Windows Server 2008

Udoskonalenia infrastruktury PKI w systemie Windows 7 i Windows Server 2008 R2 Udostępnij na: Facebook

Autor: John Morello

Opublikowano: 31 lipca 2009

Niniejszy artykuł został oparty na wstępnych, nieopublikowanych jeszcze wersjach produktów. Podane w nim informacje mogą ulec zmianie.

Zawartość strony
 Konsolidacja serwerów   Konsolidacja serwerów
 Ulepszenia istniejących scenariuszy   Ulepszenia istniejących scenariuszy
 Oprogramowanie + usługi   Oprogramowanie + usługi
 Silne uwierzytelnianie   Silne uwierzytelnianie
 Podsumowanie   Podsumowanie
 Materiały dodatkowe   Materiały dodatkowe

Wydaje mi się, jakby to było zaledwie wczoraj, kiedy pisałem swój artykuł zatytułowany „PKI Enhancements in Windows” (Udoskonalenia infrastruktury PKI w systemie Windows). Artykuł ten ukazał się w 2007 roku, w sierpniowym wydaniu czasopisma TechNet Magazine i poświęcony był pewnym innowacjom oferowanym przez system Windows Vista i Windows Server 2008. Innowacje te obejmowały takie rzeczy, jak ulepszenia interfejsu użytkownika używanego w procesie rejestrowania certyfikatów oraz nowe możliwości protokołu OCSP (Online Certificate Status Protocol). Wprawdzie ulepszenia te były wartościowe i zostały dobrze przyjęte przez użytkowników, ale każdy chyba przyzna, że z perspektywy pracowników działu IT były to w rzeczywistości jedynie zmiany inkrementalne. System Windows 7 oferuje natomiast takie ulepszenia infrastruktury PKI, które pozwalają na znaczną poprawę komfortu pracy użytkowników oraz na realizowanie nowych, bardzo złożonych scenariuszy, przy jednoczesnym obniżeniu kosztów eksploatacyjnych.

Ulepszenia wprowadzone w systemie Windows 7 oraz Windows Server 2008 R2 koncentrują się wokół czterech głównych obszarów (pokazanych na rysunku 1):

Konsolidacja serwera. Ulepszenia z tej grupy pozwalają organizacjom na zmniejszenie całkowitej liczby urzędów certyfikacji (CA - certificate authority), potrzebnych do spełnienia istniejących wymagań biznesowych.

Ulepszenie istniejących scenariuszy. Te ulepszenia koncentrują się na takich elementach, jak oferowanie pełniejszej obsługi protokołu SCEP (Simple Certificate Enrollment Protocol - Prosty protokół rejestrowania certyfikatów) oraz dołączenie do systemu programu Best Practices Analyzer (BPA).

Oprogramowanie + usługi. Te ulepszenia mają na celu umożliwienie niezależnego rejestrowania certyfikatów użytkowników i urządzeń, niezależnie od granic sieci oraz używanych dostawców certyfikatów.

Silne uwierzytelnianie. Ten obszar koncentruje się na ulepszeniach poprawiających komfort korzystania z kart inteligentnych, wprowadzeniu biometrycznej platformy Windows Biometric Framework, itp.

Rysunek 1: Główne obszary ulepszeń infrastruktury PKI.

W tym artykule zamierzam przedstawić kilka głównych zmian wprowadzonych w tych obszarach, patrząc na nie z perspektywy pracowników działów IT.

Konsolidacja serwerów

W ciągu ostatnich kilku lat konsolidacja serwerów stała się jednym z dominujących tematów w branży IT. Ujmując rzecz najprościej, polega ona na zmniejszeniu rozmiarów używanego środowiska komputerowego, w taki jednak sposób, by nadal umożliwiało ono, być może nawet z nawiązką, realizowanie istniejących celów biznesowych. W obecnej erze globalnej ekonomii oszczędności kosztów stały się najważniejszym priorytetem dla wielu grup IT, a konsolidacja serwerów z pewnością może być jednym ze składników ogólnej strategii oszczędzania. Wprawdzie większość organizacji nie posiada dużej liczby urzędów certyfikacji, ale wiele firm używa większej liczby takich urzędów niż wynikałoby to wyłącznie z wymaganej przepustowości w wystawianiu nowych certyfikatów. Inaczej mówiąc, wiele firm posiada urzędy certyfikacji, które przeważnie nie są w pełni wykorzystane i ich możliwości zwyczajnie się marnują.

