Главная » Разное » Для чего нужна windows 7 с сертификатом фстэк

Для чего нужна windows 7 с сертификатом фстэк


ФСТЭК предупредила органы власти об опасности использования Windows 7

В связи с прекращением поддержки Windows 7 производителем Федеральная служба по техническому и экспортному контролю России (ФСТЭК) рекомендовала органам власти до 1 июня 2020 года перейти на использование поддерживаемых производителем ОС. ФСТЭК также опубликовала рекомендации по дополнительным мерам защиты информации на время, пока Windows 7 не будет заменена на более новые ОС.

Согласно информационному сообщению ФСТЭК от 20 января 2020 года, в настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления и организаций продолжает использоваться Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная». В частности, это обусловлено наличием большого количества разработанного под Windows 7 специфичного прикладного ПО, применяемого для реализации органами государственной власти и организациями своих полномочий.

По той же причине органы власти и госучреждения продолжают пользоваться Windows Server 2008 R2, расширенная поддержка которой прекратилась 14 января 2020 года (основная поддержка была завершена 13 января 2015 года).

«Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей», - говорится в сообщении ФСТЭК.

Регулятор рекомендовал до 1 июня нынешнего года перейти на поддерживаемые ОС, а до тех пор принять дополнительные меры безопасности. В частности, необходимо установить все актуальные обновления, заблокировать автоматическую установку обновлений, отключить устройства, работающие под управлением устаревших ОС, от интернета и ведомственных компьютеров, обеспечить резервное копирование данных и пр.

«В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях "Профессиональная", "Корпоративная" и "Максимальная" и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter. Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930», - сообщила ФСТЭК.

Компания Microsoft прекратила официальную поддержку Windows 7 14 января 2020 года. Поддержка новой версии браузера Microsoft Edge на движке Chromium для Windows 7 будет продолжаться по меньшей мере до июля 2021 года.

Что такое ФСТЭК и в чем заключается сертификация?

10 Июля 2012

Для чего нужна сертификация программного обеспечения?

Вопросы защиты конфиденциальной информации тесно переплетены с интересами общества, личности, бизнеса и государства. В наше время, в условиях формирования единого информационного пространства, они являются важнейшей составной частью задач, решаемых государственными органами, учреждениями и организациями при разработке, создании, эксплуатации информационных систем, баз и банка персональных данных информационных систем.

Любое государство стремится обеспечить контроль над информацией, связанной с обеспечением национальной безопасности. И поэтому к программному обеспечению, которое поставляется на рынок и используется для построения ключевых систем информационной инфраструктуры, предъявляются особые требования.

К таким ключевым системам можно отнести:

  • информационные системы органов государственной власти, органов управления и правоохранительных структур;
  • информационные системы финансово-кредитной и банковской деятельности;
  • информационно-телекоммуникационные системы специального назначения;
  • сети связи правоохранительных структур;
  • сети связи общего пользования на участках, не имеющих резервных или альтернативных видов связи;
  • автоматизированные системы управления энергоснабжением;
  • автоматизированные системы управления наземным и воздушным транспортом;
  • автоматизированные системы управления добычей и транспортировкой нефти и газа;
  • автоматизированные системы предупреждения и ликвидации чрезвычайных ситуаций;
  • автоматизированные системы управления экологически опасными производствами;
  • автоматизированные системы управления водоснабжением;
  • географические и навигационные системы.

И это далеко не полный перечень. В указанных системах накапливается, обрабатывается и передается информация, связанная с производственной, организационно-экономической, научно-технической, кредитно-финансовой и другой деятельностью государства. В ряде систем и сетей циркулирует информация оперативно-диспетчерского и технологического управления, определяющая надежность и безопасность функционирования всего хозяйственного комплекса России и оказывающая существенное влияние на обеспечение ее национальной безопасности в информационной сфере. Именно поэтому эти системы являются ключевыми.

В связи с этим, производители программного обеспечения обязаны учитывать требования, налагаемые международными и национальными законами на информационные системы, предназначенные для работы с такой информацией.

Для проверки соответствия программного обеспечения этим требованиям и требуются процедуры сертификации!

 

Кто обязан использовать сертифицированные программные средства?

Все государственные организации, негосударственные организации, работающие с так называемой «служебной информацией государственных органов», а также ряд других организаций в соответствии с российским законодательством (например, организации, подпадающие под соответствующие требования «Закона о персональных данных»).

Ниже приведены выдержки из законодательных и регулирующих документов, из которых в совокупности следует необходимость применения сертифицированных средств защиты информации:

  • В Федеральном законе 149 (ФЗ) ст.14 п.8 сказано о том, что «…технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании»
  • В ФЗ 184 «О техническом регулировании» в ст.4 . «федеральные органы исполнительной власти наделены правом издавать в сфере технического регулирования акты обязательного характера, в случаях, установленных статьей 5»
  • Статья 5 ФЗ 184 касается, в том числе, и продукции, используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации к информации ограниченного доступа (в том числе «служебная информация госорганов»)
  • Уполномоченным органом, наделенным правом устанавливать обязательные требования по защите информации, в соотв. со ст.15 ФЗ 149 является ФСТЭК России
  • В частности, в нормативном документе СТР-К (Специальные требования по защите конфиденциальной информации) ФСТЭК России утверждается

    • п.2.3. «Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования».

    • п. 2.16. « Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации средства защиты информации. Порядок сертификации определяется законодательством Российской Федерации».

    • п.2.17. «Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии нормативными документами ФСТЭК России и требованиями настоящего документа».

  • Закон РФ N 5485-1 от 21 июля 1993 г. («Закон о государственной тайне») определяет средства защиты информации, как «составную часть информационных систем или продуктов».

В соответствии с приведенными законами соответствующие организации (в частности, государственные) обязаны использовать программные и аппаратные средства с сертифицированными средствами защиты информации.

