355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 76)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 76 (всего у книги 91 страниц)

• С е т е в ы е о т в е т ч и к и м о г у т с о з д а т ь м а с с и в с и с т е м , о б е с п е ч и в а я в ы с о к у ю

г о т о в н о с т ь с л у ж б ы . М а с с и в м о ж е т с о с т о я т ь и з д в у х СА, играющих роль

с е т е в ы х о т в е т ч и к о в , и л и с о д е р ж а т ь м н о ж е с т в о серверов.

• Д л я п о д п и с и о т в е т о в н а з а п р о с ы с е т е в ы е о т в е т ч и к и д о л ж н ы использовать

с е р т и ф и к а т ы O C S P ( O n l i n e C e r t i f i c a t e S t a t u s P r o t o c o l ) . Э т и сертификаты

ш и ф р у ю т с о д е р ж и м о е о т к л и к а с е т е в о г о о т в е т ч и к а .

• Д л я п о л н о ф у н к ц и о н а л ь н о й р а б о т ы с е т е в ы х о т в е т ч и к о в т а к ж е необходи-

м о н а с т р о и т ь к о н ф и г у р а ц и ю р а с ш и р е н и я Д о с т у п к с в е д е н и я м центров

809 Службы ф е д е р а ц и и Active Directory

Глава 17

сертификации (Authority Information Access), в х о д я щ е г о в с в о й с т в а ц е н т р а

сертификации.

• Каждый СА, я в л я ю щ и й с я сетевым о т в е т ч и к о м , д о л ж е н и с п о л ь з о в а т ь собс-

твенную конфигурацию отзыва с е р т и ф и к а т о в , п о с к о л ь к у к а ж д ы й С А об л а -

дает собственным с е р т и ф и к а т о м . Д л я р а б о т ы в м а с с и в е все э т и с е р т и ф и -

каты должны быть д о в е р е н н ы м и . К о н ф и г у р а ц и я о т з ы в а п о з в о л я е т д р у г и м

членам массива доверять к а ж д о м у о т д е л ь н о м у СА в м а с с и в е .

• Защита каждого СА в и н ф р а с т р у к т у р е играет о ч е н ь в а ж н у ю р о л ь . По э т о й

причине необходимо периодически а р х и в и р о в а т ь все д а н н ы е СА, в к л ю ч а я

сертификаты. Требуется обеспечить з а щ и т у э т и х а р х и в о в , п о с к о л ь к у о н и

содержат весьма у я з в и м ы е данные.

Закрепление материала

Следующий вопрос .можно и с п о л ь з о в а т ь д л я п р о в е р к и з н а н и й , п о л у ч е н н ы х на

занятии 2. Этот вопрос есть и на с о п р о в о д и т е л ь н о м к о м п а к т – д и с к е .

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа является

правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.

1. Вам как администратору P K I в к о м п а н и и C o n t o s o , L t d н у ж н о о т к о н ф и г у -

рировать сетевой ответчик. Вы у ж е н а с т р о и л и с е р т и ф и к а т ы П о д п и с ы в а н и е

отклика O C S P ( O C S P Response Signing), р а с ш и р е н и е Д о с т у п к с в е д е н и -

ям центров с е р т и ф и к а ц и и ( A u t h o r i t y I n f o r m a t i o n Access) и п е р е з а г р у з и л и

сервер. Теперь вы собираетесь п р о в е р и т ь а в т о м а т и ч е с к у ю з а г р у з к у э т о г о

сертификата иа сервер. Вы с о з д а л и н а с т р а и в а е м у ю к о н с о л ь с о с н а с т к о й

Сертификаты (Certificates), о д н а к о п р и п р о с м о т р е с е р т и ф и к а т о в в у з л е

Личное (Personal) компьютера оснастка н е о т к р ы л а с ь . В ы р е ш и л и и м п о р -

тировать сертификат вручную, о д н а к о п р и и с п о л ь з о в а н и и м а с т е р а з а п р о с а

нового сертификата ( R e q u e s t New C e r t i f i c a t e W i z a r d ) о б н а р у ж и л о с ь , ч т о

доступны не все с е р т и ф и к а т ы . В чем п р и ч и н а ?

Резюме главы 787

A . Э т о т с е р т и ф и к а т н е л ь з я з а п р о с и т ь с п о м о щ ь ю мастера. Н е о б х о д и м о

и с п о л ь з о в а т ь у т и л и т у Certutil.exe.

Б . Н е к о р р е к т н о з а д а н ы с в о й с т в а б е з о п а с н о с т и ш а б л о н а сертификата.

B . Н а э т о м с е р в е р е н е л ь з я з а г р у з и т ь с е р т и ф и к а т П о д п и с ы в а н и е отклика

O C S P ( O C S P R e s p o n s e S i g n i n g ) .

