Чтобы автоматизировать публикацию списков отзыва сертификатов,
выполните следующие действия.
1. |
Войдите на сервер выдающего центра сертификации, используя
учетную запись из группы локальных администраторов. |
2. |
Убедитесь в том, что с этого сервера доступна папка
веб-сервера. |
3. |
Если веб-сервер является удаленным, выдающему центру сертификации
потребуются права на запись данных в папку файловой системы (доступ
с правом Modify) и в общее хранилище (доступ с правом Change). Если
удаленный веб-сервер является членом леса, для предоставления
доступа следует использовать группу Cert Publishers домена; это
гарантирует, что любой центр сертификации предприятия сможет
публиковать сертификаты и списки отзыва сертификатов. |
4. |
Создайте для копирования списков отзыва сертификатов
запланированное задание, выполнив следующую команду:
Примечание. Следующий фрагмент кода
разбит на строки исключительно ради удобства чтения. Его нужно
ввести как одну строку. schtasks /creat /tn “Publish CRLs” /tr “cscript.exe //job:PublishIssCRLsToIIS C:\
MSSScripts\CA_Operations.wsf” /sc Hourly /ru “System” |
Удаление ненужных шаблонов выдающего центра сертификации
Как правило, следует удалять шаблоны, соответствующие всем типам
сертификатов, которые не будут использоваться, чтобы их нельзя было выдать
случайно. Эти шаблоны всегда имеются в каталоге, и в случае надобности их
можно легко создать заново.
Чтобы удалить ненужные сертификаты в выдающем центре сертификации,
выполните следующие действия.
1. |
Войдите в систему как член группы CA Admins домена. |
2. |
Выберите в консоли управления центром сертификации контейнер
шаблонов сертификатов. |
3. |
Удалите шаблоны следующих типов:
• |
Агент восстановления EFS |
• |
Базовое шифрование EFS |
• |
Веб-сервер |
• |
Компьютер |
• |
Пользователь |
• |
Подчиненный центр сертификации |
• |
Администратор | |
Проверка подлинности в Интернете
В этом разделе приводятся сведения о внедрении инфраструктуры RADIUS,
обеспечивающей поддержку защищенного решения для беспроводных сетей,
которое описывается в данном руководстве. Инфраструктура RADIUS,
реализация которой описана в данном руководстве, основана на серверах
проверки подлинности в Интернете ОС Windows Server 2003.
Проектирование инфраструктуры RADIUS
Приведенные ниже таблицы можно использовать для накопления необходимых
данных, к которым мы будем обращаться в этом руководстве. Некоторые из
этих данных задаются с использованием сценариев, прилагаемых к данному
руководству, а другие устанавливаются вручную. Как это сделать, описано в
соответствующих разделах.
Конфигурационные данные, задаваемые пользователем
В следующей таблице указаны необходимые параметры, специфические для
каждой организации. Перед продолжением убедитесь в том, что эта информация
собрана, проверена и задокументирована.
Данные конфигурации, определяемые решением
Параметры, указанные в следующей таблице, не следует изменять без
необходимости. Перед их изменением нужно полностью разобраться с
последствиями этого и зависимостями, которые могут в результате
возникнуть, включая необходимость внесения изменений в сценарии.
Таблица 16. Параметры конфигурации, определяемые решением
Полное имя административной группы, которой
принадлежит контроль над конфигурацией службы проверки подлинности в
Интернете |
IAS Admins |
Полное имя группы, члены которой проверяют
журналы запросов и учета службы проверки подлинности в
Интернете |
IAS Security Auditors |
Путь к сценариям установки |
C:\MSSScripts |
Командный файл экспорта конфигурации службы
проверки подлинности в Интернете |
IASExport.bat |
Командный файл импорта конфигурации службы
проверки подлинности в Интернете |
IASImport.bat |
Командный файл экспорта конфигурации клиента
службы проверки подлинности в Интернете RADIUS |
IASClientExport.bat |
Командный файл экспорта конфигурации клиента
службы проверки подлинности в Интернете RADIUS |
IASClientImport.bat |
Путь к файлам резервной копии
конфигурации |
D:\IASConfig |
Путь к журналам запросов проверки подлинности и
аудита службы проверки подлинности в Интернете |
D:\IASLogs |
Общее имя журналов запросов RADIUS |
IASLogs |
Создание серверов службы проверки подлинности в Интернете
Рассматриваемое решение включает два центральных сервера службы
проверки подлинности в Интернете, сконфигурированных как RADIUS-серверы
для управления доступом к беспроводной сети. С учетом этого, прежде чем
двигаться дальше, необходимо выполнить следующие задачи.
