You are on page 1of 20

Windows Server 2008.

Infrastruktura klucza
publicznego (PKI)
Autor: Andrzej Szel¹g
ISBN: 83-246-1914-3
Stron: 300
Poznaj i wprowadŸ PKI dla w³asnego bezpieczeñstwa i ochrony danych
• Jak zarz¹dzaæ infrastruktur¹ PKI?
• Jak zabezpieczaæ konta administracyjne?
• Jak przygotowaæ stacjê rejestrowania certyfikatów cyfrowych kart inteligentnych?

Infrastruktura klucza publicznego PKI (skrót od ang. Public Key Infrastructure) stanowi
zbiór sprzêtu, oprogramowania, regu³ oraz procedur koniecznych do tworzenia,
zarz¹dzania, przechowywania i dystrybucji certyfikatów opartych na kryptografii
z kluczem publicznym. Dziêki tej infrastrukturze mo¿na tworzyæ bezpieczne kana³y
do wymiany informacji oraz przesy³ania wa¿nych danych przy u¿yciu Internetu.
Najczêœciej infrastruktura PKI wykorzystywana jest w handlu elektronicznym, poniewa¿
pozwala na wzajemn¹ weryfikacjê sprzedawcy i kupuj¹cego oraz zapewnia bezpieczny
kana³ podczas obustronnej komunikacji sieciowej.
Ksi¹¿ka „Windows Server 2008. Infrastruktura klucza publicznego (PKI)” zawiera
wszystkie niezbêdne informacje, zwi¹zane z infrastruktur¹ klucza publicznego.
Dziêki temu podrêcznikowi poznasz zasady tworzenia PKI w przedsiêbiorstwach
dowolnej wielkoœci, a tak¿e wszystkie zagadnienia dotycz¹ce szczegó³owego procesu
instalacji oraz konfiguracji nadrzêdnego i podrzêdnego urzêdu certyfikacji. Dowiesz siê,
na czym polega konfigurowanie zasad grupy, zwi¹zanych z infrastruktur¹ klucza
publicznego — w szczególnoœci tych dotycz¹cych kart inteligentnych i us³ug, które s¹
z nimi zwi¹zane — na komputerze pracuj¹cym pod kontrol¹ serwerowego systemu
operacyjnego Windows Server 2008 Standard.

Wydawnictwo Helion
ul. Koœciuszki 1c
44-100 Gliwice
tel. 032 230 98 63
e-mail: helion@helion.pl

• Infrastruktura klucza publicznego
• Architektura PKI w Windows Server 2008
• PKI a szyfrowanie informacji
• Zastosowania PKI
• Tworzenie infrastruktury PKI
• Nadrzêdny i podrzêdny urz¹d certyfikacji
• Szablony certyfikatów cyfrowych
• Zasady grupy i us³ugi zwi¹zane z PKI
• Konfigurowanie IIS 7, SSL i IE 7 na potrzeby PKI
• Uwierzytelnianie za pomoc¹ kart inteligentnych w Windows Server 2008
i Windows Vista
• Zdalny dostêp w Windows Server 2008 i Windows Vista

Bezpieczeñstwo to podstawa.
Profesjonalnie ochroñ wartoœciowe dane firmy

Spis tre!ci
Wprowadzenie .................................................................................. 7
Rozdzia! 1. Infrastruktura klucza publicznego (PKI) ........................................... 11
1.1. Co to jest PKI? ...................................................................................................... 12
1.2. Dlaczego PKI? ...................................................................................................... 13
1.3. Standardy zwi$zane z PKI .................................................................................... 15
1.3.1. ITU X.509 ................................................................................................. 15
1.3.2. RSA PKCS ................................................................................................ 16
1.3.3. IETF PKIX ................................................................................................ 18
1.4. Architektura PKI w Windows Server 2008 .......................................................... 19
1.4.1. Urz%dy certyfikacji (CA) i urz%dy rejestracji (RA) .......................................... 19
1.4.2. Szablony certyfikatów i certyfikaty cyfrowe ............................................. 22
1.4.3. Repozytoria certyfikatów cyfrowych ......................................................... 26
1.4.4. Listy odwo"ania certyfikatów (CRL) ......................................................... 28
1.4.5. Narz%dzia do zarz$dzania PKI w Windows Server 2008
i Windows Vista .................................................................................... 30
1.5. PKI a szyfrowanie informacji ............................................................................... 36
1.5.1. Podstawowe poj%cia zwi$zane z szyfrowaniem informacji ....................... 37
1.5.2. Symetryczne i asymetryczne metody szyfrowania informacji .................. 38
1.6. Zastosowania PKI ................................................................................................. 43
1.7. Funkcje zabezpieczaj$ce w PKI ........................................................................... 44

Rozdzia! 2. Tworzenie infrastruktury PKI w Windows Server 2008 ..................... 45
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.

