Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 76 (всего у книги 91 страниц)
• С е т е в ы е о т в е т ч и к и м о г у т с о з д а т ь м а с с и в с и с т е м , о б е с п е ч и в а я в ы с о к у ю
г о т о в н о с т ь с л у ж б ы . М а с с и в м о ж е т с о с т о я т ь и з д в у х СА, играющих роль
с е т е в ы х о т в е т ч и к о в , и л и с о д е р ж а т ь м н о ж е с т в о серверов.
• Д л я п о д п и с и о т в е т о в н а з а п р о с ы с е т е в ы е о т в е т ч и к и д о л ж н ы использовать
с е р т и ф и к а т ы O C S P ( O n l i n e C e r t i f i c a t e S t a t u s P r o t o c o l ) . Э т и сертификаты
ш и ф р у ю т с о д е р ж и м о е о т к л и к а с е т е в о г о о т в е т ч и к а .
• Д л я п о л н о ф у н к ц и о н а л ь н о й р а б о т ы с е т е в ы х о т в е т ч и к о в т а к ж е необходи-
м о н а с т р о и т ь к о н ф и г у р а ц и ю р а с ш и р е н и я Д о с т у п к с в е д е н и я м центров
809 Службы ф е д е р а ц и и Active Directory
Глава 17
сертификации (Authority Information Access), в х о д я щ е г о в с в о й с т в а ц е н т р а
сертификации.
• Каждый СА, я в л я ю щ и й с я сетевым о т в е т ч и к о м , д о л ж е н и с п о л ь з о в а т ь собс-
твенную конфигурацию отзыва с е р т и ф и к а т о в , п о с к о л ь к у к а ж д ы й С А об л а -
дает собственным с е р т и ф и к а т о м . Д л я р а б о т ы в м а с с и в е все э т и с е р т и ф и -
каты должны быть д о в е р е н н ы м и . К о н ф и г у р а ц и я о т з ы в а п о з в о л я е т д р у г и м
членам массива доверять к а ж д о м у о т д е л ь н о м у СА в м а с с и в е .
• Защита каждого СА в и н ф р а с т р у к т у р е играет о ч е н ь в а ж н у ю р о л ь . По э т о й
причине необходимо периодически а р х и в и р о в а т ь все д а н н ы е СА, в к л ю ч а я
сертификаты. Требуется обеспечить з а щ и т у э т и х а р х и в о в , п о с к о л ь к у о н и
содержат весьма у я з в и м ы е данные.
Закрепление материала
Следующий вопрос .можно и с п о л ь з о в а т ь д л я п р о в е р к и з н а н и й , п о л у ч е н н ы х на
занятии 2. Этот вопрос есть и на с о п р о в о д и т е л ь н о м к о м п а к т – д и с к е .
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа является
правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Вам как администратору P K I в к о м п а н и и C o n t o s o , L t d н у ж н о о т к о н ф и г у -
рировать сетевой ответчик. Вы у ж е н а с т р о и л и с е р т и ф и к а т ы П о д п и с ы в а н и е
отклика O C S P ( O C S P Response Signing), р а с ш и р е н и е Д о с т у п к с в е д е н и -
ям центров с е р т и ф и к а ц и и ( A u t h o r i t y I n f o r m a t i o n Access) и п е р е з а г р у з и л и
сервер. Теперь вы собираетесь п р о в е р и т ь а в т о м а т и ч е с к у ю з а г р у з к у э т о г о
сертификата иа сервер. Вы с о з д а л и н а с т р а и в а е м у ю к о н с о л ь с о с н а с т к о й
Сертификаты (Certificates), о д н а к о п р и п р о с м о т р е с е р т и ф и к а т о в в у з л е
Личное (Personal) компьютера оснастка н е о т к р ы л а с ь . В ы р е ш и л и и м п о р -
тировать сертификат вручную, о д н а к о п р и и с п о л ь з о в а н и и м а с т е р а з а п р о с а
нового сертификата ( R e q u e s t New C e r t i f i c a t e W i z a r d ) о б н а р у ж и л о с ь , ч т о
доступны не все с е р т и ф и к а т ы . В чем п р и ч и н а ?
Резюме главы 787
A . Э т о т с е р т и ф и к а т н е л ь з я з а п р о с и т ь с п о м о щ ь ю мастера. Н е о б х о д и м о
и с п о л ь з о в а т ь у т и л и т у Certutil.exe.
Б . Н е к о р р е к т н о з а д а н ы с в о й с т в а б е з о п а с н о с т и ш а б л о н а сертификата.
B . Н а э т о м с е р в е р е н е л ь з я з а г р у з и т ь с е р т и ф и к а т П о д п и с ы в а н и е отклика
O C S P ( O C S P R e s p o n s e S i g n i n g ) .
