• Article

Sécurité

Améliorations de PKI dans Windows 7 et Windows Server 2008 R2

John Morello

Cet article repose sur le code préliminaire. Toutes les informations dans le présent document sont susceptibles d'être modifiées.

À une vue d'ensemble :

  • Consolidation de serveur
  • Améliorée de scénarios existants
  • Logiciels + services
  • Authentification forte

Contenu

Consolidation de serveur
Améliorée de scénarios existants
Logiciels + services
Authentification forte
Conclusion

Il semble simplement hier j'a été écrire un article intitulé “ améliorations PKI dans Windows ”. Cet article, ce qui a exécuté dans le août 2007 de TechNet Magazine, axé sur des innovations qui livrés dans Windows Vista et Windows Server 2008. Ces innovations inclus telles que l'inscription de l'interface utilisateur Améliorations et fonctionnalités OCSP (Online Certificate état Protocol). Lorsque ces améliorations étaient utile et bien reçus par les utilisateurs, vous pouvez dire que les modifications étaient vraiment incrémentielles modifications de perspective un INFORMATICIEN professionnel. Toutefois, Windows 7, offre une améliorations PKI qui considérablement améliorer la déploiement et opérationnelle expérience des utilisateurs, l'activation de nouveaux scénarios puissants tout en réduisant les coûts opérationnels.

Les améliorations de Windows 7 et Windows Server 2008 R2 sont axé autour quatre zones principales (illustrés La figure 1 ):

Consolidation des serveurs. Cela permet aux organisations de réduire le nombre total d'autorités de certificat requis pour atteindre leurs objectifs métier.

Améliorée de scénarios existants. Cette vue est sur des éléments tels qu'offrant la prise en charge SCEP (Simple Certificate d'inscription Protocol) plus complète et comprenant une utilisation pratiques Analyzer (BPA).

Logiciels + services. Il est de permettre autonome d'inscription des utilisateurs et des périphériques pour les certificats indépendamment des limites du réseau et fournisseurs de certificat.

Une authentification renforcée. Cette zone porte sur les améliorations apportées à l'expérience de carte à puce, l'introduction de la cadre biométrique pour Windows et ainsi de suite.

fig1.gif

Figure 1 que les quatre zones de PKI améliorations de base

Dans cet article, J'AI Explorer certaines des modifications dans ces zones principales du point de vue d'une informatique professionnel.

Consolidation de serveur

Parmi les thèmes prédominante dans IT au cours des dernières années a été consolidation des serveurs. Plus simplement, il s'agit sur réduire l'encombrement total de votre environnement informatique serveur lors de la réunion toujours, ou même développement, vos objectifs commerciaux. L'économie globale actuelle a apporté des économies une priorité supérieure pour plusieurs groupes INFORMATIQUES et consolidation des serveurs peut être certainement un composant de cette stratégie général. Bien que la plupart des entreprises ne disposent pas absolue, numéros des autorités de certification, nombre ont plus dont ils ont besoin uniquement en fonction de débit de création de certificat. En d'autres termes, nombreuses organisations ont autorités de certification qui sont considérablement sous-utilisé.

Il existe deux raisons principales pour cette underutilization. Tout d'abord, certaines organisations peuvent nécessiter des autorités de certification distinct pour réglementaires ou raisons de stratégie de sécurité. Par exemple, certains clients ont choisi d'émettre des certificats à des parties externes d'une autorité de CERTIFICATION complètement distincte que celles qui émettent des certificats à des utilisateurs internes et des ordinateurs. Dans ce cas, le virtualiser l'autorité de CERTIFICATION de la technologie Hyper-V pouvez éliminent la nécessité de matériel de serveur distinct (bien que l'autorité de CERTIFICATION doit toujours être gérée, même en qu'un ordinateur virtuel).