Fazy projektu PKI ................................................................................................. 46
Projektowanie urz%dów certyfikacji .......................................................................... 47
Planowanie hierarchii i struktury urz%dów certyfikacji ........................................ 50
Planowanie wydajno#ci i skalowalno#ci urz%dów certyfikatów ........................... 55
Planowanie zg"aszania !$da' i dystrybucji certyfikatów cyfrowych .................... 57
Projektowanie zarz$dzania urz%dami certyfikacji i certyfikatami cyfrowymi .......... 61
Planowanie interwa"ów publikowania list CRL .................................................... 62
Projektowanie bezpiecze'stwa urz%dów certyfikacji i danych ............................. 63
2.8.1. Fizyczne #rodki ochronne .......................................................................... 64
2.8.2. Logiczne #rodki ochronne ......................................................................... 66

Rozdzia! 3. Nadrz"dny urz#d certyfikacji typu offline w Windows Server 2008 ...... 73
3.1. Minimalne wymagania systemowe i sprz%towe dla nadrz%dnego CA .................. 73
3.2. Zalecenia dla nadrz%dnego CA ............................................................................. 74
3.3. Instalowanie nadrz%dnego CA w trybie offline .................................................... 75

4

Windows Server 2008. Infrastruktura klucza publicznego (PKI)
3.4. Konfigurowanie okresu wa!no#ci certyfikatów cyfrowych
wystawianych przez nadrz%dny CA .................................................................. 85
3.5. Konfigurowanie punktu dystrybucji listy CRL (CDP)
i dost%pu do informacji o urz%dach (AIA) ........................................................ 86
3.6. Publikowanie listy odwo"ania certyfikatów (CRL) ............................................... 90
3.7. Eksportowanie certyfikatu nadrz%dnego CA i listy CRL ...................................... 91

Rozdzia! 4. Podrz"dny urz#d certyfikacji typu online w Windows Server 2008 ...... 93
4.1. Minimalne wymagania systemowe i sprz%towe dla podrz%dnego CA .................. 93
4.2. Zalecenia dla podrz%dnego CA ............................................................................. 94
4.3. Instalowanie podrz%dnego CA w trybie online ..................................................... 95
4.4. Uzyskiwanie certyfikatu cyfrowego z nadrz%dnego CA dla podrz%dnego CA ......... 104
4.5. Importowanie certyfikatu nadrz%dnego CA i listy CRL do podrz%dnego CA ........ 109
4.6. Uruchamianie us"ugi certyfikatów na podrz%dnym CA ...................................... 115
4.7. Konfigurowanie punktu dystrybucji listy CRL (CDP)
i dost%pu do informacji o urz%dach (AIA) ...................................................... 119
4.8. Publikowanie certyfikatu cyfrowego nadrz%dnego CA
w us"udze katalogowej Active Directory ........................................................ 121

Rozdzia! 5. Szablony certyfikatów cyfrowych w Windows Server 2008 ............. 123
5.1. Domy#lne uprawnienia szablonów certyfikatów cyfrowych .............................. 124
5.1.1. Szablon certyfikatu cyfrowego typu „Kontroler domeny” ...................... 125
5.1.2. Szablon certyfikatu cyfrowego typu „Logowanie kart$ inteligentn$” ..... 126
5.1.3. Szablon certyfikatu cyfrowego typu „Administrator” ............................. 126
5.2. Instalowanie certyfikatu cyfrowego typu „Kontroler domeny”
na kontrolerze domeny .................................................................................... 127
5.3. W"$czanie szablonu certyfikatu cyfrowego typu
„Logowanie kart$ inteligentn$” na podrz%dnym CA ...................................... 132
5.4. Instalowanie certyfikatu cyfrowego typu „Administrator” na podrz%dnym CA ....... 134

Rozdzia! 6. Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008 ......... 139
6.1. Zasady grupy ...................................................................................................... 139
6.2. Zasady kluczy publicznych ................................................................................. 140
6.3. Konfigurowanie zasad grupy dotycz$cych kart inteligentnych ........................... 146
6.3.1. Logowanie interakcyjne: wymagaj karty inteligentnej ............................ 148
6.3.2. Logowanie interakcyjne: zachowanie przy usuwaniu
karty inteligentnej ................................................................................ 150
6.4. Us"ugi zwi$zane z kartami inteligentnymi .......................................................... 153
6.5. Uruchamianie us"ugi Zasady usuwania karty inteligentnej ................................. 154

Rozdzia! 7. Konfigurowanie IIS 7, SSL i IE 7 na potrzeby PKI ........................... 157
7.1.
7.2.
7.3.
7.4.
7.5.
7.6.
7.7.

Bezpieczna komunikacja sieciowa ..................................................................... 157
Internet Information Services 7 (IIS 7) ............................................................... 158
Instalowanie certyfikatu typu „Serwer sieci Web” na serwerze IIS 7 ................. 160
Secure Socket Layer (SSL) ................................................................................. 164
Konfigurowanie ustawie' protoko"u SSL na serwerze IIS 7 .............................. 165
Internet Explorer 7 (IE 7) ................................................................................... 168
Przygotowanie programu IE 7 do bezpiecznej obs"ugi witryny CertSrv ............ 170

Rozdzia! 8. Uwierzytelnianie za pomoc# kart inteligentnych
w Windows Server 2008 i Windows Vista ...................................... 175
8.1. Karty inteligentne ............................................................................................... 176
8.2. Czytniki kart inteligentnych ............................................................................... 177
8.3. Zarz$dzanie kartami inteligentnymi w Windows Server 2008 .............................. 177