Г. Э т о т с е р т и ф и к а т не н у ж н о з а г р у ж а т ь вручную. Он будет загружен ав-
т о м а т и ч е с к и п р и с л е д у ю щ е м о б н о в л е н и и г р у п п о в о й п о л и т и к и .
Закрепление материала главы
Д л я т о г о ч т о б ы п о п р а к т и к о в а т ь с я и з а к р е п и т ь з н а н и я , полученные при изу-
ч е н и и п р е д с т а в л е н н о г о в э т о й г л а в е м а т е р и а л а , вам необходимо выполнить
с л е д у ю щ и е з а д а н и я :
• о з н а к о м и т ь с я с р е з ю м е г л а в ы ;
• п о в т о р и т ь и с п о л ь з у е м ы е в г л а в е о с н о в н ы е термины;
• и з у ч и т ь с ц е н а р и й , в к о т о р о м о п и с а н а р е а л ь н а я ситуация, требующая при-
м е н е н и я п о л у ч е н н ы х з н а н и й , и п р е д л о ж и т ь свое решение;
• в ы п о л н и т ь р е к о м е н д у е м ы е у п р а ж н е н и я ;
• с д а т ь п р о б н ы й э к з а м е н с п о м о щ ь ю тестов.
Резюме главы
• С п о м о щ ь ю и н ф р а с т р у к т у р ы о т к р ы т ы х к л ю ч е й полномочия организации
м о ж н о р а с ш и р и т ь за п р е д е л ы у п р а в л я е м о й ею сети. Роль AD DS сфоку-
с и р о в а н а иа с л у ж б а х к а т а л о г о в сетевой операционной системы и должна
р а с п о л а г а т ь с я в п р е д е л а х в н у т р е н н е й сети. Р о л ь AD CS можно запускать
в н у т р и и в и е к о р п о р а т и в н о й сети. П р и и с п о л ь з о в а н и и внутри сети AD CS
м о ж н о и н т е г р и р о в а т ь в м е с т е с AD DS, обеспечив автоматизированную по-
д а ч у з а я в о к н а с е р т и ф и к а т ы . П р и и с п о л ь з о в а н и и вне корпоративной сети
с л у ж б ы A D C S н е о б х о д и м о у с т а н о в и т ь в качестве автономных центров
с е р т и ф и к а ц и и и п р и в я з а т ь их к с т о р о н н е м у доверенному центру серти-
ф и к а ц и и , ч т о б ы в а ш и м с е р т и ф и к а т а м д о в е р я л и компьютерные системы,
к о т о р ы м и в ы н е у п р а в л я е т е .
• С е р т и ф и к а т ы м о ж н о и с п о л ь з о в а т ь д л я р а з л и ч н ы х целей, включая шифро-
в а н и е д а н н ы х н а п е р с о н а л ь н ы х компьютерах, ш и ф р о в а н и е коммуникаций
м е ж д у д в у м я к о н е ч н ы м и т о ч к а м и , з а щ и т у и н ф о р м а ц и и , двухфакторную
п р о в е р к у п о д л и н н о с т и , з а щ и т у беспроводных коммуникаций и многое дру-
гое. Д л я в ы п о л н е н и я всех э т и х з а д а ч используется роль AD CS.
• Р а з в е р т ы в а н и е AD CS в ы п о л н я е т с я в виде иерархии и формирует цепочку
д о в е р и я м е ж д у и с х о д н о й и к о н е ч н о й т о ч к а м и в иерархии. Если сертифика-
ты в к а к о й – т о т о ч к е д а н н о й цепочки недействительны или срок их действия
и с т е к , все с е р т и ф и к а т ы в ц е п о ч к и после утратившего силу сертификата
т а к ж е с т а н у т н е д е й с т в и т е л ь н ы м и .
• Сетевые о т в е т ч и к и ( O n l i n e Responder, O R ) можно связать вместе для созда-
н и я к о н ф и г у р а ц и и массива, обеспечивающего высокую готовность службы
с е т е в о г о о т в е т ч и к а . В с л у ч а е у с л о ж н е н и я к о н ф и г у р а ц и и развертывания
[. 7 8 8 Службы сертификации Active Directory
Глава 15
AD CS такие массивы создаются с ц е л ь ю о б е с п е ч е н и я п о с т о я н н о г о д о с т у -
па к службам п о д т в е р ж д е н и я с е р т и ф и к а т о в с е т е в о г о о т в е т ч и к а д л я в с е х
пользователей и устройств.