Г. Э т о т с е р т и ф и к а т не н у ж н о з а г р у ж а т ь вручную. Он будет загружен ав-

т о м а т и ч е с к и п р и с л е д у ю щ е м о б н о в л е н и и г р у п п о в о й п о л и т и к и .

Закрепление материала главы

Д л я т о г о ч т о б ы п о п р а к т и к о в а т ь с я и з а к р е п и т ь з н а н и я , полученные при изу-

ч е н и и п р е д с т а в л е н н о г о в э т о й г л а в е м а т е р и а л а , вам необходимо выполнить

с л е д у ю щ и е з а д а н и я :

• о з н а к о м и т ь с я с р е з ю м е г л а в ы ;

• п о в т о р и т ь и с п о л ь з у е м ы е в г л а в е о с н о в н ы е термины;

• и з у ч и т ь с ц е н а р и й , в к о т о р о м о п и с а н а р е а л ь н а я ситуация, требующая при-

м е н е н и я п о л у ч е н н ы х з н а н и й , и п р е д л о ж и т ь свое решение;

• в ы п о л н и т ь р е к о м е н д у е м ы е у п р а ж н е н и я ;

• с д а т ь п р о б н ы й э к з а м е н с п о м о щ ь ю тестов.

Резюме главы

• С п о м о щ ь ю и н ф р а с т р у к т у р ы о т к р ы т ы х к л ю ч е й полномочия организации

м о ж н о р а с ш и р и т ь за п р е д е л ы у п р а в л я е м о й ею сети. Роль AD DS сфоку-

с и р о в а н а иа с л у ж б а х к а т а л о г о в сетевой операционной системы и должна

р а с п о л а г а т ь с я в п р е д е л а х в н у т р е н н е й сети. Р о л ь AD CS можно запускать

в н у т р и и в и е к о р п о р а т и в н о й сети. П р и и с п о л ь з о в а н и и внутри сети AD CS

м о ж н о и н т е г р и р о в а т ь в м е с т е с AD DS, обеспечив автоматизированную по-

д а ч у з а я в о к н а с е р т и ф и к а т ы . П р и и с п о л ь з о в а н и и вне корпоративной сети

с л у ж б ы A D C S н е о б х о д и м о у с т а н о в и т ь в качестве автономных центров

с е р т и ф и к а ц и и и п р и в я з а т ь их к с т о р о н н е м у доверенному центру серти-

ф и к а ц и и , ч т о б ы в а ш и м с е р т и ф и к а т а м д о в е р я л и компьютерные системы,

к о т о р ы м и в ы н е у п р а в л я е т е .

• С е р т и ф и к а т ы м о ж н о и с п о л ь з о в а т ь д л я р а з л и ч н ы х целей, включая шифро-

в а н и е д а н н ы х н а п е р с о н а л ь н ы х компьютерах, ш и ф р о в а н и е коммуникаций

м е ж д у д в у м я к о н е ч н ы м и т о ч к а м и , з а щ и т у и н ф о р м а ц и и , двухфакторную

п р о в е р к у п о д л и н н о с т и , з а щ и т у беспроводных коммуникаций и многое дру-

гое. Д л я в ы п о л н е н и я всех э т и х з а д а ч используется роль AD CS.

• Р а з в е р т ы в а н и е AD CS в ы п о л н я е т с я в виде иерархии и формирует цепочку

д о в е р и я м е ж д у и с х о д н о й и к о н е ч н о й т о ч к а м и в иерархии. Если сертифика-

ты в к а к о й – т о т о ч к е д а н н о й цепочки недействительны или срок их действия

и с т е к , все с е р т и ф и к а т ы в ц е п о ч к и после утратившего силу сертификата

т а к ж е с т а н у т н е д е й с т в и т е л ь н ы м и .

• Сетевые о т в е т ч и к и ( O n l i n e Responder, O R ) можно связать вместе для созда-

н и я к о н ф и г у р а ц и и массива, обеспечивающего высокую готовность службы

с е т е в о г о о т в е т ч и к а . В с л у ч а е у с л о ж н е н и я к о н ф и г у р а ц и и развертывания

[. 7 8 8 Службы сертификации Active Directory

Глава 15

AD CS такие массивы создаются с ц е л ь ю о б е с п е ч е н и я п о с т о я н н о г о д о с т у -

па к службам п о д т в е р ж д е н и я с е р т и ф и к а т о в с е т е в о г о о т в е т ч и к а д л я в с е х

пользователей и устройств.