Spis tre$ci

5
8.3.1. Przygotowanie stacji rejestrowania certyfikatów
cyfrowych kart inteligentnych ............................................................. 178
8.3.2. Przygotowanie karty inteligentnej do pracy ............................................ 181
8.3.3. Umieszczenie certyfikatu typu „Logowanie kart$ inteligentn$”
na karcie inteligentnej .......................................................................... 184
8.4. Zarz$dzanie dost%pem u!ytkowników w Windows Vista ................................... 194
8.4.1. Zabezpieczanie kont administracyjnych .................................................. 194
8.4.2. Metody uwierzytelniania ......................................................................... 195
8.4.3. Konfigurowanie opcji kont u!ytkowników w us"udze Active Directory ....... 196
8.4.4. Logowanie do systemu Windows Vista za pomoc$ karty inteligentnej ...... 197

Rozdzia! 9. Zdalny dost"p w Windows Server 2008 i Windows Vista ............... 203
9.1. Narz%dzia administracji zdalnej serwera firmy Microsoft .................................. 204
9.2. Pulpit zdalny firmy Microsoft ............................................................................. 204
9.3. Instalowanie i konfigurowanie narz%dzi administracji zdalnej
serwera w Windows Vista .............................................................................. 207
9.4. Zarz$dzanie PKI za pomoc$ narz%dzi administracji zdalnej
serwera firmy Microsoft ................................................................................. 209
9.5. Konfigurowanie serwera na potrzeby us"ugi Pulpit zdalny firmy Microsoft ......... 215
9.5.1. W"$czanie us"ugi Pulpit zdalny firmy Microsoft ..................................... 216
9.5.2. Konfigurowanie ustawie' serwera terminali ........................................... 217
9.5.3. Zmiana domy#lnego numeru portu dla us"ug terminalowych .................. 222
9.5.4. Konfigurowanie ustawie' programu Zapora systemu Windows ............. 224
9.6. Konfigurowanie klienta us"ugi Pulpit zdalny ...................................................... 224
9.7. Zarz$dzanie infrastruktur$ PKI za pomoc$ klienta us"ugi Pulpit zdalny ............ 228

Skorowidz .................................................................................... 231

140

Windows Server 2008. Infrastruktura klucza publicznego (PKI)

Rysunek 6.1.
Zasady grupy
dotycz<ce komputera

2. Zasady grupy dotycz<ce uZytkownika, które przedstawiono na rysunku 6.2. S$

one stosowane do tych u!ytkowników, którzy loguj$ si% do systemu na danym
komputerze. Na ogó" zasady te s$ aktywowane natychmiast po uwierzytelnieniu
to!samo#ci u!ytkownika, ale przed przyznaniem mu dost%pu do systemu Windows.
Rysunek 6.2.
Zasady grupy
dotycz<ce
uZytkownika

Zasady grupy nie powoduj$ trwa"ych zmian w rejestrze systemu Windows. Mo!na je
wi%c bardzo "atwo dodawa+ i usuwa+ bez „za#miecania” rejestru czy konieczno#ci
ponownego uruchamiania systemu operacyjnego.

6.2. Zasady kluczy publicznych
W tej cz%#ci ksi$!ki zostan$ przedstawione zasady grupy zwi$zane z infrastruktur$ klucza publicznego (PKI), a w szczególno#ci zawarto#+ kontenera o nazwie Zasady kluczy
publicznych. Obiekty i opcje dost%pne w tym kontenerze umo!liwiaj$ zarz$dzanie

Rozdzia! 6.

Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008

141

ustawieniami infrastruktury klucza publicznego, które znajduj$ si% w sekcji dotycz$cej
komputera (rysunek 6.3) i u!ytkownika (rysunek 6.4) w dowolnej wielko#ci przedsi%biorstwie lub organizacji.

Rysunek 6.3. Zasady kluczy publicznych dotycz<ce komputera

Rysunek 6.4. Zasady kluczy publicznych dotycz<ce uZytkownika

Co mo!na skonfigurowa+ za pomoc$ obiektów oraz opcji dost%pnych w kontenerze
Zasady kluczy publicznych? Najwa!niejsze ustawienia zosta"y przedstawione poni!ej
w punktach.

142

Windows Server 2008. Infrastruktura klucza publicznego (PKI)
1. Automatyczne rejestrowanie certyfikatów cyfrowych u#ytkownika

i komputera
Automatyczne rejestrowanie certyfikatów cyfrowych u!ytkownika
i komputera pozwala w niezwykle prosty sposób zautomatyzowa+:
proces odnawiania wygas"ych certyfikatów cyfrowych,
aktualizowanie oczekuj$cych certyfikatów cyfrowych (równie! tych,
które u!ywaj$ opisanych wcze#niej szablonów certyfikatów cyfrowych),
usuwanie odwo"anych certyfikatów cyfrowych,
powiadamianie o wygasaniu danego certyfikatu cyfrowego, zanim sko'czy
si% jego okres wa!no#ci.
Powy!sze cele mo!na osi$gn$+, edytuj$c w"a#ciwo#ci obiektu Klient usSug
certyfikatów — automatyczne rejestrowanie z poziomu kontenera Zasady
kluczy publicznych, co przedstawiono na rysunku 6.5.
Rysunek 6.5.
Klient usSug
certyfikatów
— automatyczne
rejestrowanie
dla komputera