Istnieją dwie główne przyczyny takiego niepełnego wykorzystywania możliwości istniejących urzędów certyfikacji. Po pierwsze, niektóre organizacje mogą wymagać stosowania osobnych urzędów certyfikacji z przyczyn prawnych lub z powodu obranej polityki bezpieczeństwa. Część klientów decyduje się np. na wystawianie certyfikatów swoim zewnętrznym partnerom za pomocą urzędu certyfikacji, który jest całkowicie odseparowany od urzędów wystawiających certyfikaty dla użytkowników i komputerów wewnętrznych. W takich przypadkach wirtualizacja urzędu certyfikacji za pomocą technologii Hyper-V pozwala wyeliminować konieczność posiadania osobnego komputera dla tego urzędu (choć sam urząd certyfikacji nadal wymaga osobnego zarządzania pomimo tego, że działał jako maszyna wirtualna).

Drugą powszechnie spotykaną przyczyną jest fakt, że automatyczne rejestrowanie certyfikatów obsługiwane jest tylko dla scenariuszy ograniczających się do wewnętrznego lasu domen. W szczególności, urząd certyfikacji może automatycznie rejestrować certyfikaty tylko dla tych podmiotów, które są częścią tego samego lasu domen, do którego należy dany urząd certyfikacji. Nawet w przypadku, gdy na poziomie lasów domen istnieje dwukierunkowa relacja zaufania, korzystanie z funkcji automatycznego rejestrowania certyfikatów wymaga użycia osobnych urzędów certyfikacji.

Jedną z nowych funkcjonalności systemu Windows Server 2008 R2 o kluczowym znaczeniu jest możliwość przeprowadzania automatycznego rejestrowania certyfikatów poprzez istniejące pomiędzy lasami domen dwukierunkowe relacje zaufania, co stwarza potencjalną możliwość drastycznego zmniejszenia całkowitej liczby potrzebnych w przedsiębiorstwie urzędów certyfikacji. Rozważmy sieć typowego przedsiębiorstwa, które przeprowadziło już pewne działania konsolidujące i obecnie posiada jedynie cztery lasy domen: produkcyjny, dla programistów, testowy i brzegowy. W wersjach wcześniejszych niż R2, jeśli chcieliśmy mieć możliwość automatycznego rejestrowania certyfikatów we wszystkich lasach domen, konieczne było posiadanie przynajmniej czterech urzędów wystawiających certyfikaty, nawet jeśli wszystkie lasy domen ufały sobie nawzajem. W wersji R2 całkowitą liczbę wszystkich potrzebnych w tym scenariuszu urzędów certyfikacji można zredukować do jednego urzędu znajdującego się w jednym z czterech lasów domen i wystawiającego certyfikaty również dla pozostałych lasów domen.

W środowiskach o bardziej złożonej architekturze i większej liczbie lasów domen redukcja całkowitej liczby potrzebnych urzędów certyfikacji może być nawet jeszcze bardziej spektakularna i może zapewniać natychmiastowy zwrot kosztów związanych z przejściem na wersję R2.

Możliwość automatycznego rejestrowania certyfikatów pomiędzy różnymi lasami domen ułatwia rozszerzanie istniejącej infrastruktury PKI, które ma miejsce np. podczas łączenia firm lub przejmowania jednej firmy przez drugą, ponieważ certyfikaty potrzebne dla nowych oddziałów firmy mogą być wystawiane natychmiast po ustanowieniu relacji zaufania pomiędzy odpowiednimi lasami domen. A ponieważ wdrożenie automatycznego rejestrowania certyfikatów pomiędzy różnymi lasami domen polega wyłącznie na wykonaniu zmian w konfiguracji serwera, proces automatycznego rejestrowania certyfikatów można rozpocząć bez wykonywania żadnych zmian na komputerach klienckich i będzie on działać także ze starszymi wersjami systemu operacyjnego, takimi jak np. Windows XP.