. Пш. развертывании сетевых ответчиков к а ж д о м у из н и х н е о б х о д и м о н а з н а -

ч ь собственную конфигурацию отзыв;! с е р т и ф и к а т о в . П р и ч и н а з а к л ю ч а е т -

ся в том что каждый сетевой ответчик и с п о л ь з у е т с о б с т в е н н ы й с е р т и ф и к а т

для процедуры подтверждения. К а ж д а я к о н к р е т н а я к о н ф и г у р а ц и я о т з ы в а

поддерживает конкретную пару к л ю ч е й с е р т и ф и к а ц и и и п у б л и к у е т с я д л я

каждого сетевого ответчика в массиве. Д л я о б н о в л е н и я с е р т и ф и к а т а сете-

вого ответчика нужно обновить его к о н ф и г у р а ц и ю о т з ы в а .

• Одним из самых удобных и н с т р у м е н т о в у п р а в л е н и я AD CS я в л я е т с я у т и -

лита Certutiiexe, которая п од д ер ж и ва е т п р а к т и ч е с к и все о п е р а ц и и в ц е н т р е

сертификации и позволяет а в т о м а т и з и р о в а т ь з а д а ч и т е х н и ч е с к о й п о д д е р -

жки н администрирования.

Основные термины

Запомните представленные далее т е р м и н ы и п о н я т и я , ч т о б ы л у ч ш е п о н и м а т ь

описываемые концепции.

• Иерархия Цепочка серверов, о б е с п е ч и в а ю щ и х ф у н к ц и о н а л ь н о с т ь и н ф р а -

структуры PKI. Эта цепочка н а ч и н а е т с я с к о р н е в о г о с е р в е р а и п о т е н ц и а л ь -

но тянется от промежуточных с е р в е р о в и ц е н т р о в в ы д а ч и с е р т и ф и к а т о в до

конечной точки, где расположен п о л ь з о в а т е л ь и л и к о н е ч н о е у с т р о й с т в о .

• Пара ключей С е р т и ф и к а т ы P K I о б ы ч н о с о д е р ж а т п а р у к л ю ч е й . З а к р ы -

т и й , или частный, ключ и с п о л ь з у е т с я в л а д е л ь ц е м с е р т и ф и к а т а д л я ц и ф р о -

вой подписи и ш и ф р о в а н и я и н ф о р м а ц и и . О т к р ы т ы й к л ю ч , д о с т у п н ы й д л я

получателей этой и н ф о р м а ц и и , п р и м е н я е т с я д л я е е р а с ш и ф р о в к и .

• Отзыв Сертификаты выдаются на о п р е д е л е н н ы й п е р и о д в р е м е н и . По ис-

течении срока действия с е р т и ф и к а т с т а н о в и т с я н е д е й с т в и т е л ь н ы м . Ч т о б ы

отменить использование сертификата до и с т е ч е н и я его срока д е й с т в и я , н у ж -

н о отозвать сертификат. О т о з в а н н ы й с е р т и ф и к а т н е м е д л е н н о с т а н о в и т с я

недействительным. Все отозванные с е р т и ф и к а т ы п о м е щ а ю т с я в с п и с о к от-

зыва сертификатов (Certificate Revocation List, C R L ) , к о т о р ы й и с п о л ь з у е т с я

всеми устройствами для п о д т в е р ж д е н и я п р е д ъ я в л я е м ы х с е р т и ф и к а т о в .

Сценарий. Управление отзывом сертификатов

В этом сценарии вы примените знания, п о л у ч е н н ы е п р и и з у ч е н и и д а й н о й гла-

вы. о т в е т ы иа вопросы находятся в разделе « О т в е т ы » в к о н е ц к н и г и .

Вы работаете системным администратором в к о м п а н и и Contoso, Ltd. Компа-

ния c o n t o s o развернула и н ф р а с т р у к т у р у AD CS и о п у б л и к о в а л а с е р т и ф и к а т ы

для множества пользователей. В частности, б ы л и о п у б л и к о в а н ы с е р т и ф и к а т ы

= И и 1 ф 0 Г р а М М , , 0 г а о б е с " е ч е » » я . р а с п р о с т р а н я е м о г о среди к л и е н т о в . Э т и

НИР т ™ ! " П 0 3 В 0 Л Я Ю Т гарантировать, что д а н н о е п р о г р а м м н о е о б е с н е ч с -

п Г о Г Г а В Л С Н О к о м п а н и е й Contoso. К л и е н т а м C o n t o s o п о н р а в и л с я т а к о й

и о т г ^ „ Л Ь К У г а Р а н т и Р У е т подлинность п р о г р а м м н о г о обеспечения

и отсутствие вредоносного кода.