Zgodnie z rysunkiem 6.5, na zak"adce Definiowanie ustawie= zasad mo!na
skonfigurowa+ automatyczne rejestrowanie certyfikatów cyfrowych
u!ytkowników oraz komputerów. W tym odnawianie wygas"ych certyfikatów
cyfrowych, aktualizacj% oczekuj$cych czy usuni%cie odwo"anych certyfikatów
cyfrowych. Poza tym mo!na zaktualizowa+ certyfikaty cyfrowe, które zosta"y
utworzone na podstawie szablonów certyfikatów cyfrowych. W przypadku
skonfigurowania automatycznego rejestrowania dla u!ytkowników dodatkowo
pojawi si% (rysunek 6.6) opcja Powiadomienie o wyga[ni*ciu. Jej w"$czenie
spowoduje wy#wietlanie powiadomienia o wygasaniu certyfikatu cyfrowego,
gdy procent pozosta"ego okresu wa!no#ci tego certyfikatu wyniesie 10%.
T% domy#ln$ warto#+ mo!na oczywi#cie zmienia+ w zale!no#ci od wymaga'
danego przedsi%biorstwa lub innej organizacji.

Rozdzia! 6.

Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008

143

Rysunek 6.6.
Klient usSug
certyfikatów
— automatyczne
rejestrowanie
dla uZytkownika

2. Konfigurowanie ustawie? sprawdzania poprawno$ci $cie#ki certyfikatu

U!ytkownicy przedsi%biorstwa lub innej organizacji mog$ w dowolnym
stopniu korzysta+ z certyfikatów cyfrowych. W najnowszych serwerowych
systemach operacyjnych Microsoft Windows Server 2008 Standard
administrator domeny ma mo!liwo#+ kontrolowania (dzi%ki obiektowi
o nazwie Ustawienia sprawdzania poprawno[ci [cieZki certyfikatu, który jest
dost%pny w kontenerze Zasady kluczy publicznych) stopie' zu!ytkowania tych
certyfikatów. Po wybraniu w"a#ciwo#ci obiektu Ustawienia sprawdzania
poprawno[ci [cieZki certyfikatu mo!na przej#+ do konfigurowania ustawie'
sprawdzania poprawno#ci #cie!ki certyfikatu cyfrowego. S"u!$ do tego opcje,
które s$ dost%pne na czterech zak"adkach (Magazyny, Zaufani wydawcy,
Pobieranie z sieci i OdwoSywanie), oraz zasady Sprawdzanie poprawno[ci
[cieZki certyfikatu. Na potrzeby tej ksi$!ki zostanie omówiona jedynie zak"adka
Magazyny, gdy! pozosta"e nie s$ tak istotne.
Jak ogólnie wiadomo, przedsi%biorstwa i inne organizacje chc$ jednoznacznie
identyfikowa+ oraz rozprowadza+ w sieci komputerowej tylko zaufane certyfikaty
cyfrowe nadrz%dnych urz%dów certyfikacji. Umo!liwiaj$ to opcje dost%pne
na zak"adce o nazwie Magazyny, przedstawionej na rysunku 6.7. Z poziomu tej
zak"adki mo!na okre#la+ m.in. regu"y zaufania u!ytkownika do certyfikatu
cyfrowego nadrz%dnego CA, który funkcjonuje w danym przedsi%biorstwie
lub organizacji.
3. Konfigurowanie ustawienia automatycznego #%dania certyfikatu

dla komputerów
Jak ju! wspomniano na pocz$tku tego rozdzia"u, zarz$dzanie ka!dym
certyfikatem cyfrowym z osobna jest czasoch"onne. W kontenerze o nazwie
Ustawienia automatycznego Z<dania certyfikatu administrator domeny mo!e

144

Windows Server 2008. Infrastruktura klucza publicznego (PKI)

Rysunek 6.7.
ZakSadka „Magazyny”

zdefiniowa+, których typów certyfikatów cyfrowych komputer mo!e za!$da+
automatycznie. W przypadku tworzenia nowego !$dania certyfikatu cyfrowego
zostanie uruchomione narz%dzie Kreator instalatora automatycznego Z<dania
certyfikatu, co przedstawia rysunek 6.8.
Rysunek 6.8.
„Kreator instalatora
automatycznego
Z<dania certyfikatu”

Rozdzia! 6.

Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008

145

4. Importowanie certyfikatu nadrz!dnego CA do magazynu

„Zaufane g"ówne urz!dy certyfikacji”
Po zainstalowaniu w przedsi%biorstwie lub innej organizacji nadrz%dnego CA
nale!y doda+ (zaimportowa+) jego certyfikat cyfrowy do magazynu Zaufane
gSówne urz*dy certyfikacji, co pozwoli przenie#+ go automatycznie (za pomoc$
zasad grupy) na ró!ne komputery (komputery klienckie, serwery cz"onkowski itp.).
Certyfikat cyfrowy nadrz%dnego CA mo!na doda+ do magazynu Zaufane
gSówne urz*dy certyfikacji po zaznaczeniu obiektu o nazwie Zaufane gSówne
urz*dy certyfikacji. Nast%pnie trzeba wybra+ z menu Akcja opcj% Importuj…
Zostanie wówczas uruchomiony dobrze znany z poprzednich rozdzia"ów
kreator o nazwie Kreator importu certyfikatów — za jego pomoc$ mo!na
zaimportowa+ certyfikat cyfrowy nadrz%dnego CA (rysunek 6.9).

Rysunek 6.9. Certyfikat cyfrowy nadrz*dnego CA zaimportowany do magazynu „Zaufane gSówne
urz*dy certyfikacji”
5. Importowanie certyfikatu podrz!dnego CA do magazynu

„Po$rednie urz!dy certyfikacji”
Po zainstalowaniu w przedsi%biorstwie lub innej organizacji podrz%dnego CA
nale!y (podobnie jak w przypadku certyfikatu nadrz%dnego CA) zaimportowa+
jego certyfikat cyfrowy do magazynu Po[rednie urz*dy certyfikacji.
Po zaimportowaniu certyfikatu cyfrowego podrz%dnego CA do magazynu
Po[rednie urz*dy certyfikacji w prawym oknie konsoli powinien pojawi+ si%
certyfikat CA-02, jak na rysunku 6.10. Zostaje dodany równie! certyfikat
cyfrowy nadrz%dnego CA (CA-01), co tak!e obrazuje ten sam rysunek.
Jak pami%tamy z rozdzia"u 4., podczas eksportu certyfikatu cyfrowego

146

Windows Server 2008. Infrastruktura klucza publicznego (PKI)

Rysunek 6.10. Certyfikat podrz*dnego CA zaimportowany do magazynu „Po[rednie urz*dy certyfikacji”

podrz%dnego CA zosta" wybrany format PKCS #7 (.P7B) wraz z opcj$ JeZeli
jest to moZliwe, doS<cz wszystkie certyfikaty do [cieZki certyfikacji. Poniewa!
certyfikat cyfrowy nadrz%dnego CA nale!y do tej #cie!ki, jest dodawany
wsz%dzie tam, gdzie wprowadzono certyfikat cyfrowy podrz%dnego CA.
Po wykonaniu powy!szych kroków nale!y od#wie!y+ zasady grupy (u!ytkownika oraz
komputera) za pomoc$ komendy gpupdate /force. Wykonanie tej komendy wymusza
natychmiastow$ aktualizacj% zasad grupy u!ytkownika i komputera.

6.3. Konfigurowanie zasad grupy
dotycz=cych kart inteligentnych
Najnowsze serwerowe systemy operacyjne Windows Server 2008 Standard zawieraj$
kilka zasad, które dotycz$ kart inteligentnych. W tej cz%#ci ksi$!ki zaprezentowane zostan$ dwie najcz%#ciej wykorzystywane, czyli:
1. Logowanie interakcyjne: wymagaj karty inteligentnej. To ustawienie

zabezpiecze' okre#la, !e u!ytkownicy domeny mog$ si% zalogowa+ si%
do komputera tylko przy u!yciu karty inteligentnej z w"a#ciwym certyfikatem
cyfrowym.

Rozdzia! 6.

Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008

147

2. Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej.

To ustawienie zabezpiecze' okre#la, co si% stanie, je#li karta inteligentna
aktualnie zalogowanego do komputera u!ytkownika zostanie wyj%ta z czytnika
kart inteligentnych.
Powy!sze zasady, których w"$czenie podnosi poziom bezpiecze'stwa w przedsi%biorstwie lub innej organizacji wykorzystuj$cych infrastruktur% klucza publicznego (PKI),
s$ dost%pne z poziomu konsoli Zarz<dzanie zasadami grupy na kontrolerze domeny.
Najcz%#ciej zasady grupy dotycz$ce kart inteligentnych mo!na definiowa+ dla ca"ej domeny sieciowej lub dla wybranej jednostki organizacyjnej (ang. Organizational Unit).
Na potrzeby tej ksi$!ki zdefiniowane zostan$ zasady dla jednostki organizacyjnej o nazwie PKI. W tym celu Administrator domeny (u!ytkownik EA.pl\Administrator) na kontrolerze domeny o nazwie DC-01 musi:
1. Uruchomi+ konsol% Zarz<dzanie zasadami grupy (np. za pomoc$
komendy gpmc.msc).
2. Przej#+ do obiektu o nazwie PKI i utworzy+ w nim nowy obiekt zasad grupy

o nazwie Karty inteligentne, jak na rysunku 6.11.
Rysunek 6.11.
Nowy obiekt zasad
grupy o nazwie
„Karty inteligentne”

3. Rozwin$+ w%ze" Obiekty zasad grupy i zaznaczy+ zasad% Karty inteligentne.
4. Z menu Akcja wybra+ opcj% Edytuj…
5. Przej#+ do w%z"a Opcje zabezpiecze=, przedstawionego na rysunku 6.12.