• |
Выделить и настроить серверное оборудование. |
• |
Установить серверную ОС и настроить ее в соответствии с принятыми
в организации процедурами. |
• |
Убедиться в наличии и нормальной работе службы Active
Directory. |
• |
Проверить, заданы ли в организации процедуры укрепления защиты
серверов, и установлены ли дополнительные приложения, требуемые
утвержденными политиками. |
Установка сценариев конфигурации
К данному решению прилагаются многочисленные вспомогательные сценарии,
упрощающие его реализацию. Прежде чем продолжить, эти сценарии нужно
установить на каждый сервер. Удалять их не следует даже после выполнения
всех действий, описанных в данном руководстве.
Чтобы установить конфигурационные сценарии, выполните следующие
действия.
1. |
Создайте папку C:\MSSScripts. |
2. |
Скопируйте сценарии в созданную папку. |
Дополнительные требования к программному обеспечению сервера
Кроме серверной операционной системы и всех приложений, использовать
которые требуется в соответствии с утвержденной политикой создания
серверов, на систему нужно установить исполняемый файл CAPICOM 2.1 и
вспомогательные DLL-библиотеки для обеспечения поддержки сценариев,
прилагаемых к данному руководству.
Сведения о библиотеке CAPICOM и инструкции по ее загрузке можно найти по
адресу
www.microsoft.com/downloads/details.aspx?FamilyID=860ee43a-a843-462f-abb5-ff88ea5896f6&DisplayLang=en (эта ссылка может указывать на содержимое полностью или частично на
английском языке).
Настройка групп администрирования службы проверки подлинности в
Интернете
Следующая команда создает группы безопасности IAS Admins и IAS Security
Auditors:
Cscript //job:CreateIASGroups C:\MSSScripts\IAS_Tools.wsf
В средах с несколькими доменами эти группы следует создать в том же
домене, в котором будут находиться серверы службы проверки подлинности в
Интернете.
После создания необходимых групп их нужно настроить так, чтобы он могли
выполнять задачи конфигурирования службы проверки подлинности в Интернете.
Это делается следующим образом.
• |
Добавьте глобальную группу домена IAS Admins в локальную группу
администраторов на каждом сервере службы проверки подлинности в
Интернете. |
• |
Если серверы службы проверки подлинности в Интернете установлены
на контроллерах домена, группу IAS Admins нужно добавить в группу
администраторов домена. |
• |
Группы IAS Admins и IAS Security Auditors нужно заполнить
соответствующими учетными записями
пользователей. |
Настройка параметров защиты сервера
Как уже было сказано, в данном руководстве предполагается, что в
большинстве компаний среднего размера уже утверждены и реализованы
процедуры и политики укрепления защиты серверов. Таким образом, подробные
инструкции по защите серверов, входящих в данное решение, здесь не
приводятся. Если процедуры и политики укрепления защиты серверов не
реализованы или необходима дополнительная информация о защите серверов
службы проверки подлинности в Интернете, обратитесь к документу «Руководство по обеспечению безопасности Windows 2003»,
который находится по адресу http://go.microsoft.com/fwlink/?LinkId=14846 (эта ссылка может указывать на содержимое полностью или частично на
английском языке).
Установка и конфигурирование службы проверки подлинности в
Интернете
В этом разделе рассматривается установка службы проверки подлинности в
Интернете на серверы. Каждый этап установки и конфигурирования необходимо
выполнить на каждом сервере службы проверки подлинности в Интернете.
Для установки службы проверки подлинности в Интернете нужно выбрать в
диспетчере дополнительных компонентов Windows (доступ к которому
осуществляется через пункт «Установка и удаление компонентов» панели
управления) компонент «Сетевые службы — служба проверки подлинности в
Интернете». Чтобы упростить этот процесс, воспользуйтесь следующим
сценарием:
sysocmgr /i:sysoc.inf /u:C:\MSSScripts\OC_AddIAS.txt
Регистрация службы проверки подлинности в Интернете в Active
Directory
Серверы службы проверки подлинности в Интернете нужно зарегистрировать
в каждом домене, включив учетную запись каждого сервера службы проверки
подлинности в Интернете в группу безопасности «Серверы RAS и IAS» в каждом
домене, в котором они будут использоваться для проверки подлинности.