A więc w jaki sposób działa funkcja automatycznego rejestrowania certyfikatów pomiędzy różnymi lasami domen? Dla użytkowników końcowych funkcjonalność ta pozostaje całkowicie niezauważalna. Podobnie jak w każdym innym scenariuszu z automatycznym rejestrowaniem certyfikatów, użytkownik po prostu otrzymuje potrzebny mu certyfikat bez zbędnej interakcji ze swojej strony. Użytkownicy końcowi najprawdopodobniej nigdy się nie dowiedzą, z którego lasu domen pochodzi urząd certyfikacji, a otrzymanie certyfikatu nie wymaga podejmowania żadnych specjalnych działań z ich strony.

Dla pracowników działu IT podstawowe elementy składowe infrastruktury PKI są przeważnie takie same, jak w przypadku zwykłego scenariusza z automatycznym rejestrowaniem certyfikatów w obrębie tego samego lasu domen. Zasadnicza różnica polega jednak na tym, że obecnie urząd certyfikacji może przetwarzać żądania otrzymywane z zewnętrznych lasów domen i pobierać potrzebne metadane dotyczące tych żądań z zaufanych kartotek Active Directory.

Możliwość odbierania i poprawnego przetwarzania żądań pochodzących z zaufanego lasu domen jest jedną z kluczowych, nowych funkcjonalności wprowadzonych do wersji R2, umożliwiających działanie tego scenariusza. Oprócz konieczności posiadania urzędu certyfikacji z wersji R2 oraz dwukierunkowej relacji zaufania pomiędzy lasami domen koniecznie jest jeszcze replikowanie szablonów certyfikatów pomiędzy lasem domen, w którym znajduje się urząd certyfikacji, a pozostałymi lasami domen. Firma Microsoft oferuje skrypty programu Windows PowerShell automatyzujące proces tej replikacji, który należy powtarzać po każdej zmianie szablonu. W wielu przypadkach dobrym pomysłem jest automatyczne uruchamianie tego skryptu jako zaplanowanego zadania.

Istnieją także dwie inne, mniejsze funkcjonalności, które również są pomocne w konsolidacji serwerów. Jedna z nich polega na tym, że obecnie urząd certyfikacji obsługuje również żądania nietrwałe - są to żądania wystawienia certyfikatu, które nie są zapisywane w bazie danych urzędu certyfikacji. Rozważmy np. Urzędy rejestrowania kondycji ochrony dostępu do sieci (Network Access Protection Health Registration Authorities). Tego rodzaju urzędy certyfikacji mogą wystawiać codziennie po kilka tysięcy certyfikatów, które są ważne tylko przez kilka godzin. Przechowywanie wszystkich tych żądań w bazie danych urzędu certyfikacji ma znikomą wartość, za to znacznie zwiększa wymagania w zakresie potrzebnej ilości miejsca na dysku. W wersji R2 urząd certyfikacji można skonfigurować w taki sposób, by tego rodzaju żądania nie były zapisywane w bazie danych, a konfigurację tę można przeprowadzić albo na poziomie urzędu certyfikacji, albo na poziomie szablonu certyfikatu (patrz rysunek 2).

Rysunek 2: Opcje pozwalające na niezapisywanie certyfikatów w bazie danych.

