• Artículo

Seguridad

Mejoras de PKI en Windows 7 y Windows Server 2008 R2

John Morello

En este artículo se basa en el código preliminar. Toda la información de este documento está sujeta a cambios.

En resumen:

  • Consolidación del servidor
  • Mejora los escenarios existentes
  • Software y servicios
  • Autenticación segura

Contenido

Consolidación del servidor
Mejora los escenarios existentes
Software y servicios
Autenticación segura
Ajustar hacia arriba

Parece que simplemente ayer escribía un artículo titulado “ mejoras de PKI en Windows ”. Ese artículo, que se ejecutó en el número de agosto de 2007 de TechNet Magazine, se centra en algunas de las innovaciones que se enviaron en Windows Vista y Windows Server 2008. Estas innovaciones incluyen tales como las mejoras de interfaz de usuario de inscripción y las capacidades OCSP (Protocolo de estado en línea de certificados). Mientras se eran esas mejoras valioso y bien recibidos por los usuarios, podría argumentar que los cambios fueran cambios incrementales realmente desde la perspectiva de un profesional de TI. Sin embargo, Windows 7, proporcionará mejoras de PKI que enormemente mejorar la implementación y la experiencia operativa para usuarios, permite nuevos escenarios eficaces al reducir los costos operativos.

Las mejoras en Windows 7 y Windows Server 2008 R2 centran aproximadamente cuatro áreas de núcleo (que se muestra en La figura 1 ):

Consolidación del servidor. Esto permite las organizaciones reducir el número total de las entidades emisoras de certificados (CA) necesario para cumplir sus objetivos empresariales.

Mejorado escenarios existentes. Este enfoque está en estos elementos como lo que ofrece compatibilidad SCEP (Protocolo de inscripción de certificados simple) más completa y incluyendo un Best Practices Analyzer (BPA).

Software y servicios. Esto es permitir autónoma inscripción de usuarios y dispositivos para los certificados independientemente de los límites de red y los proveedores de certificados.

Autenticación segura. Esta área se centra en las mejoras de la experiencia de tarjeta inteligente, la introducción de la Windows biométrica Framework y así sucesivamente.

fig1.gif

Figura 1 que las cuatro principales áreas de las mejoras de PKI

En este artículo, Descubra algunos de los cambios principales en estas áreas desde la perspectiva de un profesional de TI.

Consolidación del servidor

Uno de los temas predominante en TI en los últimos años ha sido la consolidación del servidor. Simplemente, esto es reducir la superficie total de su entorno informático servidor mientras se sigue reunión, o incluso expandir, los objetivos empresariales. La economía global actual ha realizado ahorro de costos una prioridad superior para muchos grupos de IT y consolidación de servidores ciertamente, puede ser un componente de dicha estrategia general. Mientras que la mayoría de las organizaciones no tienen números grandes absolutas de entidades emisoras de certificados, muchos tienen más de lo que necesitan únicamente según el rendimiento de creación de certificados. En otras palabras, muchas organizaciones tienen entidades emisoras de certificados que están ampliamente infrautilizado.

Hay dos razones principales para esta underutilization. En primer lugar, algunas organizaciones pueden requerir entidades emisoras independientes para las disposiciones legales o motivo de directiva de seguridad. Por ejemplo, algunos clientes decidió emitir certificados a usuarios externos desde una CA completamente independiente de aquellas que emiten certificados a usuarios internos y equipos. En estos casos, la virtualización de la entidad de CERTIFICACIÓN de Hyper-V puede elimina la necesidad de hardware de servidor independiente, (aunque la entidad de CERTIFICACIÓN aún se debe administrar, incluso como una máquina VIRTUAL).

La segunda razón de común es que la inscripción automática sólo se admite en los escenarios dentro del bosque. En concreto, una entidad emisora de CERTIFICADOS sólo ha sido capaz inscribir automáticamente las entidades de certificados cuando esas entidades son parte del mismo bosque que se está unido a. Incluso en casos donde existen confianzas de nivel de bosque bidireccional, entidades emisoras de certificados independientes han sido necesario para cada bosque que se utiliza la inscripción automática.

Una de las nuevas características claves en Windows Server 2008 R2 es la capacidad de realizar la inscripción automática entre bosques relaciones de confianza, crear el potencial para reducir drásticamente el número total de las entidades emisoras de certificados necesario en una empresa. Considere una red empresarial típico que ya ha realizado algún trabajo de consolidación y ahora tiene cuatro bosques: producción, desarrollo, prueba y borde. Anterior a R2, si desea proporcionar la inscripción automática en cada bosque, al menos cuatro entidades emisoras de certificados se necesario, aunque todos los bosques de confianza entre sí. Con R2, puede reducir el número total de las entidades emisoras de certificados en este escenario a uno, tener una única entidad EMISORA en uno de los bosques emitir certificados a entidades de todos los otros bosques.