. Пш. развертывании сетевых ответчиков к а ж д о м у из н и х н е о б х о д и м о н а з н а -
ч ь собственную конфигурацию отзыв;! с е р т и ф и к а т о в . П р и ч и н а з а к л ю ч а е т -
ся в том что каждый сетевой ответчик и с п о л ь з у е т с о б с т в е н н ы й с е р т и ф и к а т
для процедуры подтверждения. К а ж д а я к о н к р е т н а я к о н ф и г у р а ц и я о т з ы в а
поддерживает конкретную пару к л ю ч е й с е р т и ф и к а ц и и и п у б л и к у е т с я д л я
каждого сетевого ответчика в массиве. Д л я о б н о в л е н и я с е р т и ф и к а т а сете-
вого ответчика нужно обновить его к о н ф и г у р а ц и ю о т з ы в а .
• Одним из самых удобных и н с т р у м е н т о в у п р а в л е н и я AD CS я в л я е т с я у т и -
лита Certutiiexe, которая п од д ер ж и ва е т п р а к т и ч е с к и все о п е р а ц и и в ц е н т р е
сертификации и позволяет а в т о м а т и з и р о в а т ь з а д а ч и т е х н и ч е с к о й п о д д е р -
жки н администрирования.
Основные термины
Запомните представленные далее т е р м и н ы и п о н я т и я , ч т о б ы л у ч ш е п о н и м а т ь
описываемые концепции.
• Иерархия Цепочка серверов, о б е с п е ч и в а ю щ и х ф у н к ц и о н а л ь н о с т ь и н ф р а -
структуры PKI. Эта цепочка н а ч и н а е т с я с к о р н е в о г о с е р в е р а и п о т е н ц и а л ь -
но тянется от промежуточных с е р в е р о в и ц е н т р о в в ы д а ч и с е р т и ф и к а т о в до
конечной точки, где расположен п о л ь з о в а т е л ь и л и к о н е ч н о е у с т р о й с т в о .
• Пара ключей С е р т и ф и к а т ы P K I о б ы ч н о с о д е р ж а т п а р у к л ю ч е й . З а к р ы -
т и й , или частный, ключ и с п о л ь з у е т с я в л а д е л ь ц е м с е р т и ф и к а т а д л я ц и ф р о -
вой подписи и ш и ф р о в а н и я и н ф о р м а ц и и . О т к р ы т ы й к л ю ч , д о с т у п н ы й д л я
получателей этой и н ф о р м а ц и и , п р и м е н я е т с я д л я е е р а с ш и ф р о в к и .
• Отзыв Сертификаты выдаются на о п р е д е л е н н ы й п е р и о д в р е м е н и . По ис-
течении срока действия с е р т и ф и к а т с т а н о в и т с я н е д е й с т в и т е л ь н ы м . Ч т о б ы
отменить использование сертификата до и с т е ч е н и я его срока д е й с т в и я , н у ж -
н о отозвать сертификат. О т о з в а н н ы й с е р т и ф и к а т н е м е д л е н н о с т а н о в и т с я
недействительным. Все отозванные с е р т и ф и к а т ы п о м е щ а ю т с я в с п и с о к от-
зыва сертификатов (Certificate Revocation List, C R L ) , к о т о р ы й и с п о л ь з у е т с я
всеми устройствами для п о д т в е р ж д е н и я п р е д ъ я в л я е м ы х с е р т и ф и к а т о в .
Сценарий. Управление отзывом сертификатов
В этом сценарии вы примените знания, п о л у ч е н н ы е п р и и з у ч е н и и д а й н о й гла-
вы. о т в е т ы иа вопросы находятся в разделе « О т в е т ы » в к о н е ц к н и г и .
Вы работаете системным администратором в к о м п а н и и Contoso, Ltd. Компа-
ния c o n t o s o развернула и н ф р а с т р у к т у р у AD CS и о п у б л и к о в а л а с е р т и ф и к а т ы
для множества пользователей. В частности, б ы л и о п у б л и к о в а н ы с е р т и ф и к а т ы
= И и 1 ф 0 Г р а М М , , 0 г а о б е с " е ч е » » я . р а с п р о с т р а н я е м о г о среди к л и е н т о в . Э т и
НИР т ™ ! " П 0 3 В 0 Л Я Ю Т гарантировать, что д а н н о е п р о г р а м м н о е о б е с н е ч с -
п Г о Г Г а В Л С Н О к о м п а н и е й Contoso. К л и е н т а м C o n t o s o п о н р а в и л с я т а к о й
и о т г ^ „ Л Ь К У г а Р а н т и Р У е т подлинность п р о г р а м м н о г о обеспечения
и отсутствие вредоносного кода.