Практические задания 7Q9

В н а ш и о б я з а н н о с т и , в частности, в х о д и т еженедельный просмотр журналов

с о б ы т и й н а с е р в е р а х . П о с к о л ь к у к о м п а н и я и с п о л ь з у е т W i n d o w s Server 2008,

в к а ж д о м ц е н т р е с е р т и ф и к а ц и и в сети вы о т к о н ф и г у р и р о в а л и пересылку со-

б ы т и й . Э т о у п р о с т и л о п р о ц е с с а д м и н и с т р и р о в а н и я , п о с к о л ь к у отпала необхо-

д и м о с т ь в в е д е н и и ж у р н а л о в н а о т д е л ь н ы х с е р в е р а х д л я просмотра событий.

Вам н у ж н о п р о в е р я т ь л и ш ь о д н о ц е н т р а л ь н о е р а з м е щ е н и е журналов.

Во в р е м я р у т и н н о й п р о в е р к и вы з а м е т и л и , что к о р н е в о й СА в инфраструк-

т у р е A D C S п е р е с ы л а л с о б ы т и я н а ц е н т р а л ь н ы й сервер в е д е н и я журналов.

Э т о о ч е н ь с т р а н н о , п о с к о л ь к у к о р н е в о й С А д о л ж е н быть п о с т о я н н о отключен

от сети, за и с к л ю ч е н и е м к р а й н е р е д к и х о п е р а ц и й , с в я з а н н ы х с технической

п о д д е р ж к о й и л и в ы д а ч е й с е р т и ф и к а т а н о в о м у п о д ч и н е н н о м у СА. Как систем-

н ы й а д м и н и с т р а т о р в ы т о ч н о знаете, ч т о в последнее в р е м я такие операции

н е в ы п о л н я л и с ь .

Вы п р о с м о т р е л и п е р е с л а н н ы й с п и с о к р а з л и ч н ы х событий и выяснили, что

п р и б л и з и т е л ь н о н е д е л ю н а з а д д а н н ы й СА был подключен к сети. В течение

э т о г о в р е м е н и о н с г е н е р и р о в а л д в а н о в ы х к о р н е в ы х с е р т и ф и к а т а с именем

C o n t o s o . К с ч а с т ь ю , в к о н ф и г у р а ц и и п е р е с ы л к и вы т а к ж е включили ведение

ж у р н а л а . В ж у р н а л а х вы н а ш л и п е р е ч е н ь тех, к т о в х о д и л на корневой СА.

П о с к о л ь к у д л я в х о д а т р е б у е т с я с м а р т – к а р т а , с п о м о щ ь ю ж у р н а л о в событий

м о ж н о о п р е д е л и т ь , к т о в х о д и л на сервер. К своему удивлению, вы обнаружили,

ч т о на с е р в е р в х о д и л и д в а с о т р у д н и к а , у в о л е н н ы е на п р о ш л о й неделе. Они не

д о л ж н ы и м е т ь п р а в а д о с т у п а к д а н н о м у серверу.

Вы п р о в е р и л и д а н н ы е И н т е р н е т а и в ы я с н и л и , что эти два корневых сер-

т и ф и к а т а и с п о л ь з о в а л и с ь д л я п о д п и с и стороннего программного обеспечения

не от к о м п а н и и C o n t o s o . О к а з а л о с ь , что в настоящее время эти двое бывших

с о т р у д н и к о в т о р г у ю т с е р т и ф и к а т а м и подписи программного обеспечения, ис-

п о л ь з у я и м я C o n t o s o .

Ч т о н у ж н о п р е д п р и н я т ь ?

Практические задания

Ч т о б ы у с п е ш н о с д а т ь с е р т и ф и к а ц и о н н ы й экзамен, представленный в этой

главе, в ы п о л н и т е с л е д у ю щ и е у п р а ж н е н и я .

Работа с AD CS

П о с к о л ь к у м н о г о в о п р о с о в э к з а м е н а 70-640 посвящено AD CS, следует сосре-

д о т о ч и т ь с я иа р а б о т е в с л е д у ю щ и х областях:

• о п р е д е л е н и е о т л и ч и й м е ж д у а в т о н о м н ы м и центрами сертификации и СА

п р е д п р и я т и я ;

• у с т а н о в к а и н а с т р о й к а ц е н т р о в с е р т и ф и к а ц и и AD CS;

• у с т а н о в к а и н а с т р о й к а с л у ж б ы Сетевой ответчик (Network Responder);

• у с т а н о в к а с л у ж б ы N D E S ( N e t w o r k Device Enrollment Service);

• работа с ш а б л о н а м и с е р т и ф и к а т о в .

Вам т а к ж е с л е д у е т п о п р а к т и к о в а т ь с я в использовании различных средств

и к о н с о л е й у п р а в л е н и я AD CS. Б о л ь ш и н с т в о консолей доступно в Диспетчере

[. 7 9 0 Службы сертификации Active Directory Глава 15

сервера (Server Manager). Необходимо лишь создать консоль Сертификаты

(Certificates).

