3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdf[. |
7 8 8 |
Службы сертификации Active Directory |
|
Глава 15 |
|
|
|||
|
AD CS такие массивы создаются с целью обеспечения п о с т о я н н о г о досту- |
|||
|
па к службам подтверждения сертификатов сетевого о т в е т ч и к а д л я всех |
|||
|
пользователей и устройств. |
|
|
|
. |
Пш. развертывании сетевых ответчиков каждому из них необходимо назна- |
|||
|
ч ь собственную конфигурацию отзыв;! сертификатов. Причина заключает- |
|||
|
ся в том что каждый сетевой ответчик использует собственный сертификат |
|||
|
для процедуры подтверждения. Каждая конкретная к о н ф и г у р а ц и я |
отзыва |
||
|
поддерживает конкретную пару ключей с е р т и ф и к а ц и и |
и п у б л и к у е т с я д л я |
||
|
каждого сетевого ответчика в массиве. Д л я о б н о в л е н и я |
с е р т и ф и к а т а сете- |
||
|
вого ответчика нужно обновить его к о н ф и г у р а ц и ю отзыва . |
|
||
• |
Одним из самых удобных инструментов у п р а в л е н и я AD CS я в л я е т с я ути - |
|||
|
лита Certutiiexe, которая поддерживает практически все операции в |
центре |
||
сертификации и позволяет автоматизировать задачи технической поддержки н администрирования.
Основные термины
Запомните представленные далее термины и п о н я т и я , чтобы л у ч ш е п о н и м а т ь
описываемые |
концепции. |
• Иерархия |
Цепочка серверов, обеспечивающих ф у н к ц и о н а л ь н о с т ь и н ф р а - |
структуры PKI. Эта цепочка начинается с корневого сервера и потенциаль - но тянется от промежуточных серверов и центров выдачи с е р т и ф и к а т о в до конечной точки, где расположен пользователь или конечное устройство .
•Пара ключей Сертификаты PKI обычно содержат пару ключей . З а к р ы -
тий, или частный, ключ используется владельцем сертификата д л я ц и ф р о - вой подписи и шифрования информации . О т к р ы т ы й ключ, д о с т у п н ы й д л я получателей этой информации, применяется д л я ее р а с ш и ф р о в к и .
•Отзыв Сертификаты выдаются на определенный период времени. По истечении срока действия сертификат становится недействительным . Ч т о б ы отменить использование сертификата до истечения его срока действия, нужно отозвать сертификат. Отозванный сертификат немедленно становится
недействительным. Все отозванные сертификаты помещаются в список отзыва сертификатов (Certificate Revocation List, CRL), который используется всеми устройствами для подтверждения п р е д ъ я в л я е м ы х сертификатов .
Сценарий. Управление отзывом сертификатов
В этом сценарии вы примените знания, полученные при изучении дайной главы. ответы иа вопросы находятся в разделе «Ответы» в конец книги.
Вы работаете системным администратором в компании Contoso, Ltd. Компания contoso развернула инфраструктуру AD CS и опубликовала сертификаты для множества пользователей. В частности, были опубликованы сертификаты = И и 1 ф 0 Г р а М М , , 0 г а о б е с " е ч е » » я . распространяемого среди клиентов. Эти НИР т ™ ! " П 0 3 В 0 Л Я Ю Т гарантировать, что данное программное обеснечс-
п Г о Г Г а В Л С Н О |
к о м п а н и е й Contoso. Клиентам Contoso понравился такой |
и о т г ^ „ Л Ь К У |
г а Р а н т и РУет подлинность программного обеспечения |
и отсутствие вредоносного кода.
Практические задания |
7Q9 |
В наши обязанности, в частности, входит еженедельный просмотр журналов с о б ы т и й на серверах. П о с к о л ь к у к о м п а н и я использует Windows Server 2008, в к а ж д о м центре с е р т и ф и к а ц и и в сети вы отконфигурировали пересылку событий . Э т о у п р о с т и л о процесс администрирования, поскольку отпала необхо- д и м о с т ь в в е д е н и и ж у р н а л о в на отдельных серверах для просмотра событий. Вам н у ж н о п р о в е р я т ь л и ш ь одно центральное размещение журналов.
