Файл: Основыинформационнойбезопасности.pdf

227
В разделе «Доверенные корневые центры сертификации» (англ.
Trusted Root Certification Authorities) представлен достаточно обшир- ный список центров, чьи сертификаты поставляются вместе с опера- ционной системой. Найдите в нем сертификаты удостоверяющего центра Thawte. Благодаря тому, что они уже были установлены, в рас- смотренном в начале работы примере с подключением к почтовому серверу Рамблер браузер мог подтвердить подлинность узла.
Перейдем к раздел «Сертификаты, к которым нет доверия»
(англ.Untrusted Certificates). Там находятся отозванные сертификаты, в частности, два сертификата, которые неизвестные получили от име- ни корпорации Microsoft в центре сертификации VeriSign в 2001 году.
Когда это выяснилось, сертификаты отозвали (рис. 5.17).
Рис. 5.17. Отозванные сертификаты
Теперь рассмотрим процесс запроса сертификата. Некоторые удостоверяющие центры позволяют получить «персональный» сер- тификат для защиты электронной почты с помощью протокола
S/MIME (как разбиралось в разделе 3.1 данного пособия, для распре-

228 деления ключей в S/MIME нужен сертификат формата X.509).
Например, их предоставляет удостоверяющий центр COMODO http://www.comodo.com/home/email-security/free-email-certificate.php.
Чтобы получить сертификат, понадобится заполнить небольшую анкету, указав имя, фамилию, адрес электронной почты (должен быть действующим), пароль для восстановления. Когда все заполнено, на указанный адрес почты будет отправлено письмо со ссылкой, по ко- торой надо пройти для завершения процедуры получения сертифика- та. Полученный цифровой сертификат будет помещен в хранилище, в чем можно убедиться с помощью оснастки «Сертификаты».
Если использовать сертификат для защиты почты, дальнейшая настройка зависит от почтового клиента. Если это Microsoft Outlook
2010, требуемая настройка делается в меню Файл-> Параметры ->
Центр управления безопасностью -> Защита электронной почты
. Там можно выбрать используемый сертификат и алгоритмы шифрования (рис. 5.18).
Рис. 5.18. Настройка S/MIME для Outlook
Чтобы использовать возможности S/MIME в Outlook 2010, в окне сообщения перейдите на вкладку «Параметры» и выберите
«Подписать» и/или «Шифровать».

229
Настройка других почтовых клиентов выполняется во многом аналогично.
Задание.
Запросите цифровой сертификат и настройте почтовый клиент для использования S/MIME. Отправьте письмо с электронной подпи- сью.
Ответ на задание про сертификат на сайте Tele2.
Проблема была в том, что сертификат был выдан для узла https://my.tele2.ru. Мы же воспользовались ссылкой с именем https://www.selfcare.tele2.ru и получили сертификат, формально не со- ответствующий адресу узла.
Доверять или нет такому сертификату — зависит от конкретно- го случая.
5.7. СОЗДАНИЕ ЦЕНТРА СЕРТИФИКАЦИИ
(УДОСТОВЕРЯЮЩЕГО ЦЕНТРА) В WINDOWS SERVER 2008
Цель работы.
Приобретение практических навыков развертывания и настрой- ки центра сертификации встроенными средствами Windows Server
2008.
Используемые программные средства.
Компьютер или виртуальная машина с ОС Windows Server 2008 и установленной и настроенной ролью Active Directory Domain Ser- vices (контроллер домена).
Описание работы.
Предыдущая лабораторная работа была посвящена вопросам использования цифровых сертификатов X.509 конечными пользова- телями. В данной лабораторной работе рассматриваются возможно- сти, которые предоставляет Windows Server 2008 по созданию соб- ственно центра сертификации (англ. Certification Authority, CA) в ор- ганизации. Соответствующие службы присутствовали в серверных операционных системах семейства Windows, начиная с Windows 2000
Server.

230
В Windows Server 2008 для того, чтобы сервер смог работать как центр сертификации, требуется сначала добавить серверу роль Active
Directory Certificate Services. Делается это с помощью оснастки Server
Manager, которую можно запустить из раздела Administrative Tools в стартовом меню.
В Server Manager раскроем список ролей и выберем добавление роли (Add Roles), см. рис. 5.19.
Рис. 5.19. Добавление роли
В нашем примере роль добавляется серверу, являющемуся чле- ном домена Windows. Так как это первый CA в домене, он в нашей сети будет играть роль корневого (англ. Root). Рассмотрим по шагам процедуру установки.
В списке доступных ролей выбираем требующуюся нам Active
Directory Certificate Services и нажимаем Next (рис. 5.20). После этого запускается мастер, который сопровождает процесс установки.
В дополнение к обязательной службе «Certification Authority» могут быть установлены дополнительные средства, предоставляющие
Web-интерфейс для работы пользователей с CA (рис. 5.21). Это может понадобиться, например, для выдачи сертификатов удаленным или

