Kezelése felhasználó, bizonyítványok - biztonsági funkciók a Windows Server 2018
A felhasználók lekérdezés, export, import igazolások szolgáló EFS a felhasználók azonosításához és kezeléséhez. Ez a funkció célja a haladó felhasználóknak, akik szeretnék, hogy a saját tanúsítvány menedzsment eszköz. a felhasználók általában nem kell tanúsítványok kezeléséhez, hiszen EFS automatikusan létrehoz egy kulcspárt azokat az első utalás - .. hogy van, amikor megpróbálja titkosítani egy fájlt vagy könyvtárat (ebben az esetben a nyilvános kulcs által hitelesített minősítő hatóság, és ha valaki nem áll rendelkezésre, az EFS aláírja a nyilvános kulcs).
A fentiekből könnyen belátható, ha a rendszer a telepítés után fut Tanúsítványok beépülő modul, és felfedik a csomópont (mappa) Személyes: a csomópont üres lesz. Ha majd titkosítja a fájlt vagy mappát, és térjen vissza a Tanúsítványok beépülő modult, akkor láthatjuk, hogy a Personal mappában megjelent által kiállított igazolás az aktuális felhasználó. tanúsítvány menedzsment, import és export a helyi menüből Tanúsítványok beépülő modul (lásd. Sec alatt is. „Import bizonyítványok exportálni”). A felhasználók képesek kezelni csak a saját tanúsítványok.
Helyreállítás titkosított fájlokat egy másik számítógépre
Néha meg kell visszaállítani titkosított adatok nem azon a számítógépen, amelyen már archiválásra. Ez történhet a Backup segédprogram, amely tárolja az információkat kódolt formában együtt titkosítás attribútum. Azonban meg kell, hogy vigyázzon az átadás az új számítógép-tanúsítvány és a megfelelő privát kulcsot a felhasználó, vagy pedig egy központi profillal, vagy manuálisan. Bármely számítógépen, ahol a felhasználó regisztrált a roaming profile, alkalmazza ugyanazokat a titkosítási kulcsokat. Kézi átadása egy privát kulcsot és tanúsítványt két lépésben zajlik: először meg kell hozzon létre egy biztonsági másolatot a tanúsítvány és a saját kulcs (A tanúsítvány és a saját kulcs kell exportálni egy kiterjesztésű fájl pfx), majd állítsa vissza a létrehozott másolatot egy másik számítógépen. (Ez az eljárás csak akkor hasznos a számítógépek, amelyek nem tartományhoz. Egy domain, akkor a fent leírt eljárást c. „Titkosítása fájlok megosztására.”) Ennek eredményeként ez az eljárás, az aktuális felhasználó (aki az importált tanúsítvány) lesz a lehetőséget, hogy a titkosított adat a számítógépen.
A nyílt hálózatok, mint például az internet, információ kezébe a felhasználók, akiknek szándékai ismeretlenek. Az információk a kis értékű, igények és a biztonság. Azonban, ha az információ értékes és bizalmas, akkor meg kell tennie a megfelelő biztonsági intézkedéseket, hogy megvédje azt.
A tanúsítványok használata biztonsági
Igazolásokat lehet használni a különböző biztonsági problémák.
· Encryption (titkosítás). Hozzáférést biztosít az információt csak a felhasználó számára, akiknek szánják.
· A digitális aláírás (digitális aláírás). Biztosítása adatok integritását és hitelességét.
Hitelesítés szükséges biztosítani a titoktartást az adatcsere. A felhasználóknak meg kell tudják hitelesíteni és ellenőrzi a személyazonosságát a többi felhasználó, akikkel kommunikálni. A digitális tanúsítvány egy közös azonosító eszköz.
A tanúsítványok segítségével, amely hitelesítési az alábbi esetekben:
· Felhasználói hitelesítés biztonságos weboldal protokollok Transport Layer Security (TLS) vagy a Secure Sockets Layer (SSL);
· Server a felhasználó hitelesítését TLS-en keresztül.