 

Кем осуществляется сертификация ПО в Российской Федерации?

В нашей стране существуют несколько различных систем сертификации, ориентированные на различные типы программного обеспечения (ФСТЭК, ФСБ, Минобороны и др.).


Основными системами сертификации для большей части ПО являются системы сертификации ФСБ и ФСТЭК.

  • Сертификация ФСБ предназначена для проверки подсистем ПО, использующих криптографическую защиту (в нашей стране допускаются только российские криптоалгоритмы). Требования систем сертификации ФСБ не являются публичными, ознакомление с ними предполагает наличие специальных допусков.
  • Сертификация ФСТЭК предназначена проверки обеспечения технической защиты информации не криптографическими методами. Требования системы сертификации ФСТЭК являются открытыми и опубликованы на официальном сайте.

 

Что такое сертифицированный продукт в РФ?

Российская система сертификации коренным образом отличается от систем, принятых в других странах, причем в лучшую сторону. Каждая претендующая на сертификат копия ПО проверяется на соответствие той, которая непосредственно подвергалась испытаниям при сертификации, т.е. на бинарном уровне все сертифицированные копии полностью идентичны. Службы, отвечающие за целостность этих продуктов, могут в любое время проконтролировать у пользователя наличие всех необходимых сертифицированных патчей и обновлений, а также проверить продукты на отсутствие несертифицированных изменений.

А вот по условиям международной системы сертификации Common Сriteria сертифицированным считается любой лицензионный экземпляр ПО, прошедшего сертификацию, — идентичность каждого продаваемого экземпляра тому, который непосредственно проходил сертификацию, не проверяется. Но ведь регулярно выпускаются патчи и новые версии программ, и варианты ПО, поставляемого на рынок сегодня, просто могут отличаться от протестированного в свое время экземпляра, поданного для получения сертификата.

Каждая организация, которая приобрела сертифицированные продукты, имеет защищенный доступ к персональной для этой организации странице на специализированном сайте, откуда данная организация будет получать сертифицированные обновления и другую информацию.

 

Что такое ФСТЭК России и каковы его функции?

ФСТЭК России (до 2004 года - Гостехкомиссия России) - это федеральный орган исполнительной власти, обладающий следующими полномочиями:

  • обеспечение безопасности информации в ключевых системах информационной и телекоммуникационной инфраструктуры;
  • противодействие иностранным техническим разведкам;
  • обеспечение технической защиты информации некриптографическими методами;
  • осуществление экспортного контроля.

В соответствии с положением о ФСТЭК России одной из ее основных задач является организация деятельности государственной системы противодействия техническим разведкам и технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной государственной системой.

Все нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями.

 

Каким образом осуществляется сертификация ФСТЭК?

ФСТЭК является только организатором сертификации и службой контроля верхнего уровня. Непосредственные действия выполняют лицензиары ФСТЭК – испытательные лаборатории и экспертные организации. Первые непосредственно проводят исследование ПО, а вторые занимаются проверкой качества этих испытаний.

Заказчик имеет право выбирать испытательную лабораторию (при согласии ФСТЭК), но ФСТЭК самостоятельно назначает экспертную организацию на проверку результатов.

Таким образом, с одной стороны есть конкурентная среда, когда испытательные лаборатории борются за клиента (стоимостью проверок, сроками и т.п.), с другой – качество испытаний четко проверяется независимыми экспертами.

По аналогии работает и система сертификации ФСБ.

Кроме того, в системе сертификации ФСТЭК существует еще институт заявителей. Эти компании непосредственно работают с испытательными лабораториями и экспертными организациями, именно они проводят сравнение продаваемых копий продуктов на соответствие их образцу, прошедшему сертификацию. Они же издают документы установленного образца для каждой копии прошедших такое сравнение продуктов, ведут учет таких продуктов.

Заявители несут затраты на проверку продукта, на выписку соответствующих документов, на постоянный учет сертифицированных продуктов (где и в каком состоянии эти продукты находятся), в ряде случаев, по договоренности с владельцами продукта, они также за свой счет проводят сертификацию всех патчей.


Количество показов: 46188
Автор:  Костров А.А.
Количество голосов:  35
Сумма голосов:  158
Рейтинг:  4.21

Зачем нужен сертификат ФСТЭК? | Ubuntu-News.Ru

Что такое сертификат ФСТЭК и зачем он нужен? Каким организациям надо получить его? Сегодня мы разберемся в этих вопросах.

Начнем с самой организации ФСТЭК. Она расшифровывается как Федеральная служба по техническому и экспортному контролю и находится в подчинении Минобороны Российской Федерации. Ранее ФСТЭК имела название Государственная техническая комиссия при Президенте РФ, вплоть до 2004 года. Данная организация занимается вопросами технической защиты информации.

Сам сертификат ФСТЭК - бумажка, подтверждающая соответствие сертифицируемого объекта требованиям российских нормативных актов. Сертификат соответствия ФСТЭК выдается на средства защиты информации, которые не используют криптографию и не работают с государственной тайной.

Выдачей подобных сертификатов занимаются специализированные центры сертификации. К примеру, получить сертификат ФСТЭК в Новосибирске можно в организации "Гортест-Сибирь".

 

Объекты сертификации Федеральной службы по техническому и экспортному контролю

Сертификат соответствия ФСТЭК может быть получен на продукцию следующего типа:

  • программы-антивирусы;
  • брандмауэры;
  • ОС;
  • СУБД;
  • средства защиты различных уровней;
  • прикладные информационные системы;
  • генераторы паролей доступа;
  • системы обеспечения электронного документооборота.

Классы защиты

По ФСТЭК было введено 4 класса защищенности изделий:

  • первый - для работы с информацией под грифом "Особой важности",
  • второй - обеспечивает работы с грифом "Совершенно секретно",
  • третий - работа с грифом "Секретно",
  • четвертый - для работы с любой конфиденциальной информацией.