231 внешним пользователям, не зарегистрированным в домене. Для вы- полнения данной лабораторной работы эта служба не понадобится.
Рис. 5.20. Выбор добавляемой роли
Рис. 5.21. Выбор устанавливаемых компонент

232
Следующий шаг — определения типа центра сертификации. Он может быть корпоративным (англ. Enterprise) или отдельно стоящим
(англ. Standalone), см. рис. 5.22. Разница заключается в том, что Enter- prise CA может быть установлен только на сервер, являющийся чле- ном домена, так как для его работы требуется служба каталога Active
Directory. Standalone CA может работать вне домена, например, обра- батывая запросы пользователей, полученные через Web-интерфейс.
Для выполнения лабораторной работы нужно выбрать версию Enter- prise.
Рис. 5.22. Выбор типа центра сертификации
Следующее окно мастера позволяет определить, создается кор- невой (англ. Root) или подчиненный (англ. Subordinate) CA, см. рис. 5.23. В нашем примере развёртываемый CA является первым и единственным, поэтому выбираем вариант Root.

233
Рис. 5.23. Выбор типа центра сертификации (продолжение)
Рис. 5.24. Выбор криптографического провайдера и алгоритма хеширования
Создаваемый центр сертификации должен будет использовать при работе как минимум одну ключевую пару — открытый и секрет-

234 ный ключ (иначе он не сможет подписывать выпускаемые сертифика- ты). Поэтому для продолжения установки мастер запрашивает, нужно ли создать новый секретный ключ, или будет использоваться уже су- ществующий (тогда надо будет указать, какой ключ использовать). В нашей лабораторной работе надо создать новый ключ. При этом по- требуется выбрать «криптографический провайдер» (программный модуль, реализующий криптоалгоритмы) и алгоритм хеширования.
Согласимся с настройками по умолчанию (рис. 5.24).
Далее потребуется указать имя CA, размещение базы сертифи- катов и файлов журнала, подтвердить сделанные настройки. После этого, роль будет установлена.
Задание 1.
На учебном сервере или виртуальной машине установите роль
Active Directory Certificate Services с настройками, аналогичными рас- смотренным выше.
Управлять работой CA можно из оснастки Certification
Authority, которая должна появиться в разделе Administrative Tools
(рис. 5.25).
Рис. 5.25. Управление центром сертификации

235
Как видно на рис. 5.25, только что установленный Enterprise CA уже выпустил некоторое количество сертификатов для служебных целей, в частности, сертификаты для контроллеров домена. В свой- ствах данного сервера (пункт Properties контекстного меню) можно посмотреть сделанные настройки. Если выбрать закладку Policy Mod- ule и там нажать кнопку Properties, можно увидеть текущую настрой- ку, определяющую порядок выдачи сертификатов (рис. 5.26).
Рис. 5.26. Настройки, определяющие порядок выпуска сертификатов
В выбранном на рис. 5.26 случае, после запроса сертификат вы- дается в соответствии с настройками шаблона сертификата (или ав- томатически, если настроек нет). Возможен вариант, когда запрос по- мещается в очередь ожидающих, и сертификат выпускается только после утверждения администратором.

236
Посмотрите, какие сертификаты выпущены (англ. Issued Certifi- cates), есть ли отозванные сертификаты (англ. Revoked Certificates).
Теперь рассмотрим процесс получения цифрового сертификата.
Сделать это можно с помощью оснастки Certificates, с которой мы по- знакомились в предыдущей работе. Если она не установлена, запусти- те консоль mmc и добавьте эту оснастку для текущей учетной записи.
Запустим оснастку, откроем раздел, посвященный сертификатам пользователя (англ. Personal) и запросим сертификат (рис. 5.27). Из перечня предложенных шаблонов сертификатов выберем User. Дан- ный тип сертификатов может использоваться для шифрования файлов с помощью EFS (Encrypted File System — шифрующая файловая си- стема), защиты электронной почты и аутентификации пользователей.
Рис. 5.27. Запрос сертификата
Для пользователя будет сгенерирована ключевая пара, и на ос- нове данных, взятых из базы службы Active Directory и шаблона, бу- дет выпущен сертификат, удостоверяющий открытый ключ. Этот сер-