Inną funkcjonalnością zaprojektowaną z myślą o ułatwianiu konsolidacji serwerów jest obsługa wersji Server Core. W wersji R2 rolę urzędu certyfikacji można instalować na komputerze z wersją systemu Server Core, ale w wersji tej nie są dostępne żadne inne role usług katalogowych dla usługi Active Directory (Active Directory Certificate Services). Po zainstalowaniu urzędu certyfikacji na serwerze w wersji Server Core, urzędem tym można zarządzać albo za pomocą programów narzędziowych działających z poziomu wiersza poleceń, takich jak certutil, albo za pomocą standardowej konsoli zarządzającej MMC, uruchamianej na zdalnym systemie. Należy pamiętać, że w przypadku korzystania ze sprzętowych modułów zabezpieczeń (HSM - Hardware Security Module) konieczne jest sprawdzenie, czy producent tych modułów oferuje dla nich odpowiednie wersje składników integrujących, przeznaczone dla systemu w wersji Server Core.

 Do początku strony Do początku strony

Ulepszenia istniejących scenariuszy

System Windows 7 oraz Windows Server 2008 R2 zawierają także liczne ulepszenia istniejących już funkcjonalności. Pierwszym z takich ulepszeń jest zmiana atrybutu SKU, pozwalająca na rozróżnianie szablonów certyfikatów. We wcześniejszych wersjach usług certyfikacji dla usługi Active Directory (AD CS), zaawansowane szablony certyfikatów (szablony w wersji 2 i 3) włączające funkcję automatycznego rejestrowania certyfikatów wymagały posiadania urzędu certyfikacji w edycji dla przedsiębiorstw (Enterprise CA). W systemie Windows Server 2008 R2, standardowe urzędy certyfikacji obsługują wszystkie wersje szablonów. Wersja R2 oferuje także pewne ulepszenia w zakresie obsługi protokołu SCEP (Simple Certificate Enrollment Protocol - Prosty protokół automatycznego rejestrowania certyfikatów). Składnik SCEP z wersji R2 obsługuje żądania odnowienia certyfikatów urządzeń oraz możliwość ponownego wykorzystywania tego samego hasła.

Nowym elementem usług certyfikacji dla usługi Active Directory, który został wprowadzony w wersji R2, jest program Best Practices Analyzer - BPA (patrz rysunek 3). Program BPA został stworzony jako narzędzie pozwalające administratorom na łatwe sprawdzanie konfiguracji swoich serwerów pod kątem ich zgodności z zalecanymi konfiguracjami i wskazówkami praktycznymi, zapisanymi w specjalnej bazie danych, utworzonej i utrzymywanej przez firmę Microsoft. Dane pochodzące z działów obsługi klienta wskazują, że w większości przypadków problemy klientów związane z funkcjonowaniem usług certyfikatów dla usługi Active Directory spowodowane były przez niewłaściwą konfigurację, a więc program BPA powinien poprawić poziom satysfakcji klientów, ułatwiając im weryfikacje poprawnego skonfigurowania urzędu certyfikacji. Analizator ten bada możliwość wystąpienia problemów związanych np. z brakiem wskaźników AIA (Authority Information Access) lub OCSP, istnieniem certyfikatów o zbliżającym się terminie ważności lub problemów związanych z przechodnimi relacjami zaufania.

Rysunek 3: Uruchamianie nowego analizatora Best Practices Analyzer.

W obecnych wersjach systemu Windows wybranie właściwego certyfikatu służącego do uwierzytelniania klienta może być trudne dla użytkowników końcowych. Jeśli istnieje kilka certyfikatów, które mogą być używane dla potrzeb uwierzytelniania, system Windows nie ułatwia użytkownikom określenia, który z nich będzie odpowiedni dla danego zastosowania. Prowadzi to do większej liczby zgłoszeń napływających do działów pomocy technicznej i zwiększa koszty obsługi klienta. W systemie Windows 7, interfejs służący do wyboru certyfikatu został znacznie ulepszony, bardzo ułatwiając wybór certyfikatu, który będzie odpowiedni dla danej sytuacji. Zmieniona została także kolejność wyświetlania poszczególnych certyfikatów, wspomagając użytkownika w podejmowaniu lepszych decyzji poprzez prezentowanie najbardziej prawdopodobnego certyfikatu dla danej sytuacji jako opcji domyślnej. Ponadto obecnie interfejs użytkownika służący do wyboru certyfikatu rozróżnia certyfikaty zapisane na kartach inteligentnych od certyfikatów przechowywanych w systemie plików, prezentując te pierwsze na początku listy, ponieważ prawdopodobieństwo ich użycia jest większe. Różnice te zostały pokazane na rysunku 4. Należy zaznaczyć, że ulepszone filtrowanie dostępnych certyfikatów zostało wprowadzone do przeglądarki Internet Explorer 8 i jest ono dostępne także we wcześniejszych wersjach systemów operacyjnych (jednak bez zmian w interfejsie użytkownika).

