• Artigo

Segurança

PKI Enhancements in Windows 7 e no Windows Server 2008 R2

John Morello

Este artigo se baseia no código pré-lançamento. Todas as informações aqui contidas estão sujeitas a alterações.

Visão geral:

  • Consolidação de servidor
  • Aprimorado cenários existentes
  • Software + serviços
  • Autenticação de alta segurança

Conteúdo

Consolidação de servidor
Aprimorado cenários existentes
Software + serviços
Autenticação de alta segurança
Quebra automática para cima

Parece que apenas ontem era escrever um artigo intitulado “ PKI Enhancements in Windows ”. Esse artigo, que foi executado de agosto de 2007 da TechNet Magazine, concentrado na parte as inovações fornecido no Windows Vista e no Windows Server 2008. Essas inovações incluído coisas como registro da interface do usuário aprimoramentos e recursos OCSP (protocolo de status de certificados online). Enquanto esses aperfeiçoamentos foram importantes e bem recebida pelos usuários, você poderia argumentar que as alterações foram alterações incrementais, na verdade, da perspectiva de um profissional de TI. 7 Do Windows, no entanto, fornecerão aprimoramentos de PKI que significativamente melhorar a implantação e operacional experiência para usuários, permitindo poderosos novos cenários ao diminuir os custos operacionais.

Os aprimoramentos em 7 de Windows e Windows Server 2008 R2 são concentrada em torno quatro áreas de núcleo (mostradas na A Figura 1 ):

Consolidação do servidor. Isso permite que as organizações reduzir o número total de autoridades de certificação (CAs) necessário para atender aos seus objetivos de negócios.

Aprimorada cenários existentes. Esse foco é elementos como oferecer suporte a mais completa SCEP (protocolo de registro de certificado simples) e incluindo uma BPA (Best Practices Analyzer).

Software + serviços. Isso é ativar a inscrição autônoma de usuários e dispositivos para certificados independentemente dos limites da rede e provedores de certificados.

Autenticação de alta segurança. Essa área se concentra no aprimoramentos para a experiência de cartão inteligente, a introdução do Windows biométrica Framework e assim por diante.

fig1.gif

Figura 1 que o quatro principais áreas de aprimoramentos de PKI

Neste artigo, VOU explorar algumas das principais alterações nessas áreas da perspectiva de um profissional de TI.

Consolidação de servidor

Um dos temas predominante em IT nos últimos anos alguns foi consolidação do servidor. Simplificando, isso é sobre como reduzir o espaço total do ambiente de computação do servidor enquanto ainda reunião, ou mesmo expandir, seus objetivos de negócios. A economia global atual fez economia de custos uma prioridade superior para vários grupos de TI e consolidação do servidor, certamente, pode ser um componente dessa estratégia geral. Embora a maioria das organizações não ter grandes, absolutos números de autoridades de certificação, muitos é necessário mais do que precisam somente com base na transferência de criação de certificado. Em outras palavras, muitas organizações têm autoridades de certificação que são amplamente subutilizada.

Há dois motivos principais para este underutilization. Primeiro, algumas organizações podem exigir autoridades de certificação separadas para regulamentação ou motivos de diretiva de segurança. Por exemplo, alguns clientes tem optado por emitir certificados para parceiros externos de uma CA completamente separada que aqueles que emitir certificados para usuários internos e máquinas. Nesses casos, virtualizar a autoridade de certificação em Hyper-V pode eliminam a necessidade para hardware de servidor separado (embora a autoridade de certificação deverá ainda ser gerenciada, mesmo como uma VM).

O segundo motivo de comuns é que registro automático tem apenas foi tem suporte no cenários de intra-floresta. Especificamente, uma autoridade de certificação só foi capaz de registrar entidades de certificados automaticamente quando essas entidades são parte da mesma floresta que ingressou em. Mesmo em casos onde existem relações de confiança bidirecional nível entre florestas, autoridades de certificação separadas foram necessários para cada floresta onde o registro automático é usado.

