Windows Server 2008.

Infrastruktura klucza
publicznego (PKI)
Autor: Andrzej Szelg
ISBN: 83-246-1914-3
Stron: 300
Poznaj i wprowad PKI dla wasnego bezpieczestwa i ochrony danych
Jak zarzdza infrastruktur PKI?
Jak zabezpiecza konta administracyjne?
Jak przygotowa stacj rejestrowania certyfikatw cyfrowych kart inteligentnych?

Infrastruktura klucza publicznego PKI (skrt od ang. Public Key Infrastructure) stanowi
zbir sprztu, oprogramowania, regu oraz procedur koniecznych do tworzenia,
zarzdzania, przechowywania i dystrybucji certyfikatw opartych na kryptografii
z kluczem publicznym. Dziki tej infrastrukturze mona tworzy bezpieczne kanay
do wymiany informacji oraz przesyania wanych danych przy uyciu Internetu.
Najczciej infrastruktura PKI wykorzystywana jest w handlu elektronicznym, poniewa
pozwala na wzajemn weryfikacj sprzedawcy i kupujcego oraz zapewnia bezpieczny
kana podczas obustronnej komunikacji sieciowej.
Ksika Windows Server 2008. Infrastruktura klucza publicznego (PKI) zawiera
wszystkie niezbdne informacje, zwizane z infrastruktur klucza publicznego.
Dziki temu podrcznikowi poznasz zasady tworzenia PKI w przedsibiorstwach
dowolnej wielkoci, a take wszystkie zagadnienia dotyczce szczegowego procesu
instalacji oraz konfiguracji nadrzdnego i podrzdnego urzdu certyfikacji. Dowiesz si,
na czym polega konfigurowanie zasad grupy, zwizanych z infrastruktur klucza
publicznego w szczeglnoci tych dotyczcych kart inteligentnych i usug, ktre s
z nimi zwizane na komputerze pracujcym pod kontrol serwerowego systemu
operacyjnego Windows Server 2008 Standard.

Wydawnictwo Helion
ul. Kociuszki 1c
44-100 Gliwice
tel. 032 230 98 63
e-mail: helion@helion.pl

Infrastruktura klucza publicznego

Architektura PKI w Windows Server 2008
PKI a szyfrowanie informacji
Zastosowania PKI
Tworzenie infrastruktury PKI
Nadrzdny i podrzdny urzd certyfikacji
Szablony certyfikatw cyfrowych
Zasady grupy i usugi zwizane z PKI
Konfigurowanie IIS 7, SSL i IE 7 na potrzeby PKI
Uwierzytelnianie za pomoc kart inteligentnych w Windows Server 2008
i Windows Vista
Zdalny dostp w Windows Server 2008 i Windows Vista

Bezpieczestwo to podstawa.
Profesjonalnie ochro wartociowe dane firmy

Spis tre!ci
Wprowadzenie .................................................................................. 7
Rozdzia! 1. Infrastruktura klucza publicznego (PKI) ........................................... 11
1.1. Co to jest PKI? ...................................................................................................... 12
1.2. Dlaczego PKI? ...................................................................................................... 13
1.3. Standardy zwi$zane z PKI .................................................................................... 15
1.3.1. ITU X.509 ................................................................................................. 15
1.3.2. RSA PKCS ................................................................................................ 16
1.3.3. IETF PKIX ................................................................................................ 18
1.4. Architektura PKI w Windows Server 2008 .......................................................... 19
1.4.1. Urz%dy certyfikacji (CA) i urz%dy rejestracji (RA) .......................................... 19
1.4.2. Szablony certyfikatw i certyfikaty cyfrowe ............................................. 22
1.4.3. Repozytoria certyfikatw cyfrowych ......................................................... 26
1.4.4. Listy odwo"ania certyfikatw (CRL) ......................................................... 28
1.4.5. Narz%dzia do zarz$dzania PKI w Windows Server 2008
i Windows Vista .................................................................................... 30
1.5. PKI a szyfrowanie informacji ............................................................................... 36
1.5.1. Podstawowe poj%cia zwi$zane z szyfrowaniem informacji ....................... 37
1.5.2. Symetryczne i asymetryczne metody szyfrowania informacji .................. 38
1.6. Zastosowania PKI ................................................................................................. 43
1.7. Funkcje zabezpieczaj$ce w PKI ........................................................................... 44

Rozdzia! 2. Tworzenie infrastruktury PKI w Windows Server 2008 ..................... 45

2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.