Para entornos con diseños con varios bosques más complejas, la reducción de total de las entidades emisoras de certificados puede ser aún más llamativo y proporcionar un retorno inmediato de la inversión para la actualización a R2.

Inscripción entre bosques también resulta más fácil ampliar una infraestructura de claves públicas durante las fusiones y adquisiciones, ya que pueden iniciar los certificados que se va a proporcionar a los activos recién adquiridos tan pronto como una confianza de bosque es poner en marcha. Y dado que la inscripción entre bosques es un cambio sólo en el servidor, puede iniciar la inscripción sin realizar ningún cambio en los equipos cliente y funciona con los anteriores sistemas operativos de cliente, tales como Windows XP.

¿Cómo entre bosques trabajo inscripción? Para el usuario final, la experiencia es completamente transparente. Como con cualquier escenario de inscripción automática, el usuario obtiene sólo los certificados con poca o ninguna interacción necesaria en su parte. Los usuarios finales no se probablemente nunca sabe de qué bosque procedan las entidades emisoras de certificados y no se necesitan realizar las acciones especiales para obtener los certificados.

Un profesional de TI, los bloques de creación básicos son principalmente el mismo que con la inscripción automática interna tradicional del bosque. La diferencia principal es que la entidad emisora de CERTIFICADOS ahora es capaz de procesar las solicitudes de recibido de un bosque externo y recuperar los metadatos sobre la solicitud de un Active Directory confianza.

Esta capacidad para recibir y procesar correctamente una solicitud de un bosque de confianza es la clave nueva capacidad de R2, que permite este escenario trabajar. Así como tener una entidad emisora de CERTIFICADOS de R2 y la confianza de bosque bidireccional, las plantillas de certificado deben replicarse entre el bosque que contiene la entidad emisora de CERTIFICADOS y todos los otros bosques inscripción en él. Microsoft ofrecerá una secuencia de comandos de Windows PowerShell para automatizar esta replicación, lo que debe realizarse después de cada cambio a una plantilla. En muchos casos, será una buena idea hacer que esta secuencia de comandos ejecutar automáticamente como una tarea programada.

Hay unos otras características más pequeños que pueden ayudarle con la consolidación del servidor. Uno es que la entidad emisora de CERTIFICADOS ahora admite las solicitudes no persistentes, estas solicitudes de certificados, normalmente corta vividos, que no se escriben en la base de datos de la entidad de CERTIFICACIÓN. Por ejemplo, considere estado registro entidades de red Access protección. Estos sistemas pueden emitir miles de certificados de cada día que sólo son válidos para unas pocas horas. Todas estas solicitudes de la base de datos de entidad emisora de CERTIFICADOS de mantenimiento agrega valor poco, pero aumenta considerablemente el almacenamiento requerido. Con R2, se pueden configurar estas solicitudes no va a escribir en la base de datos y esta configuración se puede realizar en nivel de la entidad emisora de CERTIFICADOS o plantilla (consulte la figura 2 ).

fig2.gif

La Figura 2 elección no para almacenar certificados de la base de datos

Otra característica diseñada para facilitar la consolidación de servidores es la compatibilidad con Server Core. Con R2, se puede instalar la función de la entidad emisora de CERTIFICADOS de Server Core, aunque ningún otro servicio de función de AD CS (Servicios de Certificate Server de Active Directory) es disponible de Server Core. Cuando se instala de Server Core, se puede administrar la entidad emisora de CERTIFICADOS con ambos utilidades de línea de comandos locales, como certutil o mediante los estándar MMCs desde un sistema remoto. Tenga en cuenta que si se utilizan los módulos de seguridad de hardware (HSMs), debe asegurarse de que el proveedor HSM admite que se ejecutan sus componentes de integración de Server Core.

Mejora los escenarios existentes

Windows 7 y R2 incluyen un número de mejoras incrementales a las características existentes. En primer lugar es un cambio a diferenciación de unidades de ALMACENAMIENTO para plantillas de certificado. En versiones anteriores de servidor de CERTIFICADOS de Active Directory, plantillas de certificado avanzada (versión 2 y 3) que permiten la funcionalidad de la inscripción automática requieren Enterprise edition las entidades emisoras de certificados. En Windows Server 2008 R2, una entidad emisora de CERTIFICADOS de edición estándar será compatible con todas las versiones de plantilla. R2 también presenta algunas mejoras para admitir el protocolo de inscripción de certificados simple. En R2, el componente SCEP admite la renovación de dispositivo las solicitudes y reutilización de contraseñas.