Сертификат ФСТЭК будет содержать сведения о нормативных документах, на базе которых изготавливалась продукция, а также о классе защиты. В нем указываются сведения о лаборатории, где проходили исследования, о научных сотрудниках, которые их проводили, а также об испытаниях, ну и, конечно же, экспертное заключение.


Как получить лицензию ФСТЭК (по техническому и экспортному контролю) — СКБ Контур

кo️нтур журнал
  • Статьи
  • Вопрос эксперту
  • Календарь событий
  • Ещё
    • Статьи
    • Вопрос эксперту
    • Календарь событий

Microsoft получила сертификаты ФСТЭК на новые ОС

, Текст: Михаил Демидов

На основании экспертизы, проведенной Федеральной службой по техническому и экспортному контролю Российской Федерации (ФСТЭК), корпорация Microsoft получила сертификаты на операционные системы Windows 7 (№2180 от 30.09.2010) и Windows Server 2008 R2 (№2181 от 30.09.2010). Согласно полученным документам, версии Windows 7 "Профессиональная" (Professional), "Корпоративная" (Corporate), "Максимальная" (Ultimate) и версии Windows Server 2008 R2 Standard, Enterprise Datacenter, разработанные корпорацией Microsoft, являются программными средствами общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну.

ФСТЭК подтверждает, что данные продукты Microsoft соответствуют стандартам безопасности, установленными Гостехкомиссией РФ, а также требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности и могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также информационных систем персональных данных до 2 класса включительно.

Сертификаты №2180 и №2181 подписаны первым заместителем директора ФСТЭК Российской Федерации Владимиром Селиным на основании испытаний, которые проводились испытательной лабораторией "Документальные системы" (аттестат аккредитации № СЗИ RU.304.В07.022 от 24.05.2006) и экспертного заключения от органа по сертификации ФГУ "ГНИИИ ПТЗИ ФСТЭК России" (аттестат аккредитации № СЗИ RU.840.А92.007 от 26.04.2005).

Необходимо отметить, что объектами сертификации стали не только операционные системы Windows 7 и Windows Server 2008 R2, но программы учета и распространения сертифицированных обновлений. Поэтому в приложении к обоим сертификатам сказано, что настройки и контроль механизмов защиты безопасности должны производиться в соответствии с "Руководством по настройке системы"; программный комплекс должен пройти процедуру контроля соответствия (верификации) сертифицированному эталону; на программный комплекс должны быть установлены все актуальные обязательные сертифицированные обновления безопасности. Данные примечания означают, что заказчики смогут получать любое количество необходимых им сертифицированных продуктов в течение всего срока действия сертификата. Кроме того, сертифицированные обновления продуктов позволяют заказчикам постоянно соответствовать требованиям российского законодательства.

"Сертификация наших флагманских продуктов Windows 7 и Windows Server 2008 R2 очень важна для нас, так как на их базе строится большинство информационных систем. Теперь наши заказчики могут не только использовать новые возможности этих ОС, но и быть уверенными, что они удовлетворяют российским требованиям по обеспечению безопасности", – сказал Владимир Мамыкин, директор по информационной безопасности "Майкрософт Рус". Необходимо отметить, что до недавнего времени последними сертифицированными продуктами ФСТЭК были клиентская операционная система Windows XP Professional русская версия и серверная операционная система Windows Server 2003 Enterprise Edition русская версия.

Как обеспечить соответствие требованиям регуляторов при поставке устройств с операционной системой, не имеющей сертификата ФСТЭК?

Как вы знаете, самая современная ОС Windows 10 пока не имеет сертификата защищенности ФСТЭК. Но что делать, когда по ТЗ нужна сертифицированная ФСТЭК операционная система?

Есть 2 варианта решения вопроса:

  1. Установка ОС, которые имеют действующий сертификат ФСТЭК

В настоящее время, из клиентских ОС Microsoft, только Windows 8.1 имеет действующий сертификат ФСТЭК, поскольку Microsoft будет поддерживать эту ОС до 10.01.2023. Кварта Технологии поставляет Windows 8.1 Professional for Embedded Systems до 2028 года.

  1. Для обеспечения высокого уровня безопасности устройств на базе Windows 10 IoT Enterprise можно применить средства защиты информации от несанкционированного доступа (СЗИ от НСД), такие как Secret Net Studio от компании Код Безопасности.

Secret Net Studio обладает всеми необходимыми сертификатами ФСТЭК, чтобы устройство могло считаться защищенным. Важно понимать, что при установке Secret Net Studio, сама операционная система не будет сертифицирована ФСТЭК. В данном случае устройство будет защищено как единое целое, вместе со всеми установленными программами и операционной системой. Это достигается путём независимого от операционной системы контроля внутренних механизмов средств защиты информации и драйверов.

С помощью Secret Net Studio можно достигнуть высокого уровня безопасности, при этом сохраняя выгодную модель ценообразования Windows 10 IoT Enterprise (более подробно с лицензированием вы можете ознакомиться на нашем сайте).

Список сертификатов:

  • 4-й уровень контроля отсутствия НДВ
  • 5-й класс защищенности СВТ
  • 4-й класс защиты СКН
  • 4-й класс защиты САВЗ
  • 4-й класс защиты СОВ уровня хоста
  • 4-й класс защиты МЭ типа «В»

Самое последнее обновление (8.6) обладает большими возможностями, в отличие от предыдущих версий, среди которых:

  • Блокировка отправки телеметрии Windows 10
  • Ограничение возможности удаления со стороны локального администратора
  • Возможность централизованного развертывания через Microsoft System Center
  • Защита распределенной среды в рамках независимых доменов Active Directory

 Подробнее о Secret Net Studio вы можете узнать на странице продукта.