Fazy projektu PKI ................................................................................................. 46

Projektowanie urz%dw certyfikacji .......................................................................... 47
Planowanie hierarchii i struktury urz%dw certyfikacji ........................................ 50
Planowanie wydajno#ci i skalowalno#ci urz%dw certyfikatw ........................... 55
Planowanie zg"aszania !$da' i dystrybucji certyfikatw cyfrowych .................... 57
Projektowanie zarz$dzania urz%dami certyfikacji i certyfikatami cyfrowymi .......... 61
Planowanie interwa"w publikowania list CRL .................................................... 62
Projektowanie bezpiecze'stwa urz%dw certyfikacji i danych ............................. 63
2.8.1. Fizyczne #rodki ochronne .......................................................................... 64
2.8.2. Logiczne #rodki ochronne ......................................................................... 66

Rozdzia! 3. Nadrz"dny urz#d certyfikacji typu offline w Windows Server 2008 ...... 73
3.1. Minimalne wymagania systemowe i sprz%towe dla nadrz%dnego CA .................. 73
3.2. Zalecenia dla nadrz%dnego CA ............................................................................. 74
3.3. Instalowanie nadrz%dnego CA w trybie offline .................................................... 75

Windows Server 2008. Infrastruktura klucza publicznego (PKI)

3.4. Konfigurowanie okresu wa!no#ci certyfikatw cyfrowych
wystawianych przez nadrz%dny CA .................................................................. 85
3.5. Konfigurowanie punktu dystrybucji listy CRL (CDP)
i dost%pu do informacji o urz%dach (AIA) ........................................................ 86
3.6. Publikowanie listy odwo"ania certyfikatw (CRL) ............................................... 90
3.7. Eksportowanie certyfikatu nadrz%dnego CA i listy CRL ...................................... 91

Rozdzia! 4. Podrz"dny urz#d certyfikacji typu online w Windows Server 2008 ...... 93
4.1. Minimalne wymagania systemowe i sprz%towe dla podrz%dnego CA .................. 93
4.2. Zalecenia dla podrz%dnego CA ............................................................................. 94
4.3. Instalowanie podrz%dnego CA w trybie online ..................................................... 95
4.4. Uzyskiwanie certyfikatu cyfrowego z nadrz%dnego CA dla podrz%dnego CA ......... 104
4.5. Importowanie certyfikatu nadrz%dnego CA i listy CRL do podrz%dnego CA ........ 109
4.6. Uruchamianie us"ugi certyfikatw na podrz%dnym CA ...................................... 115
4.7. Konfigurowanie punktu dystrybucji listy CRL (CDP)
i dost%pu do informacji o urz%dach (AIA) ...................................................... 119
4.8. Publikowanie certyfikatu cyfrowego nadrz%dnego CA
w us"udze katalogowej Active Directory ........................................................ 121

Rozdzia! 5. Szablony certyfikatw cyfrowych w Windows Server 2008 ............. 123

5.1. Domy#lne uprawnienia szablonw certyfikatw cyfrowych .............................. 124
5.1.1. Szablon certyfikatu cyfrowego typu Kontroler domeny ...................... 125
5.1.2. Szablon certyfikatu cyfrowego typu Logowanie kart$ inteligentn$ ..... 126
5.1.3. Szablon certyfikatu cyfrowego typu Administrator ............................. 126
5.2. Instalowanie certyfikatu cyfrowego typu Kontroler domeny
na kontrolerze domeny .................................................................................... 127
5.3. W"$czanie szablonu certyfikatu cyfrowego typu
Logowanie kart$ inteligentn$ na podrz%dnym CA ...................................... 132
5.4. Instalowanie certyfikatu cyfrowego typu Administrator na podrz%dnym CA ....... 134

Rozdzia! 6. Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008 ......... 139
6.1. Zasady grupy ...................................................................................................... 139
6.2. Zasady kluczy publicznych ................................................................................. 140
6.3. Konfigurowanie zasad grupy dotycz$cych kart inteligentnych ........................... 146
6.3.1. Logowanie interakcyjne: wymagaj karty inteligentnej ............................ 148
6.3.2. Logowanie interakcyjne: zachowanie przy usuwaniu
karty inteligentnej ................................................................................ 150
6.4. Us"ugi zwi$zane z kartami inteligentnymi .......................................................... 153
6.5. Uruchamianie us"ugi Zasady usuwania karty inteligentnej ................................. 154

Rozdzia! 7. Konfigurowanie IIS 7, SSL i IE 7 na potrzeby PKI ........................... 157

7.1.
7.2.
7.3.
7.4.
7.5.
7.6.
7.7.

Bezpieczna komunikacja sieciowa ..................................................................... 157

Internet Information Services 7 (IIS 7) ............................................................... 158
Instalowanie certyfikatu typu Serwer sieci Web na serwerze IIS 7 ................. 160
Secure Socket Layer (SSL) ................................................................................. 164
Konfigurowanie ustawie' protoko"u SSL na serwerze IIS 7 .............................. 165
Internet Explorer 7 (IE 7) ................................................................................... 168
Przygotowanie programu IE 7 do bezpiecznej obs"ugi witryny CertSrv ............ 170

Rozdzia! 8. Uwierzytelnianie za pomoc# kart inteligentnych

w Windows Server 2008 i Windows Vista ...................................... 175
8.1. Karty inteligentne ............................................................................................... 176
8.2. Czytniki kart inteligentnych ............................................................................... 177
8.3. Zarz$dzanie kartami inteligentnymi w Windows Server 2008 .............................. 177