Nuevo para AD CS de R2 es Best Practices Analyzer (consulte la figura 3 ). Se crearon BPAs proporcionan una forma fácil para los administradores comprobar sus configuraciones con respecto a una base de datos de prácticas recomendadas creado y mantenido por los equipos de característica de Microsoft. Datos de servicios de soporte al cliente indican la mayoría de las llamadas de soporte técnico en AD CS están causados por configuraciones incorrectas, por lo que la BPA debe mejorar las experiencias de cliente que facilita comprobar que una entidad emisora de CERTIFICADOS está configurada correctamente. El analizador buscará dichos problemas como la falta de AIA (entidad emisora Information Access) o punteros OCSP y certificados cerca de caducidad y problemas de encadenamiento de confianza.

fig3.gif

La figura 3 ejecutar la nueva Best Practices Analyzer

En versiones actuales de Windows, seleccionar un certificado para la autenticación del cliente puede resultar difícil para los usuarios finales. Cuando varios certificados son válidos para la autenticación, Windows no hace fácil para los usuarios determinar cuál es el otro derecho para un uso dado. Esto conduce a más llamadas de ayuda de asistencia al cliente y costos de soporte técnico cliente mayor. En 7 de Windows, la interfaz de selección de certificado se ha mejorado considerablemente para facilitar mucho elegir el certificado correcto para un escenario determinado. El orden de lista también se cambió para ayudar a tomar decisiones más inteligentes al presentar el certificado más probable es para un escenario determinado como la opción predeterminada. Por último, la selección interfaz de usuario ahora diferencia entre los certificados en tarjetas inteligentes y los almacenados en el sistema de archivos y presenta los certificados de tarjeta inteligente más alto de la lista de selección, ya que probablemente más que se va a utilizar. Las diferencias se ilustran en la capturas de pantalla que se muestra en la figura 4 . Tenga en cuenta que Internet Explorer 8 hará el mejorado filtrado (pero no los cambios de interfaz de usuario) disponible en sistemas así de mapa de bits operativos.

fig4.gif

La figura 4 una forma más inteligente de presentar los certificados

Software y servicios

Durante el proceso de diseño Windows 7, el equipo realiza una reunión con muchos de los superiores usuarios de infraestructura de claves públicas para pensar y establecer qué áreas deben atención en la nueva versión. Un número abrumador de usuarios indica que es demasiado difícil de administrar los certificados a través de los límites organizativos, como entre dos compañías diferentes que son socios comerciales. Muchas también dijo que ven PKI como un destino ideal para tercerizar porque requiere un conjunto de cualificaciones especializadas para administrar de forma eficaz. 7 De Windows y Windows Server 2008 R2 proporcionará una nueva tecnología que cumpla ambos estas necesidades, que facilita los certificados de provisión a través de los límites y abrir nuevos modelos de negocios para soluciones de infraestructura de claves públicas alojadas. Esta tecnología es la inscripción de HTTP.

fig5.gif

La figura 5 el nuevo modelo de inscripción

Inscripción de HTTP es un sustituto para el protocolo basadas en RPC y DCOM tradicional utilizado para la inscripción automática en las versiones anteriores (tenga en cuenta que el enfoque RPC es estando disponible en R2). Sin embargo, la inscripción de HTTP es algo más que un protocolo de inscripción, es realmente un enfoque completamente nuevo para proporcionar certificados a entidades, independientemente de donde están ubicadas o si son un equipo administrado y con opciones de autenticación flexibles de cliente. Este nuevo modelo elimina muchas de las barreras que se encuentra en la inscripción automática tradicional a través de los límites organizativos y proporciona un marco para otros fabricantes proporcionar fácilmente servicios de inscripción automática sin necesidad de software adicional en los clientes.

Inscripción de HTTP implementa dos nuevos protocolos basados en HTTP. El primer protocolo, conocido como protocolo de directiva de inscripción de certificados, realiza las plantillas de certificado disponibles en los usuarios a través de las sesiones HTTPS. Las entidades finales pueden proceder de equipos en bosques independientes con no relaciones de confianza y ni siquiera unidos a un dominio de equipos. Autenticación utiliza Kerberos, nombres de usuario y contraseñas o certificados. El protocolo de directiva de inscripción permite a los usuarios sondear para plantillas y determinar cuándo solicitar certificados basados en plantillas nuevos o actualizados.

