5. Работа c утилитой CertMgr
CertMgr. К основным функциям этой системной программы относятся:
отображение информации из сертификатов, CTL и CRL;
копирование сертификатов, CTL и CRL из одного хранилища сертификатов в другое;
удаление сертификатов, CTL и CRL из хранилища;
экспорт (сохранение) закодированных сертификатов, CTL и CRL из хранилища в файл;
импорт (загрузка) закодированных сертификатов, CTL и CRL из файла в хранилище сертификатов.
Менеджер сертификатов
Менеджер вызывается через открытие файла CertMgr.exe, который можно найти также по C:\Program Files\Microsoft SDKs\Windows\v6.0A\bin.
Информация о составе списка доверенных издателей может быть получена через менеджер CertMgr.exe или через CertMgr.msc.
6. Оснастка «Сертификаты»
В операционных системах Microsoft Windows 2000/XP/2003 для управления сертификатами может быть использована оснастка «Сертификаты». Эта системная программа может быть добавлена в консоль управления Microsoft (Microsoft Management Console, MMC), которая может быть вызвана с помощью команды Пуск | Выполнить | mmc.
Для добавления оснастки «Сертификаты» требуется использовать команду меню Консоль | Добавить / удалить оснастку. В появившемся диалоговом окне нажать кнопку «Добавить» и в списке доступных оснасток выбрать «Сертификаты».
Запрос и получение сертификата в оснастке «Сертификаты» возможно с помощью команды «Запросить новый сертификат» контекстного меню хранилища сертификатов «Личные», которая начинает диалог пользователя с мастером запроса сертификатов. Это становится возможным, если в локальной сети установлен удостоверяющий центр организации (enterprise certificate authority), иначе будет выведено сообщение об ошибке.
Работа с программой в режиме запроса возможна при условии доступа к центру сертификации Windows, и если пользователь является администратором на данной машине.
Дополнительные возможности оснастки это запросы, просмотр списков отозванных сертификатов, поиск, просмотр заявок на сертификаты, что позволяет более гибко управлять всеми сертификатами.
Контрольные вопросы.
Ответы на вопросы по варианту 18:
5) Как проводится регистрация пользователей с устройствами аутентификации?
Аутентификация означает подтверждение того, что предъявленное имя соответствует данному субъекту (подтверждение подлинности субъекта).
Способы аутентификации пользователей в КС:
К первой группе относятся способы аутентификации, основанные на том, что пользователь знает некоторую подтверждающую его подлинность информацию. К таким способам относятся парольная аутентификация и аутентификация на основе модели «рукопожатия» (знания алгоритма вычисления отклика на случайный запрос).
Вторую группы способов аутентификации образуют способы, основанные на том, что пользователь имеет некоторый материальный объект, который может подтвердить его подлинность (например, пластиковую карту или элемент Touch Memory с идентифицирующей пользователя информацией, смарт-карту с микропроцессором и оперативной памятью, позволяющими участвовать в выполнении сложного протокола идентификации).
Устройства:
Смарт-карты и считыватели для них
Элементы и считыватели TouchMemory
Карты Proximity, считыватели для них
Токены
Генераторы одноразовых паролей
10) Какими могут быть атаки на протокол прямой аутентификации в ОС Windows?
Типовой шаблон прямой аутентификации в итоге дает самую простую архитектуру системы аутентификации удаленных пользователей. Схема работает лучше всего, если каждый владелец обеспечивает наличие единственной точки обслуживания или если каждая точка обслуживания имеет отдельное сообщество пользователей. Обычно владелец каждой точки обслуживания знает заранее, кому следует разрешить им пользоваться. Если у владельца более одной системы, то каждая из них имеет свою группу пользователей.
Суть модели прямой аутентификации состоит в том, что вычислительные службы размещаются в одном физически защищенном месте, тогда как точки использования (клиенты) не обязательно защищены. Этот шаблон называется "прямым", поскольку точка обслуживания сама принимает решение об аутентификации. Механизм аутентификации, механизмы управления доступом и сами службы находятся в одном устройстве. Администраторы поддерживают базу данных авторизованных пользователей в каждой системе. Изменение в базе данных пользователей имеет мгновенный эффект, так как, если кто-то пытается войти в систему, она обращается к своей собственной базе данных пользователей. Очевидным недостатком прямой модели является недостаточная устойчивость к сбоям, поскольку все централизовано.
Так как пользователям не обязательно взаимодействовать с системой из защищенного места, то взломщики могут выбрать в качестве своей мишени удаленные пользовательские рабочие станции или их линии связи. Это делает биометрические методы нецелесообразными: взломщик может перехватить удаленные биометрические показатели авторизованного пользователя и впоследствии воспроизвести их, выдав себя за этого пользователя. Аналогичные проблемы свойственны и для секретных паролей многократного использования.
Из-за риска активной разведки и воспроизведения системы, построенные на основе этого шаблона, обычно требует криптозащиты. Это необязательно шифрование всего трафика; зашифрованных паролей может быть достаточно для обеспечения аутентификации соответствующего уровня. Например, отличительные знаки с одноразовым паролем используют секретный ключ для шифрования внутреннего значения, что дает пароль, который работает только один раз. Другие отличительные знаки используют метод "запрос-ответ": шифруется запрос, в результате которого генерируется одноразовый пароль. Хотя такие системы могут использовать шифрование с открытым или секретным ключом, в большинстве продуктов этого типа используется шифрование с секретным ключом.
Решения на основе шаблона прямой аутентификации работают лучше всего в том случае, когда владелец управляет одной системой или группой систем с независимыми пользователями. В противном случае владелец может получить значительные административные неудобства, так как необходимость быть заведенным в несколько различных баз данных может возникнуть у каждого пользователя.
На компьютерах с операционной системой Windows NT/2000/XP/2003 (не входящих в домен Windows) база данных называется SAM (Security Account Manager — Диспетчер защиты учётных записей). База SAM хранит учётные записи пользователей, включающие в себя все данные, необходимые системе защиты для функционирования. Находится в директории %windir%\system32\config\.
19) В чем значение удостоверяющих центров (центров сертификации)?
Доверие к центру сертификации означает, что имеется уверенность в том, что центр сертификации проводит правильную политику при оценке запросов на сертификаты и объекты, не соответствующие этой политике, не получат сертификаты. Кроме того, имеется уверенность в том, что центр сертификации будет отзывать сертификаты, которые не должны больше рассматриваться как допустимые, публикуя обновляемый список отзыва сертификатов. Списки отзыва сертификатов считаются правильными, пока не истечет срок их действия. Поэтому даже если центр сертификации публикует новый список отзыва сертификатов с новыми отозванными сертификатами, все клиенты, имеющие старый список отзыва сертификатов, не будут извлекать новый список, пока не истечет срок действия старого или он не будет удален. Клиенты могут использовать веб-страницы центров сертификации для извлечения, в случае необходимости, текущих списков отзыва сертификатов вручную.
Для пользователей, компьютеров и служб Windows отношения доверия с центром сертификации устанавливается при получении копии
Корневого сертификата из хранилища доверенного корневого центра сертификации, а также при получении допустимого пути сертификации, означающего, что ни один из сертификатов в пути сертификации не был отозван и ни у одного из них не истек срок действия. Путь сертификации включает все сертификаты, выданные центрам сертификации в иерархии сертификации (от подчиненного центра сертификации до корневого). Например, для корневого центра сертификации путь сертификации включает один сертификат — подписанный им самим сертификат. Для подчиненного центра сертификации, расположенного сразу под корневым центром в иерархии, путь сертификации включает 2 сертификата — собственный сертификат и сертификат корневого центра сертификации.