.png "Co nowego w zabezpieczeniach urządzeń klienckich?, cz. IV"){kind=icon}
.png "Co nowego w zabezpieczeniach urządzeń klienckich?")
Co nowego w zabezpieczeniach urządzeń klienckich?, cz. V .png)
Opublikowano: 12 marca 2010
Zawartość strony
.gif){kind=icon} |
Wprowadzenie integracji tożsamości online |
|
Wprowadzenie PKU2U w systemie Windows |
|
Wprowadzenie Plug and Play dla kart inteligentnych |
|
Wprowadzenie ograniczenia uwierzytelniania NTLM |
|
Wprowadzenie usługi biometrycznej systemu Windows |
|
Wprowadzenie TLS v1.2 |
Wprowadzenie integracji tożsamości online
Niniejszy artykuł zawierający ocenę produktu napisany dla specjalistów IT opisuje sposób kontroli użycia tożsamości online (online ID) do uwierzytelniania komputerów, na których uruchomiony jest system Windows 7 oraz Windows Server 2008 R2.
Łączenie tożsamości online z kontami użytkowników systemu Windows
W systemie Windows 7 użytkownicy małych sieci, takich jak sieci domowe, mogą udostępniać dane, takie jak pliki multimedialne, między wybranymi komputerami poszczególnym użytkownikom. Funkcja ta dopełnia funkcję grupy domowej systemu Windows 7 wykorzystując tożsamości online do identyfikacji użytkowników wewnątrz sieci domowej. Aby zezwolić na takie uwierzytelnianie, użytkownicy muszą świadomie przyłączyć konto użytkownika systemu Windows do tożsamości online. Dołączenie protokołu PKU2U (Public Key Cryptography Based User-to-User) w systemie Windows pozwala na pojawienie się uwierzytelniania przy użyciu certyfikatów.
Więcej informacji na temat protokołu PKU2U znajduje się w części Wprowadzenie PKU2U w systemie Windows.
Zarządzanie kontami w danym środowisku to ważna strategia zabezpieczeń. Aby zezwolić, lub powstrzymać tożsamości online od uwierzytelniania do określonych, lub wszystkich zarządzanych komputerów, można użyć zasad grupy.
Ustawienie zasady Zabezpieczenia sieciowe: Zezwalaj na wysyłanie żądań uwierzytelniania PKU2U do tego komputera w celu używania tożsamości online kontroluje możliwość uwierzytelniania tożsamości online do danego komputera przy użyciu protokołu PKU2U. Niniejsze ustawienie zasad nie wpływa na możliwość użycia kont domeny, lub kont użytkownika lokalnego do logowania na danym komputerze. Niniejsze ustawienie zasady znajduje się w lokalizacji Local Computer Policy\Computer Configuration\Windows Settings\Security Options. We wcześniejszych wersjach systemu Windows, ustawienie zasady ma nazwę Zabezpieczenia sieciowe: Nie zezwalaj na użycie tożsamości online w PKU2U.
Sterowanie uwierzytelnianiem tożsamości online
Poniższa tabela pokazuje wynikowy status żądania uwierzytelniania PKU2U dla wszystkich opcji konfiguracji niniejszego ustawienia zasad.
| Ustawienie zasady | Żądania uwierzytelnienia PKU2U wobec komputera podłączonego do sieci | Żądania uwierzytelnienia PKU2U wobec komputera będącego członkiem domeny |
| Nieskonfigurowane | Dozwolone uwierzytelnienie tożsamości online. | Niedozwolone uwierzytelnienie tożsamości online. |
| Włączone | Dozwolone uwierzytelnienie tożsamości online | Dozwolone uwierzytelnienie tożsamości online |
| Wyłączone | Niedozwolone uwierzytelnienie tożsamości online. | Niedozwolone uwierzytelnienie tożsamości online. |
.gif){kind=icon}
Do początku strony
Wprowadzenie PKU2U w systemie Windows
Niniejsza część, zawierająca ocenę produktu, napisana dla specjalistów IT opisuje dostawcę obsługi zabezpieczeń (SSP) protokołu PKU2U (Public Key Cryptography Based User-to-User) będącego nowością w systemie Windows 7 oraz Windows Server 2008 R2.