La raison la deuxième courante est que cette inscription automatique a été uniquement pris en charge dans intra-forêt scénarios. Plus précisément, une autorité de CERTIFICATION a uniquement réussi à inscrire automatiquement les entités pour les certificats lorsque ces entités sont une partie de la même forêt qui est joint. Même dans les cas où les approbations de forêt bidirectionnelle niveau existent, distinct autorités de certification ont été nécessaires pour chaque forêt où l'inscription automatique est utilisée.

Une des clés les nouvelles fonctionnalités dans Windows Server 2008 R2 est la capacité à exécuter auto-inscription dans forêt relations d'approbation, création de la possibilité de réduire considérablement le nombre total d'autorités de certification requise dans une entreprise. Prendre en compte un réseau d'entreprise classique qui a déjà des opérations de consolidation et qui possède maintenant quatre forêts : production, développement, le test et le bord. Antérieure à R2, si vous vouliez fournir auto-inscription sur chaque forêt, au moins quatre émission autorités de certification sont requis, même si toutes les forêts approuvé eux. Version 2, vous pouvez réduire le nombre total d'autorités de certification dans ce scénario à un, avoir un seul autorité de CERTIFICATION dans une des forêts émettre des certificats aux entités dans tous les autres forêts.

Pour les environnements avec modèles multi-forest plus complexes, la réduction totale d'autorités de certification peut être encore plus considérables et fournir un retour immédiat sur investissement de la mise à niveau à R2.

Inscription inter-forêts facilite également l'étendre une PKI pendant fusions et acquisitions, étant donné que les certificats peuvent démarrer est mis en service pour les actifs récemment acquis dès qu'une approbation de forêt est placée en place. Inscription inter-forêts étant une modification purement côté serveur, l'inscription pouvez début sans apporter de modifications sur les ordinateurs client et d'et il fonctionne avec les anciens systèmes d'exploitation client, tels que Windows XP.

Donc comment entre forêts l'inscription de travail ? À l'utilisateur final, l'expérience est complètement transparent. Comme avec n'importe quel autre scénario inscription automatique, l'utilisateur renvoie uniquement les certificats avec peu ou pas interaction requise sur son cadre. Les utilisateurs finaux sont probablement jamais sachent à partir de quel forêt les autorités de certification ont sont et ils devrez pas effectuer les actions spéciales pour obtenir les certificats.

Pour un professionnel de l'informatique, les blocs de construction de base sont généralement les mêmes comme avec auto-inscription traditionnel intra-forêt. La différence essentielle est que l'autorité de CERTIFICATION est maintenant en mesure de traiter les demandes provenant d'une forêt externe et récupérer les métadonnées relatives à la demande à partir d'un Active Directory approuvés.

Cette possibilité de recevoir et de correctement traiter une demande d'une forêt fiable est la nouvelle fonctionnalité clée dans R2 qui permet ce scénario à utiliser. En outre à avoir une autorité de CERTIFICATION R2 et l'approbation de forêt bidirectionnelle, modèles de certificat doivent être répliquées entre la forêt contenant l'autorité de CERTIFICATION et tous les autres forêts sont inscrire sur cette. Microsoft fournira un script Windows PowerShell pour automatiser cette réplication, qui doit être effectuée après chaque modification à un modèle. Dans de nombreux cas, il sera judicieux d'avoir ce script s'exécute automatiquement comme une tâche planifiée.

Il existe quelques autres fonctionnalités plus petites qui peuvent aider avec consolidation des serveurs. Un est que l'autorité de CERTIFICATION prend désormais en charge les demandes non persistants, ces demandes de certificats, généralement court résidaient, qui sont ne sont pas écrites dans la base de données de l'autorité de CERTIFICATION. Par exemple, envisagez de Network Access Protection intégrité enregistrement références. Ces systèmes peuvent émettre des milliers de certificats chaque jour qui sont uniquement valides pendant quelques heures. Gestion toutes ces demandes dans la base de données d'autorité de CERTIFICATION ajoute peu d'intérêt, mais considérablement l'augmentation le stockage requis. Avec R2, ces demandes peuvent être configurés pour ne pas écrites dans la base de données et cette configuration peut être effectuée au niveau de l'autorité de CERTIFICATION ou le modèle (voir figure 2 ).