Практические задания 7Q9
В н а ш и о б я з а н н о с т и , в частности, в х о д и т еженедельный просмотр журналов
с о б ы т и й н а с е р в е р а х . П о с к о л ь к у к о м п а н и я и с п о л ь з у е т W i n d o w s Server 2008,
в к а ж д о м ц е н т р е с е р т и ф и к а ц и и в сети вы о т к о н ф и г у р и р о в а л и пересылку со-
б ы т и й . Э т о у п р о с т и л о п р о ц е с с а д м и н и с т р и р о в а н и я , п о с к о л ь к у отпала необхо-
д и м о с т ь в в е д е н и и ж у р н а л о в н а о т д е л ь н ы х с е р в е р а х д л я просмотра событий.
Вам н у ж н о п р о в е р я т ь л и ш ь о д н о ц е н т р а л ь н о е р а з м е щ е н и е журналов.
Во в р е м я р у т и н н о й п р о в е р к и вы з а м е т и л и , что к о р н е в о й СА в инфраструк-
т у р е A D C S п е р е с ы л а л с о б ы т и я н а ц е н т р а л ь н ы й сервер в е д е н и я журналов.
Э т о о ч е н ь с т р а н н о , п о с к о л ь к у к о р н е в о й С А д о л ж е н быть п о с т о я н н о отключен
от сети, за и с к л ю ч е н и е м к р а й н е р е д к и х о п е р а ц и й , с в я з а н н ы х с технической
п о д д е р ж к о й и л и в ы д а ч е й с е р т и ф и к а т а н о в о м у п о д ч и н е н н о м у СА. Как систем-
н ы й а д м и н и с т р а т о р в ы т о ч н о знаете, ч т о в последнее в р е м я такие операции
н е в ы п о л н я л и с ь .
Вы п р о с м о т р е л и п е р е с л а н н ы й с п и с о к р а з л и ч н ы х событий и выяснили, что
п р и б л и з и т е л ь н о н е д е л ю н а з а д д а н н ы й СА был подключен к сети. В течение
э т о г о в р е м е н и о н с г е н е р и р о в а л д в а н о в ы х к о р н е в ы х с е р т и ф и к а т а с именем
C o n t o s o . К с ч а с т ь ю , в к о н ф и г у р а ц и и п е р е с ы л к и вы т а к ж е включили ведение
ж у р н а л а . В ж у р н а л а х вы н а ш л и п е р е ч е н ь тех, к т о в х о д и л на корневой СА.
П о с к о л ь к у д л я в х о д а т р е б у е т с я с м а р т – к а р т а , с п о м о щ ь ю ж у р н а л о в событий
м о ж н о о п р е д е л и т ь , к т о в х о д и л на сервер. К своему удивлению, вы обнаружили,
ч т о на с е р в е р в х о д и л и д в а с о т р у д н и к а , у в о л е н н ы е на п р о ш л о й неделе. Они не
д о л ж н ы и м е т ь п р а в а д о с т у п а к д а н н о м у серверу.
Вы п р о в е р и л и д а н н ы е И н т е р н е т а и в ы я с н и л и , что эти два корневых сер-
т и ф и к а т а и с п о л ь з о в а л и с ь д л я п о д п и с и стороннего программного обеспечения
не от к о м п а н и и C o n t o s o . О к а з а л о с ь , что в настоящее время эти двое бывших
с о т р у д н и к о в т о р г у ю т с е р т и ф и к а т а м и подписи программного обеспечения, ис-
п о л ь з у я и м я C o n t o s o .
Ч т о н у ж н о п р е д п р и н я т ь ?
Практические задания
Ч т о б ы у с п е ш н о с д а т ь с е р т и ф и к а ц и о н н ы й экзамен, представленный в этой
главе, в ы п о л н и т е с л е д у ю щ и е у п р а ж н е н и я .
Работа с AD CS
П о с к о л ь к у м н о г о в о п р о с о в э к з а м е н а 70-640 посвящено AD CS, следует сосре-
д о т о ч и т ь с я иа р а б о т е в с л е д у ю щ и х областях:
• о п р е д е л е н и е о т л и ч и й м е ж д у а в т о н о м н ы м и центрами сертификации и СА
п р е д п р и я т и я ;
• у с т а н о в к а и н а с т р о й к а ц е н т р о в с е р т и ф и к а ц и и AD CS;
• у с т а н о в к а и н а с т р о й к а с л у ж б ы Сетевой ответчик (Network Responder);
• у с т а н о в к а с л у ж б ы N D E S ( N e t w o r k Device Enrollment Service);
• работа с ш а б л о н а м и с е р т и ф и к а т о в .
Вам т а к ж е с л е д у е т п о п р а к т и к о в а т ь с я в использовании различных средств
и к о н с о л е й у п р а в л е н и я AD CS. Б о л ь ш и н с т в о консолей доступно в Диспетчере
[. 7 9 0 Службы сертификации Active Directory Глава 15
сервера (Server Manager). Необходимо лишь создать консоль Сертификаты
(Certificates).