Членство в этих группах гарантирует, что у серверов службы проверки
подлинности в Интернете будет разрешение на чтение свойств удаленного
доступа всех учетных записей пользователей и компьютеров в доменах.
Чтобы зарегистрировать серверы службы проверки подлинности в
Интернете в Active Directory, выполните следующие действия.
1. |
Зайдите на каждый сервер, используя учетную запись с правами
администратора домена в тех доменах, в которых нужно
зарегистрировать сервер службы проверки подлинности в
Интернете. |
2. |
Для домена по умолчанию введите в командной строке следующую
команду: netsh ras add registeredserver |
3. |
Для других доменов введите в командной строке следующую
команду: netsh ras add registeredserver domain = DomainName
Примечание. Объект сервера службы
проверки подлинности в Интернете можно также добавить в группу
безопасности «Серверы RAS и IAS» с помощью оснастки консоли
управления «Active Directory — пользователи и
компьютеры». |
Создание и защита каталогов данных службы проверки подлинности в
Интернете
К каталогам, в которых будут храниться конфигурационные данные и данные
журналов на серверах службы проверки подлинности в Интернете,
предъявляются определенные требования. Чтобы упростить создание и защиту
этих каталогов, запустите в командной строке следующий командный файл:
C:\MSSScripts\IAS_Data.bat
Примечание. Возможно, перед выполнением этого
файла его придется отредактировать, заменив записи %DomainName% в
соответствии с NETBIOS-именем домена конкретной среды.
Конфигурирование основного сервера службы проверки подлинности в
Интернете
Сервер, выбранный в качестве основного сервера службы проверки
подлинности в Интернете, нужно сконфигурировать раньше всех остальных
серверов службы проверки подлинности в Интернете в среде, потому что он
будет использоваться в качестве шаблона при их настройке.
Запись запросов проверки подлинности и учета в журналы
По умолчанию служба проверки подлинности в Интернете не записывает
запросы проверки подлинности и учета RADIUS в журнал, но эти функции
необходимо активировать, чтобы обеспечить регистрацию событий безопасности
и возможность их использования при необходимости проведения
расследований.
Чтобы настроить запись запросов проверки подлинности и учета в
журналы, выполните следующие действия.
1. |
Выберите в оснастке консоли управления «Служба проверки
подлинности в Интернете» журнал удаленного доступа и отобразите
свойства метода ведения журнала «Локальный файл». |
2. |
Выберите запросы учета и запросы проверки подлинности. |
3. |
Убедитесь в том, что в качестве каталога файла журнала задан
каталог D:\IASLogs и что выбран формат, совместимый с базой данных
(это позволяет импортировать журналы непосредственно в базы данных,
такие как Microsoft SQL Server™). |
Проверка подлинности в беспроводной сети с использованием протокола
802.1X
В этом разделе описывается защита беспроводной сети на основе
спецификации протокола 802.1X на платформах Windows Server 2003 и Windows
XP с пакетом обновления 1 (SP1). В нем приводится информация о настройке
групп Active Directory, развертывании сертификатов X.509, изменении
параметров серверов службы проверки подлинности в Интернете и реализации
групповой политики беспроводной сети, а также даются некоторые
рекомендации по конфигурированию точек доступа для поддержки реализации
протокола 802.1X EAP-TLS, которая лежит в основе описываемого решения.
Подготовка среды к развертыванию защищенной беспроводной сети
После развертывания базовых инфраструктур сертификатов и RADIUS можно
приступать к выполнению конкретных действий по настройке протокола 802.1X.
Приведенные ниже таблицы предварительных настроек помогут собрать данные,
которые понадобятся, чтобы приступить непосредственно к реализации
решения. Некоторые из этих параметров задаются вручную, а другие — с
помощью сценариев, прилагаемых к данному руководству.
Параметры конфигурации, задаваемые пользователем
В следующей таблице указаны специфичные для организации параметры,
которые следует определить перед дальнейшим развертыванием защищенной
беспроводной сети. Можете вписать фактические значения этих параметров в
конкретной среде в пустые ячейки таблицы.
Конфигурационные параметры, определяемые решением
Параметры, указанные в следующей таблице, не следует изменять без
необходимости. Перед их изменением нужно полностью разобраться с
последствиями этого и зависимостями, которые могут в результате
возникнуть, включая необходимость внесения изменений в сценарии.