Um dos principais recursos novos no Windows Server 2008 R2 é a capacidade de realizar registro automático em toda floresta relações de confiança, criar o potencial para reduzir drasticamente o número total de autoridades de certificação necessária em uma empresa. Considere uma rede de empresa comum que já tenha feito algum trabalho de consolidação e agora tem quatro florestas: produção, desenvolvimento, teste e borda. Antes para R2, se você quiser fornecer registro automático em cada floresta, pelo menos quatro CAs de emissão foi necessário, mesmo que todas as florestas confiáveis entre si. Com o R2, você pode reduzir o número total de autoridades de certificação neste cenário a um, com uma única autoridade de certificação em uma das florestas emitir certificados para entidades em todas as outras florestas.

Para ambientes com mais complexos designs com várias florestas, a redução total em autoridades de certificação possível ainda mais drástico e fornecer um retorno imediato sobre o investimento para a atualização para R2.

Registro entre florestas também torna mais fácil estender uma PKI durante fusões e aquisições, desde a certificados podem inicialização que está sendo configurado aos ativos recém-adquiridos assim que uma relação de confiança de floresta é colocar em prática. E como o registro entre florestas é uma alteração puramente lado do servidor, o registro pode iniciar sem fazer qualquer alteração as máquinas do cliente e ele funciona com os mais antigos sistemas operacionais cliente, como o Windows XP.

Então, como entre florestas inscrição de trabalho? Para o usuário final, a experiência é completamente transparente. Como ocorre com qualquer outro cenário de registro automático, o usuário apenas obtém os certificados com pouca ou nenhuma interação necessária em sua parte. Os usuários finais provavelmente nunca saberá de qual floresta vir as autoridades de certificação e eles não precisará executar quaisquer ações especiais para obter os certificados.

Para um profissional de TI, os blocos de construção básicos são principalmente os mesmos como ocorre com registro automático intra-floresta tradicional. A chave diferença é que a autoridade de certificação agora é capaz de processar as solicitações recebidas de uma floresta externa e recuperar metadados sobre a solicitação de um Active Directory confiável.

Essa capacidade de receber e processar corretamente uma solicitação de uma floresta confiável é o novo recurso chave no R2 que permite que esse cenário funcione. Além de uma CA do R2 e a relação de confiança de floresta bidirecional, modelos de certificado devem ser duplicados entre a floresta que contém a autoridade de certificação e todas as outras florestas que irão registrar contra ele. A Microsoft fornecerá um script Windows PowerShell para automatizar essa replicação, que deve ser feita após cada alteração em um modelo. Em muitos casos, é aconselhável ter esse script executado automaticamente como uma tarefa agendada.

Há alguns outros recursos menores que podem ajudar na consolidação do servidor. Uma é que a autoridade de certificação agora oferece suporte pedidos não-persistentes — essas solicitações de certificados, normalmente o vivia curto, que não são gravados no banco de dados da autoridade de certificação. Por exemplo, considere as autoridades de registro Network Access Protection integridade. Esses sistemas podem emitir milhares de certificados por dia, que são válidos apenas por algumas horas. Manter todas as essas solicitações no banco de dados da autoridade de certificação adiciona pouco valor, mas aumenta consideravelmente o armazenamento necessário. Com o R2, essas solicitações podem ser configuradas para não serem gravados no banco de dados e essa configuração pode ser feita no nível a autoridade de certificação ou modelo (consulte a Figura 2 ).

fig2.gif

A Figura 2 escolhendo não para armazenar certificados no banco de dados

Outro recurso projetado para facilitar a consolidação do servidor é o suporte para Server Core. Com o R2, a função de autoridade de certificação pode ser instalada em Server Core, que nenhum outro serviço de função do AD CS (serviços de certificados do Active Directory) esteja disponível no Server Core. Quando instalado no Server Core, a autoridade de certificação pode ser gerenciada com qualquer um dos utilitários de linha de comando local, como certutil, ou usando os MMCs padrão de um sistema remoto. Observe que, se os módulos de segurança de hardware (HSMs) forem usados, você deve garantir que o fornecedor do HSM suporta a execução seus componentes de integração no Server Core.

Aprimorado cenários existentes

7 Do Windows e R2 incluem vários dos aprimoramentos incrementais em recursos existentes. Primeiro é uma alteração a diferenciação de SKU para os modelos de certificados. Nas versões anteriores do AD CS, modelos de certificado avançada (versão 2 e 3) que permitem a funcionalidade de registro automático necessário Enterprise edition autoridades de certificação. No Windows Server 2008 R2, uma edição padrão da autoridade de certificação oferecerá suporte a todas as versões do modelo. R2 também apresenta algumas melhorias para o suporte de protocolo de registro de certificado simples. No R2, o componente SCEP será oferece suporte a renovação de dispositivo solicitações e reutilização de senha.

