TechNet - Experternas arena

Bättre säkerhet i Windows Server 2008 – men inte utan PKI


Om skribenten

Hasain Alshakarti

Hasain Alshakarti, TrueSec, är en av Sveriges främsta IT-säkerhetsexperter med fokus på nätverk och PKI. Han är även medlem i nätverket MEET, Microsoft Extended Experts Team.

Bättre säkerhet i Windows Server 2008 – men inte utan PKI

Windows Server 2008 innehåller många funktioner som du kan konfigurera till bättre säkerhet genom användning av certifikat från en betrodd utgivare i en betrodd PKI (Public Key Infrastructure).

Nedan följer en lista på en del av dessa:

  • Network Access Protection (NAP) kan du använda för att rapportera och kontrollera hälsostatus på servrar och klienter i en miljö. Bland komponenter som kräver PKI finns en Health Registration Authority (HRA) med krav på ett SSL-certifikat.
  • IEEE 802.1X Wired/Wireless Authentication kräver minst att servercertifikat används för att säkerställa nätverkets identitet.
  • Terminal Services Gateway (TS Gateway) och Remote Desktop Protocol (RDP) erbjuder säker åtkomst till applikationer och virtuella skrivbord om du använder RDP-SSL och tilldelar varje TS-server ett eget certifikat.
  • Single Sign-On for Terminal Services är en efterlängtad funktion som kan bli en stor säkerhetsrisk utan signerade RDP-filer med godkända certifikat.
  • Secure Socket Tunneling Protocol (SSTP) och IPSec erbjuder säker åtkomst till det interna nätet, och behöver certifikat för att säkerställa identiteter på servrar och klienter.
  • Med Windows Remote Management (WinRM) kan du enkelt och säkert administrera systemen om ett certifikat har tilldelats tjänsten.
  • Internet Information Services med SSL för såväl HTTP som FTP. För att göra informationen tillgänglig för interna och externa användare finns behov av giltiga certifikat för en optimal säkerhetsnivå.

En annan efterlängtad nyhet är Certificate Services Client, en av funktionerna i Windows Server som gör det möjligt att hantera mjuka certifikat för användare på ett smart och effektivt sätt, speciellt i miljöer där användare förflyttar sig mellan många olika klienter eller virtuella skrivbord.

Dessutom är det inte lika hårda krav som Windows Server 2003 hade på smartkort i samband med Smart Card Logon: du är inte längre begränsad till certifikat från Windows Server-baserade utgivare, eller sådana som är till hundra procent kompatibla med dessa, för att kunna konfigurera och använda Smart Card Logon.

Värd att nämna är satsningen på en lösning för problemen med Cryptographic Service Providers (CSP), i och med att Base Smart Card Cryptograpic Providern gjorts tillgänglig. Dessutom är det öppet för att olika kortleverantörer kan integrera med den, för att dra nytta av såväl grundfunktionalitet som användargränssnitt och support i olika produkter på ett standardmässigt sätt.

Du kan givetvis konfigurera många av de olika funktionerna och protokollen med Self Signed Certificate, även kallade ful-certifikat. Där måste du godkänna varenda en, i alla servrar och klienter i miljön, för att det ska fungera på ett bra sätt. Hållbarheten i en sådan lösning är sällan bättre än att köra utan helt PKI.

Att införa en fungerande PKI var under en lång tid både komplicerat och kostsamt, främst på grund av systemen krävt specialkompetens och en stor mängd manuellt arbete för att utfärda och underhålla certifikat och revokeringslistor.

Windows Server 2003 gjorde det möjligt att ha en fungerande PKI som dessutom var kostnadseffektiv, tack vare automatiseringar, enklare administration och möjlighet till integration med Active Directory och relaterade system.

Windows Server 2008 fortsätter givetvis på samma spår. Den ser till att via Online Certificate Status Protocol (OCSP) – och en rad nya kryptografiska algoritmer – erbjuda ännu mer kompatibilitet med omvärlden, och samtidigt en utökad säkerhetsmodell för enklare administration och delegering.

Det går givetvis att använda externa PKI-tjänster för att tillhandahålla certifikaten för de olika funktionerna. Men tänk på att mängden certifikat som behövs i systemet har ökat ganska drastiskt i Windows Server 2008. Alternativet med ett internt PKI blir därmed mer och mer aktuellt för många miljöer, med tanke på kostnaden och framförallt administration av dessa certifikat.

Kommer vi att minnas Windows Server 2008 som det operativsystem som gjorde PKI till en självklar komponent i våra IT-miljöer?

Hasain Alshakarti, TrueSec
Senior Executive Consultant
http://secadmins.com/


De åsikter och idéer som uttrycks i texten är skribentens egna, och delas inte nödvändigtvis av Microsoft AB eller dess representanter.