Если у вас есть задача производства и поставки устройств в соответствии с требованиями регуляторов, напишите нам на электронную почту [email protected], или обратитесь к вашему аккаунт-менеджеру.   

Сертификат вашего настольного приложения - Win32 apps

  • 2 минуты на чтение

В этой статье

Выполните следующие действия, чтобы сертифицировать настольное приложение для Windows 7, Windows 8, Windows 8.1 и Windows 10.

Если вы хотите преобразовать свое настольное приложение для обеспечения совместимости с универсальной платформой Windows и Магазином Windows, вы будете использовать Windows Desktop Bridge, и в этом случае вам следует следовать инструкциям Desktop Bridge для шагов сертификации.

Если вы разрабатываете и сертифицируете приложение UWP с самого начала, см. Руководство по сертификации приложений Windows в UWP для получения информации о сертификации.

Шаг 1. Подготовка к сертификации

Тема Описание
Какие преимущества?
Сертификация вашего настольного приложения дает вам и вашим клиентам ряд преимуществ.
Ознакомьтесь с требованиями
Ознакомьтесь с техническими требованиями и квалификационными требованиями, которым должно соответствовать настольное приложение.

Шаг 2. Протестируйте приложение с помощью комплекта сертификации приложений для Windows

Тема Описание
Получить комплект Для сертификации приложения необходимо установить и запустить комплект сертификации приложений для Windows (входит в состав Windows SDK).
Использование комплекта Прежде чем вы сможете отправить приложение, вы должны протестировать его на готовность. Вы также можете загрузить копию официального документа о сертификации приложения.
Обзор деталей теста Получите список тестов, которые ваше приложение должно пройти, чтобы соответствовать требованиям совместимости с последней версией операционной системы Windows.

Примечание. Драйверы фильтров также должны пройти комплект сертификации оборудования. (См. Сертификационные требования для настольных приложений Windows, раздел 6.2.)

Шаг 3. Используйте панель сертификации Windows

Чтобы отправить приложение на сертификацию, вам необходимо войти в систему или зарегистрировать учетную запись компании на панели сертификации Windows.Как только вы это сделаете, вы не только сможете сертифицировать свое приложение, но и получите доступ к инструментам для проверки и управления вашим приложением на всех этапах процесса.

Тема Описание
Открыть счет Если ваша компания еще не зарегистрирована, вы должны зарегистрировать ее через панель сертификации Windows.
Получить сертификат подписи кода Прежде чем вы сможете создать учетную запись Windows Certification Dashboard, вам необходимо получить сертификат подписи кода для защиты вашей цифровой информации.
Протестируйте локально и загрузите результаты После запуска тестов комплекта сертификации приложений для Windows загрузите результаты на панель сертификации Windows.
Управление отправкой После того, как вы отправите свое приложение на сертификацию, вы можете просмотреть свою заявку через панель сертификации Windows Certification Dashboard.
Тема Описание
Проверить совместимость приложения Если вы создаете приложение для Windows 8.1, исследуйте проблемы совместимости.
Используйте логотип в своем приложении Размещайте логотип на упаковке, в рекламе и других рекламных материалах в соответствии с инструкциями. Только для Windows 7.

См. Также:

Форум совместимости приложений: обратитесь за поддержкой в ​​сообщество по вопросам совместимости и сертификации логотипа.

Блог о

Windows SDK: советы и новости, связанные с сертификацией приложений.

Форум

Windows Server: посетите форум сертификации, чтобы получить ответы.

Поваренная книга совместимости: узнайте, что нового или изменилось в последней версии Windows.

.

Windows Server 2012: версии и параметры шаблона сертификата - статьи TechNet - США (английский)

Применимо к Windows Server 2012

Windows Server 2012 вносит изменения в версии шаблона сертификата и параметры свойств шаблона сертификата.

  • Изменился процесс копирования шаблонов сертификатов
  • Появился новый тип версии шаблона сертификата (версия 4), который имеет несколько новых опций
Эти изменения обсуждаются в следующих разделах этой статьи.

вернуться в начало

При дублировании шаблона сертификата в Windows Server 2012 вы не выбираете версию шаблона, как описано в Создайте новый шаблон сертификата. Вместо этого Совместимость Вкладка отображается при дублировании шаблона сертификата.

Вкладка Совместимость помогает настроить параметры, доступные в шаблоне сертификата. Параметры, доступные в свойствах шаблона сертификата, изменяются в зависимости от версии операционной системы, выбранной для центр сертификации (ЦС) и получатель сертификата.Например, если настроенный ЦС Windows Server 2008 R2 и настроенный получатель сертификата Windows 7 / Server 2008 R2 , возможность Продлить с тем же ключом будет недоступен.

Предупреждение
Как только вы нажмете ОК или Применить, вы сохраняете шаблон и его версию. Шаблон версия (схема) не может быть изменена после этого.

Флажок Показать результирующие изменения позволяет контролировать, Результирующие изменения Отображается диалоговое окно. В диалоговом окне « Результирующие изменения» показано, какие параметры были удалены или добавлены в зависимости от изменения версии операционной системы центра сертификации или получателя сертификата.

Вкладка Совместимость не оказывает ограничивающего воздействия на шаблоны версии 1, версии 2 или версии 3, как указано в заявлении: Эти настройки не могут помешать более ранним операционным системам использовать этот шаблон .Тем не менее На вкладке Compatibility администраторы могут настроить комбинацию операционных систем, а затем посмотреть, какие параметры доступны для этой комбинации. Для шаблонов версии 4 Совместимость На вкладке указаны комбинации версий операционной системы, которые будут участвовать в регистрации и выдаче сертификатов. Начиная с Windows 8 и Windows Server 2012, клиенты сертификатов будут уважать версии операционной системы. которые настраиваются на вкладке Совместимость .