Rysunek 6.12. W*zeS „Opcje zabezpiecze=” wraz z domy[lnymi zasadami grypy

148

Windows Server 2008. Infrastruktura klucza publicznego (PKI)

Z poziomu w%z"a Opcje zabezpiecze= zostan$ skonfigurowane dwie wspomniane wcze#niej zasady grupy dotycz$ce kart inteligentnych, czyli:
Logowanie interakcyjne: wymagaj karty inteligentnej,
Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej.

6.3.1. Logowanie interakcyjne:
wymagaj karty inteligentnej
Je!eli przedsi%biorstwo lub inna organizacja zechce umo!liwi+ dost%p do jakiego# serwera cz"onkowskiego, np. o nazwie CA-02 (podrz%dnego CA), jedynie z wykorzystaniem kart inteligentnych, musi w"$czy+ zasad% o nazwie Logowanie interakcyjne:
wymagaj karty inteligentnej. Dzi%ki tej zasadzie podczas logowania za pomoc$ has"a
dost%powego do tego serwera pojawi si% komunikat przedstawiony na rysunku 6.13.
Oczywi#cie po wcze#niejszym wykonaniu omawianych w tym podrozdziale kroków
i po przeniesieniu konta serwera cz"onkowskiego o nazwie CA-02 do jednostki organizacyjnej PKI, dla której zosta"a ustawiona powy!sza zasada. Trzeba pami%ta+ o tym,
aby przed przeniesieniem konta komputera do wspomnianej jednostki organizacyjnej
zaimportowa+ do odpowiednich magazynów certyfikaty cyfrowe nadrz%dnego i podrz%dnego CA oraz listy CRL.

Rysunek 6.13. Wynik dziaSania zasady „Logowanie interakcyjne: wymagaj karty inteligentnej”

Aby w"$czy+ zasad% o nazwie Logowanie interakcyjne: wymagaj karty inteligentnej,
Administrator domeny (u!ytkownik EA.pl\Administrator) musi wykona+ wymieniane
poni!ej dzia"ania na kontrolerze domeny.
1. Zaznaczy+ w prawym oknie zasad% Logowanie interakcyjne: wymagaj karty

inteligentnej, jak na rysunku 6.14.
2. Z menu Akcja wybra+ opcj% WSa[ciwo[ci.
3. Na zak"adce Ustawianie zasad zabezpiecze= zaznaczy+ pole wyboru Definiuj

nast*puj<ce ustawienie zasad, a nast%pnie wybra+ opcj% WS<czone,
jak na rysunku 6.15.

Rozdzia! 6.

Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008

Rysunek 6.14. Zasada „Logowanie interakcyjne: wymagaj karty inteligentnej”
Rysunek 6.15.
ZakSadka
„Ustawianie zasad
zabezpiecze=”
dla „Logowanie
interakcyjne:
wymagaj karty
inteligentnej”

4. Klikn$+ na przycisk OK, aby zamkn$+ okno WSa[ciwo[ci: Logowanie

interakcyjne: wymagaj karty inteligentnej. Nie nale!y zamyka+ konsoli
Zarz<dzanie zasadami grupy, gdy! b%dzie ona potrzebna do ustawienia
kolejnej zasady o nazwie „Logowanie interakcyjne: zachowanie przy
usuwaniu karty inteligentnej”.

149

150

Windows Server 2008. Infrastruktura klucza publicznego (PKI)

6.3.2. Logowanie interakcyjne:
zachowanie przy usuwaniu karty inteligentnej
Je!eli chcemy, aby dost%p do jakiego# serwera cz"onkowskiego, np. o nazwie CA-02
(podrz%dnego CA), by" blokowany po wyj%ciu karty inteligentnej z czytnika kart inteligentnych (rysunek 6.16), trzeba w"$czy+ zasad% o nazwie Logowanie interakcyjne:
zachowanie przy usuwaniu karty inteligentnej. Oczywi#cie po wcze#niejszym wykonaniu przedstawionych w tym podrozdziale (i w dwóch kolejnych) kroków, a nast%pnie po przeniesieniu konta serwera cz"onkowskiego o nazwie CA-02 do jednostki organizacyjnej PKI, dla której zosta"a ustawiona ta zasada grupy.

Rysunek 6.16. Wynik dziaSania zasady „Logowanie interakcyjne: zachowanie przy usuwaniu karty
inteligentnej”

Aby skonfigurowa+ zasad% dotycz$c$ zachowania si% komputera podczas usuwania
karty inteligentnej z czytnika kart inteligentnych, Administrator domeny (u!ytkownik
EA.pl\Administrator) musi wykona+ wymieniane poni!ej dzia"ania.
1. Zaznaczy+ w prawym oknie konsoli Zarz<dzanie zasadami grupy zasad%

Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej,
jak na rysunku 6.17.
2. Z menu Akcja wybra+ opcj% WSa[ciwo[ci.
3. Na zak"adce Ustawianie zasad zabezpiecze= zaznaczy+ pole wyboru Definiuj

nast*puj<ce ustawienie zasad, a nast%pnie z listy rozwijalnej wybra+ akcj%
Zablokuj stacj* robocz<, jak na rysunku 6.18. Poza t$ akcj$ s$ dost%pne inne opcje:
Brak akcji,
Wymuszaj wylogowanie,
RozS<cz w przypadku zdalnej sesji usSug terminalowych.