Annak érdekében, hogy a bizalmas adatátviteli hálózatok védetlen vagy magán helyi hálózatok használt titkosítás egy titkos, vagy zárt, a kulcs (titkos kulcsú titkosítás). Bizonyítványok biztosítják a bizalmas továbbított adatok segítségével a különböző módszereket. Jegyzőkönyvét a legszélesebb körben használt, hogy biztosítsa a magánélet:
· Biztonságos Multipurpose Internet Mail Extensions (S / MIME);
· Transport Layer Security (TLS);
· IP Security (IPSec).
Bízz a CA telepítve van egy példánya a gyökér tanúsítvány a megbízható gyökér áruház a CA, valamint a tényleges elérési útját a tanúsítványt. Ez azt jelenti, hogy sem a tanúsítványok hierarchiáját (bizonyítványok módon) nem volt visszavonni, és még nem járt le érvényességét.
Ha a szervezet az Active Directory, akkor bízni CA szervezet automatikusan beállítja alapuló döntések és beállításokat a rendszergazda.
· A nyilvános kulcs (public key) a bizonyítvány birtokosa;
· Az azonosító a bizonyítvány tulajdonosa;
· Az az időszak, az igazolást;
· Információk a minősítő hatóság
· Digitális aláírás (digitális aláírás).
Minden tanúsítvány lejárati dátum. Kezdési és befejezési időpontját, a tanúsítvány érvényességi ideje az igazolásban meghatározott. Minden CA tanúsítvány megújítási kitűzött politikai lejárt.
· Enterprise CA (Vállalati hitelesítésszolgáltató). Szükség van az Active Directory elérhetőségét. Ez használ információ az Active Directory, a személyazonosság igazolásához a megkereső tanúsítványt. Közzéteszi tanúsítvány visszavonási listák Active Directory, valamint a nyilvános mappában;
· Isolated (önálló) hitelesítésszolgáltató (önálló minősítő hatóság). Ő függ Active Directory. Alapértelmezésben a felhasználók kérhetik tanúsítványokat ez a központ csak weboldalakat. Egyedül CA közzéteszi a tanúsítvány visszavonási listák nyilvános mappában vagy Active Directory (ha a könyvtár szolgáltatás elérhető).
Az internet használata tanúsítványok
Az operációs rendszer fenntartja tanúsítványok helyben, a számítógépen, amelyről kér igazolást a számítógép vagy a felhasználó dolgozni a számítógépen. A tárolási hely az úgynevezett tanúsítványtárolót tanúsítványok (tanúsítvány bolt).
Tanúsítványok beépülő modul nem létezik a rendszer felhasználói felülete, így csatlakoztatni kell manuálisan az MMC konzolt. Az eljárás létrehozása az MSK szerszám leírt Sec. „Új konzolon” 6. fejezet, „System Tools”.
10. ábra Tanúsítványok beépülő modul ablakban
1. táblázat listája mappák tanúsítványtárolójába egy rövid leírást
Tartozó tanúsítványokat kulcspár, hogy titkosítani és visszafejteni a szimmetrikus kulcs helyreállításához használt titkosított adatok
Megfelelő jogokkal rendelkezik, akkor a behozatali vagy kiviteli igazolások bármilyen mappát a tanúsítványtárolót. Ha a magánkulcs kapcsolódó tanúsítvány rendelkezésre export, akkor exportálja a tanúsítványt és a személyes kulcs fájl megfelelő szabványos PKCS # 12.
Tanúsítványok beépülő modul lehetővé teszi, hogy tegye közzé kibocsátott tanúsítványok az Active Directory. Közzététele a bizonyítvány Active Directory lehetővé teszi az összes csoport, akik a szükséges engedélyeket letölteni a tanúsítványt, ha szükséges.