вернуться наверх Параметры, которые вы настраиваете на вкладке Совместимость и в свойствах шаблона сертификата, определяют версию схемы шаблона сертификата, которая создается при сохранении шаблона. Логика определения шаблона сертификата версия схемы, которая создается, выглядит следующим образом:
  1. Если операционная система CA - Windows Server 2012, а операционная система получателя сертификата - Windows 8, то создается версия схемы шаблона сертификата версии 4.
  2. Если операционная система CA является более ранней, чем Windows Server 2012 или получатель сертификата более ранней, чем Windows 8, то шаблон схемы шаблона сертификата версии 4 не создается. Тип создаваемого шаблона зависит от поставщика криптографических услуг. что выбрано:
    • Если выбран поставщик криптографических услуг (CSP), то создается версия 2 схемы шаблона сертификата.
    • Если выбран поставщик хранилища ключей (KSP), создается версия 3 схемы шаблона сертификата.
Примечания
  • Для получения информации о шаблонах сертификатов Версии 1, 2 и 3 см. Версии шаблона сертификата.
  • Для получения информации о параметрах свойств шаблона сертификата, представленных в предыдущих версиях операционной системы, см. Следующие ресурсы:
o Windows Server 2008 R2: Настройка шаблона сертификата
o Windows Server 2008: Управление шаблонами сертификатов
o Windows Server 2003: Обзор шаблона сертификата

вернуться в начало

Новые функции, которые включают в себя шаблоны сертификатов версии 4:
  • Продлить с тем же ключом
  • Поддержка как CSP, так и KSP, а также возможность упорядочить поставщиков в порядке предпочтения
  • Разрешить продление на основе ключа
  • Разрешить выдачу, указанную отправителем запроса

Продлить с тем же ключом

Windows Server 2012 представляет возможность обновления с тем же ключом на Обработка запросов Вкладка свойств шаблона сертификата.

При выборе Продлить с тем же ключом принудительно выполняется обновление с тем же ключом. Продление с тем же ключом позволяет поддерживать тот же уровень надежности исходного ключа на протяжении всего его жизненного цикла.

Windows Server 2012 поддерживает создание ключей, защищенных Trusted Platform Module (TPM), с помощью поставщиков хранилища ключей (KSP) на основе TPM. В Преимущество использования KSP на основе TPM заключается в реальной невозможности экспорта ключей, поддерживаемых механизмом защиты от ударов TPM.Администраторы могут настроить шаблоны сертификатов таким образом, чтобы Windows 8 и Windows Server 2012 отдавали более высокий приоритет KSP на основе TPM для создания ключи (как описано в Поддержка CSP, KSP и раздел заказа провайдеров). Кроме того, используя обновление с тем же ключом, администраторы могут быть уверены, что ключ по-прежнему остается в TPM после обновления.

Примечания:

  • Неправильный ввод персонального идентификационного номера (PIN) слишком много раз активирует логику защиты от ударов TPM.Анти-молот Логика - это программные или аппаратные методы, которые увеличивают сложность и стоимость атаки методом грубой силы на PIN-код, поскольку ввод PIN-кода не принимается до истечения определенного времени.
  • Если вы работаете с центром сертификации, у которого нет TPM, но вам необходимо включить «Microsoft Platform Crypto Provider» для поддержки TPM в клиентских операционных системах сертификатов, см. Создание шаблона сертификата, который включает поставщика шифрования платформы Microsoft в ЦС без TPM.
Клиенты, которые получают сертификаты из шаблонов, настроенных с помощью Продлить с тем же ключом должны обновить свои сертификаты с использованием того же ключа, иначе запрос на продление завершится ошибкой. Возможность Продлить с тем же ключом доступно только для клиентов сертификатов Windows 8 и Windows Server 2012.

Важно: если Продлить с тем же ключом включен в шаблоне сертификата, а затем реализовано архивирование ключей ( Закрытый ключ шифрования субъекта архива ), обновленные сертификаты нельзя архивировать.Чтобы узнать больше об этом ситуацию и способы ее устранения, см. Архивирование ключей и продление с тем же ключом.

Другие параметры вкладки Обработка запросов присутствовали в предыдущих операционных системах. Чтобы узнать больше об этих параметрах, см. Обработка запросов.

вернуться к началу

Поддержка CSP, KSP и заказ провайдеров

Windows Server 2012 предоставляет возможность заказывать поставщиков служб шифрования (CSP) или поставщиков хранилищ ключей (KSP) на Криптография таб.Администратор сертификата может выбирать между CSP и KSP в интерфейсе. когда Запросы должны использовать одного из следующих поставщиков. выбран, можно выбрать и заказать разных поставщиков. Администратор шаблона сертификата может выбрать поставщиков, которые будут доступны клиентам сертификатов, и использовать кнопки со стрелкой вниз для организации этих поставщиков в порядке предпочтения. Выбранные поставщики, которые находятся выше в списке, будут выбраны клиентами первыми при создании пар открытого / закрытого ключей (при условии, что поставщики включены в список).

Примечание. В предыдущих версиях операционной системы конфигурация CSP и KSP находилась на разных вкладках в свойствах сертификата. Для шаблонов сертификатов версии 2 CSP были настроены на вкладке Обработка запросов. Для шаблонов сертификатов версии 3: KSP настраивались на вкладке «Криптография». Начиная с Windows Server 2012, конфигурация поставщиков консолидируется на вкладке «Криптография». Чтобы узнать больше о вариантах провайдеров криптографии, представленных в предыдущих операционных системах, см. Криптография и Обработка запросов.

Разрешить продление на основе ключа

Режим продления на основе ключей - это функция, представленная в Windows Server 2012, которая позволяет использовать существующий действительный сертификат для проверки подлинности собственного запроса на продление. Это позволяет компьютерам, которые не подключены напрямую к внутренней сети, возможность автоматически обновлять существующий сертификат. Чтобы воспользоваться этой функцией, клиентские компьютеры с сертификатом должны работать под управлением как минимум Windows 8 или Windows Server 2012.