Novo para AD CS no R2 é um analisador de melhores práticas (veja a Figura 3 ). BPAs foram criados para fornecer uma maneira fácil para os administradores verificar suas configurações em um banco de dados de melhores práticas criados e mantidos por equipes de recurso do Microsoft. Dados de serviços de suporte do cliente indicam a maioria das chamadas de suporte no AD CS são causados por configurações incorretas, portanto, a BPA deve melhorar experiências de clientes, tornando mais fácil verificar que uma autoridade de certificação está configurada corretamente. O analisador irá procurar tais problemas como ausentes AIA (Acesso de informações da autoridade) ou ponteiros OCSP, certificados próximo vencimento e confiar em problemas de encadeamento.

fig3.gif

A Figura 3 executar o novo Best Practices Analyzer

Nas versões atuais do Windows, escolher um certificado para autenticação de cliente pode ser difícil para os usuários finais. Quando vários certificados forem válidos para autenticação, Windows não tornam mais fácil para os usuários a determinar qual deles é o correto para um uso determinado. Isso leva a mais chamadas ao suporte técnico e os custos de suporte cliente maior. No Windows 7, a interface de seleção de certificado foi muito aprimorada para tornar muito mais fácil escolher o certificado correto para um determinado cenário. A ordem da lista também alterada para ajudar na tomada de decisões mais inteligentes, apresentando o certificado mais provável para um determinado cenário como a escolha padrão. Finalmente, a seleção da interface do usuário agora diferencia entre os certificados em cartões inteligentes e aqueles armazenados no sistema de arquivos e apresenta os certificados de cartão inteligente mais altos na lista de seleção, desde que eles provavelmente mais a ser usado. As diferenças são ilustradas nas capturas de tela mostradas na Figura 4 . Observe que Internet Explorer 8 irá fazer a filtragem aprimorada (mas sem alterações de interface do usuário) disponíveis em sistemas de nível inferior operacionais bem.

fig4.gif

A Figura 4 A maneira mais inteligente apresentar certificados

Software + serviços

Durante o processo de design de Windows 7, a equipe hospedado uma reunião com muitos dos principais PKI usuários para debater as áreas que devem obter atenção na nova versão. Um número grande de usuários indicado que é muito difícil gerenciar certificados em limites organizacionais, como entre duas empresas separadas que sejam parceiros de negócios. Muitos também diz que vêem PKI como um destino ideal para terceirização, pois requer um conjunto de qualificações especializados para gerenciar com eficiência. 7 Do Windows e Windows Server 2008 R2 serão entregar uma nova tecnologia que satisfaça ambos os essas necessidades, facilitando a provisão certificados limites e abrir novos modelos de negócios para soluções PKI hospedados. Essa tecnologia é registro de HTTP.

fig5.gif

A Figura 5 O novo modelo de registro

Registro de HTTP é um substituto para o protocolo baseados em RPC/DCOM tradicional usado para registro automático em versões anteriores (observe que a abordagem RPC é continuará disponível no R2). No entanto, o registro de HTTP é mais do que apenas um protocolo de registro — é realmente uma completamente nova abordagem para fornecer certificados para finalizar entidades, independentemente de onde estejam localizados ou se eles são um computador gerenciado e com opções de autenticação flexível. Este novo modelo elimina muitos as barreiras encontradas no registro automático tradicional limites organizacionais e fornece uma estrutura de terceiros para facilmente fornecer serviços de registro automático sem a necessidade de software adicional nos clientes.

Registro de HTTP implementa dois novos protocolos baseados em HTTP. O primeiro protocolo, conhecido como protocolo de diretiva de registro de certificados, disponibiliza os modelos de certificado para os usuários sobre as sessões de HTTPS. As entidades finais podem vir de máquinas nas florestas separadas com sem relações de confiança e máquinas nem mesmo associadas a um domínio. Autenticação usa Kerberos, nomes de usuário/senhas ou certificados. O protocolo de diretiva de registro permite aos usuários monitorar para modelos e determinar quando solicitar certificados baseados em modelos novos ou atualizados.