Protokół PKU2U
Protokół PKU2U w systemie Windows 7 oraz Windows Server 2008 R2 wdrażany jest jako dostawca SSP. Dostawca obsługi zabezpieczeń (SSP) umożliwia uwierzytelnianie równorzędne, w szczególności poprzez funkcję udostępniania multimediów i plików systemu Windows 7 o nazwie Grupa domowa, która pozwala na udostępnianie między komputerami nie będącymi członkami domeny.
Jak działa PKU2U?
Systemy Windows 7 oraz Windows Server 2008 R2 wprowadzają rozszerzenie pakietu uwierzytelniania Negotiate - Spnego.dll. We wcześniejszych wersjach systemu Windows pakiet Negotiate decyduje o tym, czy do uwierzytelnienia użyć protokołu Kerberos, czy NTLM. Negoexts, rozszczerzenie SSP dla protokołu Negotiate, które jest traktowane przez system Windows jak protokół uwierzytelniania, obsługuje dostawców SSP firmy Microsoft, w tym PKU2U. Możliwe jest również tworzenie i dodawanie dostawców SSP.
Kiedy skonfigurujemy komputery, aby akceptowały żądania uwierzytelnienia używając tożsamości online, Negoexts.dll wywołuje PKU2U SSP na komputerze użytym do logowania. PKU2U SSP otrzymuje lokalny certyfikat i wymienia zasady między komputerami równorzędnymi. Weryfikacja na komputerze równorzędnym polega na wysłaniu certyfikatu w ramach metadanych do zalogowanego komputera równorzędnego celem weryfikacji, po czym następuje przypisanie certyfikatu użytkownika do tokena zabezpieczeń i proces logowania zostaje ukończony.
Więcej informacji na temat tworzenia dostawców SSP znajduje się w części Niestandardowe pakiety zabezpieczeń (j.ang.) w bibliotece MSDN.
Więcej informacji na temat rozszerzeń Negotiate (Negoexts) znajduje się w części Wprowadzenie rozszerzeń do negocjowania pakietów uwierzytelniania.
Do początku strony
Wprowadzenie Plug and Play dla kart inteligentnych
Niniejsza część, zawierająca ocenę produktu, napisana dla specjalistów IT opisuje zmiany w sposobie wdrażanie kart inteligentnych w systemie Windows 7 oraz Windows Server 2008 R2.
Nowe opcje obsługi kart inteligentnych
System Windows 7 zawiera ulepszone możliwości obsługi Plug and Play oraz standardu PIV (Personal Identity Verification) instytutu NIST (National Institute of Standards and Technology) związanych z kartami inteligentnymi.
Oznacza to, że użytkownicy systemu Windows 7 mogą korzystać z kart inteligentnych od dostawców, którzy opublikowali swoje sterowniki za pośrednictwem Windows Update bez potrzeby użycia specjalnego oprogramowania pośredniczącego. Sterowniki te są pobierane w taki sam sposób, jak sterowniki dla innych urządzeń w systemie Windows. Jeśli w usłudze Windows Update niedostępny jest odpowiedni sterownik, dla kart inteligentnych wykorzystuje się ministerownik zgodny z PIV zawarty w systemie Windows 7.
System Windows pobierze odpowiedni ministerownik dla karty inteligentnej w czasie uruchamiania, w następujących przypadkach:
- Odblokowywanie woluminów zaszyfrowanych funkcją BitLocker
- Logowanie karty inteligentnej do domeny
- Podpisywanie dokumentów i wiadomości e-mail
- Użycie certyfikatów z aplikacjami LOB
Więcej informacji znajduje się w części Co nowego w kwestii kart inteligentnych (j. ang.)