Spis tre$ci

5
8.3.1. Przygotowanie stacji rejestrowania certyfikatw
cyfrowych kart inteligentnych ............................................................. 178
8.3.2. Przygotowanie karty inteligentnej do pracy ............................................ 181
8.3.3. Umieszczenie certyfikatu typu Logowanie kart$ inteligentn$
na karcie inteligentnej .......................................................................... 184
8.4. Zarz$dzanie dost%pem u!ytkownikw w Windows Vista ................................... 194
8.4.1. Zabezpieczanie kont administracyjnych .................................................. 194
8.4.2. Metody uwierzytelniania ......................................................................... 195
8.4.3. Konfigurowanie opcji kont u!ytkownikw w us"udze Active Directory ....... 196
8.4.4. Logowanie do systemu Windows Vista za pomoc$ karty inteligentnej ...... 197

Rozdzia! 9. Zdalny dost"p w Windows Server 2008 i Windows Vista ............... 203
9.1. Narz%dzia administracji zdalnej serwera firmy Microsoft .................................. 204
9.2. Pulpit zdalny firmy Microsoft ............................................................................. 204
9.3. Instalowanie i konfigurowanie narz%dzi administracji zdalnej
serwera w Windows Vista .............................................................................. 207
9.4. Zarz$dzanie PKI za pomoc$ narz%dzi administracji zdalnej
serwera firmy Microsoft ................................................................................. 209
9.5. Konfigurowanie serwera na potrzeby us"ugi Pulpit zdalny firmy Microsoft ......... 215
9.5.1. W"$czanie us"ugi Pulpit zdalny firmy Microsoft ..................................... 216
9.5.2. Konfigurowanie ustawie' serwera terminali ........................................... 217
9.5.3. Zmiana domy#lnego numeru portu dla us"ug terminalowych .................. 222
9.5.4. Konfigurowanie ustawie' programu Zapora systemu Windows ............. 224
9.6. Konfigurowanie klienta us"ugi Pulpit zdalny ...................................................... 224
9.7. Zarz$dzanie infrastruktur$ PKI za pomoc$ klienta us"ugi Pulpit zdalny ............ 228

Skorowidz .................................................................................... 231

140

Windows Server 2008. Infrastruktura klucza publicznego (PKI)

Rysunek 6.1.
Zasady grupy
dotycz<ce komputera

2. Zasady grupy dotycz<ce uZytkownika, ktre przedstawiono na rysunku 6.2. S$

one stosowane do tych u!ytkownikw, ktrzy loguj$ si% do systemu na danym

komputerze. Na og" zasady te s$ aktywowane natychmiast po uwierzytelnieniu
to!samo#ci u!ytkownika, ale przed przyznaniem mu dost%pu do systemu Windows.
Rysunek 6.2.
Zasady grupy
dotycz<ce
uZytkownika

Zasady grupy nie powoduj$ trwa"ych zmian w rejestrze systemu Windows. Mo!na je
wi%c bardzo "atwo dodawa+ i usuwa+ bez za#miecania rejestru czy konieczno#ci
ponownego uruchamiania systemu operacyjnego.

6.2. Zasady kluczy publicznych

W tej cz%#ci ksi$!ki zostan$ przedstawione zasady grupy zwi$zane z infrastruktur$ klucza publicznego (PKI), a w szczeglno#ci zawarto#+ kontenera o nazwie Zasady kluczy
publicznych. Obiekty i opcje dost%pne w tym kontenerze umo!liwiaj$ zarz$dzanie

Rozdzia! 6.

Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008

141

ustawieniami infrastruktury klucza publicznego, ktre znajduj$ si% w sekcji dotycz$cej

komputera (rysunek 6.3) i u!ytkownika (rysunek 6.4) w dowolnej wielko#ci przedsi%biorstwie lub organizacji.

Rysunek 6.3. Zasady kluczy publicznych dotycz<ce komputera

Rysunek 6.4. Zasady kluczy publicznych dotycz<ce uZytkownika

Co mo!na skonfigurowa+ za pomoc$ obiektw oraz opcji dost%pnych w kontenerze

Zasady kluczy publicznych? Najwa!niejsze ustawienia zosta"y przedstawione poni!ej
w punktach.

142

Windows Server 2008. Infrastruktura klucza publicznego (PKI)

1. Automatyczne rejestrowanie certyfikatw cyfrowych u#ytkownika

i komputera
Automatyczne rejestrowanie certyfikatw cyfrowych u!ytkownika
i komputera pozwala w niezwykle prosty sposb zautomatyzowa+:
proces odnawiania wygas"ych certyfikatw cyfrowych,
aktualizowanie oczekuj$cych certyfikatw cyfrowych (rwnie! tych,
ktre u!ywaj$ opisanych wcze#niej szablonw certyfikatw cyfrowych),
usuwanie odwo"anych certyfikatw cyfrowych,
powiadamianie o wygasaniu danego certyfikatu cyfrowego, zanim sko'czy
si% jego okres wa!no#ci.
Powy!sze cele mo!na osi$gn$+, edytuj$c w"a#ciwo#ci obiektu Klient usSug
certyfikatw automatyczne rejestrowanie z poziomu kontenera Zasady
kluczy publicznych, co przedstawiono na rysunku 6.5.
Rysunek 6.5.
Klient usSug
certyfikatw
automatyczne
rejestrowanie
dla komputera