. Упражнение 1 Подготовьте два сервера ( в и р т у а л ь н ы е и л и ф и з и ч е с к и е )

в качестве рядовых серверов домена AD DS. З а т е м у с т а н о в и т е а в т о н о м н ы й

корневой центр с е р т и ф и к а ц и и и С А п р е д п р и я т и я д л я в ы д а ч и с е р т и ф и к а -

тов Д л я установки и настройки о б о и х с е р в е р о в в ы п о л н и т е все о п е р а ц и и ,

описанные в этой главе. Оставьте к о р н е в о й СА п о д к л ю ч е н н ы м к сети и раз-

решите ему связываться с центром в ы д а ч и с е р т и ф и к а т о в .

• Упражнение 2 На сервере с СА выдачи с е р т и ф и к а т о в у с т а н о в и т е с л у ж б у

Сетевой ответчик (Online Responder). З а т е м с л е д у й т е и н с т р у к ц и я м з а н я -

тия 2 для завершения настройки сетевого о т в е т ч и к а . У д е л и т е п р и с т а л ь н о е

внимание каждому шагу и н с т р у к ц и и . С е т е в ы е о т в е т ч и к и я в л я ю т с я н о в ы м

компонентом в AD CS и, скорее всего, б у д у т п р е д с т а в л е н ы в т е м а х э к з а -

мена.

• Упражнение 3 Следуйте и н с т р у к ц и я м к у п р а ж н е н и я м з а н я т и я 1, ч т о б ы

установить и отконфигурировать с л у ж б у N D E S . Э т а с л у ж б а т а к ж е я в л я е т с я

новым компонентом в AD CS и, с к о р е е всего, б у д е т п р е д с т а в л е н а в т е м а х

экзамена.

• Упражнение 4 М о д и ф и ц и р у й т е н е с к о л ь к о д у б л и к а т о в ш а б л о н о в . В н и м а -

тельно просмотрите параметры на всех в к л а д к а х с в о й с т в ш а б л о н а . Ш а б л о -

ны версий 2 и 3 содержат много р а з л и ч н ы х п а р а м е т р о в и ф у н к ц и й .

• Упражнение 5 И наконец, в ы п о л н и т е а р х и в а ц и ю , в о с с т а н о в л е н и е и и з у -

чите доступные о п ц и и и н с т р у м е н т а Р К 1 п р е д п р и я т и я ( E n t e r p r i s e P K I )

и утилиты Certutil.exe. Не забудьте и з у ч и т ь AD C S , а т а к ж е п р е д ы д у щ у ю

реализацию PKI в Windows Server 2003. На в е б – с а й т е M i c r o s o f t T e c h N e t со-

держится намного больше и н ф о р м а ц и и об и н ф р а с т р у к т у р е P K I в W i n d o w s

Server 2003, чем в W i n d o w s Server 2008.

Пробный экзамен

На прилагаемом к книге к о м п а к т – д и с к е п р е д с т а в л е н о н е с к о л ь к о в а р и а н т о в

тренировочных тестов. Проверка знаний в ы п о л н я е т с я и л и т о л ь к о но о д н о й т е м е

сертификационного экзамена 7 0 – 6 4 0 , и л и п о всем э к з а м е н а ц и о н н ы м т е м а м .

Тестирование можно организовать таким образом, чтобы оно проводилось как

экзамен, либо настроить на р е ж и м о б у ч е н и я . В п о с л е д н е м с л у ч а е вы с м о ж е т е

после каждого своего ответа н а в о п р о с п р о с м а т р и в а т ь п р а в и л ь н ы е о т в е т ы

и пояснения.

ПРИМЕЧАНИЕ Пробный экзамен

Подробнее о пробном экзамене рассказано во введении к данной книге.

Г

Л

А

В

А 1 6

Службы управления правами

Active Directory

Занятие 1. Установка служб управления правами Active Directory 795

Занятие 2. Настройка и использование служб управления правами

Active Directory 819

С л у ж б ы у п р а в л е н и я п р а в а м и Activc Directory (Active Directory Rights Manage-

m e n t Services, R M S ) п р е д н а з н а ч е н ы д л я р а с ш и р е н и я внутренней сети. Однако

в д а н н о м с л у ч а е р е ч ь и д е т о р а с ш и р е н и и и н т е л л е к т у а л ь н о й собственности.