Во в р е м я р у т и н н о й проверки вы заметили, что корневой СА в инфраструктуре AD CS п е р е с ы л а л с о б ы т и я на ц е н т р а л ь н ы й сервер ведения журналов. Э т о очень странно, п о с к о л ь к у корневой СА должен быть постоянно отключен от сети, за и с к л ю ч е н и е м к р а й н е редких операций, связанных с технической п о д д е р ж к о й и л и в ы д а ч е й с е р т и ф и к а т а новому подчиненному СА. Как систем- н ы й а д м и н и с т р а т о р вы точно знаете, что в последнее время такие операции не в ы п о л н я л и с ь .
Вы п р о с м о т р е л и п е р е с л а н н ы й список различных событий и выяснили, что
п р и б л и з и т е л ь н о неделю назад д а н н ы й СА был подключен к сети. В течение |
||
этого в р е м е н и он с г е н е р и р о в а л |
два новых корневых сертификата с именем |
|
Contoso . К |
счастью, в к о н ф и г у р а ц и и пересылки вы также включили ведение |
|
ж у р н а л а . В |
ж у р н а л а х вы н а ш л и |
перечень тех, кто входил на корневой СА. |
П о с к о л ь к у |
д л я входа требуется |
смарт-карта, с помощью журналов событий |
м о ж н о определить, кто входил на сервер. К своему удивлению, вы обнаружили, что на сервер в х о д и л и два сотрудника, уволенные на прошлой неделе. Они не д о л ж н ы иметь п р а в а доступа к д а н н о м у серверу.
Вы п р о в е р и л и д а н н ы е Интернета и выяснили, что эти два корневых сер- т и ф и к а т а и с п о л ь з о в а л и с ь д л я подписи стороннего программного обеспечения не от к о м п а н и и C o n t o s o . Оказалось, что в настоящее время эти двое бывших с о т р у д н и к о в т о р г у ю т с е р т и ф и к а т а м и подписи программного обеспечения, используя и м я C o n t o s o .
Ч т о н у ж н о п р е д п р и н я т ь ?
Практические задания
Ч т о б ы у с п е ш н о |
сдать с е р т и ф и к а ц и о н н ы й экзамен, представленный в этой |
главе, в ы п о л н и т е |
с л е д у ю щ и е упражнения . |
Работа с AD CS
Поскольку много вопросов экзамена 70-640 посвящено AD CS, следует сосредоточиться иа работе в следующих областях:
•определение о т л и ч и й между автономными центрами сертификации и СА предприятия;
•установка и настройка центров сертификации AD CS;
• установка и настройка службы Сетевой ответчик (Network Responder);
• установка с л у ж б ы N D E S (Network Device Enrollment Service);
•работа с шаблонами сертификатов.
Вам т а к ж е следует попрактиковаться в использовании различных средств
иконсолей управления AD CS. Большинство консолей доступно в Диспетчере
[.7 9 0 Службы сертификации Active Directory Глава 15
сервера (Server Manager). Необходимо лишь создать консоль Сертификаты
(Certificates).
. Упражнение 1 Подготовьте два сервера ( в и р т у а л ь н ы е или ф и з и ч е с к и е ) в качестве рядовых серверов домена AD DS. Затем установите а в т о н о м н ы й корневой центр сертификации и СА п р е д п р и я т и я д л я выдачи с е р т и ф и к а - тов Для установки и настройки обоих серверов в ы п о л н и т е все операции, описанные в этой главе. Оставьте корневой СА подключенным к сети и разрешите ему связываться с центром выдачи с е р т и ф и к а т о в .