Чтобы узнать больше о продлении на основе ключа, см. Следующие ресурсы:

вернуться к началу

Включить политики выдачи, указанные отправителем запроса

Центр сертификации Windows Server 2012 позволяет включать в запрос сертификата определенные идентификаторы объектов политики выдачи.ЦС будет оценивать запрошенные политики выдачи в запросе сертификата. В предыдущих версиях операционной системы ЦС проигнорировал бы политики выдачи, если бы они были предоставлены в запросе сертификата. Вместо этого ЦС будет выдавать все политики выдачи, которые были настроены в шаблоне сертификата.

Чтобы использовать эту функцию, в шаблоне сертификата должна быть определена политика выдачи . Это можно сделать, отредактировав Политика выдачи на вкладке Extensions .

В диалоговом окне Edit Issuance Policies Extension отображается Включить отметку политик выдачи, указанных отправителем запроса.

Выбрав Включить политики выдачи, указанные отправителем запроса , администратор разрешает клиенту сертификата указать одну или несколько доступных политик выдачи в запросе сертификата. Клиент сертификата может запросить один или другие доступные политики выдачи настроены в шаблоне.Однако, если клиент сертификата запрашивает политику выдачи, которая не указана в шаблоне, запрос будет отклонен. Для успешных запросов выбранные политики выдачи клиентом добавляются к политикам сертификатов , которые присутствуют в выданном сертификате.

Остальные параметры вкладки Extensions присутствовали в предыдущих операционных системах. Чтобы узнать больше об этих параметрах, см. Расширения шаблонов сертификатов.

вернуться наверх

.

Что нового в службах сертификации в Windows Server

  • 20 минут на чтение

В этой статье

Применимо к: Windows Server 2012 R2, Windows Server 2012

В этом разделе описаны новые или измененные функции служб сертификации Active Directory (AD CS) в Windows Server 2012 R2 и Windows Server 2012.AD CS предоставляет настраиваемые службы для выпуска и управления сертификатами инфраструктуры открытого ключа (PKI), которые используются в системах безопасности программного обеспечения, в которых используются технологии открытых ключей.

В этой теме:

Что нового в службах сертификации в Windows Server 2012 R2

В Windows Server 2012 R2 службы сертификации предлагают расширенную поддержку в следующих областях:

Поддержка модуля политик для службы регистрации сетевых устройств

Служба роли AD CS, Служба регистрации сетевых устройств, предназначена для защищенных сетей и доверенных администраторов.Благодаря такому дизайну для запроса нескольких сертификатов при регистрации можно использовать один пароль или даже без пароля. Кроме того, для предоставленного значения имени субъекта нет аутентификации. Однако Windows Server 2012 R2 поддерживает модуль политики для службы регистрации сетевых устройств, который обеспечивает дополнительную проверку подлинности, которая делает практичным запуск этой службы роли в сети периметра. Эта конфигурация поддерживает сценарий использования собственного устройства (BYOD), в котором мобильные устройства, такие как устройства, работающие под управлением iOS и Android, а также компьютеры, не являющиеся членами домена, теперь могут использовать службу регистрации сетевых устройств для запроса сертификатов пользователей и компьютеров из Интернета. .Иногда это называют зачислением по радио.

Windows Server 2012 R2 не поставляется с модулем политики. Вы должны установить его отдельно, у поставщика программного обеспечения, который предоставляет модуль политики, или написать свой собственный модуль политики. Если вы устанавливаете модуль политики от поставщика программного обеспечения, как правило, это будет компания, которая обеспечивает управление мобильными устройствами. Например, System Center 2012 R2 Configuration Manager предоставляет модуль политики, который требуется при развертывании профилей сертификатов.

Для получения дополнительной информации см. Следующие ресурсы:

Аттестация ключа TPM

Аттестация ключа доверенного платформенного модуля

позволяет центру сертификации (ЦС) проверить, защищен ли закрытый ключ аппаратным доверенным платформенным модулем и что этот доверенный платформенный модуль является тем, которому ЦС доверяет. Эта функция предотвращает экспорт сертификата на неавторизованное устройство и может привязать идентификатор пользователя к устройству.

У всех TPM есть ключ подтверждения, уникальный для каждого TPM. В некоторых случаях доверенные платформенные модули имеют сертификат ключа подтверждения, который связан с выпускающим центром сертификации производителя.Не все доверенные платформенные модули поддерживают аттестацию, но когда они это делают, вы можете дополнительно выбрать проверку аттестации ключа с помощью ключа подтверждения или с помощью сертификата ключа подтверждения.

Чтобы использовать аттестацию ключа TPM, клиентская операционная система должна быть Windows 8.1 или Windows Server 2012 R2. Чтобы настроить аттестацию ключа TPM, используйте шаблон сертификата версии 4 с ЦС предприятия и настройте параметры на вкладке Аттестация ключа . Не выбирайте Не хранить сертификат и запросы в базе данных CA на вкладке Server свойств шаблона сертификата, поскольку эта конфигурация не поддерживается с аттестацией ключа TPM.Кроме того, автономные центры сертификации и веб-регистрация не поддерживают аттестацию ключей TPM.

Когда вы настраиваете аттестацию ключа TPM, вы можете выбрать повышенные уровни гарантии, указав, как проверять ключ подтверждения, записанный в TPM производителем:

  • Учетные данные пользователя . Никакой дополнительной настройки CA не требуется.

  • Свидетельство об одобрении . Вы должны добавить корневой и выпускающий сертификаты ЦС для доверенных платформенных модулей в новые хранилища сертификатов в ЦС.Новые хранилища сертификатов - это EKCA для промежуточного хранилища и EKRROT для корневого хранилища.

  • Ключ подтверждения . Вы должны добавить каждый ключ подтверждения для TPM в утвержденный список (список EKPUB).