Zgodnie z rysunkiem 6.5, na zak"adce Definiowanie ustawie= zasad mo!na

skonfigurowa+ automatyczne rejestrowanie certyfikatw cyfrowych
u!ytkownikw oraz komputerw. W tym odnawianie wygas"ych certyfikatw
cyfrowych, aktualizacj% oczekuj$cych czy usuni%cie odwo"anych certyfikatw
cyfrowych. Poza tym mo!na zaktualizowa+ certyfikaty cyfrowe, ktre zosta"y
utworzone na podstawie szablonw certyfikatw cyfrowych. W przypadku
skonfigurowania automatycznego rejestrowania dla u!ytkownikw dodatkowo
pojawi si% (rysunek 6.6) opcja Powiadomienie o wyga[ni*ciu. Jej w"$czenie
spowoduje wy#wietlanie powiadomienia o wygasaniu certyfikatu cyfrowego,
gdy procent pozosta"ego okresu wa!no#ci tego certyfikatu wyniesie 10%.
T% domy#ln$ warto#+ mo!na oczywi#cie zmienia+ w zale!no#ci od wymaga'
danego przedsi%biorstwa lub innej organizacji.

Rozdzia! 6.

Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008

143

Rysunek 6.6.
Klient usSug
certyfikatw
automatyczne
rejestrowanie
dla uZytkownika

2. Konfigurowanie ustawie? sprawdzania poprawno$ci $cie#ki certyfikatu

U!ytkownicy przedsi%biorstwa lub innej organizacji mog$ w dowolnym

stopniu korzysta+ z certyfikatw cyfrowych. W najnowszych serwerowych
systemach operacyjnych Microsoft Windows Server 2008 Standard
administrator domeny ma mo!liwo#+ kontrolowania (dzi%ki obiektowi
o nazwie Ustawienia sprawdzania poprawno[ci [cieZki certyfikatu, ktry jest
dost%pny w kontenerze Zasady kluczy publicznych) stopie' zu!ytkowania tych
certyfikatw. Po wybraniu w"a#ciwo#ci obiektu Ustawienia sprawdzania
poprawno[ci [cieZki certyfikatu mo!na przej#+ do konfigurowania ustawie'
sprawdzania poprawno#ci #cie!ki certyfikatu cyfrowego. S"u!$ do tego opcje,
ktre s$ dost%pne na czterech zak"adkach (Magazyny, Zaufani wydawcy,
Pobieranie z sieci i OdwoSywanie), oraz zasady Sprawdzanie poprawno[ci
[cieZki certyfikatu. Na potrzeby tej ksi$!ki zostanie omwiona jedynie zak"adka
Magazyny, gdy! pozosta"e nie s$ tak istotne.
Jak oglnie wiadomo, przedsi%biorstwa i inne organizacje chc$ jednoznacznie
identyfikowa+ oraz rozprowadza+ w sieci komputerowej tylko zaufane certyfikaty
cyfrowe nadrz%dnych urz%dw certyfikacji. Umo!liwiaj$ to opcje dost%pne
na zak"adce o nazwie Magazyny, przedstawionej na rysunku 6.7. Z poziomu tej
zak"adki mo!na okre#la+ m.in. regu"y zaufania u!ytkownika do certyfikatu
cyfrowego nadrz%dnego CA, ktry funkcjonuje w danym przedsi%biorstwie
lub organizacji.
3. Konfigurowanie ustawienia automatycznego #%dania certyfikatu

dla komputerw
Jak ju! wspomniano na pocz$tku tego rozdzia"u, zarz$dzanie ka!dym
certyfikatem cyfrowym z osobna jest czasoch"onne. W kontenerze o nazwie
Ustawienia automatycznego Z<dania certyfikatu administrator domeny mo!e

144

Windows Server 2008. Infrastruktura klucza publicznego (PKI)

Rysunek 6.7.
ZakSadka Magazyny

zdefiniowa+, ktrych typw certyfikatw cyfrowych komputer mo!e za!$da+

automatycznie. W przypadku tworzenia nowego !$dania certyfikatu cyfrowego
zostanie uruchomione narz%dzie Kreator instalatora automatycznego Z<dania
certyfikatu, co przedstawia rysunek 6.8.
Rysunek 6.8.
Kreator instalatora
automatycznego
Z<dania certyfikatu

Rozdzia! 6.

Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008

145

4. Importowanie certyfikatu nadrz!dnego CA do magazynu

Zaufane g"wne urz!dy certyfikacji

Po zainstalowaniu w przedsi%biorstwie lub innej organizacji nadrz%dnego CA
nale!y doda+ (zaimportowa+) jego certyfikat cyfrowy do magazynu Zaufane
gSwne urz*dy certyfikacji, co pozwoli przenie#+ go automatycznie (za pomoc$
zasad grupy) na r!ne komputery (komputery klienckie, serwery cz"onkowski itp.).
Certyfikat cyfrowy nadrz%dnego CA mo!na doda+ do magazynu Zaufane
gSwne urz*dy certyfikacji po zaznaczeniu obiektu o nazwie Zaufane gSwne
urz*dy certyfikacji. Nast%pnie trzeba wybra+ z menu Akcja opcj% Importuj
Zostanie wwczas uruchomiony dobrze znany z poprzednich rozdzia"w
kreator o nazwie Kreator importu certyfikatw za jego pomoc$ mo!na
zaimportowa+ certyfikat cyfrowy nadrz%dnego CA (rysunek 6.9).