Л ю д и , н а ч и н а я р а б о т а т ь с к о м п ь ю т е р о м , испытывают определенные сложности

с ц и ф р о в ы м у п р а в л е н и е м п р а в а м и D R M (Digital Rights Management). Когда

к о м п ь ю т е р ы т о л ь к о п о я в и л и с ь , п р о и з в о д и т е л и программного обеспечения

п р е д п р и н и м а л и м н о г о у с и л и й по з а щ и т е своих программ от похитителей. Даже

в н а с т о я щ е е в р е м я о д н и п р о и з в о д и т е л и требуют использовать аппаратные клю-

чи д л я з а п у с к а с в о е г о п р о г р а м м н о г о обеспечения, другие применяют веб-про-

ц е с с ы п о д т в е р ж д е н и я . Н а п р и м е р , в ы п у с т и в Windows Vista, корпорация Micro-

s o f t в в е л а н о в у ю с х е м у л и ц е н з и р о в а н и я с о с л у ж б о й K M S (Key Management

S e r v e r ) д л я п о д т в е р ж д е н и я л и ц е н з и р о в а н н ы х версий Microsoft Windows.

Р а з р а б о т к а п р о г р а м м н о г о о б е с п е ч е н и я – это не единственная отрасль про-

м ы ш л е н н о с т и , и с п ы т ы в а ю щ а я с л о ж н о с т и с у п р а в л е н и е м правами. Например,

в 2 0 0 5 г о д у М а р к Р у с с и н о в и ч , член технического совета Microsoft, обнаружил,

ч т о к о м п а н и я S o n y B M G у с т а н о в и л а в м е с т е с о своим CD-проигрывателем

с к р ы т ы й м о д у л ь ( r o o t k i t ) , к о т о р ы й активировался при загрузке проигрывателя

н а к о м п ь ю т е р ы п о л ь з о в а т е л е й . Э т о т п р о г р а м м н ы й модуль пересылал данные

с п и с к о в в о с п р о и з в е д е н и я назад на ц е н т р а л ь н ы й сервер, управляемый компани-

ей S o n y в И н т е р н е т е . В р е з у л ь т а т е в сети п о я в и л о с ь много статей о подходах,

и с п о л ь з у е м ы х м у з ы к а л ь н ы м и п р о и з в о д и т е л я м и д л я защиты содержимого.

к 79 2 Службы управления правами Active Directory

Глава 16

К СВЕДЕНИЮ Марк Руссинович и Sony BMG

Более подробную информацию о прениях между Марком Руссинович н компанией

Sony можно найти по адресу http://blogs.technet.com/markrussinovich/archive/2005/

Ю/31/sony-rootkits-and-digitaI-rights-management-gone-too-far.aspx.

Теперь музыка продается в формате М Р З без з а щ и т ы данных. При покупке

песни вы отвечаете за ее защиту, но зато м о ж е т е в о с п р о и з в о д и т ь ее на любом

устройстве. Это не всегда связано с и с т о р и е й М а р к а и Sony B M G , однако де-

монстрирует, насколько сложной может стать система у п р а в л е н и я ц и ф р о в ы м и

правами DRM.

В защите нуждаются не только м у з ы к а и п р о г р а м м н о е обеспечение. В цен-

трах данных постоянно внедряются новые т е х н о л о г и и д л я з а щ и т ы интеллекту-

альной собственности. Например, э л е к т р о н н а я почта а в т о м а т и ч е с к и сохраняет

данные о диалогах. Когда вы отвечаете на с о о б щ е н и е , и с х о д н о е сообщение

вкладывается в ваше и т. д. Без системы D R M кто угодно в л ю б о е в р е м я может

изменить содержимое этого вложенного ответа, и з м е н и в т а к и м образом тон и

суть диалога. Более того, кто угодно м о ж е т п е р е н а п р а в и т ь д и а л о г и изменить

его содержимое, причем вы даже не будете знать, к т о это. Р е а л и з а ц и я D R M

для защиты содержимого электронной п о ч т ы г а р а н т и р у е т , что в а ш и ответы

никогда не будут модифицированы, даже если о н и в к л а д ы в а ю т с я в еще одно

сообщение.

Сказанное применимо ко многим т и п а м и н т е л л е к т у а л ь н о й собственности:

документам Microsoft Office, п р е з е н т а ц и я м M i c r o s o f t Office P o w e r P o i n t и дру-

гому содержимому. Многие организации понимают ценность интеллектуальной

собственности и тот факт, что ее потеря, н е к о р р е к т н о е и с п о л ь з о в а н и е , копиро-

вание или хищение может п р и ч и н и т ь н е п о п р а в и м ы й ущерб. К о м п а н и и , зара-

батывающие прибыль путем г е н е р и р о в а н и я и н ф о р м а ц и и и л и использования

внутренних данных, используют систему у п р а в л е н и я п р а в а м и D R M .