•Упражнение 2 На сервере с СА выдачи с е р т и ф и к а т о в установите с л у ж б у
Сетевой ответчик (Online Responder). Затем следуйте и н с т р у к ц и я м заня - тия 2 для завершения настройки сетевого ответчика . Уделите п р и с т а л ь н о е внимание каждому шагу инструкции. Сетевые о т в е т ч и к и я в л я ю т с я н о в ы м компонентом в AD CS и, скорее всего, будут представлены в темах экза - мена.
• Упражнение 3 Следуйте инструкциям к у п р а ж н е н и я м з а н я т и я 1, чтобы установить и отконфигурировать службу N D E S . Эта служба т а к ж е я в л я е т с я новым компонентом в AD CS и, скорее всего, будет представлена в темах экзамена.
•Упражнение 4 Модифицируйте несколько дубликатов шаблонов . Внима -
тельно просмотрите параметры на всех вкладках свойств шаблона . Ш а б л о - ны версий 2 и 3 содержат много различных параметров и ф у н к ц и й .
•Упражнение 5 И наконец, выполните архивацию, восстановление и изу -
чите доступные опции инструмента Р К 1 |
п р е д п р и я т |
и я ( E n t e r p r i s e P K I ) |
и утилиты Certutil.exe. Не забудьте изучить |
AD CS, а |
т а к ж е п р е д ы д у щ у ю |
реализацию PKI в Windows Server 2003. На веб-сайте Microsoft TechNet содержится намного больше информации об инфраструктуре P K I в W i n d o w s Server 2003, чем в Windows Server 2008.
Пробный экзамен
На прилагаемом к книге компакт-диске представлено несколько в а р и а н т о в тренировочных тестов. Проверка знаний выполняется или только но одной теме сертификационного экзамена 7 0 - 6 4 0 , или по всем э к з а м е н а ц и о н н ы м темам.
Тестирование можно организовать таким образом, чтобы оно проводилось как
экзамен, либо настроить на режим обучения. В последнем случае вы сможете
после каждого своего ответа на вопрос просматривать п р а в и л ь н ы е ответы и пояснения.
ПРИМЕЧАНИЕ Пробный экзамен
Подробнее о пробном экзамене рассказано во введении к данной книге.
Г Л А В А |
1 6 |
Службы управления правами Active Directory
Занятие 1. |
Установка служб управления правами Active Directory |
795 |
Занятие 2. |
Настройка и использование служб управления правами |
|
Active Directory |
819 |
|
С л у ж б ы у п р а в л е н и я правами Activc Directory (Active Directory Rights Manage- m e n t Services, R M S ) предназначены д л я расширения внутренней сети. Однако в д а н н о м случае речь идет о расширении интеллектуальной собственности. Л ю д и , н а ч и н а я работать с компьютером, испытывают определенные сложности
с ц и ф р о в ы м |
у п р а в л е н и е м правами D R M (Digital |
Rights Management). Когда |
к о м п ь ю т е р ы |
т о л ь к о п о я в и л и с ь , производители |
программного обеспечения |
п р е д п р и н и м а л и много усилий по защите своих программ от похитителей. Даже в настоящее в р е м я одни производители требуют использовать аппаратные ключи д л я запуска своего программного обеспечения, другие применяют веб-про- цессы п о д т в е р ж д е н и я . Например, выпустив Windows Vista, корпорация Microsoft ввела н о в у ю схему л и ц е н з и р о в а н и я со службой KMS (Key Management Server) д л я п о д т в е р ж д е н и я лицензированных версий Microsoft Windows.
Разработка программного обеспечения — это не единственная отрасль промышленности, и с п ы т ы в а ю щ а я сложности с управлением правами. Например, в 2005 году М а р к Руссинович, член технического совета Microsoft, обнаружил, что к о м п а н и я S o n y B M G установила вместе со своим CD-проигрывателем скрытый модуль (rootkit), который активировался при загрузке проигрывателя на к о м п ь ю т е р ы пользователей . Этот программный модуль пересылал данные списков воспроизведения назад на центральный сервер, управляемый компанией Sony в Интернете . В результате в сети появилось много статей о подходах, используемых м у з ы к а л ь н ы м и производителями для защиты содержимого.