Таблица 18. Параметры конфигурации, определяемые решением
Глобальная группа Active Directory,
контролирующая развертывание сертификатов проверки подлинности
пользователей стандарта 802.1X. |
AutoEnroll Client Authentication — User
Certificate |
Глобальная группа Active Directory,
контролирующая развертывание сертификатов проверки подлинности
компьютеров стандарта 802.1X. |
AutoEnroll Client Authentication — Computer
Certificate |
Глобальная группа Active Directory, содержащая
сервер службы проверки подлинности в Интернете, который нуждается в
сертификатах проверки подлинности по стандарту 802.1X. |
AutoEnroll RAS and IAS Server Authentication
Certificate |
Глобальная группа Active Directory, содержащая
пользователей, которым разрешен доступ к беспроводной сети. |
Remote Access Policy — Wireless Users |
Глобальная группа Active Directory, содержащая
компьютеры, которым разрешен доступ к беспроводной сети. |
Remote Access Policy — Wireless
Computers |
Универсальная группа Active Directory,
содержащая группы Wireless Users и Wireless Computers. |
Remote Access Policy — Wireless Access |
Глобальная группа Active Directory, содержащая
компьютеры, нуждающиеся в конфигурировании свойств беспроводной
сети. |
Wireless Network Policy — Computer |
Шаблон сертификатов, используемый для создания
сертификатов для проверки подлинности пользователей-клиентов. |
Client Authentication — User |
Шаблон сертификатов, используемый для создания
сертификатов для проверки подлинности компьютеров-клиентов. |
Client Authentication — Computer |
Шаблон сертификатов, используемый для создания
серверных сертификатов проверки подлинности для службы проверки
подлинности в Интернете. |
RAS and IAS Server Authentication |
Путь к сценариям установки |
C:\MSSScripts |
Путь к файлам резервной копии
конфигурации |
D:\IASConfig |
Путь к журналам проверки подлинности и учета
службы проверки подлинности в Интернете |
D:\IASLogs |
Название политики |
Allow Wireless Access |
Имя объекта групповой политики Active
Directory |
Wireless Network Policy |
Политика беспроводной сети в указанном выше
объекте групповой политики |
Client Computer Wireless
Configuration |
Создание групп Active Directory, необходимых для доступа к
беспроводной сети
Используя учетную запись с разрешением на создание групп безопасности
Active Directory, нужно выполнить следующий сценарий. Он создает группы,
необходимые для подачи заявок на сертификаты проверки подлинности в
беспроводной сети, а также реализации политики удаленного доступа и
групповой политики беспроводной сети.
Cscript //job:CreateWirelessGroups C:\MSSScripts\wl_tools.wsf
Примечание. В средах лесов с несколькими
доменами эти группы нужно создать в том же домене, что и группу
пользователей беспроводной сети.
Проверка параметров серверов DHCP
Чтобы адаптировать серверы DHCP к беспроводной сети, им надо назначить
области действия, специфические для беспроводной сети, а время выделения
IP-адресов следует сократить в сравнении с клиентами в кабельной сети. Для
проверки того, правильно ли сконфигурированы серверы DHCP, обратитесь к их
администраторам. Дополнительные сведения о настройке серверов DHCP в
беспроводных сетях см. в руководстве по развертыванию сервера Windows Server 2003
по адресу
www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.mspx (эта
ссылка может указывать на содержимое полностью или частично на английском
языке).
Настройка сертификатов проверки подлинности в беспроводной сети
Для реализации рассматриваемой системы обеспечения безопасности
беспроводной сети на основе протокола EAP-TLS необходимо создать и
выполнить развертывание сертификатов следующих типов:
• |
Client Authentication — Computer |
• |
Client Authentication — User |
• |
RAS and IAS Server Authentication |
Создание шаблона сертификатов для проверки подлинности серверами
службы проверки подлинности в Интернете
Для проверки подлинности компьютеров на клиентских системах на этапе
подтверждения соединения EAP-TLS серверам службы проверки подлинности в
Интернете необходим серверный сертификат. Чтобы создать шаблон
сертификатов проверки подлинности серверов для серверов службы проверки
подлинности в Интернете, администратор служб сертификации должен выполнить
процедуру, описанную ниже.
