33. Щелкните кнопку Yes (Да).

34. Закройте оснастку Certification Authority (Центр сертификации).

35. В меню Start (Пуск) выберите команду Run (Выполнить).

Откроется окно Run (Запуск программы), где в поле Open (Открыть) уже будет набрана ссылка на каталог Certsrv.

36. Щелкните кнопку ок.

В Internet Explorer будет открыта страница работы с сертификатами.

37. Щелкните переключатель Retrieve The CA Certificate Or Certificate Revocation List (Получить сертификат ЦС или список отзыва сертификатов), а затем — кнопку Next (Далее).

38. 38.На открывшейся странице щелкните ссылку Download Latest Certificate Revocation List (Загрузить последний список отзыва сертификатов). Откроется диалоговое окно File Download (Загрузка файла).

39. Щелкните переключатель Open This File From Its Current Location (Открыть этот файл из текущего места), а затем — кнопку ОК. Откроется диалоговое окно Certificate Revocation List (Список отзыва сертификатов).

40. Перейдите на вкладку Revocation List (Список отзыва).

41. В списке Revoked Certificates (Отозванные сертификаты) щелкните отозванный сертификат. В списке ниже отобразится серийный номер сертификата, дата и причина отзыва.

42. Щелкните кнопку ОК, чтобы закрыть окно Certificate Revocation List (Список отзыва сертификатов).

43. Закройте Internet Explorer.

Резюме

Windows 2000 включает собственную инфраструктуру открытого ключа, в полной мере использующую все особенности архитектуры системы безопасности этой ОС. Шифрование открытым ключом — это асимметричная схема с применением пары ключей (открытого и закрытого). Владелец пары ключей идентифицируется с по мощью цифровых сертификатов. Обработка сертификатов в Windows 2000 основа на стандарте Х.509. Службы сертификации позволяют организации управлять выпуском, установкой и отзывом цифровых сертификатов без обращения к внешним центрам сертификации. Службы сертификации не зависят от политики безопасности и способа передачи, соответствуют открытым стандартам и обеспечивают управление ключами. Архитектура служб сертификации включает серверное ядро, обрабатывающее запросы сертификатов, и другие взаимодействующие с ним моду ли. Службы сертификации устанавливаются с помощью утилиты Add/Remove Programs (Установка и удаление программ) из панели управления или на этапе установки Windows 2000 Server как необязательный компонент. Для администрирования служб сертификации применяется оснастка Certification Authority (Центр сертификации), утилита Certutil и Web-страница работы с сертификатами.

Упражнение15. Конфигурирование и использование EFS.

Сконфигурируйте политику восстановления данных в домене и зашифруйте папку. Упражнение выполняется на ServerX.

Задание 1: настройка политики восстановления в домене

Политика восстановления конфигурируются по умолчанию, когда устанавливается первый Контроллер домена. В итоге самостоятельно подписанный сертификат назначает агентом восстановления администратора домена. На этом этапе перед использованием EFS вручную добавьте администратора как агента восстановления.

1. Зарегистрируйтесь на ServerX как Administrator (Администратор) с паролем password.

2. В меню Start (Пуск) выберите команду Run (Выполнить), в поле Open (Открыть) введите http://server01/certsrv/ и щелкните кнопку ОК. В Internet Explorer откроется страница работы с сертификатами.

3. Выберите переключатель Request A Certificate (Запросить сертификат) и щелкните Next (Далее). Откроется страница Choose Request Type (Выбор типа запроса).

4. Щелкните переключатель Advanced Request (Расширенный запрос), а затем — кнопку Next (Далее).

Откроется страница Advanced Certificate Requests (Расширенные запросы на сертификаты).

5. Проверьте, что выбран переключатель Submit A Certificate Request To This CA Using A Form (Выдать запрос на сертификат этому ЦС, используя форму), затем щелкните кнопку Next (Далее).

6. В списке Certificate Template (Шаблон сертификата) выберите EFS Recovery Agent (Агент восстановления EFS).

7. Щелкните кнопку Submit (Выдать запрос).

Откроется страница Certificate Issued (Сертификат выдан).

8. Щелкните ссылку Install This Certificate (Установить этот сертификат). Откроется страница Certificate Installed (Сертификат установлен).

9. Закройте Internet Explorer.

10. Из программной группы Administrative Tools (Администрирование) откройте оснастку Active Directory Users And Computers (Active Directory — пользователи и компьютеры).

11. В дереве консоли выберете узел microsoft.com.

12. В меню Action (Действие) выберите команду Properties (Свойства).

13. Откроется диалоговое окно microsoft.com Properties (Свойства: microsoft.com).

14. На вкладке Group Policy (Групповая политика) щелкните кнопку Edit (Изменить). Откроется оснастка Group Policy (Групповая политика).

15. Под узлом Computer Configuration (Конфигурация компьютера) раскройте контейнер Windows Settings (Конфигурация Windows), затем узел Security Settings (Параметры безопасности), контейнер Public Key Policies (Политики открытого ключа) и контейнер Encrypted Data Recovery Agents (Агенты восстановления шифрованных данных).

16. В меню Action (Действие) выберите команду Add (Добавить).

Откроется окно мастера Add Recovery Agent (Мастер добавления агента восстановления).

17. Щелкните кнопку Next (Далее).

Откроется окно Select Recovery Agents (Выбор агентов восстановления).

18. Щелкните кнопку Browse Directory (Обзор каталога).

Откроется диалоговое окно Find Users, Contacts and Groups (Поиск: пользователи, контакты и группы).

19. Щелкните кнопку Find Now (Найти).

20. В списке найденных пользователей и групп дважды щелкните Administrator (Администратор). Откроется окно Select Recovery Agents (Выбор агентов восстановления).

21. Щелкните кнопку Next (Далее).

Откроется окно завершения работы мастера.

22. Щелкните кнопку Finish (Готово).

На правой панели оснастки Group Policy (Групповая политика) появится строка Administrator (Администратор).

23. Щелкните эту строку.

24. В меню Action (Действие) выберите команду Properties (Свойства). Откроется диалоговое окно Administrator Properties.

Заметьте: для этого сертификата в принципе доступны все назначения, а в настоящее время лишь одно — File Recovery (Восстановление файлов).