Rozdzia! 6.

Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008

151

Rysunek 6.17. Zasada „Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej”
Rysunek 6.18.
ZakSadka
„Ustawianie zasad
zabezpiecze=
dla Logowanie
interakcyjne:
zachowanie przy
usuwaniu karty
inteligentnej”

4. Klikn$+ na przycisk OK.
5. Zamkn$+ konsol% Edytor zarz<dzania zasadami grupy.

Po wykonaniu powy!szych dzia"a' nale!y od#wie!y+ zasady grupy (u!ytkownika oraz
komputera) za pomoc$ komendy gpupdate /force. Komenda ta wymusza natychmiastow$ aktualizacj% zasad grupy u!ytkownika i komputera.
W przypadku zasady Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej warto pami%ta+ o jeszcze jednym. Zasada ta dzia"a dopiero po w"$czeniu na
komputerze wyposa!onym w czytnik kart inteligentnych i kart% inteligentn$ (za pomoc$

152

Windows Server 2008. Infrastruktura klucza publicznego (PKI)

którego realizowane jest uwierzytelnianie z wykorzystaniem certyfikatu cyfrowego karty
inteligentnej) us"ugi o nazwie Zasady usuwania karty inteligentnej. Jest to nowa us"uga
w systemach operacyjnych Windows Server 2008 Standard i Windows Vista Business,
uruchamiana r%cznie lub automatycznie. Druga metoda zostanie przedstawiona w dalszej cz%#ci tego rozdzia"u. W przypadku r%cznego uruchamiania powy!szej us"ugi mo!na
j$ w"$czy+ poprzez ustawienie trybu uruchomienia na Automatyczny. Próba zmiany
stanu us"ugi z domy#lnej warto#ci Zatrzymano na Uruchom wygeneruje komunikat,
który przedstawia rysunek 6.19.
Rysunek 6.19.
Okno „UsSugi”

Zgodnie z komunikatem przedstawionym na rysunku 6.19, us"uga Zasady usuwania
karty inteligentnej zosta"a uruchomiona, a nast%pnie z powrotem zatrzymana. Dlaczego
tak si% dzieje? Poniewa! jest ona zale!na od innych us"ug. Mo!na jednak wymusi+
w"$czenie powy!szej us"ugi (bez komunikatu z rysunku 6.19) z poziomu okna Edytor
rejestru poprzez zmian% warto#ci ci$gu binarnego o nazwie scremoveoption z 0 na 1.
Warto#+ ta znajduje si% w kluczu o nazwie HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows NT\CurrentVersion\Winlogon, co przedstawia rysunek 6.20. Na
potrzeby niniejszej ksi$!ki us"uga ta zostanie w"$czona za pomoc$ zasad grupy. R%czne
modyfikacje rejestru s$ niebezpieczne i nale!y si% ich wystrzega+.

Rysunek 6.20. Okno „Edytor rejestru”

Rozdzia! 6.

Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008

153

Wszystkie omówione w tym rozdziale ustawienia zasad grupy Karty inteligentne dla
obiektu PKI (jednostki organizacyjnej o nazwie PKI) mo!na sprawdzi+ na zak"adce
Ustawienia, przedstawionej na rysunku 6.21.

Rysunek 6.21. Ustawienia zasad grupy „Karty inteligentne” dla obiektu PKI

Ustawienia zasad grupy Karty inteligentne dla obiektu PKI mo!na wyeksportowa+ do
formatu HTML (jako raport), a nast%pnie przegl$da+ je za pomoc$ przegl$darki internetowej Internet Explorer 7, co przedstawia rysunek 6.22.

6.4. UsMugi zwi=zane
z kartami inteligentnymi
Najnowsze systemy operacyjne firmy Microsoft: Windows Server 2008 Standard oraz
Windows Vista Business, zawieraj$ kilka us"ug, które s$ zwi$zane z infrastruktur$ klucza publicznego (PKI). Najwa!niejsze zosta"y przedstawione w tabeli 6.1 wraz z ich domy#lnymi trybami uruchomienia i stanami.
Domy#lny tryb uruchomienia i stany poszczególnych us"ug zwi$zanych z infrastruktura klucza publicznego (PKI) mog$ si% zmieni+ w zale!no#ci od potrzeb przedsi%biorstwa lub innej organizacji, o czym b%dzie mowa w nast%pnych rozdzia"ach. Ogólnie rzecz ujmuj$c, np. us"uga o nazwie Karta inteligentna po zainstalowaniu sterownika

154

Windows Server 2008. Infrastruktura klucza publicznego (PKI)

Rysunek 6.22. Raport dla obiektu zasad grupy „Karty inteligentne”
Tabela 6.1. Domy[lne ustawienia wybranych usSug zwi<zanych z PKI
Domy$lny tryb
uruchomienia

Stan us!ugi

Zarz$dza dost%pem do kart inteligentnych
czytanych przez ten komputer.