O protocolo de serviço de registro certificado é uma extensão do WS-Trust. O protocolo é usado para obter certificados depois que as informações do modelo tem sido determinadas. Ele oferece suporte métodos de autenticação flexível e utiliza HTTPS como o transporte.

O exemplo mostrado na A Figura 5 ilustra como funciona esse novo modelo de registro.

  • Na etapa 1, modelos de certificado são publicados no Active Directory em um servidor que está executando o serviço certificado Registro diretiva da Web (um função de serviço novo para R2). O administrador publicar esses modelos está usando os mesmos MMCs e outras ferramentas com os quais eles já estiverem familiarizados.
  • Na etapa 2, um cliente tem sondados o serviço da Web via HTTPS para determinar a lista de modelos disponíveis para registrar-se contra. O cliente descobre o URL para o Web service por meio de diretiva de grupo, script ou configuração manual. O cliente pode ser um sistema integrado ao domínio, um sistema em um parceiro comercial ou sistema de base do usuário.
  • Na etapa 3, o cliente determinou que modelos ele deseja inscrever-se para e envia uma solicitação para o serviço de Web de inscrição de certificado para executar o registro real.
  • Na etapa 4, o servidor que executa o serviço de registro da Web envia a solicitação para uma autoridade de certificação para processamento.
  • Na etapa 5, a autoridade de certificação foi pesquisado dados sobre o solicitador do Active Directory (como seu endereço de email ou nome DNS) que serão incluídos no certificado emitido.
  • Na etapa 6, a autoridade de certificação retorna o certificado concluído para o serviço da Web de inscrição.
  • Na etapa 7, o serviço de registro na Web conclui a transação com o cliente via HTTPS e envia o certificado assinado.

Flexibilidade foi um dos princípios de design principais nesse novo serviço e é importante observar como o projeto pode ser adaptado para ajustar um conjunto variado de cenários. Como o protocolo de registro é HTTPS, os clientes podem facilmente registrar para certificados de qualquer lugar, incluindo atrás de firewalls corporativos ou de conexões de provedor de serviços de Internet domésticas, sem a necessidade de uma VPN. Como três diferentes métodos de autenticação são suportados, os clientes podem ser Unidos em todos os para domínio interno de uma organização, um domínio não confiável de uma organização externa ou nenhum domínio. Finalmente, pois os componentes do lado do servidor são implementados como serviços da Web, podem ser instalados separadamente da autoridade de certificação e oferecer suporte a ambientes segmentados.

Juntamente com o cenário clássico de registrar as entidades finais como usuários e computadores de mesa para certificados, registro de HTTP também permite oportunidades para provisionamento certificados de autoridades de certificação raiz confiáveis. Cenários, como certificados de S/MIME do usuário, público com servidores Web e outros sistemas onde a confiança implícito de certificados é importante poderiam se todos os beneficiar do registro mais autônomo. Por exemplo, muitas organizações com um grande número de servidores Web mantêm certificados sendo que a manualmente, usando listas de nomes de servidor e as datas de vencimento armazenadas em pastas de trabalho do Microsoft Office Excel. Com o registro de HTTP, autoridades de certificação raiz confiáveis pode oferecer um serviço em que eles fornecem certificados diretamente para esses servidores Web automaticamente, liberando o administrador precise manter manualmente os certificados sobre eles. Essa combinação de softwares e serviços permite às organizações escolher os modelos de implantação que atender às suas necessidades melhor, sem ter que criar em torno de rede ou limites organizacionais.

Referências

bluebullet.gif Introdução ao Windows Framework biométrica (WBF)
Microsoft.com/whdc/device/Input/Smartcard/WBFIntro.mspx
bluebullet.gif Sobre verificação de identidade pessoal (PIV) do federais funcionários e prestadores de serviços
csrc. nist.gov/Groups/SNS/piv/index.html
bluebullet.gif Home page de PKI do Windows Server
Microsoft.com/PKI
bluebullet.gif Blog PKI do Windows
blogs.technet.com/PKI

Autenticação de alta segurança

Windows 7 inclui a primeira na caixa de suporte para dispositivos biométricos com Windows biométrica Framework (WBF). Inicialmente voltadas para autenticação de impressão digital-com base para cenários de consumidor, WBF é projetado para tornar biométrica uma experiência mais fácil e mais integrada para usuários. Um modelo de driver unificada oferece experiências de usuário consistente entre tipos de dispositivos com suporte para logon do Windows (local e domínio), o UAC (controle de conta de usuário) e descoberta de dispositivos autônomos. Para empresas, WBF fornece um método de Policy–driven de grupo para desativar a estrutura para organizações que optar por não usar biométrica. As empresas também podem optar por permitir biométrica para aplicativos, mas não para logon no domínio. Finalmente, o gerenciamento de dispositivos aprimorada pode impedir uso de dispositivo com simplesmente impedindo a instalação do driver.