El protocolo de servicios inscripción de certificados es una extensión de WS-Trust. El protocolo se utiliza para obtener certificados de una vez haya determinado la información de plantilla. Admite métodos de autenticación flexibles y utiliza HTTPS como su transporte.

El ejemplo que se muestra en la La figura 5 ilustra cómo funciona este nuevo modelo de inscripción.

  • En el paso 1, se publican las plantillas de certificado de Active Directory en un servidor que ejecuta el servicio de Web directiva de inscripción de certificados (un función de servicio nuevo a R2). El administrador de publicación de estas plantillas consiste en utilizar los mismos MMCs y otras herramientas con los que son ya familiares.
  • En el paso 2, un cliente sondea el servicio Web a través de HTTPS para determinar la lista de plantillas disponibles para inscribir frente a. El cliente obtiene la dirección URL del servicio Web mediante Directiva de grupo, la secuencia de comandos o la configuración manual. El cliente podría ser un sistema unidos a un dominio, un sistema de un socio comercial o sistema de un usuario doméstico.
  • En el paso 3, el cliente determinó qué plantillas que desea inscribir y envía una solicitud al servicio de Web de inscripción de certificados para realizar la inscripción real.
  • En el paso 4, el servidor que ejecuta el servicio de inscripción Web envía la petición a una entidad emisora de CERTIFICADOS para procesar.
  • En el paso 5, la entidad emisora de CERTIFICADOS se busca datos sobre el solicitante de Active Directory (como su dirección de correo electrónico o nombre DNS) que se incluirá en el certificado emitido.
  • En el paso 6, la entidad emisora de CERTIFICADOS devuelve el certificado completado al servicio Web de inscripción.
  • En el paso 7, el servicio Web de inscripción finaliza la transacción con el cliente a través de HTTPS y envía el certificado firmado.

Flexibilidad fue uno de los principios de diseño clave en este nuevo servicio y es importante observar cómo el diseño puede adaptarse para que quepa un diverso conjunto de escenarios. Dado que el protocolo de inscripción es HTTPS, los clientes pueden fácilmente inscribir certificados desde cualquier sitio, incluyendo detrás de los servidores de seguridad corporativas o de las conexiones de proveedor de servicios de Internet principales, sin necesidad de una red privada VIRTUAL. Ya que se admiten tres métodos de autenticación diferentes, los clientes pueden unirse a dominio interno de una organización, un dominio que no son de confianza de una organización externa o ningún dominio de en absoluto. Por último, porque los componentes de servidor se implementan como servicios Web, pueden instalarse por separado de la entidad de CERTIFICACIÓN y admiten entornos segmentados.

Además el clásico escenario de las entidades finales como usuarios y equipos de escritorio para los certificados de inscripción, inscripción de HTTP también permite oportunidades para la provisión de certificados de entidades emisoras de certificados raíz de confianza. Todos los escenarios, como certificados S/MIME de usuario, público opuestas servidores Web y otros sistemas donde la confianza implícita de certificados es importante pueden beneficiarse de inscripción más autónoma. Por ejemplo, muchas organizaciones con grandes cantidades de los servidores Web mantienen certificados manualmente, mediante listas de nombres de servidor y fechas de caducidad almacenadas en los libros de Microsoft Office Excel. Con la inscripción de HTTP, entidades emisoras raíz de confianza pueden ofrecen un servicio en el que proporcionar certificados directamente a estos servidores Web automáticamente, liberando al administrador de tener que mantener manualmente los certificados en ellos. Esta combinación de software y los servicios permite a las organizaciones elegir los modelos de implementación que se ajusten a sus necesidades mejor, sin tener que diseñar alrededor de red o límites organizativos.

Las referencias

bluebullet.gif Introducción a la biométrica Framework (WBF) de Windows
Microsoft.com/whdc/Device/INPUT/smartcard/WBFIntro.mspx
bluebullet.gif Sobre personal comprobación de identidad (PIV) de federales empleados y contratistas
csrc. nist.gov/Groups/SNS/piv/index.html
bluebullet.gif Página principal de PKI de Windows Server
Microsoft.com/PKI
bluebullet.gif Blog de infraestructura de claves públicas de Windows
blogs.technet.com/PKI

Autenticación segura

Windows 7 incluye la compatibilidad en cuadro primer para los dispositivos biométricos con Windows biométrica Framework (WBF). Inicialmente se centra en la autenticación de huellas dactilares-basada en escenarios de consumidor, WBF está diseñado para que biometría una experiencia más fácil y más integrada para los usuarios. Un modelo de controlador unificada proporciona experiencias de usuario coherente en tipos de dispositivo con compatibilidad para el inicio de sesión de Windows (local y dominio), control de cuentas de usuario (UAC) y el descubrimiento de dispositivos independientes. Para empresas, WBF proporciona un método de Policy–driven de grupo para deshabilitar el marco para las organizaciones que eliges no utilizar biometría. Las empresas también pueden elegir permitir biometría para las aplicaciones, pero no para inicio de sesión de dominio. Por último, la administración de dispositivos mejorado puede evitar uso de dispositivo en Además para simplemente impedir la instalación del controlador.