. Упражнение 1 Подготовьте два сервера ( в и р т у а л ь н ы е и л и ф и з и ч е с к и е )
в качестве рядовых серверов домена AD DS. З а т е м у с т а н о в и т е а в т о н о м н ы й
корневой центр с е р т и ф и к а ц и и и С А п р е д п р и я т и я д л я в ы д а ч и с е р т и ф и к а -
тов Д л я установки и настройки о б о и х с е р в е р о в в ы п о л н и т е все о п е р а ц и и ,
описанные в этой главе. Оставьте к о р н е в о й СА п о д к л ю ч е н н ы м к сети и раз-
решите ему связываться с центром в ы д а ч и с е р т и ф и к а т о в .
• Упражнение 2 На сервере с СА выдачи с е р т и ф и к а т о в у с т а н о в и т е с л у ж б у
Сетевой ответчик (Online Responder). З а т е м с л е д у й т е и н с т р у к ц и я м з а н я -
тия 2 для завершения настройки сетевого о т в е т ч и к а . У д е л и т е п р и с т а л ь н о е
внимание каждому шагу и н с т р у к ц и и . С е т е в ы е о т в е т ч и к и я в л я ю т с я н о в ы м
компонентом в AD CS и, скорее всего, б у д у т п р е д с т а в л е н ы в т е м а х э к з а -
мена.
• Упражнение 3 Следуйте и н с т р у к ц и я м к у п р а ж н е н и я м з а н я т и я 1, ч т о б ы
установить и отконфигурировать с л у ж б у N D E S . Э т а с л у ж б а т а к ж е я в л я е т с я
новым компонентом в AD CS и, с к о р е е всего, б у д е т п р е д с т а в л е н а в т е м а х
экзамена.
• Упражнение 4 М о д и ф и ц и р у й т е н е с к о л ь к о д у б л и к а т о в ш а б л о н о в . В н и м а -
тельно просмотрите параметры на всех в к л а д к а х с в о й с т в ш а б л о н а . Ш а б л о -
ны версий 2 и 3 содержат много р а з л и ч н ы х п а р а м е т р о в и ф у н к ц и й .
• Упражнение 5 И наконец, в ы п о л н и т е а р х и в а ц и ю , в о с с т а н о в л е н и е и и з у -
чите доступные о п ц и и и н с т р у м е н т а Р К 1 п р е д п р и я т и я ( E n t e r p r i s e P K I )
и утилиты Certutil.exe. Не забудьте и з у ч и т ь AD C S , а т а к ж е п р е д ы д у щ у ю
реализацию PKI в Windows Server 2003. На в е б – с а й т е M i c r o s o f t T e c h N e t со-
держится намного больше и н ф о р м а ц и и об и н ф р а с т р у к т у р е P K I в W i n d o w s
Server 2003, чем в W i n d o w s Server 2008.
Пробный экзамен
На прилагаемом к книге к о м п а к т – д и с к е п р е д с т а в л е н о н е с к о л ь к о в а р и а н т о в
тренировочных тестов. Проверка знаний в ы п о л н я е т с я и л и т о л ь к о но о д н о й т е м е
сертификационного экзамена 7 0 – 6 4 0 , и л и п о всем э к з а м е н а ц и о н н ы м т е м а м .
Тестирование можно организовать таким образом, чтобы оно проводилось как
экзамен, либо настроить на р е ж и м о б у ч е н и я . В п о с л е д н е м с л у ч а е вы с м о ж е т е
после каждого своего ответа н а в о п р о с п р о с м а т р и в а т ь п р а в и л ь н ы е о т в е т ы
и пояснения.
ПРИМЕЧАНИЕ Пробный экзамен
Подробнее о пробном экзамене рассказано во введении к данной книге.
Г
Л
А
В
А 1 6
Службы управления правами
Active Directory
Занятие 1. Установка служб управления правами Active Directory 795
Занятие 2. Настройка и использование служб управления правами
Active Directory 819
С л у ж б ы у п р а в л е н и я п р а в а м и Activc Directory (Active Directory Rights Manage-
m e n t Services, R M S ) п р е д н а з н а ч е н ы д л я р а с ш и р е н и я внутренней сети. Однако
в д а н н о м с л у ч а е р е ч ь и д е т о р а с ш и р е н и и и н т е л л е к т у а л ь н о й собственности.