Чтобы создать шаблон сертификатов проверки подлинности серверов,
выполните следующие действия.
1. |
Войдите в систему выдающего центра сертификации, используя
учетную запись административной группы центра сертификации, и
запустите консоль управления шаблонами сертификатов. |
2. |
Создайте дубликат шаблона сертификатов серверов RAS и IAS. В окне
свойств нового шаблона откройте вкладку «Общие» и введите в
поле «Отображаемое имя шаблона» строку RAS and IAS Server
Authentication. |
3. |
Откройте вкладку «Расширения» и убедитесь в том, что
политики выдачи содержат только элемент «Проверка подлинности
сервера (OID 1.3.6.1.5.5.7.3.1)». |
4. |
На вкладке «Расширения» добавьте в список политик выдачи
политику «Средняя надежность». |
5. |
На вкладке «Имя субъекта» выберите вариант «Строится на
основе данных Active Directory». Убедитесь также в том, что
параметру «Формат имени субъекта» присвоено значение
«Общее имя» и что только элемент «DNS-имя» выбран в
списке «Включить эту информацию в разделе «Дополнительное
имя субъекта». |
6. |
На вкладке «Обработка запроса» нажмите кнопку
«Поставщики» и убедитесь в том, что задан параметр
«Запросы должны использовать один из следующих CSP» и выбран
только поставщик Microsoft RSA SChannel Cryptographic
Provider. |
7. |
Добавьте на вкладке «Безопасность» группу безопасности
AutoEnroll RAS and IAS Server Authentication Certificate с
разрешениями на чтение, подачу заявок и автоматическую подачу заявок
и удалите все остальные группы, которые могут иметь разрешения на
подачу заявок или автоматическую подачу заявок на этот шаблон
сертификатов.
Примечание. Возможно, имеет смысл
указать, что этот сертификат должен быть утвержден диспетчером
сертификатов, потому что считается, что он имеет сравнительно
высокую важность для обеспечения безопасности. Задание этого
параметра поможет предотвратить регистрацию нелегального сервера
службы проверки подлинности в Интернете, но после выдачи и
автоматической отправки сертификатов сервером службы проверки
подлинности в Интернете их нужно будет утверждать
вручную. |
Создание шаблона сертификатов для проверки подлинности
пользователей
Для успешного прохождения проверки подлинности, выполняемой сервером
службы проверки подлинности в Интернете во время подтверждения соединения
EAP-TLS, пользователи должны иметь пользовательские сертификаты. Следующие
этапы также должны быть выполнены владельцем учетной записи, назначенным
администратором служб сертификации.
Чтобы создать шаблон сертификатов для проверки подлинности
пользователей, выполните следующие действия.
1. |
Запустите на сервере выдающего центра сертификации оснастку
консоли управления «Шаблоны сертификатов». |
2. |
Создайте дубликат шаблона «Сеанс, прошедший проверку подлинности»
и введите на вкладке «Общие» в поле «Отображаемое имя
шаблона» строку Client Authentication — User. |
3. |
На вкладке «Обработка запроса» установите флажок
«Поставщики» и снимите флажки Microsoft Base
DSS Cryptographic Provider. |
4. |
Убедитесь в том, что на вкладке «Имя субъекта» выбран
вариант «Строится на основе данных Active Directory».
Присвойте параметру «Формат имени субъекта» значение
«Общее имя». Убедитесь в том, что в списке «Включить эту
информацию в дополнительное имя субъекта» выбран только элемент
«Имя участника-пользователя (UPN)». |
5. |
Откройте вкладку «Расширения» и убедитесь в том, что
список «Политики приложения» содержит только элемент
«Проверка подлинности клиента (OID 1.3.6.1.5.5.7.3.2».
Добавьте в список политик выдачи политику «Низкая
надежность». |
6. |
На вкладке «Безопасность» добавьте группу безопасности
«AutoEnroll Client Authentication — User Certificate» с
разрешениями на чтение, подачу заявок и автоматическую подачу
заявок. Любые другие группы с разрешениями на подачу заявок или
автоматическую подачу заявок следует
удалить. |
Создание шаблона сертификатов для проверки подлинности
компьютеров
Этот шаблон используется компьютерами при прохождении проверки
подлинности, выполняемой сервером службы проверки подлинности в Интернете
во время подтверждения соединения EAP-TLS. Опять-таки, администратор служб
сертификации должен выполнить следующие задачи.