fig2.gif

La figure 2 choix ne pas à stocker des certificats dans la base de données

Une autre fonctionnalité conçue pour faciliter la consolidation des serveurs est prise en charge de Server Core. Avec R2, le rôle d'autorité de CERTIFICATION peut être installé sur Server Core, si aucun autre service de rôle AD CS (services de certificats Active Directory) n'est disponible sur Server Core. Lorsque installés sur Server Core, l'autorité de CERTIFICATION peut être gérée avec deux utilitaires de ligne de commande locales, comme certutil, ou en utilisant les MMCs standard à partir d'un système distant. Notez que si matériel sécurité modules (HSM) sont utilisés, vous devez vous assurer que le fournisseur HSM prend en charge l'exécution leurs composants Intégration sur Server Core.

Améliorée de scénarios existants

Windows 7 et version 2 incluent un numéro d'améliorations incrémentielles aux fonctionnalités existantes. Tout d'abord est une modification à une différenciation de point de stock pour les modèles de certificats. Dans les versions antérieures de AD CS, modèles de certificats avancée (version 2 et 3) qui permettent la fonctionnalité d'auto-inscription requis Édition Entreprise autorités de certification. Dans Windows Server 2008 R2, une édition standard autorité de CERTIFICATION prendra en charge toutes les versions de modèle. Version 2 introduit également certaines améliorations à la prise en charge simple Protocol d'inscription de certificat. Dans R2, le composant SCEP prendra en charge renouvellement de périphérique les demandes et réutiliser de mot de passe.

Nouveau AD CS dans R2 est un Best Practices Analyzer (voir figure 3 ). BPAs ont été créées fournit un moyen facile pour les administrateurs vérifier leurs configurations par rapport à une base de données de méthodes recommandées créée et gérée par les équipes de fonctionnalité de Microsoft. Données de services de support client indiquent la majorité des appels de support dans AD CS sont provoquées par configurations incorrectes, afin du BPA doit améliorer les expériences de client en facilitant ainsi la vérifier qu'une autorité de CERTIFICATION est correctement configurée. L'analyseur vérifie pour ces problèmes comme étant manquants AIA (autorité informations Access) ou OCSP pointeurs, certificats près d'expiration et approuver des problèmes de chaînage.

fig3.gif

La figure 3 exécution nouveau Best Practices Analyzer

Dans les versions en cours de Windows, choix d'un certificat pour l'authentification du client peut être difficile pour les utilisateurs finaux. Lorsque plusieurs certificats sont valides pour l'authentification, Windows ne permettent aux utilisateurs de déterminer celui qui est celui droite pour une utilisation donnée. Cela conduit vers d'autres appels de support technique support et des coûts de support client accrue. Dans Windows 7, l'interface de sélection de certificat a été améliorée considérablement pour faciliter grandement choisir le certificat droit pour un scénario donné. La commande liste a également été modifié afin d'aider à décisions plus intelligents en présentant le certificat probablement pour un scénario donné en tant que choix par défaut. Enfin, la sélection l'interface utilisateur maintenant différencie les certificats sur les cartes à puce et celles stockées dans le système de fichiers et présente des certificats de carte à puce plus haut dans la liste de sélection, car ils êtes plus susceptibles d'être utilisée. Les différences sont illustrées dans les captures d'écran illustré figure 4 . Notez que Internet Explorer 8 va apporter le filtrage amélioré (mais pas les modifications de l'interface utilisateur) disponible sur systèmes d'exploitation de niveau inférieur ainsi.