Rysunek 6.9. Certyfikat cyfrowy nadrz*dnego CA zaimportowany do magazynu Zaufane gSwne

urz*dy certyfikacji
5. Importowanie certyfikatu podrz!dnego CA do magazynu

Po$rednie urz!dy certyfikacji

Po zainstalowaniu w przedsi%biorstwie lub innej organizacji podrz%dnego CA
nale!y (podobnie jak w przypadku certyfikatu nadrz%dnego CA) zaimportowa+
jego certyfikat cyfrowy do magazynu Po[rednie urz*dy certyfikacji.
Po zaimportowaniu certyfikatu cyfrowego podrz%dnego CA do magazynu
Po[rednie urz*dy certyfikacji w prawym oknie konsoli powinien pojawi+ si%
certyfikat CA-02, jak na rysunku 6.10. Zostaje dodany rwnie! certyfikat
cyfrowy nadrz%dnego CA (CA-01), co tak!e obrazuje ten sam rysunek.
Jak pami%tamy z rozdzia"u 4., podczas eksportu certyfikatu cyfrowego

146

Windows Server 2008. Infrastruktura klucza publicznego (PKI)

Rysunek 6.10. Certyfikat podrz*dnego CA zaimportowany do magazynu Po[rednie urz*dy certyfikacji

podrz%dnego CA zosta" wybrany format PKCS #7 (.P7B) wraz z opcj$ JeZeli

jest to moZliwe, doS<cz wszystkie certyfikaty do [cieZki certyfikacji. Poniewa!
certyfikat cyfrowy nadrz%dnego CA nale!y do tej #cie!ki, jest dodawany
wsz%dzie tam, gdzie wprowadzono certyfikat cyfrowy podrz%dnego CA.
Po wykonaniu powy!szych krokw nale!y od#wie!y+ zasady grupy (u!ytkownika oraz
komputera) za pomoc$ komendy gpupdate /force. Wykonanie tej komendy wymusza
natychmiastow$ aktualizacj% zasad grupy u!ytkownika i komputera.

6.3. Konfigurowanie zasad grupy

dotycz=cych kart inteligentnych
Najnowsze serwerowe systemy operacyjne Windows Server 2008 Standard zawieraj$
kilka zasad, ktre dotycz$ kart inteligentnych. W tej cz%#ci ksi$!ki zaprezentowane zostan$ dwie najcz%#ciej wykorzystywane, czyli:
1. Logowanie interakcyjne: wymagaj karty inteligentnej. To ustawienie

zabezpiecze' okre#la, !e u!ytkownicy domeny mog$ si% zalogowa+ si%

do komputera tylko przy u!yciu karty inteligentnej z w"a#ciwym certyfikatem
cyfrowym.

Rozdzia! 6.

Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008

147

2. Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej.

To ustawienie zabezpiecze' okre#la, co si% stanie, je#li karta inteligentna

aktualnie zalogowanego do komputera u!ytkownika zostanie wyj%ta z czytnika
kart inteligentnych.
Powy!sze zasady, ktrych w"$czenie podnosi poziom bezpiecze'stwa w przedsi%biorstwie lub innej organizacji wykorzystuj$cych infrastruktur% klucza publicznego (PKI),
s$ dost%pne z poziomu konsoli Zarz<dzanie zasadami grupy na kontrolerze domeny.
Najcz%#ciej zasady grupy dotycz$ce kart inteligentnych mo!na definiowa+ dla ca"ej domeny sieciowej lub dla wybranej jednostki organizacyjnej (ang. Organizational Unit).
Na potrzeby tej ksi$!ki zdefiniowane zostan$ zasady dla jednostki organizacyjnej o nazwie PKI. W tym celu Administrator domeny (u!ytkownik EA.pl\Administrator) na kontrolerze domeny o nazwie DC-01 musi:
1. Uruchomi+ konsol% Zarz<dzanie zasadami grupy (np. za pomoc$
komendy gpmc.msc).
2. Przej#+ do obiektu o nazwie PKI i utworzy+ w nim nowy obiekt zasad grupy

o nazwie Karty inteligentne, jak na rysunku 6.11.

Rysunek 6.11.
Nowy obiekt zasad
grupy o nazwie
Karty inteligentne

3. Rozwin$+ w%ze" Obiekty zasad grupy i zaznaczy+ zasad% Karty inteligentne.

4. Z menu Akcja wybra+ opcj% Edytuj
5. Przej#+ do w%z"a Opcje zabezpiecze=, przedstawionego na rysunku 6.12.

Rysunek 6.12. W*zeS Opcje zabezpiecze= wraz z domy[lnymi zasadami grypy

148

Windows Server 2008. Infrastruktura klucza publicznego (PKI)

Z poziomu w%z"a Opcje zabezpiecze= zostan$ skonfigurowane dwie wspomniane wcze#niej zasady grupy dotycz$ce kart inteligentnych, czyli:
Logowanie interakcyjne: wymagaj karty inteligentnej,
Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej.