к 792 |
Службы управления правами Active Directory |
Глава 16 |
К СВЕДЕНИЮ Марк Руссинович и Sony BMG |
|
|
Более подробную информацию о прениях между Марком Руссинович н компанией Sony можно найти по адресу http://blogs.technet.com/markrussinovich/archive/2005/ Ю/31/sony-rootkits-and-digitaI-rights-management-gone-too-far.aspx.
Теперь музыка продается в формате М Р З без защиты данных. При покупке песни вы отвечаете за ее защиту, но зато можете воспроизводить ее на любом устройстве. Это не всегда связано с историей Марка и Sony BMG, однако демонстрирует, насколько сложной может стать система управления цифровыми правами DRM.
В защите нуждаются не только музыка и программное обеспечение. В центрах данных постоянно внедряются новые технологии для защиты интеллектуальной собственности. Например, электронная почта автоматически сохраняет данные о диалогах. Когда вы отвечаете на сообщение, исходное сообщение вкладывается в ваше и т. д. Без системы D R M кто угодно в любое время может изменить содержимое этого вложенного ответа, изменив таким образом тон и суть диалога. Более того, кто угодно может перенаправить диалог и изменить его содержимое, причем вы даже не будете знать, кто это. Реализация D R M для защиты содержимого электронной почты гарантирует, что ваши ответы никогда не будут модифицированы, даже если они вкладываются в еще одно сообщение.
Сказанное применимо ко многим типам интеллектуальной собственности: документам Microsoft Office, презентациям Microsoft Office PowerPoint и другому содержимому. Многие организации понимают ценность интеллектуальной собственности и тот факт, что ее потеря, некорректное использование, копирование или хищение может причинить непоправимый ущерб. Компании, зарабатывающие прибыль путем генерирования и н ф о р м а ц и и или использования внутренних данных, используют систему управления правами D R M .
Службы управления правами Active Directory (AD R M S ) позволяют защитить интеллектуальную собственность путем интеграции нескольких компонентов. Помимо непосредственной интеграции с доменными службами Active Directory (AD DS), службы AD R M S также могуг использовать службы сертификации Active Directory (AD CS) и службы федерации Active Directory (AD FS). Службы AD CS генерируют сертификаты инфраструктуры открытых ключей (Public key Infrastructure, PKI), которые службы AD R M D вкладывают в документы. Службы AD FS расширяют политики AD R M S за пределы брандмауэра и поддерживают защиту интеллектуальной собственности среди бизнес-партнеров (рис. 16-1).
Темы экзамена:
•Настройка дополнительных ролей сервера Active Directory.
•Настройка служб управления правами Active Directory (Active Directory Rights Management Services).
к 794 |
Службы управления правами Active Directory |
Глава 16 |
|
оснащен диском D для хранения данных AD |
RMS . Чтобы выполнить уп- |
||
ражнение, достаточно 40 |
Гбайт, хотя корпорация Microsoft рекомендует |
||
использовать для сервера |
AD R M S диск объемом 80 Гбайт. |
||
• Физический или виртуальный компьютер Windows Server 2008 Enterprise Edition с именем SERVER04 — рядовой сервер в домене contoso.com. Эта машина будет содержать серверы политики AD RMS, которые вы установите и создадите, выполняя упражнения. Желателен, конечно, диск D для хранения данных AD RMS. Д л я выполнения упражнения достаточно 40 Гбайт, хотя корпорация Microsoft рекомендует использовать для сервера AD RMS диск объемом 80 Гбайт.