Службы управления правами Active D i r e c t o r y ( A D R M S ) п о з в о л я ю т за-

щитить интеллектуальную собственность путем и н т е г р а ц и и н е с к о л ь к и х ком-

понентов. Помимо непосредственной и н т е г р а ц и и с д о м е н н ы м и с л у ж б а м и Ac-

tive Directory (AD DS), службы AD R M S т а к ж е могуг и с п о л ь з о в а т ь службы

сертификации Active Directory ( A D CS) и с л у ж б ы ф е д е р а ц и и Active Directory

(AD FS). Службы AD CS генерируют с е р т и ф и к а т ы и н ф р а с т р у к т у р ы открытых

ключей (Public key Infrastructure, P K I ) , к о т о р ы е с л у ж б ы AD R M D вкладыва-

ют в документы. Службы AD FS р а с ш и р я ю т п о л и т и к и AD R M S за пределы

брандмауэра и поддерживают защиту и н т е л л е к т у а л ь н о й собственности среди

бизнес-партнеров (рис. 16-1).

Темы экзамена:

• Настройка дополнительных ролей сервера Active Directory.

• Настройка служб управления п р а в а м и Active Di r e ct or y (Active Direc-

tory Rights Management Services).

Прежде всего

793

Рис. 16-1. Службы AD RMS расширяют полномочия организации

за пределы внутренней сети

Прежде всего

Д л я в ы п о л н е н и я у п р а ж н е н и й , п р е д л а г а е м ы х в э т о й главе, потребуется следу-

ющее о б о р у д о в а н и е .

• Ф и з и ч е с к и й и л и в и р т у а л ь н ы й к о м п ь ю т е р W i n d o w s Server 2008. Машине

с л е д у е т п р и с в о и т ь и м я S E R V E R 0 1 и н а з н а ч и т ь ее контроллером домена

c o n t o s o . c o m . И н с т р у к ц и и по у с т а н о в к е содержатся в главах 1 и 2.

• Ф и з и ч е с к и й и л и в и р т у а л ь н ы й к о м п ь ю т е р W i n d o w s Server 2008 Enterprise

E d i t i o n с и м е н е м S E R V E R 0 3 – р я д о в о й сервер в домене contoso.com. Эта

м а ш и н а б у д е т с о д е р ж а т ь с е р в е р ы п о л и т и к и A D R M S , которые в ы устано-

в и т е и с о з д а д и т е , в ы п о л н я я у п р а ж н е н и я . К о м п ь ю т е р т а к ж е д о л ж е н быть

к 79 4 Службы управления правами Active Directory

Глава 16

оснащен диском D для х р а н е н и я д а н н ы х AD R M S . Ч т о б ы выполнить уп-

ражнение, достаточно 40 Гбайт, х о т я к о р п о р а ц и я M i c r o s o f t рекомендует

использовать для сервера AD R M S д и с к о б ъ е м о м 80 Гбайт.

• Физический и л и виртуальный к о м п ь ю т е р W i n d o w s Server 2008 Enterprise

Edition с именем S E R V E R 0 4 – р я д о в о й сервер в д о м е н е contoso.com. Эта

машина будет содержать серверы п о л и т и к и AD R M S , к о т о р ы е вы уста-

новите и создадите, в ы п о л н я я у п р а ж н е н и я . Ж е л а т е л е н , конечно, диск D

для хранения данных AD R M S . Д л я в ы п о л н е н и я у п р а ж н е н и я достаточно

40 Гбайт, хотя корпорация Microsoft рекомендует использовать для сервера

AD RMS диск объемом 80 Гбайт.

• Физический или в и р т у а л ь н ы й к о м п ь ю т е р W i n d o w s Server 2008 Enterprise

Edition с именем S E R V E R 0 5 – р я д о в о й сервер в д о м е н е contoso.com. Эта

машина должна содержать M i c r o s o f t S Q L Server 2005, к о т о р ы й будет ис-

пользоваться для запуска базы д а н н ы х к о н ф и г у р а ц и и и в е д е н и я журналов

AD RMS. Не л и ш н и м о к а ж е т с я д и с к D о б ъ е м о м 10 Гбайт д л я х р а н е н и я

данных SQL Server.

К СВЕДЕНИЮ Создание виртуальных машин SQL Server 2005

Более подробная информация о создании виртуальной машины Windows Server 2005

содержится по адресу http://itmanagement.earthweb.com/article.php/3718566.

Если вы применяете Microsoft Virtual PC или Virtual Server, то можете исполь-

зовать предварительно отконфигурированную виртуальную машину в формате .vhd.

Более подробную информацию по данному вопросу можно найти по адресу https://

www.microsoft.com/downloads/details.aspx7FamilyID~7b243252-acb7-451b-822b-

df639443aeaf&DisplayLang=en.

Как видите, для полного т е с т и р о в а н и я AD R M S т р е б у е т с я н е с к о л ь к о ком-

пьютеров, поэтому имеет смысл использовать в и р т у а л и з а ц и ю , а также добавить

клиентский компьютер W i n d o w s Vista и M i c r o s o f t Office 2007, чтобы протес-

тировать инфраструктуру AD R M S после р а з в е р т ы в а н и я .