6.3.1. Logowanie interakcyjne:

wymagaj karty inteligentnej
Je!eli przedsi%biorstwo lub inna organizacja zechce umo!liwi+ dost%p do jakiego# serwera cz"onkowskiego, np. o nazwie CA-02 (podrz%dnego CA), jedynie z wykorzystaniem kart inteligentnych, musi w"$czy+ zasad% o nazwie Logowanie interakcyjne:
wymagaj karty inteligentnej. Dzi%ki tej zasadzie podczas logowania za pomoc$ has"a
dost%powego do tego serwera pojawi si% komunikat przedstawiony na rysunku 6.13.
Oczywi#cie po wcze#niejszym wykonaniu omawianych w tym podrozdziale krokw
i po przeniesieniu konta serwera cz"onkowskiego o nazwie CA-02 do jednostki organizacyjnej PKI, dla ktrej zosta"a ustawiona powy!sza zasada. Trzeba pami%ta+ o tym,
aby przed przeniesieniem konta komputera do wspomnianej jednostki organizacyjnej
zaimportowa+ do odpowiednich magazynw certyfikaty cyfrowe nadrz%dnego i podrz%dnego CA oraz listy CRL.

Rysunek 6.13. Wynik dziaSania zasady Logowanie interakcyjne: wymagaj karty inteligentnej

Aby w"$czy+ zasad% o nazwie Logowanie interakcyjne: wymagaj karty inteligentnej,

Administrator domeny (u!ytkownik EA.pl\Administrator) musi wykona+ wymieniane
poni!ej dzia"ania na kontrolerze domeny.
1. Zaznaczy+ w prawym oknie zasad% Logowanie interakcyjne: wymagaj karty

inteligentnej, jak na rysunku 6.14.

2. Z menu Akcja wybra+ opcj% WSa[ciwo[ci.
3. Na zak"adce Ustawianie zasad zabezpiecze= zaznaczy+ pole wyboru Definiuj

nast*puj<ce ustawienie zasad, a nast%pnie wybra+ opcj% WS<czone,

jak na rysunku 6.15.

Rozdzia! 6.

Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008

Rysunek 6.14. Zasada Logowanie interakcyjne: wymagaj karty inteligentnej

Rysunek 6.15.
ZakSadka
Ustawianie zasad
zabezpiecze=
dla Logowanie
interakcyjne:
wymagaj karty
inteligentnej

4. Klikn$+ na przycisk OK, aby zamkn$+ okno WSa[ciwo[ci: Logowanie

interakcyjne: wymagaj karty inteligentnej. Nie nale!y zamyka+ konsoli

Zarz<dzanie zasadami grupy, gdy! b%dzie ona potrzebna do ustawienia
kolejnej zasady o nazwie Logowanie interakcyjne: zachowanie przy
usuwaniu karty inteligentnej.

149

150

Windows Server 2008. Infrastruktura klucza publicznego (PKI)

6.3.2. Logowanie interakcyjne:

zachowanie przy usuwaniu karty inteligentnej
Je!eli chcemy, aby dost%p do jakiego# serwera cz"onkowskiego, np. o nazwie CA-02
(podrz%dnego CA), by" blokowany po wyj%ciu karty inteligentnej z czytnika kart inteligentnych (rysunek 6.16), trzeba w"$czy+ zasad% o nazwie Logowanie interakcyjne:
zachowanie przy usuwaniu karty inteligentnej. Oczywi#cie po wcze#niejszym wykonaniu przedstawionych w tym podrozdziale (i w dwch kolejnych) krokw, a nast%pnie po przeniesieniu konta serwera cz"onkowskiego o nazwie CA-02 do jednostki organizacyjnej PKI, dla ktrej zosta"a ustawiona ta zasada grupy.

Rysunek 6.16. Wynik dziaSania zasady Logowanie interakcyjne: zachowanie przy usuwaniu karty
inteligentnej

Aby skonfigurowa+ zasad% dotycz$c$ zachowania si% komputera podczas usuwania

karty inteligentnej z czytnika kart inteligentnych, Administrator domeny (u!ytkownik
EA.pl\Administrator) musi wykona+ wymieniane poni!ej dzia"ania.
1. Zaznaczy+ w prawym oknie konsoli Zarz<dzanie zasadami grupy zasad%

Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej,

jak na rysunku 6.17.
2. Z menu Akcja wybra+ opcj% WSa[ciwo[ci.
3. Na zak"adce Ustawianie zasad zabezpiecze= zaznaczy+ pole wyboru Definiuj

nast*puj<ce ustawienie zasad, a nast%pnie z listy rozwijalnej wybra+ akcj%

Zablokuj stacj* robocz<, jak na rysunku 6.18. Poza t$ akcj$ s$ dost%pne inne opcje:
Brak akcji,
Wymuszaj wylogowanie,
RozS<cz w przypadku zdalnej sesji usSug terminalowych.