Rysunek 4: Ulepszony sposób prezentowania certyfikatów.

 Do początku strony Do początku strony

Oprogramowanie + usługi

W trakcie projektowania systemu Windows 7, zespół zajmujący się tym produktem przeprowadził spotkanie z wieloma użytkownikami największych implementacji infrastruktury PKI, aby poznać ich opinie i sugestie na temat tego, na co należy zwrócić szczególną uwagę w nowej wersji systemu. Przeważająca liczba użytkowników wskazywała na zbyt trudne zarządzanie certyfikatami przekraczającymi granice organizacyjne, co ma np. miejsce w przypadku dwóch różnych firm, będących dla siebie partnerami biznesowymi. Wielu użytkowników mówiło także, że ponieważ efektywne zarządzanie infrastrukturą PKI wymaga specjalnej wiedzy i umiejętności, więc ich zdaniem infrastruktura PKI jest idealnym celem dla ewentualnego outsourcingu. Systemy Windows 7 i Windows Server 2008 R2 oferują nową technologię, która powinna spełnić oba te oczekiwania, ułatwiając dostarczanie certyfikatów poprzez granice organizacyjne i otwierając nowe możliwości biznesowe przed posiadanymi rozwiązaniami PKI. Technologią tą jest rejestrowanie certyfikatów za pomocą protokołu HTTP.

Funkcjonalność rejestrowania certyfikatów za pomocą protokołu HTTP stanowi zamiennik dla tradycyjnego protokołu opartego na wywołaniach RCP i obiektach DCOM, używanego w poprzednich wersjach systemu do automatycznego rejestrowania certyfikatów (należy zaznaczyć, że podejście oparte na wywołaniach RPC jest nadal dostępne w systemie Windows Server 2008 R2). Funkcjonalność rejestrowania certyfikatów za pomocą protokołu HTTP to jednak coś więcej niż tylko protokół automatycznego rejestrowania certyfikatów - jest to naprawdę całkowicie nowe podejście do sposobu oferowania certyfikatów dla podmiotów końcowych, oferujące bardzo elastyczne możliwości uwierzytelniania, niezależnie od tego, gdzie znajdują się te podmioty i czy są nimi komputery zarządzalne. Ten nowy model rejestrowania eliminuje wiele barier występujących zwykle w scenariuszach automatycznego rejestrowania certyfikatów poprzez granice administracyjne i oferuje platformę pozwalającą niezależnym producentom oprogramowania na łatwe wprowadzanie do swoich produktów funkcjonalności automatycznego rejestrowania certyfikatów, bez konieczności instalowania dodatkowego oprogramowania na komputerach klienckich.

Funkcjonalność rejestrowania certyfikatów za pomocą protokołu HTTP implementowana jest za pomocą dwóch nowych protokołów, opartych na protokole HTTP. Pierwszy z nich nosi nazwę Certificate Enrollment Policy Protocol (Protokół zasad rejestrowania certyfikatów) i udostępnia użytkownikom szablony certyfikatów za pomocą sesji protokołu HTTPS. Podmioty końcowe mogą pochodzić z komputerów znajdujących się w osobnych lasach domen, z którymi nie ma żadnych relacji zaufania, a nawet z komputerów nienależących do żadnej domeny. Uwierzytelnianie podmiotów może być realizowane za pomocą protokołu Kerberos, nazwy i hasła użytkownika lub certyfikatów. Protokół Enrollment Policy Protocol umożliwia użytkownikom sprawdzanie, czy na serwerze dostępne są nowe szablony i generowanie żądań wystawienia certyfikatu, opartych na tych nowych lub zmodyfikowanych szablonach.