Do początku strony
Wprowadzenie ograniczenia uwierzytelniania NTLM
Niniejsza część, zawierająca ocenę produktu, napisana dla specjalistów IT opisuje nowe zasady zabezpieczeń w systemie Windows 7 oraz Windows Server 2008 R2, aby pomóc przeanalizować i ograniczyć użycie uwierzytelniania NTLM w środowisku IT. Funkcja ta wymaga gromadzenia danych, analizy przesyłu NTLM oraz procesu metodologicznego, z pomocą którego ograniczymy przesył, tak aby użyte zostały silniejsze protokoły uwierzytelniające, takie jak Kerberos.
Zasoby wspomagające ograniczenie użycia uwierzytelniania NTLM
Wraz z pojawieniem się bezpieczniejszych protokołów uwierzytelniania, wzrosła potrzeba kontroli protokołu NTLM w środowisku IT. Redukcja użycia protokołu NTLM wymaga zarówno znajomości wymogów wdrożonych aplikacji wobec NTLM, jak również strategii i etapów niezbędnych do przeprowadzenia konfiguracji infrastruktur do korzystania z innych protokołów. Nowe zasady i procesy zabezpieczeń w systemie Windows 7 oraz Windows Server 2008 R2 pozwalają analizować przesył uwierzytelniania i wybiórczo blokować go na poziomie klienta, serwera, lub domeny.
Więcej informacji na temat użycia silnych protokołów uwierzytelniania w środowisku systemu Windows znajduje się w części Uwierzytelnianie w systemie Windows (j.ang.).
Więcej informacji na temat protokołu NTLM znajduje się w części Uwierzytelnianie NTLM (j.ang.).
Inspekcja użycia protokołu NTLM
Pierwszym etapem ograniczenia protokołu NTLM jest wskazanie komputerów i aplikacji w organizacji korzystających podczas uwierzytelniania z protokołu NTLM. Informację tę można uzyskać włączając na komputerach, na których uruchomiony jest system Windows 7, zasady zabezpieczeń dotyczące inspekcji. Przeglądając dzienniki zdarzeń można określić, które aplikacje mogą zostać skonfigurowane do udanego używania silniejszych protokołów uwierzytelniania oraz wskazać komputery i domeny, które mogą funkcjonować bez protokołu NTLM.
Więcej informacji na temat poznania i analizy uwierzytelniania NTLM, w celu przygotowania modelu silniejszego procesu uwierzytelniania znajduje się w części Instrukcja krok po kroku dotycząca poznania i inspekcji protokołu NTLM (j.ang.)
Ograniczenie użycia protokołu NTLM
Nowe ustawienia zasad grupy w systemie Windows 7 oraz Windows Server 2008 R2 pozwalają ograniczyć użycie protokołu NTLM na komputerach klienckich, serwerach oraz kontrolerach domen. Zasady te można skonfigurować na komputerach, na których uruchomiony jest system Windows 7 oraz Windows Server 2008 R2, co może wpłynąć na użycie protokołu NTLM na komputerach, na których uruchomione są wcześniejsze wersje systemu Windows.
Więcej informacji na temat ograniczenia uwierzytelniania NTLM, jako części modelu silniejszego procesu uwierzytelniania znajdują się w części Instrukcje krok po kroku dotyczące uwierzytelniania NTLM (j.ang.).
Do początku strony
Wprowadzenie usługi biometrycznej systemu Windows
Niniejsza część zawierająca ocenę produktu dla specjalistów IT podsumowuje nową wersję usługi biometrycznej systemu Windows dla systemów Windows 7 oraz Windows Server 2008 R2.
Usługa biometryczna systemu Windows
W celu zwiększenia wygody system Windows 7 umożliwia administratorom i użytkownikom wykorzystanie urządzeń biometrycznych rozpoznających linie papilarne w procesie logowania do komputerów, nadawanie wyższych uprawnień poprzez kontrolę konta użytkownika (UAC) oraz podstawowe zarządzanie urządzeniami rozpoznającymi linie papilarne. Administratorzy mogą zarządzać takimi urządzeniami w ustawieniach zasad grupy, umożliwiając, ograniczając, lub blokując ich użycie.