Csapat Találd tanúsítványok (tanúsítvány keresés) (helyi menü vagy a Művelet menü (Action)) segít megtalálni a kibocsátott tanúsítványok a tanúsítvány boltban. Kereshetünk egy adott helyen, vagy minden üzletek és korlátozhatja a keresést alapján egy bizonyos tanúsítvány információkat, például, hogy keressen kibocsátott tanúsítványok egyes tanúsító hatóság.
Hogy kérjenek egy tanúsítványt egy pillanat tanúsítások:
1. Nyissa meg a Tanúsítványok beépülő modul ablakban.
2. Vázlat ablaktábla (bal oldali), nyissa ki a site: Felhasználói tanúsítványok | Aktuális felhasználó (tanúsítások | az aktuális felhasználó), számítógép - tanúsítványok | Számítógép neve (Tanúsítványok (Helyi számítógép)).
4. Az Action (Művelet) menüben válassza az Összes feladat | Request New Certificate (összes feladat | Elfelejtett tanúsítványt).
5. A Certificate Request Wizard varázslóban válassza ki:
· Típus (minta) a tanúsítvány;
· CA, amely kiadja a tanúsítványt (ha több CA) (Ha az Advanced (Speciális));
· CSP (kriptográfiai szolgáltató, CSP) (ha a Speciális beállítás van kiválasztva).
6. Adjon meg egy barátságos a tanúsítvány nevét és leírását.
7. Miután kiválasztotta, és ellenőrizze az összes paramétert, kattintson a Finish (Befejezés).
Importálása és exportálása tanúsítványok
Ha a behozatali vagy kiviteli bizonyítvány bekerül a boltba, vagy a boltban. Importálása vagy exportálása a tanúsítvány végezzük, a következő feltételek mellett:
· Tanúsítvány telepítése, kaptál egy másik felhasználó (import);
· Igazolást a hasznosításról, ami marad, mint egy backup (import);
· Létrehozása egy biztonsági másolatot a tanúsítvány (export);
Transzfer igazolások rendelkezésre állnak az alábbi formátumokban.
· Személyes információcsere (Personal Information Exchange) (PKCS # 12)
PKCS # 12 ebben az iparágban formátumban történő továbbítására használt vagy biztonsági mentés és visszaállítás tanúsítványok és a kulcsokat. Tanúsítványok ebben a formátumban is át a termékek között, egy vagy különböző gyártók, például a Microsoft és az IBM. Ahhoz, hogy használni a PKCS # 12 kriptográfiai szolgáltatások méret (CSP) kell vizsgálni a kulcsok és tanúsítványok állnak rendelkezésre az export. A titkos kulcs exportálását - kockázatos művelet, mert a kulcs lehet ragadni, hogy illetéktelen személyek. Ezért PKCS # 12 az egyetlen olyan formátum, amely a Microsoft támogatja az export bizonyítványok és a hozzájuk tartozó privát kulcsokat.
· Cryptographic Message Syntax szabvány (Cryptographic Message Syntax standard) (PKCS # 7)
Ez határozza meg a közös szintaxis adatokat és javaslatokat tesz a titkosítás, digitális aláírás és a tanúsítvány lánc. PKCS # 7 meghatározza a pontos formátum, amelyben az adatok titkosítva vagy aláírva, valamint, hogy a titkosító algoritmusok határozzák meg. PKCS # 7 lehetővé teszi át a tanúsítványt és a bizonylatokat tanúsítási útvonal egyik számítógépről a másikra, vagy a számítógépről eltávolítható meghajtót. bizonyítvány fájlnevek kiterjesztése R7.
· DER kódolású bináris X.509
A formátum lehet használni tanúsítványkibocsátókat, amelyek nem a Windows szervereken. bizonyítvány fájlnevek kiterjesztése ser.
· Base64 kódolású X.509
Ez a formátum használhatja a CA, amelyek nem a Windows szervereken - például CA, használja a szoftvert Netscape szoftver. bizonyítvány fájlnevek kiterjesztése ser.