237 тификат будет виден и в оснастке Certification Authority в списке вы- пущенных данным сервером.
Задание 3.
1. Запросите сертификат для одного из пользователей.
2. После получения изучите состав сертификата, его назначение.
3. Выполните экспорт сертификата (в оснастке Certificates выде- лите сертификат и в контекстном меню выберите All Tasks -> Export).
Обратите внимание, что можно экспортировать только сертификат или сертификат вместе с секретным ключом (private key). Второй ва- риант надо использовать аккуратно, чтобы кто-нибудь не узнал ваш секретный ключ шифрования. Такой тип экспорта нужен, если вы хо- тите сохранить резервную копию ключевой пары и сертификата.
5.8. ШИФРОВАНИЕ ДАННЫХ ПРИ ХРАНЕНИИ —
ФАЙЛОВАЯ СИСТЕМА EFS
Цель работы.
Приобретение практических навыков защиты данных при хра- нении с помощью шифрования встроенными средствами ОС
Windows.
Используемые программные средства.
Компьютер или виртуальная машина с ОС Windows Server 2008 и установленными ролями Active Directory Domain Services (контрол- лер домена) и Active Directory Certificate Services (центр сертифика- ции). Желательно наличие другого компьютера или виртуальной ма- шины, входящей в тот же домен, на которой будет выполняться рабо- та.
Теоретические сведения.
Шифрующая файловая система (англ. Encrypting File System,
EFS) появилась в операционных системах семейства Windows, начи- ная с Windows 2000. Она позволяет шифровать отдельные папки и файлы на томах с файловой системой NTFS. Рассмотрим этот меха- низм подробнее.

238
Сначала несколько слов о рисках, которые можно снизить, внедрив данный механизм. Повышение мобильности пользователей приводит к тому, что большое количество конфиденциальных данных оказывается на дисках ноутбуков и съемных носителях. Вероятность того, что подобное устройство будет украдено или временно попадет в чужие руки, существенно выше чем, например, для жесткого диска корпоративного персонального компьютера (хотя и в этом случае, возможны кражи или копирование содержимого накопителей). Если данные хранить в зашифрованном виде, то даже если носитель укра- ден, конфиденциальность данных нарушена не будет. В этом и за- ключается цель использования EFS.
Следует учитывать, что для передачи по сети, зашифрованный
EFS файл будет расшифрован, и для защиты данных в этих случаях надо использовать дополнительные механизмы.
Описание работы.
Рассмотрим работу EFS. Пусть имеется сервер с ОС Windows
Server 2008, входящий в домен, и три учетные записи, обладающие административными правами на сервере (одна из них — встроенная административная запись Administrator).
Пользователь User1 хочет защитить конфиденциальные файлы.
Тут надо отметить, что хотя шифровать с помощью EFS можно и от- дельные файлы, рекомендуется применять шифрование целиком к папке.
User1 с помощью оснастки Certificates запрашивает сертификат
(можно выбрать шаблон User или Basic EFS). Теперь у него появляет- ся ключевая пара и сертификат открытого ключа, и можно приступать к шифрованию.
Чтобы зашифровать папку, в ее свойствах на вкладке General нажимаем кнопку Advanced и получаем доступ к атрибуту, указыва- ющему на шифрование файла.
Работа EFS организована так, что одновременно сжатие и шиф- рование файлов и папок осуществляться не может. Поэтому нельзя

239 разом установить атрибуты «Compress contents to save disk» и «En- crypt contents to secure data» (рис. 5.28).
Рис. 5.28. В свойствах папки устанавливаем шифрование
При настройках по умолчанию зашифрованная папка выделяет- ся в проводнике зеленым цветом. Для зашифровавшего файл пользо- вателя порядок работы с ним не изменится.
Теперь выполним «переключение» пользователей и зайдем в си- стему под другой учетной записью, обладающей административными правами, но не являющейся встроенной административной записью.
Пусть это будет User2.
Рис. 5.29. Другой пользователь прочитать файл не сможет

240
Несмотря на то, что User2 имеет такие же разрешения на доступ к файлу, что и User1, прочитать он его не сможет (рис. 5.29).
Также User2 не сможет скопировать файл, так как для этого надо его расшифровать. При этом необходимо учитывать, что User2 может переименовать или вообще удалить файл или папку (у него есть на это разрешения).
Задание 1.
1. Работая под первой учетной записью, запросите сертификат
(если он не был получен ранее), после чего зашифруйте папку с те- стовым файлом, который не жалко потерять. Проверьте, что будет происходить при:
- добавлении файлов в папку;
- переименовании папки;
- копировании папки на другой диск с файловой системой NFTS на том же компьютере;
- копировании папки на сетевой диск или диск с FAT.
2. Убедитесь, что другой пользователь не сможет прочитать за- шифрованный файл.
3. Снова зайдите под первой учетной записью. В оснастке Certif- icates удалите сертификат пользователя (несмотря на выдаваемые си- стемой предупреждения). Завершите сессию пользователя в системе и войдите заново. Попробуйте открыть зашифрованный файл.
Как вы убедились, если сертификат и соответствующая ему ключевая пара удалены, пользователь не сможет прочитать зашифро- ванные им же данные. В частности поэтому в EFS введена роль агента восстановления. Он может расшифровать зашифрованные другими пользователями данные.
Реализуется это следующим образом. Файл шифруется с помо- щью симметричного криптоалгоритма на сгенерированном системой случайном ключе (назовем его K1). Ключ K1 шифруется на открытом ключе пользователя, взятом из сертификата, и хранится вместе с за- шифрованным файлом. Также хранится K1, зашифрованный на от-