Protokół Certificate Enrollment Service Protocol (Protokół usług rejestrowania certyfikatów) stanowi rozszerzenie protokołu WS-Trust. Protokół ten jest używany do uzyskiwania certyfikatu po uprzednim określeniu informacji określonych w szablonie certyfikatu. Obsługują one różne elastyczne metody uwierzytelniania i wykorzystuje protokół HTTPS jako protokół transportowy.

Sposób działania nowego modelu rejestrowania certyfikatów ilustruje przykład pokazany na rysunku 5.

Rysunek 5: Nowy model rejestrowania certyfikatów.

  • Krok 1. Szablony certyfikatów zapisane w kartotece Active Directory zostają opublikowane na serwerze z działającą usługą Certificate Enrollment Policy Web Service (jest to nowa rola usługi, dostępna w wersji R2). Publikując te szablony administrator korzysta z tej samej konsoli zarządzającej MMC oraz z innych narzędzi, które są mu już dobrze znane.
  • Krok 2. Klient odpytuje usługę za pomocą protokołu HTTPS, sprawdzając listę dostępnych szablonów. Adres URL tej usługi webowej przekazywany jest klientowi za pomocą zasad grupy, skryptu lub ręcznej konfiguracji. Klientem może być system podłączony do domeny, system znajdujący się u partnera biznesowego lub domowy komputer użytkownika.
  • Krok 3. Klient rozpoznaje certyfikat, którego chciałby użyć do zarejestrowania certyfikatu i przeprowadza faktyczny proces rejestracji przesyłając odpowiednie żądanie do usługi Certificate Enrollment Web Service.
  • Krok 4. Serwer, na którym działa usługa Certificate Enrollment Web Service, przesyła żądanie do urzędu certyfikacji w celu jego przetworzenia.
  • Krok 5. Urząd certyfikacji pobiera z kartoteki Active Directory informacje o podmiocie zgłaszającym żądanie (takie jak jego adres e-mail lub nazwa DNS), które zostaną umieszczone w wystawianym certyfikacie.
  • Krok 6. Urząd certyfikacji zwraca gotowy certyfikat do usługi Certificate Enrollment Web Service.
  • Krok 7. Usługa Certificate Enrollment Web Service kończy transakcję przeprowadzaną z klientem za pomocą protokołu HTTPS i przesyła mu podpisany certyfikat.

Elastyczność była jednym z podstawowych założeń branych pod uwagę przy tworzeniu tej nowej usługi i warto podkreślić, w jaki sposób budowa tej usługi pozwala na jej adaptowanie do różnorodnych scenariuszy. Ponieważ proces rejestrowania certyfikatów przeprowadzany jest za pomocą protokołu HTTPS, klienci mogą z łatwością przeprowadzać proces automatycznego rejestrowania certyfikatu z dowolnego miejsca, w tym także z miejsc położonych poza firmową zaporą ogniową lub przy użyciu domowego połączenia internetowego, bez konieczności korzystania z tuneli VPN. Dzięki obsłudze trzech różnych metod uwierzytelniania klienci mogą być podłączeni do jednej z wewnętrznych domen przedsiębiorstwa, do niezaufanych domen z organizacji zewnętrznych lub w ogóle mogą być niepodłączeni do żadnej domeny. Ponadto, ponieważ składniki znajdujące się po stronie serwera zostały zaimplementowane jako usługi webowe, mogą one być instalowane na innym komputerze niż urząd certyfikacji, obsługując także środowiska z podziałem na różne segmenty sieciowe.

