[ Pobierz całość w formacie PDF ]
.Niektórzy hakerzy są zdolni do uzyskania zrzutu pamięci w programowych CSP.Może to doprowadzić do zdobycia przez nich kluczy prywatnych organizacji.SprzętoweCSP nie sprawiają tego problemu.Nie przechowują danych kluczy w pamięci, leczw dedykowanych urządzeniach.Utrudnia to hakerom zdobycie danych o kluczachprywatnych.Należy też wziąć pod uwagę fizyczny dostęp do sprzętowych CSP.Urządzenia powinnybyć przechowywane w bezpiecznych strefach budynku o ograniczonym dostępie.Należy też utrzymywać kopie zapasowe danych kont dostępu i kluczy prywatnych.Sprzętowe CSP mogą być kosztowne w zakupie i utrzymaniu.Alternatywądla nich mogą być karty inteligentne, w których będą zapisane klucze.Implementacja kart inteligentnych dodaje kolejny poziom zabezpieczeń przedsię-biorstwa.Klucz kryptograficzny jest zapisany w karcie.Dostęp do karty wymagapodania odpowiedniego numeru PIN, więc do dostępu lub odwołania danych certyfika-tu niezbędne są zarówno karta, jak i numer PIN.Eliminuje to ryzyko wykorzystaniaskradzionej karty do nielegalnych celów.Wydanie kart inteligentnych wszystkimpracownikom może być przedsięwzięciem kosztownym.Zaleca się jednak, by przy-najmniej administratorzy urzędów certyfikacji dysponowali kartami inteligentnymido zarządzania serwerami CA.Karty inteligentne pozwalają też wdrożyć w przed-siębiorstwie implementację jednokrotnego logowania (single sign-on), ponieważ użyt-kownik przenosi własny certyfikat na karcie z jednego miejsca i komputera dodrugiego.Należy też wziąć pod uwagę fizyczny dostęp do CA i CSP.Powinny być oneprzechowywane w bezpiecznym środowisku i dostępne tylko dla małegozespołu administratorów.Zdecydowanie zaleca się prowadzenie inspekcjiRozdział 3.f& Projektowanie bezpiecznej infrastruktury klucza publicznego 147tych serwerów, co pozwoli wyśledzić wszelkich napastników lub próbynadużycia przez złośliwych pracowników.Zaleca się też regularnie wykonywaćkopie zapasowe tych informacji.Projektowanie dystrybucji certyfikatówZapoznaliśmy się już ze szczegółami implementacji PKI, więc pora zastosowaćteorię w praktyce.Pokażemy, jak zaimplementować rozwiązanie PKI od podstaw.Pierwszym krokiem będzie zainstalowanie w systemie Windows Server 2003 serweracertyfikatów, który domyślnie nie jest instalowany.Nie należy instalować CA w systemie plików FAT.System FAT nie wspiera zabez-pieczeń domenowych.Zalecanym rozwiązaniem jest instalacja CA w systemieNTFS.System plików NTFS pozwala na bezproblemową interakcję z Active Directoryi współużytkowanie danych kont użytkowników.Konfiguracja i implementacjaInstalowanie CA w systemie Windows Server 20031.Przejdz do Start/Panel sterowania/Dodaj lub usuń programy.2.W lewym panelu kliknij Dodaj/usuń składniki systemu Windows.3.Otworzy się okno kreatora składników systemu Windows.Z dostępnych opcjiwybierz Certificate Services.Okno powinno wyglądać jak na rysunku 3.7.Rysunek 3.7.Wybór usługcertyfikatówdo zainstalowaniaNatychmiast po kliknięciu pola wyboru Certificate Services pojawi się okienkokomunikatu, ostrzegające użytkownika o konsekwencjach zmiany nazwy komputeralub domeny, do której należy serwer.Po zmianie nazwy komputera certyfikaty stanąsię nieważne (ponieważ certyfikaty generowane w tym serwerze będą powiązanez danymi serwera jego nazwą).W razie zmiany nazwy komputera148 Windows Server 2003.Bezpieczeństwo siecilub przynależności do domeny usługa Active Directory również utraci dostępdo informacji CA.Ostrzeżenie wygląda podobnie jak na rysunku 3.8.Kliknij Tak,by przejść do następnego okna.Rysunek 3.8.Ostrzeżenie przedzainstalowaniemusług certyfikatów4.Następne okno pozwoli wybrać typ CA.Opcji jest kilka: główny CAprzedsiębiorstwa, podrzędny CA przedsiębiorstwa, autonomiczny główny CAi autonomiczny podrzędny CA.Serwer w tym kroku sprawdza też, czy w sieciobecna jest usługa Active Directory.CA przedsiębiorstwa, głównylub podrzędny, można zainstalować tylko wtedy, gdy Active Directory jestdostępna.W przeciwnym razie można zainstalować tylko autonomiczny CA,a opcje CA przedsiębiorstwa będą w oknie niedostępne.Taki scenariuszilustruje rysunek 3.9.Na potrzeby przykładu utworzymy główny CA.WybierzAutonomiczny główny urząd certyfikacji i kliknij Dalej.Rysunek 3.9.Wybór typu CA5
[ Pobierz całość w formacie PDF ]