Л ю д и , н а ч и н а я р а б о т а т ь с к о м п ь ю т е р о м , испытывают определенные сложности
с ц и ф р о в ы м у п р а в л е н и е м п р а в а м и D R M (Digital Rights Management). Когда
к о м п ь ю т е р ы т о л ь к о п о я в и л и с ь , п р о и з в о д и т е л и программного обеспечения
п р е д п р и н и м а л и м н о г о у с и л и й по з а щ и т е своих программ от похитителей. Даже
в н а с т о я щ е е в р е м я о д н и п р о и з в о д и т е л и требуют использовать аппаратные клю-
чи д л я з а п у с к а с в о е г о п р о г р а м м н о г о обеспечения, другие применяют веб-про-
ц е с с ы п о д т в е р ж д е н и я . Н а п р и м е р , в ы п у с т и в Windows Vista, корпорация Micro-
s o f t в в е л а н о в у ю с х е м у л и ц е н з и р о в а н и я с о с л у ж б о й K M S (Key Management
S e r v e r ) д л я п о д т в е р ж д е н и я л и ц е н з и р о в а н н ы х версий Microsoft Windows.
Р а з р а б о т к а п р о г р а м м н о г о о б е с п е ч е н и я – это не единственная отрасль про-
м ы ш л е н н о с т и , и с п ы т ы в а ю щ а я с л о ж н о с т и с у п р а в л е н и е м правами. Например,
в 2 0 0 5 г о д у М а р к Р у с с и н о в и ч , член технического совета Microsoft, обнаружил,
ч т о к о м п а н и я S o n y B M G у с т а н о в и л а в м е с т е с о своим CD-проигрывателем
с к р ы т ы й м о д у л ь ( r o o t k i t ) , к о т о р ы й активировался при загрузке проигрывателя
н а к о м п ь ю т е р ы п о л ь з о в а т е л е й . Э т о т п р о г р а м м н ы й модуль пересылал данные
с п и с к о в в о с п р о и з в е д е н и я назад на ц е н т р а л ь н ы й сервер, управляемый компани-
ей S o n y в И н т е р н е т е . В р е з у л ь т а т е в сети п о я в и л о с ь много статей о подходах,
и с п о л ь з у е м ы х м у з ы к а л ь н ы м и п р о и з в о д и т е л я м и д л я защиты содержимого.
к 79 2 Службы управления правами Active Directory
Глава 16
К СВЕДЕНИЮ Марк Руссинович и Sony BMG
Более подробную информацию о прениях между Марком Руссинович н компанией
Sony можно найти по адресу http://blogs.technet.com/markrussinovich/archive/2005/
Ю/31/sony-rootkits-and-digitaI-rights-management-gone-too-far.aspx.
Теперь музыка продается в формате М Р З без з а щ и т ы данных. При покупке
песни вы отвечаете за ее защиту, но зато м о ж е т е в о с п р о и з в о д и т ь ее на любом
устройстве. Это не всегда связано с и с т о р и е й М а р к а и Sony B M G , однако де-
монстрирует, насколько сложной может стать система у п р а в л е н и я ц и ф р о в ы м и
правами DRM.
В защите нуждаются не только м у з ы к а и п р о г р а м м н о е обеспечение. В цен-
трах данных постоянно внедряются новые т е х н о л о г и и д л я з а щ и т ы интеллекту-
альной собственности. Например, э л е к т р о н н а я почта а в т о м а т и ч е с к и сохраняет
данные о диалогах. Когда вы отвечаете на с о о б щ е н и е , и с х о д н о е сообщение
вкладывается в ваше и т. д. Без системы D R M кто угодно в л ю б о е в р е м я может
изменить содержимое этого вложенного ответа, и з м е н и в т а к и м образом тон и
суть диалога. Более того, кто угодно м о ж е т п е р е н а п р а в и т ь д и а л о г и изменить
его содержимое, причем вы даже не будете знать, к т о это. Р е а л и з а ц и я D R M
для защиты содержимого электронной п о ч т ы г а р а н т и р у е т , что в а ш и ответы
никогда не будут модифицированы, даже если о н и в к л а д ы в а ю т с я в еще одно
сообщение.
Сказанное применимо ко многим т и п а м и н т е л л е к т у а л ь н о й собственности:
документам Microsoft Office, п р е з е н т а ц и я м M i c r o s o f t Office P o w e r P o i n t и дру-
гому содержимому. Многие организации понимают ценность интеллектуальной
собственности и тот факт, что ее потеря, н е к о р р е к т н о е и с п о л ь з о в а н и е , копиро-
вание или хищение может п р и ч и н и т ь н е п о п р а в и м ы й ущерб. К о м п а н и и , зара-
батывающие прибыль путем г е н е р и р о в а н и я и н ф о р м а ц и и и л и использования
внутренних данных, используют систему у п р а в л е н и я п р а в а м и D R M .