fig4.gif

La figure 4 plus intelligents moyen de présenter des certificats

Logiciels + services

Pendant le processus de création Windows 7, l'équipe hébergé une réunion comporte de nombreux des supérieur PKI utilisateurs à rechercher équipe les zones doivent obtenir l'attention dans la nouvelle version. Un nombre d'utilisateurs énorme indiqué qu'il est trop difficile de gérer les certificats au-delà des limites de l'organisation, comme entre deux sociétés distinctes qui sont des partenaires commerciaux. Nombre dit qu'il voit PKI comme une cible idéale d'externalisation, car il nécessite un ensemble de compétences spécialisées pour gérer efficacement. Windows 7 et Windows Server 2008 R2 offre une nouvelle technologie qui satisfait à ces deux besoins, facilitant ainsi la provision certificats frontières et ouverture des nouveaux modèles d'entreprise des solutions PKI hébergées. Cette technologie est l'inscription de HTTP.

fig5.gif

La figure 5, le nouveau modèle d'inscription

L'inscription de HTTP ne remplace pour le protocole RPC/DCOM traditionnel utilisé pour l'inscription automatique dans les versions antérieures (Notez que l'approche RPC est toujours disponible en version 2). Toutefois, l'inscription de HTTP est plus qu'un protocole d'inscription, il est vraiment une totalement nouvelle approche à fournir des certificats à la fin des entités, quel que soit où ils vous trouve ou si elles sont un ordinateur géré et avec les options authentification flexible. Ce nouveau modèle d'élimine nombre des problèmes liés trouvés dans l'auto-inscription traditionnelle au-delà des limites organisationnelles et fournit une infrastructure permettant de tiers fournir facilement des services d'inscription automatique sans nécessiter de logiciel supplémentaire sur les clients.

L'inscription de HTTP implémente deux nouveaux protocoles basés sur HTTP. Le premier protocole appelé protocole de stratégie de certificat d'inscription, disponibles modèles de certificats aux utilisateurs via HTTPS sessions. Les entités de fin peuvent provenir d'ordinateurs dans des forêts séparées avec aucune relation d'approbation et les machines même pas joint à un domaine. Authentification utilise Kerberos, des noms d'utilisateur/mot de passe ou des certificats. Le protocole de stratégie d'inscription permet aux utilisateurs d'interroger des modèles et déterminer le moment demander des certificats basés sur des modèles de nouveaux ou mis à jour.

Le protocole de service d'inscription de certificat est une extension WS-Trust. Le protocole est utilisé pour obtenir des certificats une fois que les informations de modèle a été déterminées. Il prend en charge les méthodes d'authentification flexible et utilise des HTTPS en tant que le transport.

L'exemple présenté dans La figure 5 illustre le fonctionne de ce nouveau modèle d'inscription.

  • À l'étape 1, les modèles de certificats sont publiés à partir d'Active Directory sur un serveur qui exécute le certificat d'inscription stratégie Web Service (un rôle service nouveau vers R2). L'administrateur de publication de ces modèles utilise les mêmes MMCs et autres outils à laquelle elles sont déjà familiers.
  • À l'étape 2, un client est interrogé le service Web via HTTPS pour déterminer la liste des modèles disponibles pour s'inscrire à. Le client apprend l'URL du service Web via stratégie de groupe, de script ou d'une configuration manuelle. Le client peut être un système joint au domaine, un système à un partenaire commercial ou système de base d'un utilisateur.
  • À l'étape 3, le client a déterminé quels modèles qu'il souhaite inscrire et envoie une demande du service certificat d'inscription Web pour effectuer l'inscription réelle.
  • À l'étape 4, le serveur qui exécute le service Web d'inscription envoie la requête à une autorité de CERTIFICATION pour traitement.
  • À l'étape 5, l'autorité de CERTIFICATION est recherchée données concernant le demandeur d'Active Directory (comme son adresse de messagerie ou nom DNS) qui seront inclus dans le certificat émis.
  • À l'étape 6, l'autorité de CERTIFICATION renvoie le certificat terminé à du service Web d'inscription.
  • À l'étape 7, le service de Web d'inscription se termine la transaction avec le client via HTTPS et envoie le certificat de signature.

