on as a service (Вход Право участника безопасности входить в систему как служба. Службы способны выполняться под учетной в качестве службы), SeService записью LocalSystem, которая, в свою очередь, обладает Logon Right неотъемлемым правом входа в систему в качестве служ бы. Любую службу, запущенную с отдельной учетной записью, следует наделить этим нравом. По умолчанию это право не предоставляется никому Deny access to this computer from Запрещение входа в систему из сети. По умолчанию в network (Отказ в доступе к этом праве никому не отказано компьютеру из сети), SeDeny Network Logon Right Deny local logon (Отказ Запрещение локального входа Б систему. По умолчанию в локальном входе), SeDeny- в этом нраве никому не отказано InteractiveLogonRight Запрещение входа в систему в качестве пакетного Deny logon as a batch job задания. Но умолчанию в этом праве никому (Отказ во входе в качестве не отказано пакетного задания), SeDenyBatchLogonRight Deny logon as a service (Отказ Запрещение входа в систему в качестве службы. По во входе в качестве службы), умолчанию в этом праве никому не отказано SeDenyServi cc LogonRight Права пользователей Приложение Г Привилегии Для упрощения администрирования учетных записей пользователей рекомендует ся назначать привилегии учетным записям целых групп, а не отдельным пользова телям. При назначении привилегий группе ее члены получают эти привилегии ав томатически. Этот способ управления привилегиями гораздо удобнее, чем назначе ние привилегий отдельным пользователям при создании их учетных записей.
В таблице Г-2 перечислены и описаны привилегии, назначаемые пользователям.
После запятой указаны имена соответствующих констант, определенных в заголо вочном файле Winnt.h.
Таблица Г-2. Привилегии Привилегия Описание Act as part of the operating system Разрешает процессу проходить проверку подлинности (Работа в режиме операционной как пользователю и, таким образом, получать доступ к тем же ресурсам, что и любой пользователь. Эта приви системы), SeTcbPrivilege легия требуется только для служб проверки подлиннос ти низкого уровня.
Потенциально доступ не ограничен правами доступа пользователя, назначенными ему по умолчанию, по скольку вызывающий процесс имеет право создать rv ар кер доступа с любым дополнительным доступом. Следу ет заметить, что вызывающему процессу разрешаете:
создать анонимный маркер, предоставляющий любой возможный доступ, при этом такой маркер не предос тавляет никаких идентификационных данных для реги страции событий в журнале аудита.
Процессы, которым необходима эта привилегия, долж ны использовать учетную запись локальной системы (LocalSystem), уже содержащую данную привилегию. Не следует создавать для таких процессов отдельную учет ную запись и назначать ей специально эту привилегию Позволяет пользователю добавлять компьютер в колк Add workstations to a domain ретный домен. Она доступна для пользователя, только (Добавление рабочих станций если выделена ему как часть локальной политики безо к домену), SeMachineAccount пасности контроллеров данного домена. Эта привилегия Privilege позволяет пользователю добавить в домен до 10 рабочих станций.
Pages: | 1 | ... | 15 | 16 | 17 | 18 | Книги, научные публикации