Подсказка


Если настройки на вкладке Key Attestation недоступны, проверьте следующие настройки:

Для получения дополнительной информации см. Следующие ресурсы:

Windows PowerShell для служб сертификации

Новые командлеты Windows PowerShell доступны в Windows Server 2012 R2.Эти командлеты можно использовать для резервного копирования и восстановления базы данных центра сертификации (ЦС).

Имя командлета Новые или улучшенные Описание
Backup-CARoleService Новый Создайте резервную копию базы данных CA.
Restore-CARoleService Новый Восстановить базу данных CA.

Дополнительные сведения об этих командлетах см. В разделах Backup-CARoleService и Restore-CARoleService.

Чтобы использовать эти командлеты в сценарии миграции, см. Следующие разделы Руководства по миграции служб сертификации Active Directory для Windows Server 2012 R2:

Что нового в службах сертификации в Windows Server 2012

В Windows Server 2012 службы сертификации Active Directory предлагают расширенную поддержку в следующих областях:

Интеграция с диспетчером сервера

Server Manager предоставляет централизованный графический пользовательский интерфейс для установки и управления ролью сервера AD CS и его шестью ролевыми службами.

Какую ценность добавляет это изменение?

Роль сервера

AD CS и его службы ролей интегрированы в диспетчер сервера, что позволяет установить службу роли AD CS из меню Управление с помощью Добавить роли и компоненты . После добавления роли сервера AD CS отображается на панели мониторинга Server Manager как одна из ролей, которыми можно управлять. Это предоставляет вам центральное место, из которого вы можете развертывать и управлять AD CS и его службами ролей.Кроме того, новый диспетчер серверов позволяет вам управлять несколькими серверами из одного места, и вы можете видеть службы ролей AD CS, установленные на каждом сервере, просматривать связанные события и выполнять задачи управления на каждом сервере. Дополнительные сведения о том, как работает новый диспетчер серверов, см. В разделе Управление несколькими удаленными серверами с помощью диспетчера серверов.

Что по-другому работает?

Чтобы добавить роль сервера AD CS, вы можете использовать ссылку Добавить роли и компоненты в меню Управление в диспетчере сервера.Процесс установки AD CS аналогичен процессу установки в предыдущей версии, за исключением разделения процесса двоичной установки и процесса настройки. Раньше установка и настройка выполнялись с помощью одного мастера. В новом способе установки вы сначала устанавливаете двоичные файлы, а затем можете запустить мастер настройки AD CS, чтобы настроить службы ролей, для которых уже установлены двоичные файлы. Чтобы удалить роль сервера AD CS, вы можете использовать ссылку Удалить роли и компоненты в меню Управление .

Возможности развертывания и управления из Windows PowerShell

Все службы ролей AD CS можно настроить или удалить их конфигурации с помощью командлетов Windows PowerShell для развертывания AD CS. Эти новые командлеты развертывания описаны в разделе «Обзор командлетов развертывания AD CS». Командлет администрирования AD CS позволяет управлять службой роли центра сертификации. Новые командлеты администрирования описаны в разделе Обзор командлетов администрирования AD CS.

Какую ценность добавляет это изменение?

Вы можете использовать Windows PowerShell для создания сценариев развертывания любой службы ролей AD CS, а также для управления службой ролей CA.

Что по-другому работает?

Для развертывания служб ролей AD CS можно использовать диспетчер сервера или командлеты Windows PowerShell.

Все службы ролей AD CS работают на любой версии

Все версии Windows Server 2012 и Windows Server 2012 R2 позволяют устанавливать все службы ролей AD CS.

Какую ценность добавляет это изменение?

В отличие от предыдущих версий, вы можете установить роли AD CS в любой версии Windows Server 2012 или Windows Server 2012 R2.

Что по-другому работает?

В Windows Server 2008 R2 различные службы ролей (ранее называемые компонентами) имели разные требования к версии операционной системы, как описано в разделе Обзор служб сертификации Active Directory. В Windows Server 2012 или Windows Server 2012 R2 все шесть служб ролей работают так же, как в любой версии Windows Server 2012 или Windows Server 2012 R2.Единственное отличие состоит в том, что вы найдете AD CS со всеми шестью службами ролей, доступными для установки в любой версии Windows Server 2012 или Windows Server 2012 R2.

Все службы ролей AD CS можно запускать на Server Core

Все шесть служб ролей AD CS в Windows Server 2012 и Windows Server 2012 R2 могут быть установлены и запущены с использованием параметров установки Server Core или Minimal Server Interface.

Какую ценность добавляет это изменение?

В отличие от предыдущих версий, теперь вы можете запускать все службы ролей AD CS в Server Core или в вариантах установки Minimal Server Interface в Windows Server 2012 или Windows Server 2012 R2

Что по-другому работает?

Теперь вы можете легко развертывать службы ролей AD CS с помощью диспетчера серверов или командлетов Windows PowerShell, работающих локально на компьютере или удаленно по сети.Кроме того, Windows Server 2012 или Windows Server 2012 R2 предоставляет несколько вариантов установки, которые даже позволяют выполнить установку с графическим пользовательским интерфейсом, а затем переключиться на установку Server Core или Minimal Server Interface. Дополнительные сведения о вариантах установки см. В разделе Параметры установки Windows Server.

Поддержка продления на основе ключа

Веб-службы регистрации сертификатов

- это функция, добавленная в Windows 7 и Windows Server 2008 R2. Эта функция позволяет поступать онлайн-запросам сертификатов из недоверенных доменов доменных служб Active Directory (AD DS) или даже с компьютеров, которые не присоединены к домену.AD CS в Windows Server 2012 и Windows Server 2012 R2 основаны на веб-службах регистрации сертификатов, добавляя возможность автоматического обновления сертификатов для компьютеров, которые являются частью ненадежных доменов AD DS или не присоединены к домену.

Какую ценность добавляет это изменение?