Funkcje usługi biometrycznej systemu Windows
System Windows 7 zawiera Strukturę biometryczną systemu Windows, która wystawia czytniki linii papilarnych oraz inne urządzenia biometryczne na działanie aplikacji wyższego poziomu w ujednolicony sposób. Oferuje również stałe możliwości użytkownika związane z poznawaniem i wprowadzaniem aplikacji rozpoznawania linii papilarnych. Możliwe jest to dzięki obecności następujących elementów:
- Panel sterowania Urządzenia biometryczne, który umożliwia użytkownikom kontrolę nad dostępnością urządzeń biometrycznych oraz wskazanie, czy mogą one zostać użyte do procesu logowania do lokalnego komputera, lub domeny.
- Wsparcie Menadżera urządzeń w zarządzaniu sterownikami dla urządzeń biometrycznych.
- Obsługa dostawcy poświadczeń, w celu umożliwienia i skonfigurowania użycia danych biometrycznych do logowania do komputera lokalnego oraz w celu dokonania oceny ochrony konta użytkownika.
- Ustawienia zasad grupy, aby włączać, wyłączać, lub ograniczać użycie danych biometrycznych na lokalnym komputerze, lub domenie. Ustawienia zasad grupy mogą również zapobiegać instalacji oprogramowania sterowników urządzeń biometrycznych, lub wymusić odinstalowanie takiego oprogramowania.
- Oprogramowanie sterowników urządzeń biometrycznych dostępnych w usłudze Windows Update.
Źródła informacji na temat usługi biometrycznej systemu Windows
- Co nowego w biometrii (j.ang.)
- Centrum Windows Hardware Developer Center: Struktura biometryczna systemu Windows (j.ang.)
Do początku strony
Wprowadzenie TLS v1.2
Niniejsza część, zawierająca ocenę produktu, napisana dla specjalistów IT opisuje usprawnienia zabezpieczeń protokołu Transport Layer Security (TLS) w systemie Windows 7 oraz Windows Server 2008 R2.
TLS oraz SChannel
Firma Microsoft wprowadza protokoły SSL (Secure Sockets Layer) oraz TLS przy użyciu pakietu uwierzytelniania SChannel (schannel.dll). W systemach Windows 7 oraz Windows Server 2008 R2, protokół TLS został ulepszony do wersji 1.2, w celu zapewnienia obsługi następujących elementów:
Negocjowanie algorytmu wyznaczania wartości skrótu (Hash negotiation). Klient i serwer mogą negocjować użycie dowolnego algorytmu wyznaczania wartości skrótu, jako funkcji wbudowanej. Domyślna para szyfrów MD5/SHA-1 została zastąpiona szyfrem SHA-256.
Skrót certyfikatu oraz kontrola podpisów. Możliwe jest skonfigurowanie żądającego certyfikatu, aby akceptował określone pary algorytmów wyznaczania wartości skrótu, lub algorytmów podpisu w ścieżce certyfikacji.
Mechanizmy szyfrowania zgodne z Suite B. Dodano dwa mechanizmy szyfrowania, aby użycie protokołu TLS było zgodne z Suite B:
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
Kontrola użycia szyfrowania TLS
Aby kontrolować użycie szyfrowania TLS należy ustawić wymogi mechanizmów szyfrujących dla danego komputera, aby wymusić zgodność z protokołem TLS 1.2. Należy wykonać następujące działania:
- Przy użyciu zasad grupy włącz ustawienie zasady zabezpieczeń Kryptografia systemu: użyj zgodnych algorytmów FIPS dla celów szyfrowania, tworzenia skrótu i podpisywania.
- Otwórz program Internet Explorer. W menu Narzędzia kliknij Opcje internetowe. Kliknij zakładkę Zaawansowane, a następnie zaznacz pole wyboru Użyj szyfrowania TLS 1.2.
Źródła informacji na temat TLS i SChannel
Więcej informacji na temat projektowania aplikacji wykorzystującego nowe mechanizmy szyfrowania dostępne do wdrażania TLS 1.2 znajduje się w części Bezpieczny kanał (j.ang.) w bibliotece MSDN.
Więcej informacji na temat pakietu uwierzytelniania SChannel znajduje się w części Dokumentacja techniczna TLS/SSL (j.ang.).
Do początku strony