Junto con las mejoras de lecturas biométricas, Windows 7 también mejora usuario y administrador experiencias para escenarios de tarjeta inteligente. Ahora se tratan las tarjetas inteligentes como dispositivos Plug and Play con Windows Update–based instalación de controlador. El proceso de detección e instalación Plug and Play tiene lugar antes de inicio de sesión, los usuarios de significado que son necesarios para iniciar sesión con tarjetas inteligentes se podrá iniciar sesión incluso en casos donde la tarjeta no anteriormente detectó. Además, la instalación no requiere privilegios administrativos, facilitando adecuado en entornos con los mínimos privilegios.

Mini-driver de clase de tarjeta inteligente ahora incluye compatibilidad de NIST proveedor de servicios 800 73-1, para las agencias federales pueden utilizar sus tarjetas PIV (comprobación de la identidad personal) sin tener que usar middleware adicional. El mini-driver también incluye compatibilidad para el emergente INCITS GICS (mariposa) estándar, proporcionar una experiencia de Plug and Play para esas tarjetas.

Windows 7 también introduce la compatibilidad con Desbloquear tarjeta inteligente biométrica basándose e incluye API nuevas para habilitar la inserción clave segura. Por último, Windows 7 agrega compatibilidad con certificados de tarjeta inteligente de criptografía de curva elíptica (ECC) para ambos inscripción de certificados ECC y para utilizar esos certificados ECC para el inicio de sesión.

Ajustar hacia arriba

7 De Windows y Windows Server 2008 R2 contienen parte de la nueva tecnología de infraestructura de claves públicas más importante ya que Windows 2000 introdujo solicitudes automáticas de certificados. Esta nueva funcionalidad facilita las PKI y más eficaz para administrar, ofrecer una mejor experiencia para usuarios finales.

7 De Windows y Windows Server 2008 R2 incluyen nuevas capacidades eficaces que hacen que ejecutar una PKI más eficaz al mejorar considerablemente la función de la inscripción automática. Inscripción entre bosques considerablemente puede reducir el número total de entidades emisoras de certificados requeridos por una organización así como facilitar administrar las operaciones de infraestructura de claves públicas durante las fusiones, adquisiciones y desposeimientos. El nuevo Analizador de las mejores prácticas facilita a los administradores comprobar problemas comunes de configuración antes de que ocurran interrupciones. Capacidades tales como compatibilidad con Server Core y las solicitudes no persistentes facilitan a adaptar las operaciones de entidad emisora de CERTIFICADOS necesidades organizativas específicas. Y se abre HTTP inscripción nuevos métodos para aprovisionar automáticamente los certificados a través de organización y los límites de red.

Los usuarios finales también se beneficiarán de PKI de Windows 7 características que facilitan la usar certificados en su trabajo diario. La interfaz de selección de certificado mejorada facilita a los usuarios elegir el certificado correcto para un propósito determinado y autenticar correctamente más rápidamente. Mejoras de tarjeta inteligente como Plug and Play–based instalación del controlador y la compatibilidad nativa con los estándares de tarjeta significa menos tiempo necesita gastarse obtener tarjetas para trabajar en sistemas de usuario. Por último, la inclusión de compatibilidad nativa con biometría proporcionan una experiencia más coherente y uniforme para usuarios finales y los administradores.

Comprobar la versión beta si aún no lo ha hecho y háganos saber lo que piensa mediante la herramienta comentarios o en nuestro blog en blogs.technet.com/PKI.

John Morello ha trabajado con Microsoft desde 2000. Había invertido cinco años en Microsoft Consulting Services donde diseñado soluciones de seguridad para corporaciones Fortune 500, gobiernos y militaries todo el mundo. Actualmente es un director de programa responsable principal en el grupo de servidores de Windows. Juan ha escribe numerosos artículos para TechNet Magazine, ha contribuido a varios libros de Microsoft Press, y habla con regularidad en conferencias, como TechEd y el foro de IT. Puede leer el blog de su equipo en blogs.technet.com/WinCAT.