- •Авторизация
- •Группы безопасности
- •Политика групп
- •Шифрование
- •2. Корпоративная безопасность
- •3. Управляемый доступ к сети
- •Управление сетевой проверкой подлинности
- •4. Упрощенное совместное использование ресурсов
- •5. Ограничение на учетные записи с пустыми паролями
- •Шифрованная файловая система
- •Архитектура efs
- •Как работает efs
- •Конфигурирование efs
- •Что разрешается шифровать
- •Шифрование базы данных автономных файлов
- •Удаленные операции efs на общих файлах и Web-папках
- •6. Службы сертификации
- •Хранилища сертификатов с открытыми ключами
- •Хранение закрытых ключей
- •Автоматический запрос сертификата пользователя
- •Запросы в ожидании и обновление сертификатов
- •7. Управление реквизитами
- •Интерфейс пользователя для ввода реквизитов
- •Хранилище реквизитов пользователя
- •Связка ключей
- •8. Быстрое переключение пользователей
- •9. Личная конфиденциальность
- •10. Доступ к Интернету - Internet Connection Firewall
- •Групповая политика в icf
- •Как работает межсетевой экран
- •Параметры групповой политики, относящиеся к безопасности
- •9. Политика ограничения используемых приложений
- •11. Протокол ipSec
- •Зачем нужен ipSec
- •Криптографические механизмы защиты
- •IpSec в работе
- •12. Поддержка смарт-карт
- •Pin вместо пароля
- •Стандарты смарт-карт
- •Вход в систему с использованием смарт-карты
- •Применение смарт-карт для администрирования
- •Аутентификатор
- •Служба центра распространения ключей Kerberos
6. Службы сертификации
Службы сертификации - это компонент базовой ОС, позволяющий ей выполнять функции центра сертификации (certification authority, CA), или ЦС, в том числе выпускать цифровые сертификаты и управлять ими. Windows XP Professional поддерживает многоуровневые иерархии ЦС и сети ЦС с перекрестными доверительными отношениями, а также изолированные и интерактивные ЦС.
Хранилища сертификатов с открытыми ключами
Windows XP Professional хранит сертификаты с открытыми ключами в личном (Personal) хранилище сертификатов. Они хранятся открытым текстом, так как это общедоступная информация. Сертификаты имеют цифровую подпись ЦС для предотвращения изменения. Сертификаты пользователя расположены в папке Documents and Settings<имя_пользователя>ApplicationDataMicrosoft SystemCertificatesMyCertificates профиля пользователя. Эти сертификаты записываются в локальном реестре при каждом входе в систему компьютера. Для перемещаемых профилей сертификаты обычно хранятся в определенном месте (не на компьютере) и "следуют" за пользователем при его входе в систему любого компьютера в домене.
Хранение закрытых ключей
Поставщики услуг криптографии (cryptographic service provider, CSP) - как Base CSP, так и Enhanced CSP, хранят закрытые ключи в профиле пользователя в папке %SystemRoot%Documents and Settings<имя_пользователя> Application DataMicrosoftCryptoRSA. В перемещаемых профилях пользователей закрытый ключ располагается в папке RSA на контроллере домена и загружается на компьютер только на время его работы. Поскольку закрытые ключи надо защищать, все файлы в папке RSA автоматически шифруются случайным симметричным ключом - основным ключом пользователя (user's master key). Ключ длиной в 64 символа создается надежным генератором случайных чисел. На базе основного ключа создаются ключи 3DES, используемые для шифрования закрытых ключей. Основной ключ автоматически генерируется и периодически возобновляется. При хранении на диске основной ключ защищается по алгоритму Triple DES с применением ключа, созданного на основе вашего пароля. Основной ключ применяется для автоматического шифрования всех файлов в папке RSA по мере их создания.
Автоматический запрос сертификата пользователя
В Windows 2000 имелась функция автоматического запроса сертификата пользователя. Автоматический запрос сертификата компьютера и контроллера домена поддерживается и групповой политикой Microsoft Active Directory. Автоматический запрос сертификата компьютера чрезвычайно полезен для упрощения подключений по IPSec или L2TP/IPSec VPN к серверам с Windows XP со службой Routing и Remote Access и другим серверам. Эта функция снижает совокупную стоимость владения и упрощает управление жизненным циклом сертификатов для пользователей и администраторов. Автоматический запрос сертификата смарт-карты и ЦС с самоподписанными сертификатами обеспечивают дополнительную защиту пользователям предприятий, где требуется усиленная безопасность.
Запросы в ожидании и обновление сертификатов
Автоматический запрос сертификата пользователя в Windows XP Professional обеспечивает также запросы в ожидании и обновление сертификатов. После запроса сертификата вручную или автоматически на сервере сертификации Windows .NET Server CA ожидается разрешение администратора на выпуск сертификата или завершение процесса верификации. После одобрения и выпуска сертификата механизм автоматического запроса автоматически установит сертификат. В процессе обновления сертификатов пользователя с истекшим сроком действия также применяется механизм автоматического запроса. Сертификаты автоматически обновляются от имени пользователя, причем процедура определяется параметрами шаблонов сертификатов в Active Directory. По умолчанию сертификаты и ключи защищены. Для дополнительной защиты вы вправе применить дополнительные меры безопасности, в том числе выполнять экспорт закрытых ключей и хранить их в защищенном месте.