Rozdzia! 6.

Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008

151

Rysunek 6.17. Zasada Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej
Rysunek 6.18.
ZakSadka
Ustawianie zasad
zabezpiecze=
dla Logowanie
interakcyjne:
zachowanie przy
usuwaniu karty
inteligentnej

4. Klikn$+ na przycisk OK.

5. Zamkn$+ konsol% Edytor zarz<dzania zasadami grupy.

Po wykonaniu powy!szych dzia"a' nale!y od#wie!y+ zasady grupy (u!ytkownika oraz

komputera) za pomoc$ komendy gpupdate /force. Komenda ta wymusza natychmiastow$ aktualizacj% zasad grupy u!ytkownika i komputera.
W przypadku zasady Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej warto pami%ta+ o jeszcze jednym. Zasada ta dzia"a dopiero po w"$czeniu na
komputerze wyposa!onym w czytnik kart inteligentnych i kart% inteligentn$ (za pomoc$

152

Windows Server 2008. Infrastruktura klucza publicznego (PKI)

ktrego realizowane jest uwierzytelnianie z wykorzystaniem certyfikatu cyfrowego karty

inteligentnej) us"ugi o nazwie Zasady usuwania karty inteligentnej. Jest to nowa us"uga
w systemach operacyjnych Windows Server 2008 Standard i Windows Vista Business,
uruchamiana r%cznie lub automatycznie. Druga metoda zostanie przedstawiona w dalszej cz%#ci tego rozdzia"u. W przypadku r%cznego uruchamiania powy!szej us"ugi mo!na
j$ w"$czy+ poprzez ustawienie trybu uruchomienia na Automatyczny. Prba zmiany
stanu us"ugi z domy#lnej warto#ci Zatrzymano na Uruchom wygeneruje komunikat,
ktry przedstawia rysunek 6.19.
Rysunek 6.19.
Okno UsSugi

Zgodnie z komunikatem przedstawionym na rysunku 6.19, us"uga Zasady usuwania

karty inteligentnej zosta"a uruchomiona, a nast%pnie z powrotem zatrzymana. Dlaczego
tak si% dzieje? Poniewa! jest ona zale!na od innych us"ug. Mo!na jednak wymusi+
w"$czenie powy!szej us"ugi (bez komunikatu z rysunku 6.19) z poziomu okna Edytor
rejestru poprzez zmian% warto#ci ci$gu binarnego o nazwie scremoveoption z 0 na 1.
Warto#+ ta znajduje si% w kluczu o nazwie HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows NT\CurrentVersion\Winlogon, co przedstawia rysunek 6.20. Na
potrzeby niniejszej ksi$!ki us"uga ta zostanie w"$czona za pomoc$ zasad grupy. R%czne
modyfikacje rejestru s$ niebezpieczne i nale!y si% ich wystrzega+.

Rysunek 6.20. Okno Edytor rejestru

Rozdzia! 6.

Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008

153

Wszystkie omwione w tym rozdziale ustawienia zasad grupy Karty inteligentne dla
obiektu PKI (jednostki organizacyjnej o nazwie PKI) mo!na sprawdzi+ na zak"adce
Ustawienia, przedstawionej na rysunku 6.21.

Rysunek 6.21. Ustawienia zasad grupy Karty inteligentne dla obiektu PKI

Ustawienia zasad grupy Karty inteligentne dla obiektu PKI mo!na wyeksportowa+ do
formatu HTML (jako raport), a nast%pnie przegl$da+ je za pomoc$ przegl$darki internetowej Internet Explorer 7, co przedstawia rysunek 6.22.

6.4. UsMugi zwi=zane

z kartami inteligentnymi
Najnowsze systemy operacyjne firmy Microsoft: Windows Server 2008 Standard oraz
Windows Vista Business, zawieraj$ kilka us"ug, ktre s$ zwi$zane z infrastruktur$ klucza publicznego (PKI). Najwa!niejsze zosta"y przedstawione w tabeli 6.1 wraz z ich domy#lnymi trybami uruchomienia i stanami.
Domy#lny tryb uruchomienia i stany poszczeglnych us"ug zwi$zanych z infrastruktura klucza publicznego (PKI) mog$ si% zmieni+ w zale!no#ci od potrzeb przedsi%biorstwa lub innej organizacji, o czym b%dzie mowa w nast%pnych rozdzia"ach. Oglnie rzecz ujmuj$c, np. us"uga o nazwie Karta inteligentna po zainstalowaniu sterownika

154

Windows Server 2008. Infrastruktura klucza publicznego (PKI)

Rysunek 6.22. Raport dla obiektu zasad grupy Karty inteligentne

Tabela 6.1. Domy[lne ustawienia wybranych usSug zwi<zanych z PKI
Domy$lny tryb
uruchomienia

Stan us!ugi

Zarz$dza dost%pem do kart inteligentnych

czytanych przez ten komputer.