• Физический или виртуальный компьютер Windows Server 2008 Enterprise Edition с именем SERVER05 — рядовой сервер в домене contoso.com. Эта машина должна содержать Microsoft S Q L Server 2005, который будет использоваться для запуска базы данных конфигурации и ведения журналов AD RMS. Не лишним окажется диск D объемом 10 Гбайт для хранения данных SQL Server.
К СВЕДЕНИЮ Создание виртуальных машин SQL Server 2005
Более подробная информация о создании виртуальной машины Windows Server 2005 содержится по адресу http://itmanagement.earthweb.com/article.php/3718566.
Если вы применяете Microsoft Virtual PC или Virtual Server, то можете использовать предварительно отконфигурированную виртуальную машину в формате .vhd. Более подробную информацию по данному вопросу можно найти по адресу https:// www.microsoft.com/downloads/details.aspx7FamilyID~7b243252-acb7-451b-822b- df639443aeaf&DisplayLang=en.
Как видите, для полного тестирования AD R M S требуется несколько компьютеров, поэтому имеет смысл использовать виртуализацию, а также добавить клиентский компьютер Windows Vista и Microsoft Office 2007, чтобы протестировать инфраструктуру AD R M S после развертывания .
История из жизни
Даниэль Реет и Нельсон Реет
В 2007 году нас подготовить написать серию книг, в которых детально описывалась бы конкретная технология, включая архитектуру, развертывание, администрирование и т. д. В проекте принимали участие несколько авторских групп, каждая из которых занималась отдельной книгой.
Мы начали готовить содержание ТО С (Table Of Content), чтобы успеть к назначенной дате. Установив Microsoft Office 2007, решили использовать один из новых шаблонов Word 2007. Издателю понравился формат, и его рекомендовали использовать другим авторским группам. Когда были собраны все оглавления ТОС, проект утвердили.
Авторские группы приступили к работе. Однако оказалось, что одна из групп была расположена очень далеко и не смогла написать свои главы вовремя. Мы решили помочь им и согласились просмотреть оглавление книги.
Занятие 1 Установка служб управления правами Active Directory
К р о м е того, д л я п р и м е н е н и я к о н ф и г у р а ц и и к г е н е р и р у е м ы м документам м о ж н о с о з д а в а т ь ш а б л о н ы п о л и т и к и .
Лес AD DS Forest Корневой кластер AD RMS
|
|
|
|
Приложения AD RMS |
|
|
|
|
|
Учетные записи |
|
|
|
|
|
пользователей |
|
Балансировка сетевой нагрузки |
электронной почты |
||||
|
|||||
|
|
Управляет |
Использование AD RMS |
||
| URL-адресом AD RMS |
|||||
|
|||||
|
|
|
|||
Рис . 16-2. Инфраструктура AD RMS с высокой степенью готовности |
|||||
СОВЕТ |
К Э К З А М Е Н У |
|
|||
Помните, что при установке AD R M S автоматически создается кластер. Не путайте |
|||||
его со |
с л у ж б а м и кластеризации отказоустойчивости (Failover Clustering) и балан- |
||||
сировки сетевой нагрузки (Network Load Balancing), которые включены в Windows Server 2008. Кластер AD R M S обеспечивает высокую готовность и балансировку нагрузки службы .
П р а в а и с п о л ь з о в а н и я п р и к р е п л я ю т с я непосредственно к создаваемым документам, ч т о б ы и н ф о р м а ц и я оставалась з а щ и щ е н н о й д а ж е в случае перемещения з а п р е д е л ы з о н ы в а ш и х п о л н о м о ч и й . Н а п р и м е р , з а щ и щ е н н ы й документ, пересы- л а е м ы й з а п р е д е л ы сети, остается з а щ и щ е н н ы м , поскольку параметры AD RMS н е м е н я ю т с я . С л у ж б ы A D R M S п р е д о с т а в л я ю т набор веб-служб, которые позво- л я ю т р а с ш и р и т ь ф у н к ц и о н а л ь н о с т ь и интегрировать собственные приложения .