Службы управления правами Active D i r e c t o r y ( A D R M S ) п о з в о л я ю т за-
щитить интеллектуальную собственность путем и н т е г р а ц и и н е с к о л ь к и х ком-
понентов. Помимо непосредственной и н т е г р а ц и и с д о м е н н ы м и с л у ж б а м и Ac-
tive Directory (AD DS), службы AD R M S т а к ж е могуг и с п о л ь з о в а т ь службы
сертификации Active Directory ( A D CS) и с л у ж б ы ф е д е р а ц и и Active Directory
(AD FS). Службы AD CS генерируют с е р т и ф и к а т ы и н ф р а с т р у к т у р ы открытых
ключей (Public key Infrastructure, P K I ) , к о т о р ы е с л у ж б ы AD R M D вкладыва-
ют в документы. Службы AD FS р а с ш и р я ю т п о л и т и к и AD R M S за пределы
брандмауэра и поддерживают защиту и н т е л л е к т у а л ь н о й собственности среди
бизнес-партнеров (рис. 16-1).
Темы экзамена:
• Настройка дополнительных ролей сервера Active Directory.
• Настройка служб управления п р а в а м и Active Di r e ct or y (Active Direc-
tory Rights Management Services).
Прежде всего
793
Рис. 16-1. Службы AD RMS расширяют полномочия организации
за пределы внутренней сети
Прежде всего
Д л я в ы п о л н е н и я у п р а ж н е н и й , п р е д л а г а е м ы х в э т о й главе, потребуется следу-
ющее о б о р у д о в а н и е .
• Ф и з и ч е с к и й и л и в и р т у а л ь н ы й к о м п ь ю т е р W i n d o w s Server 2008. Машине
с л е д у е т п р и с в о и т ь и м я S E R V E R 0 1 и н а з н а ч и т ь ее контроллером домена
c o n t o s o . c o m . И н с т р у к ц и и по у с т а н о в к е содержатся в главах 1 и 2.
• Ф и з и ч е с к и й и л и в и р т у а л ь н ы й к о м п ь ю т е р W i n d o w s Server 2008 Enterprise
E d i t i o n с и м е н е м S E R V E R 0 3 – р я д о в о й сервер в домене contoso.com. Эта
м а ш и н а б у д е т с о д е р ж а т ь с е р в е р ы п о л и т и к и A D R M S , которые в ы устано-
в и т е и с о з д а д и т е , в ы п о л н я я у п р а ж н е н и я . К о м п ь ю т е р т а к ж е д о л ж е н быть
к 79 4 Службы управления правами Active Directory
Глава 16
оснащен диском D для х р а н е н и я д а н н ы х AD R M S . Ч т о б ы выполнить уп-
ражнение, достаточно 40 Гбайт, х о т я к о р п о р а ц и я M i c r o s o f t рекомендует
использовать для сервера AD R M S д и с к о б ъ е м о м 80 Гбайт.
• Физический и л и виртуальный к о м п ь ю т е р W i n d o w s Server 2008 Enterprise
Edition с именем S E R V E R 0 4 – р я д о в о й сервер в д о м е н е contoso.com. Эта
машина будет содержать серверы п о л и т и к и AD R M S , к о т о р ы е вы уста-
новите и создадите, в ы п о л н я я у п р а ж н е н и я . Ж е л а т е л е н , конечно, диск D
для хранения данных AD R M S . Д л я в ы п о л н е н и я у п р а ж н е н и я достаточно
40 Гбайт, хотя корпорация Microsoft рекомендует использовать для сервера
AD RMS диск объемом 80 Гбайт.
• Физический или в и р т у а л ь н ы й к о м п ь ю т е р W i n d o w s Server 2008 Enterprise
Edition с именем S E R V E R 0 5 – р я д о в о й сервер в д о м е н е contoso.com. Эта
машина должна содержать M i c r o s o f t S Q L Server 2005, к о т о р ы й будет ис-
пользоваться для запуска базы д а н н ы х к о н ф и г у р а ц и и и в е д е н и я журналов
AD RMS. Не л и ш н и м о к а ж е т с я д и с к D о б ъ е м о м 10 Гбайт д л я х р а н е н и я
данных SQL Server.
К СВЕДЕНИЮ Создание виртуальных машин SQL Server 2005
Более подробная информация о создании виртуальной машины Windows Server 2005
содержится по адресу http://itmanagement.earthweb.com/article.php/3718566.
Если вы применяете Microsoft Virtual PC или Virtual Server, то можете исполь-
зовать предварительно отконфигурированную виртуальную машину в формате .vhd.
Более подробную информацию по данному вопросу можно найти по адресу https://
www.microsoft.com/downloads/details.aspx7FamilyID~7b243252-acb7-451b-822b-
df639443aeaf&DisplayLang=en.
Как видите, для полного т е с т и р о в а н и я AD R M S т р е б у е т с я н е с к о л ь к о ком-
пьютеров, поэтому имеет смысл использовать в и р т у а л и з а ц и ю , а также добавить
клиентский компьютер W i n d o w s Vista и M i c r o s o f t Office 2007, чтобы протес-
тировать инфраструктуру AD R M S после р а з в е р т ы в а н и я .