R%czny

Zatrzymano

Propagacja certyfikatu
(CertPropSvc)

Propaguje certyfikaty z kart inteligentnych.

R%czny

Zatrzymano

Zasady usuwania
karty inteligentnej
(SCPolicySvc)

Umo!liwia skonfigurowanie systemu w taki
sposób, aby po usuni%ciu karty inteligentnej
by" blokowany pulpit u!ytkownika.

R%czny

Zatrzymano

Nazwa us!ugi

Opis us!ugi

Karta inteligentna
(SCardSvr)

czytnika kart inteligentnych na danym komputerze klienckim, serwerze cz"onkowskim
czy kontrolerze domeny zmienia automatycznie domy#lny tryb uruchomienia na Automatyczny oraz stan na Uruchomiono.

6.5. Uruchamianie usMugi Zasady
usuwania karty inteligentnej
Je!eli w sieci komputerowej przedsi%biorstwa lub innej organizacji korzystaj$cej z najnowszych systemów operacyjnych firmy Microsoft: Windows Server 2008 Standard
i Windows Vista Business z dodatkiem Service Pack 1, do uwierzytelniania si% w domenie b%d$ wykorzystywane karty inteligentne, na komputerach nale!$cych do sieci

Rozdzia! 6.

Zasady grupy i us!ugi zwi#zane z PKI w Windows Server 2008

155

trzeba uruchomi+ us"ug% o nazwie Zasady usuwania karty inteligentnej, o której by"a
ju! wcze#niej mowa. Dopóki ta us"uga nie b%dzie uruchomiona, komputer po wyj%ciu
karty inteligentnej z czytnika kart inteligentnych b%dzie blokowany. Samo ustawienie zasady Logowanie interakcyjne: zachowanie przy usuwaniu karty inteligentnej
nie wystarcza.
Us"uga Zasady usuwania karty inteligentnej (SCPolicySvc) umo!liwia skonfigurowanie najnowszych systemów operacyjnych firmy Microsoft w taki sposób, aby po usuni%ciu karty inteligentnej z czytnika kart inteligentnych by" blokowany pulpit aktualnie zalogowanego u!ytkownika. W przypadku systemów operacyjnych Windows Server
2003 z dodatkiem Service Pack 2 czy Windows XP Professional z dodatkiem Service
Pack 3 nie jest wymagane uruchamianie us"ugi Zasady usuwania karty inteligentnej,
gdy! us"uga taka nie jest w nich dost%pna. Systemy automatycznie blokuj$ komputer
po wyj%ciu karty inteligentnej z czytnika kart inteligentnych. Nie trzeba wi%c wykonywa+ omawianych w tym podrozdziale czynno#ci. Wystarczy tylko dokona+ ustawie'
zasad grupy dotycz$cych kart inteligentnych, które zosta"y przedstawione w poprzednich
podrozdzia"ach. Odpowiednio skonfigurowane musz$ by+ tylko najnowsze systemy operacyjne firmy Microsoft.
Jak ju! wcze#niej wspomniano, istnieje kilka metod uruchamiania us"ugi Zasady usuwania karty inteligentnej. Mo!na to wykona+ r%cznie (na ka!dym komputerze wyposa!onym w czytnik kart inteligentnych) z poziomu konsoli MMC o nazwie UsSugi
(ang. Services), któr$ w"$cza si% za pomoc$ komendy services.msc. Mo!na równie!
skorzysta+ z metody automatycznej, tj. z wykorzystaniem zasad grupy, co b%dzie
omówione dalej. To rozwi$zanie jest znacznie mniej pracoch"onne, co ma niebagatelne
znaczenie w przypadku konfigurowania setek czy tysi%cy komputerów. Wystarczy jedynie skonfigurowa+ jedn$ zasad% i za pomoc$ us"ugi katalogowej Active Directory
rozprowadzi+ j$ do komputerów znajduj$cych si% w okre#lonej jednostce organizacyjnej.
Aby uruchomi+ us"ugi Zasady usuwania karty inteligentnej za pomoc$ zasad grupy,
Administrator domeny (u!ytkownik EA.pl\Andministrator) musi wykona+ nast%puj$ce
czynno#ci.
1. Uruchomi+ konsol% Zarz<dzanie zasadami grupy (np. za pomoc$ komendy
gpmc.msc), a nast%pnie wyedytowa+ wcze#niej utworzon$ zasad% grupy

o nazwie Karty inteligentne.
2. Przej#+ do w%z"a UsSugi systemowe i zaznaczy+ w prawym oknie us"ug%

Zasady usuwania karty inteligentnej, jak na rysunku 6.23.
3. Z menu Akcja wybra+ opcj% WSa[ciwo[ci.
4. Na zak"adce Ustawianie zasad zabezpiecze= dokona+ takich ustawie', jakie

zosta"y przedstawione na rysunku 6.24, a nast%pnie klikn$+ na przycisk OK.
5. Zamkn$+ konsol% Zarz<dzanie zasadami grupy.
6. Od#wie!y+ zasady grupy (u!ytkownika i komputera) za pomoc$ komendy
gpupdate /force. Komenda ta wymusza natychmiastow$ aktualizacj% zasad

grupy u!ytkownika i komputera.