Flexibilité était un des principes de conception clé dans ce nouveau service et il est important de savoir comment la conception peut être adaptée à un ensemble varié de scénarios. Étant donné que le protocole d'inscription est HTTPS, les clients peuvent facilement inscrire certificats à partir de n'importe où, y compris derrière des pare-feu d'entreprise ou de connexions fournisseur de services Internet personnelle, sans nécessiter un réseau privé virtuel (VPN). Dans la mesure où trois différentes méthodes d'authentification sont prises en charge, les clients peuvent être jointes à domaine interne d'une organisation, un domaine non approuvé d'une organisation externe ou aucun domaine ne tout. Enfin, étant donné que les composants côté serveur sont implémentées en tant que services Web, ils peuvent être installés séparément à partir de l'autorité de CERTIFICATION et prend en charge les environnements segmentés.

Outre le scénario classique d'inscription d'entités de fin tels que les utilisateurs et ordinateurs de bureau pour les certificats, l'inscription de HTTP permet opportunités de mise en service de certificats d'Autorités de certification racines de confiance. Scénarios tels que les certificats S/MIME d'utilisateur, publiquement face serveurs Web et d'autres systèmes où implicite confiance des certificats est important peuvent tout tirer parti d'inscription plus autonome. Par exemple, plusieurs organisations avec un grand nombre de serveurs Web gérer les certificats manuellement, l'utilisation des listes de noms de serveur et les dates d'expiration stockées dans des classeurs Microsoft Office Excel. Avec l'inscription de HTTP, autorités de certification racines de confiance peuvent offrir un service dans lequel ils fournissent certificats directement à ces serveurs Web automatiquement, libérer de l'administrateur de devoir manuellement gérer les certificats sur eux. Cette combinaison de logiciels et services permet aux organisations à choisir les modèles de déploiement selon leurs besoins meilleur, sans devoir créer autour de réseau ou des limites organisationnelles.

Références

bluebullet.gif Introduction à Windows biométrique Framework (WBF)
Microsoft.com/whdc/device/INPUT/smartcard/WBFIntro.mspx
bluebullet.gif Sur la vérification identité personnelles (PIV) employés fédérales des Contractors
csrc. NIST.gov/groups/SNS/piv/index.html
bluebullet.gif Accueil de PKI Windows Server
Microsoft.com/PKI
bluebullet.gif Blog PKI Windows
blogs.technet.com/PKI

Authentification forte

Windows 7 prend en la première dans zone charge périphériques biométriques avec la WBF (Windows biométrique Framework). WBF êtes initialement l'authentification en fonction par empreinte digitale pour les scénarios de consommateur, est conçu pour rendre biométrie une expérience plus facile et plus intégrée pour les utilisateurs. Un modèle de pilote unifiée fournit utilisateur cohérente expériences sur les types de périphériques avec prise en charge de l'ouverture de session Windows (local et domaine), contrôle (compte d'utilisateur et découverte de périphérique autonome. Pour les entreprises, WBF fournit une méthode Policy–driven de groupe pour désactiver l'infrastructure pour les organisations qui choisissez de ne pas utiliser la biométrie. Les entreprises peuvent également choisir d'autoriser biométrie pour les applications, mais pas pour ouverture de session de domaine. Enfin, la gestion des périphériques renforcée peuvent empêcher usage de périphérique en plus pour tout simplement empêcher l'installation du pilote.