Oprócz klasycznego scenariusza z automatycznym rejestrowaniem certyfikatów oraz podmiotami, takimi jak użytkownicy i komputery biurkowe, funkcjonalność rejestrowania certyfikatów za pomocą protokołu HTTP stwarza także możliwości dostarczania certyfikatów z zaufanych, głównych urzędów certyfikacji. W scenariuszach obejmujących wystawianie użytkownikom certyfikatów typu S/MIME lub wystawianie certyfikatów dla publicznie dostępnych serwerów webowych lub dla innych systemów, w których ważne jest niejawne zaufanie do wystawianych certyfikatów, można również odnosić korzyści z bardziej samodzielnego procesu rejestrowania certyfikatów. Np. wiele organizacji posiadających dużą liczbę serwerów webowych zarządza ręcznie certyfikatami tych serwerów, utrzymując np. arkusz programu Microsoft Office Excel z zapisaną listą nazw poszczególnych serwerów oraz datami ważności ich certyfikatów. Dzięki funkcjonalności rejestrowania certyfikatów za pomocą protokołu HTTP, zaufane główne urzędy certyfikacji mogą oferować usługę automatycznego dostarczania certyfikatów bezpośrednio na wszystkie posiadane serwery webowe, zwalniając administratorów z obowiązku ręcznego administrowania tymi certyfikatami. Odpowiednie połączenie oprogramowania i usług umożliwia organizacjom wybranie takiego modelu wdrożenia, który będzie najlepiej spełniać ich wymagania, bez potrzeby przejmowania się granicami sieci lub granicami organizacyjnymi.

 Do początku strony Do początku strony

Silne uwierzytelnianie

System Windows 7 jest pierwszym systemem, który oferuje wbudowaną obsługę urządzeń biometrycznych za pomocą modelu WBF (Windows Biometric Framework). Model WBF, który początkowo koncentrował się na uwierzytelnianiu za pomocą odcisków palców w scenariuszach przeznaczonych dla zwykłych użytkowników, miał za zadanie ułatwić użytkownikom korzystanie z rozwiązań biometrycznych i podnieść poziom integracji tych rozwiązań. Ujednolicony model sterownika zapewnia jednakowe działanie z punktu widzenia użytkownika na różnych urządzeniach i oferuje takie funkcje, jak logowanie się do systemu Windows (zarówno lokalnie, jak i w domenie), kontrola konta użytkownika (UAC - User Account Control) oraz samodzielne wykrywanie urządzeń. Przedsiębiorstwa, które nie chcą korzystać z rozwiązań biometrycznych, mogą wyłączyć model WPA za pomocą odpowiednio skonfigurowanych zasad grupy. Możliwe jest także zezwolenie na używanie rozwiązań biometrycznych w różnych aplikacjach, ale nie do logowania się w systemie. Ponadto rozszerzone zarządzanie urządzeniami pozwala nie tylko zapobiegać instalacji sterownika urządzenia, ale także uniemożliwiać jego używanie.

Oprócz ulepszeń w zakresie rozwiązań biometrycznych, system Windows 7 poprawia także komfort korzystania z kart inteligentnych zarówno dla zwykłych użytkowników, jak i dla administratorów. Karty inteligentne są obecnie traktowane jako urządzenia typu Plug and Play, ze sterownikami instalowanymi za pomocą usługi Windows Update. Proces wykrywania i instalowania kart inteligentnych przez podsystem Plug and Play odbywa się jeszcze przed zalogowaniem do systemu, co oznacza, że użytkownicy, którzy muszą się logować przy użyciu kart inteligentnych, będą to mogli robić, nawet jeśli na danym komputerze takie karty nie były używane nigdy wcześniej. Ponadto proces instalacji nie wymaga posiadania uprawnień administracyjnych, dzięki czemu może on być przeprowadzany nawet w środowiskach stosujących zasadę minimalnego poziomu uprawnień.

Mini-sterownik dla kasy kart inteligentnych obsługuje obecnie standard NIST SP 800-73-1, dzięki czemu pracownicy agencji federalnych mogą używać do logowania się w systemie swoich kart PIV (Personal Identity Verification - Osobista weryfikacja tożsamości), bez potrzeby instalowania na komputerach dodatkowego oprogramowania pośredniczącego.