Com os aperfeiçoamentos de biométrica, Windows 7 também melhora usuário e administrador experiências para cenários de cartão inteligente. Cartões inteligentes agora são tratados como dispositivos Plug and Play com Windows Update–based instalação do driver. O processo de detecção e instalação de Plug and Play ocorre antes do logon, os usuários de significado que são necessários para o logon com cartões inteligentes será capaz de fazer logon no mesmo em casos onde o cartão foi não anteriormente detectado. Além disso, a instalação não requer privilégios administrativos, tornando-o adequado em ambientes de privilégio mínimo.

O cartão inteligente classe mini-driver agora inclui suporte NIST SP 800-73-1, para órgãos federais podem usar seus cartões PIV (verificação de identidade pessoal) sem ter que usar middleware adicional. O mini-driver também inclui suporte para o emergentes INCITS GICS (borboleta) padrão, fornecendo uma experiência de Plug and Play para as cartas.

Windows 7 também introduz o suporte ao desbloqueio biométrico com base em cartão inteligente e inclui novas APIs para ativar a inclusão de chave seguro. Finalmente, Windows 7 adiciona suporte para certificados de cartão inteligente ECC (criptografia de curva elíptica) para ambos os ECC a inscrição de certificado e utilizando esses certificados ECC para logon.

Quebra automática para cima

7 Do Windows e Windows Server 2008 R2 contêm algumas das mais importante nova tecnologia PKI desde que o Windows 2000 introduziu solicitações automáticas de certificado. Essa nova funcionalidade facilita PKIs e mais eficiente de gerenciar, oferecer uma experiência melhor para usuários finais.

7 Do Windows e Windows Server 2008 R2 incluem novos recursos poderosos que executar uma PKI mais eficiente ao aumentar bastante a função de registro automático. Registro entre florestas pode significativamente reduzir o número total de autoridades de certificação necessário para uma organização e facilitar gerenciar operações de PKI durante fusões, aquisições e divestitures. O novo Best Practices Analyzer torna mais fácil para os administradores procurar problemas comuns de configuração antes que ocorram falhas. Recursos, como suporte a Server Core e solicitações nonpersistent tornam mais fácil adaptar as operações de autoridade de certificação para necessidades organizacionais. E registro de HTTP abre novos métodos para fornecer automaticamente certificados pela organização e os limites da rede.

Os usuários finais também se beneficiarão de recursos de PKI do Windows 7 que tornam mais fácil usar certificados em seu trabalho diário. A interface de seleção de certificado aprimorada facilita para os usuários escolher o certificado correto para um determinado propósito e successfully authenticate mais rapidamente. Aprimoramentos de cartão inteligente como Plug and Play–based instalação de driver e suporte nativo para padrões de cartão significa que menos tempo precisa ser gasto Obtendo cartões para trabalhar em sistemas de usuário. Finalmente, a inclusão de suporte nativo para biométrica fornecerá uma experiência mais consistente e transparente para usuários finais e administradores.

Check-out do Beta Se você ainda e permita-nos saber o que você pensa via a ferramenta de comentários ou em nosso blog em blogs.technet.com/PKI.

John Morello está com o Microsoft desde 2000. Ele demorou mais de cinco anos em serviços de consultoria da Microsoft onde ele desenvolvido soluções de segurança para as empresas da Fortune 500 empresas, governos e militaries em todo o mundo. Ele é atualmente principal líder do gerente de programas do grupo de servidores Windows. John escreveu vários artigos para TechNet Magazine, ele contribuiu para vários livros da Microsoft Press, e ele fala regularmente em conferências, como TechEd e o fórum de TI. Leia blog da equipe no blogs.technet.com/WinCAT.