История из ж и з н и
Даниэль Реет и Нельсон Реет
В 2007 году нас подготовить написать серию книг, в которых детально описы-
валась бы конкретная технология, включая архитектуру, развертывание, адми-
нистрирование и т. д. В проекте принимали участие несколько авторских групп,
каждая из которых занималась отдельной книгой.
Мы начали готовить содержание ТО С (Table Of Content), чтобы успеть к на-
значенной дате. Установив Microsoft Office 2007, решили использовать один из
новых шаблонов Word 2007. Издателю понравился формат, и его рекомендовали
использовать другим авторским группам. Когда были собраны все оглавления
ТОС, проект утвердили.
Авторские группы приступили к работе. Однако оказалось, что одна из групп
была расположена очень далеко и не смогла написать свои главы вовремя. Мы
решили помочь им и согласились просмотреть оглавление книги.
Занятие 1
Установка служб управления правами Active Directory
795
Оглавление Т О С авторы прислали в нашем исходном формате. Однако после
анализа Т О С й определения глав, которые требовалось написать, обнаружилось,
что 33 % содержимого дословно повторялось в оглавлениях других авторов.
Мы сразу связались с издателем. Если бы в оглавлении Т О С использовали
такую технологию управления правами, как AS RMS, этого не произошло бы.
Система D R M гарантирует целевое использование содержимого. Другие техно-
логии не способны защитить информацию аналогичным образом.
Занятие 1. Установка служб управления правами
Active Directory
М н о г и е о р г а н и з а ц и и п р е д п о ч и т а ю т р е а л и з о в а т ь A D R M S поэтапно..
• П е р в ы й э т а п п р е д п о л а г а е т в н у т р е н н е е и с п о л ь з о в а н и е интеллектуальной
с о б с т в е н н о с т и . О с у щ е с т в л я е т с я р е а л и з а ц и я п р а в доступа к создаваемой
д о к у м е н т а ц и и . С о т р у д н и к и м о г у т п р о с м а т р и в а т ь и ч и т а т ь л и ш ь т о со-
д е р ж и м о е , в с о з д а н и и к о т о р о г о п р и н и м а ю т участие, могут управлять им.
К о п и р о в а н и е с о д е р ж и м о г о в ы п о л н я е т с я т о л ь к о при соблюдении строгих
у с л о в и й .
• На в т о р о м э т а п е с о д е р ж и м о е и с п о л ь з у е т с я совместно с партнерами. Защи-
щ е н н о е с о д е р ж и м о е п р е д о с т а в л я е т с я партнерским организациям. Партнеры
м о г у т п р о с м а т р и в а т ь з а щ и щ е н н ы е д о к у м е н т ы и получать доступ к ним, но
не м о г у т к о п и р о в а т ь и л и и с п о л ь з о в а т ь эту и н ф о р м а ц и ю в других целях.
• Н а т р е т ь е м э т а п е а у д и т о р и я р а с ш и р я е т с я . И н т е л л е к т у а л ь н у ю собствен-
н о с т ь в з а щ и щ е н н о м р е ж и м е м о ж н о р а с п р о с т р а н я т ь з а пределами сети.
П о с к о л ь к у и н ф о р м а ц и я з а щ и щ е н а , е е н е л ь з я к о п и р о в а т ь и л и распростра-
н я т ь б е з с о о т в е т с т в у ю щ и х с а н к ц и й .
В к а ж д о м с л у ч а е н е о б х о д и м о п о л н о е в з а и м о д е й с т в и е п о л и т и к и защиты
д о к у м е н т о в с с о т р у д н и к а м и , к о т о р ы е работают с д а н н ы м и . С л у ж а щ и е должны
п р о й т и у ч е б н ы е к у р с ы , ч т о б ы п о н и м а т ь последствия неавторизованного разгла-
ш е н и я и н ф о р м а ц и и . П а р т н е р а м т а к ж е следует предоставить инструкции отно-
с и т е л ь н о и с п о л ь з у е м о й п о л и т и к и , чтобы они знали, как защитить информацию.
П о с л е р а с ш и р е н и я а у д и т о р и и и н с т р у к ц и и п о л и т и к и нужно распространить,
ч т о б ы к о н е ч н ы е п о т р е б и т е л и с м о г л и работать с информацией.
Н а к а ж д о м э т а п е р е а л и з а ц и и п о т р е б у ю т с я д о п о л н и т е л ь н ы е компоненты,
п о д д е р ж и в а ю щ и е с т р а т е г и и з а щ и т ы и н ф о р м а ц и и .