Avec les améliorations biométrie, Windows 7 améliore également utilisateur et administrateur rencontre pour les scénarios de carte à puce. Les cartes à puce sont désormais traités comme des périphériques Plug-and-Play avec installation de pilote Windows Update–based. Le processus de détection et l'installation de Plug-and-Play a lieu avant ouverture de session, utilisateurs signification qui sont nécessaires pour vous connecter avec cartes à puce sera en mesure de se connecter même dans les cas où la carte n'a pas été précédemment détectée. En outre, l'installation ne nécessite pas des privilèges d'administration, rendant approprié dans les environnements de moindre privilège.

Le mini-driver classe carte à puce inclut désormais prise en charge NIST 800 73 SP-1, ce agences fédérales peuvent d'utiliser leurs fiches PIV (vérification d'identité personnels) sans devoir utiliser middleware supplémentaire. Le mini-driver également prend en charge la nouvelle INCITS GICS (papillon) standard, fournissant une expérience de Plug-and-Play pour ces cartes.

Windows 7 également introduit la prise en charge pour le déverrouillage de carte à puce biométrique basé et inclut les nouvelles API pour permettre l'injection de clé sécurisée. Enfin, Windows 7 apporte une prise en charge des certificats de carte à puce chiffrement courbe elliptique (ECC) pour les deux Inscription de certificat ECC et pour l'utilisation de ces certificats ECC pour l'ouverture de session.

Conclusion

Windows 7 et Windows Server 2008 R2 contiennent de la nouvelle technologie PKI plus importante étant donné que Windows 2000 introduit des demandes automatiques de certificats. Cette nouvelle fonctionnalité facilite PKIs et plus efficace pour gérer, remise une meilleure expérience aux utilisateurs finaux.

Windows 7 et Windows Server 2008 R2 incluent les nouvelles fonctionnalités puissantes qui exécute une infrastructure PKI plus efficace tout en considérablement améliorer la fonction d'inscription automatique. Inscription inter-forêts peut considérablement réduire le nombre total d'autorités de certification requise par une organisation et faciliter la gérer les opérations d'infrastructure de clé publique (PKI) au cours des fusions, les acquisitions et divestitures. Nouveau Best Practices Analyzer facilite pour les administrateurs rechercher courants des problèmes de configuration avant de pannes se produisent. Fonctionnalités, telles que prise en charge de Server Core et des demandes nonpersistent facilitent adapter les opérations d'autorité de CERTIFICATION à besoins organisationnels spécifiques. Et l'inscription de HTTP ouvre des nouvelles méthodes pour activer automatiquement les certificats sur l'organisation et les limites du réseau.

Les utilisateurs finaux profitez également des fonctionnalités Windows 7 PKI qui la rendent plus facile à utiliser les certificats dans leur travail quotidien. L'interface de sélection de certificat améliorée facilite aux utilisateurs de sélectionner le certificat droit à un objectif donné et authentifiés plus rapidement. Améliorations de carte à puce comme Plug-and-Play Play–based installation du pilote et prise en charge native des normes de carte impliquent moins de temps doit à dépenser, à l'obtention des cartes pour travailler sur des systèmes de l'utilisateur. Enfin, l'inclusion de prise en charge native de biométrie s'offrent une expérience plus cohérente et transparente pour les utilisateurs finaux et les administrateurs.

Extraire la version Bêta Si vous ne l'avez pas déjà fait et dites-nous ce que vous pensez via l'outil de commentaires ou sur notre blog sur blogs.technet.com/PKI.

Morello Jean travaille chez Microsoft depuis 2000. Il a passé cinq ans dans Microsoft Consulting Services où il conçu solutions de sécurité pour les entreprises entreprises classées dans Fortune 500, gouvernements et les militaries dans le monde entier. Il est actuellement principal responsable responsable de programme dans le groupe de serveurs Windows. Jean a écrit de nombreux articles TechNet Magazine, il a contribué à plusieurs ouvrages Microsoft Press, et il parle régulièrement à des conférences telles que TechEd et forum informatique. Vous pouvez lire le blog de son équipe à blogs.technet.com/WinCAT.