История из ж и з н и

Даниэль Реет и Нельсон Реет

В 2007 году нас подготовить написать серию книг, в которых детально описы-

валась бы конкретная технология, включая архитектуру, развертывание, адми-

нистрирование и т. д. В проекте принимали участие несколько авторских групп,

каждая из которых занималась отдельной книгой.

Мы начали готовить содержание ТО С (Table Of Content), чтобы успеть к на-

значенной дате. Установив Microsoft Office 2007, решили использовать один из

новых шаблонов Word 2007. Издателю понравился формат, и его рекомендовали

использовать другим авторским группам. Когда были собраны все оглавления

ТОС, проект утвердили.

Авторские группы приступили к работе. Однако оказалось, что одна из групп

была расположена очень далеко и не смогла написать свои главы вовремя. Мы

решили помочь им и согласились просмотреть оглавление книги.

Занятие 1

Установка служб управления правами Active Directory

795

Оглавление Т О С авторы прислали в нашем исходном формате. Однако после

анализа Т О С й определения глав, которые требовалось написать, обнаружилось,

что 33 % содержимого дословно повторялось в оглавлениях других авторов.

Мы сразу связались с издателем. Если бы в оглавлении Т О С использовали

такую технологию управления правами, как AS RMS, этого не произошло бы.

Система D R M гарантирует целевое использование содержимого. Другие техно-

логии не способны защитить информацию аналогичным образом.

Занятие 1. Установка служб управления правами

Active Directory

М н о г и е о р г а н и з а ц и и п р е д п о ч и т а ю т р е а л и з о в а т ь A D R M S поэтапно..

• П е р в ы й э т а п п р е д п о л а г а е т в н у т р е н н е е и с п о л ь з о в а н и е интеллектуальной

с о б с т в е н н о с т и . О с у щ е с т в л я е т с я р е а л и з а ц и я п р а в доступа к создаваемой

д о к у м е н т а ц и и . С о т р у д н и к и м о г у т п р о с м а т р и в а т ь и ч и т а т ь л и ш ь т о со-

д е р ж и м о е , в с о з д а н и и к о т о р о г о п р и н и м а ю т участие, могут управлять им.

К о п и р о в а н и е с о д е р ж и м о г о в ы п о л н я е т с я т о л ь к о при соблюдении строгих

у с л о в и й .

• На в т о р о м э т а п е с о д е р ж и м о е и с п о л ь з у е т с я совместно с партнерами. Защи-

щ е н н о е с о д е р ж и м о е п р е д о с т а в л я е т с я партнерским организациям. Партнеры

м о г у т п р о с м а т р и в а т ь з а щ и щ е н н ы е д о к у м е н т ы и получать доступ к ним, но

не м о г у т к о п и р о в а т ь и л и и с п о л ь з о в а т ь эту и н ф о р м а ц и ю в других целях.

• Н а т р е т ь е м э т а п е а у д и т о р и я р а с ш и р я е т с я . И н т е л л е к т у а л ь н у ю собствен-

н о с т ь в з а щ и щ е н н о м р е ж и м е м о ж н о р а с п р о с т р а н я т ь з а пределами сети.

П о с к о л ь к у и н ф о р м а ц и я з а щ и щ е н а , е е н е л ь з я к о п и р о в а т ь и л и распростра-

н я т ь б е з с о о т в е т с т в у ю щ и х с а н к ц и й .

В к а ж д о м с л у ч а е н е о б х о д и м о п о л н о е в з а и м о д е й с т в и е п о л и т и к и защиты

д о к у м е н т о в с с о т р у д н и к а м и , к о т о р ы е работают с д а н н ы м и . С л у ж а щ и е должны

п р о й т и у ч е б н ы е к у р с ы , ч т о б ы п о н и м а т ь последствия неавторизованного разгла-

ш е н и я и н ф о р м а ц и и . П а р т н е р а м т а к ж е следует предоставить инструкции отно-

с и т е л ь н о и с п о л ь з у е м о й п о л и т и к и , чтобы они знали, как защитить информацию.

П о с л е р а с ш и р е н и я а у д и т о р и и и н с т р у к ц и и п о л и т и к и нужно распространить,

ч т о б ы к о н е ч н ы е п о т р е б и т е л и с м о г л и работать с информацией.

Н а к а ж д о м э т а п е р е а л и з а ц и и п о т р е б у ю т с я д о п о л н и т е л ь н ы е компоненты,

п о д д е р ж и в а ю щ и е с т р а т е г и и з а щ и т ы и н ф о р м а ц и и .


    Ваша оценка произведения:

Популярные книги за неделю