R%czny

Zatrzymano

Propagacja certyfikatu
(CertPropSvc)

Propaguje certyfikaty z kart inteligentnych.

R%czny

Zatrzymano

Zasady usuwania
karty inteligentnej
(SCPolicySvc)

Umo!liwia skonfigurowanie systemu w taki

sposb, aby po usuni%ciu karty inteligentnej
by" blokowany pulpit u!ytkownika.

R%czny

Zatrzymano

Nazwa us!ugi

Opis us!ugi

Karta inteligentna
(SCardSvr)

czytnika kart inteligentnych na danym komputerze klienckim, serwerze cz"onkowskim

czy kontrolerze domeny zmienia automatycznie domy#lny tryb uruchomienia na Automatyczny oraz stan na Uruchomiono.

6.5. Uruchamianie usMugi Zasady

usuwania karty inteligentnej
Je!eli w sieci komputerowej przedsi%biorstwa lub innej organizacji korzystaj$cej z najnowszych systemw operacyjnych firmy Microsoft: Windows Server 2008 Standard
i Windows Vista Business z dodatkiem Service Pack 1, do uwierzytelniania si% w domenie b%d$ wykorzystywane karty inteligentne, na komputerach nale!$cych do sieci

Rozdzia! 6.

Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008

155

trzeba uruchomi+ us"ug% o nazwie Zasady usuwania karty inteligentnej, o ktrej by"a
ju! wcze#niej mowa. Dopki ta us"uga nie b%dzie uruchomiona, komputer po wyj%ciu
karty inteligentnej z czytnika kart inteligentnych b%dzie blokowany. Samo ustawienie zasady Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej
nie wystarcza.
Us"uga Zasady usuwania karty inteligentnej (SCPolicySvc) umo!liwia skonfigurowanie najnowszych systemw operacyjnych firmy Microsoft w taki sposb, aby po usuni%ciu karty inteligentnej z czytnika kart inteligentnych by" blokowany pulpit aktualnie zalogowanego u!ytkownika. W przypadku systemw operacyjnych Windows Server
2003 z dodatkiem Service Pack 2 czy Windows XP Professional z dodatkiem Service
Pack 3 nie jest wymagane uruchamianie us"ugi Zasady usuwania karty inteligentnej,
gdy! us"uga taka nie jest w nich dost%pna. Systemy automatycznie blokuj$ komputer
po wyj%ciu karty inteligentnej z czytnika kart inteligentnych. Nie trzeba wi%c wykonywa+ omawianych w tym podrozdziale czynno#ci. Wystarczy tylko dokona+ ustawie'
zasad grupy dotycz$cych kart inteligentnych, ktre zosta"y przedstawione w poprzednich
podrozdzia"ach. Odpowiednio skonfigurowane musz$ by+ tylko najnowsze systemy operacyjne firmy Microsoft.
Jak ju! wcze#niej wspomniano, istnieje kilka metod uruchamiania us"ugi Zasady usuwania karty inteligentnej. Mo!na to wykona+ r%cznie (na ka!dym komputerze wyposa!onym w czytnik kart inteligentnych) z poziomu konsoli MMC o nazwie UsSugi
(ang. Services), ktr$ w"$cza si% za pomoc$ komendy services.msc. Mo!na rwnie!
skorzysta+ z metody automatycznej, tj. z wykorzystaniem zasad grupy, co b%dzie
omwione dalej. To rozwi$zanie jest znacznie mniej pracoch"onne, co ma niebagatelne
znaczenie w przypadku konfigurowania setek czy tysi%cy komputerw. Wystarczy jedynie skonfigurowa+ jedn$ zasad% i za pomoc$ us"ugi katalogowej Active Directory
rozprowadzi+ j$ do komputerw znajduj$cych si% w okre#lonej jednostce organizacyjnej.
Aby uruchomi+ us"ugi Zasady usuwania karty inteligentnej za pomoc$ zasad grupy,
Administrator domeny (u!ytkownik EA.pl\Andministrator) musi wykona+ nast%puj$ce
czynno#ci.
1. Uruchomi+ konsol% Zarz<dzanie zasadami grupy (np. za pomoc$ komendy
gpmc.msc), a nast%pnie wyedytowa+ wcze#niej utworzon$ zasad% grupy

o nazwie Karty inteligentne.

2. Przej#+ do w%z"a UsSugi systemowe i zaznaczy+ w prawym oknie us"ug%

Zasady usuwania karty inteligentnej, jak na rysunku 6.23.

3. Z menu Akcja wybra+ opcj% WSa[ciwo[ci.
4. Na zak"adce Ustawianie zasad zabezpiecze= dokona+ takich ustawie', jakie

zosta"y przedstawione na rysunku 6.24, a nast%pnie klikn$+ na przycisk OK.

5. Zamkn$+ konsol% Zarz<dzanie zasadami grupy.
6. Od#wie!y+ zasady grupy (u!ytkownika i komputera) za pomoc$ komendy
gpupdate /force. Komenda ta wymusza natychmiastow$ aktualizacj% zasad

grupy u!ytkownika i komputera.