W systemie Windows 7 wprowadzono również możliwość odblokowywania kart inteligentnych w oparciu o dane biometryczne oraz nowe interfejsy API, umożliwiające bezpieczne wstawianie kluczy. System Windows 7 obsługuje także certyfikaty kart inteligentnych typu ECC (Elliptic Curve Cryptography) zarówno na etapie rejestrowania certyfikatów ECC, jak i na etapie wykorzystywania tych certyfikatów podczas logowania.

 Do początku strony Do początku strony

Podsumowanie

Systemy Windows 7 i Windows Server 2008 R2 oferują jedne z najważniejszych, nowych technologii PKI, od czasu wprowadzenia automatycznych żądań certyfikatów w systemie Windows 2000. Ta nowa funkcjonalność ułatwia tworzenie infrastruktury PKI, pozwala zarządzać nią w bardziej efektywny sposób oraz zapewnia użytkownikom końcowym większy komfort korzystania z systemu.

Systemy Windows 7 i Windows Server 2008 R2 posiadają potężne, nowe możliwości, które pozwalają na bardziej efektywne utrzymywanie infrastruktury PKI, jednocześnie ulepszając w poważnym stopniu funkcję automatycznego rejestrowania certyfikatów. Możliwość rejestrowania certyfikatów pomiędzy różnymi lasami domen pozwala drastycznie obniżyć całkowitą liczbę wymaganych w danej organizacji urzędów certyfikacji i ułatwia zarządzanie działaniem infrastruktury PKI podczas łączenia firm lub przejmowania jednej firmy przez drugą. Nowy program Best Practices Analyzer ułatwia administratorom sprawdzanie typowych problemów konfiguracyjnych, zanim dojdzie do zatrzymania pracy systemu. Nowe możliwości, takie jak obsługa wersji Server Core lub nietrwałe żądania certyfikatów, pozwalają na łatwiejsze przystosowanie urzędu certyfikacji do potrzeb konkretnych organizacji. Funkcja rejestrowania certyfikatów za pomocą protokołu HTTP otwiera nowe możliwości automatycznego dostarczania certyfikatów, również poza granice sieci lub granice organizacyjne.

Użytkownicy końcowi odniosą również korzyści z nowych funkcji PKI systemu Windows 7, które ułatwiają wykorzystywanie certyfikatów w codziennej pracy. Ulepszony interfejs wyboru certyfikatu ułatwia użytkownikom wybranie właściwego certyfikatu dla danego zastosowania i szybsze, pomyślne uwierzytelnienie się w systemie. Ulepszenia związane z kartami inteligentnymi, takie jak instalacja sterowników w oparciu o technologię Plug and Play lub natywna obsługa różnych standardów kart inteligentnych, oznacza szybszą możliwość korzystania z tych kart w systemach użytkowników. Ponadto natywna obsługa rozwiązań biometrycznych zapewnia bardziej jednolity i bezproblemowy interfejs zarówno dla zwykłych użytkowników, jak i dla administratorów.

Osoby, które jeszcze tego nie zrobiły, zachęcam do wypróbowania wersji RC tych systemów i przekazywanie swoich spostrzeżeń za pomocą narzędzia Feedback Tool lub bezpośrednio na naszym blogu blogs.technet.com/pki.

 Do początku strony Do początku strony

Materiały dodatkowe

O autorze

John Morello pracuje w firmie Microsoft od roku 2000. Przez pięć lat pracował w dziale Microsoft Consulting Services, w którym projektował rozwiązania zabezpieczeń dla firm z listy Fortune 500 oraz agencji rządowych i wojskowych z całego świata. Aktualnie zajmuje stanowisko głównego kierownika projektu Principal Lead Program Manager w grupie Windows Server Group. John jest autorem licznych artykułów pisanych dla magazynu TechNet Magazine, współautorem kilku książek wydanych przez wydawnictwo Microsoft Press i regularnie występuje jako prelegent na takich konferencjach, jak TechEd i IT Forum. Prowadzony przez niego blog dostępny jest pod adresem blogs.technet.com/WinCAT.

 Do początku strony Do początku strony

Windows Server 2008