Администраторам больше не нужно вручную обновлять сертификаты для компьютеров, которые являются членами рабочих групп или, возможно, присоединены к другому домену или лесу AD DS.

Что по-другому работает?

Веб-службы регистрации сертификатов

продолжают работать, как и раньше, но теперь компьютеры, находящиеся за пределами домена, могут обновлять свои сертификаты, используя существующий сертификат для проверки подлинности.

Дополнительную информацию см. В разделе Продление на основе ключа. Есть также два руководства по тестовой лаборатории, которые демонстрируют использование этого обновления на основе ключа:

  1. Руководство лаборатории тестирования: демонстрация продления сертификата на основе ключа

  2. Руководство по тестовой лаборатории Мини-модуль: регистрация сертификатов между лесами с помощью веб-служб регистрации сертификатов

Совместимость с шаблоном сертификата

AD CS в Windows Server 2012 и Windows Server 2012 R2 включают шаблоны сертификатов версии 4.Эти шаблоны имеют несколько отличий от предыдущих версий шаблонов. Шаблоны сертификатов версии 4:

  • Поддержка как поставщиков криптографических услуг (CSP), так и ключевых поставщиков услуг (KSP).

  • Может быть настроен на требование обновления с тем же ключом.

  • Доступны только для использования в Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2.

  • Укажите минимальный центр сертификации и клиентские операционные системы сертификатов, которые могут использовать шаблон.

Чтобы помочь администраторам разделить, какие функции поддерживаются той или иной версией операционной системы, на вкладку свойств шаблона сертификата была добавлена ​​вкладка Совместимость .

Какую ценность добавляет это изменение?

Новые шаблоны сертификатов версии 4 предоставляют дополнительные возможности, такие как принудительное продление с тем же ключом (доступно только для клиентов сертификатов Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2).Новая вкладка Совместимость позволяет администраторам устанавливать различные комбинации версий операционной системы для центра сертификации и клиентов сертификатов и видеть только те параметры, которые будут работать с этими версиями клиентов.

Что по-другому работает?

Вкладка Совместимость появляется в пользовательском интерфейсе свойств шаблона сертификата. На этой вкладке можно выбрать минимальный центр сертификации и минимальные версии клиентской операционной системы для сертификатов.Конфигурация вкладки Compatibility выполняет несколько функций:

  • Отмечает опции как недоступные в свойствах шаблона сертификата в зависимости от выбранных версий операционной системы клиента сертификата и центра сертификации.

  • Для шаблонов версии 4 он определяет, какие версии операционной системы могут использовать шаблон.

Клиенты до Windows 8 и Windows Server 2012 не смогут использовать преимущества новых шаблонов версии 4.

Примечание


На вкладке Совместимость есть заявление, которое гласит: Эти параметры не могут помешать более ранним операционным системам использовать этот шаблон . Это утверждение означает, что параметры совместимости не имеют ограничительного эффекта для шаблонов версии 1, версии 2 или версии 3, и регистрация может продолжаться, как и раньше. Например, на вкладке «Совместимость », если минимальная версия клиентской операционной системы установлена ​​на Windows Vista в шаблоне версии 2, клиент сертификата Windows XP все равно может подать заявку на сертификат с использованием шаблона версии 2.

Дополнительные сведения об этих изменениях см. В разделе «Версии и параметры шаблона сертификата».

Поддержка обновления сертификата с тем же ключом

AD CS в Windows Server 2012 и Windows Server 2012 позволяют настроить сертификат таким образом, чтобы он обновлялся с тем же ключом. Это позволяет поддерживать тот же уровень надежности исходного ключа на протяжении всего его жизненного цикла. Windows Server 2012 и Windows Server 2012 поддерживает создание ключей, защищенных Trusted Platform Module (TPM), с помощью поставщиков хранилища ключей (KSP) на основе TPM.Преимущество использования KSP на основе TPM заключается в реальной невозможности экспорта ключей, поддерживаемых механизмом защиты от ударов TPM. Администраторы могут настроить шаблоны сертификатов таким образом, чтобы Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2 давали более высокий приоритет KSP на основе TPM для создания ключей. Кроме того, используя обновление с тем же ключом, администраторы могут быть уверены, что ключ по-прежнему остается в TPM после обновления.

Примечание


Неправильный ввод персонального идентификационного номера (PIN) слишком много раз активирует логику защиты от молота TPM.Логика защиты от взлома - это программные или аппаратные методы, которые увеличивают сложность и стоимость атаки методом грубой силы на ПИН-код, не принимая ввод ПИН-кода до тех пор, пока не пройдет определенное время.

Какую ценность добавляет это изменение?

Эта функция позволяет администратору принудительно продлить с тем же ключом, что может снизить административные расходы (когда ключи обновляются автоматически) и повысить безопасность ключа (когда ключи хранятся с использованием KSP на основе TPM).

Что по-другому работает?

Клиенты, которые получают сертификаты из шаблонов, настроенных для продления с одним и тем же ключом, должны обновить свои сертификаты, используя тот же ключ, иначе обновление не будет выполнено.Кроме того, этот параметр доступен только для клиентов сертификатов Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2.

Примечание

Если Продлить с тем же ключом включен в шаблоне сертификата, а также включено последующее архивирование ключей ( Закрытый ключ шифрования объекта архива ), обновленные сертификаты не будут архивироваться. Чтобы узнать больше об этой ситуации и способах ее устранения, см. Архивирование ключей и продление с тем же ключом.

Поддержка интернационализированных доменных имен

Интернационализированные имена - это имена, содержащие символы, которые не могут быть представлены в ASCII.AD CS в Windows Server 2012 и Windows Server 2012 R2 поддерживает интернационализированные доменные имена (IDN) в нескольких сценариях.

Какую ценность добавляет это изменение?

Теперь поддерживаются следующие сценарии IDN

  • Регистрация сертификатов для компьютеров с IDN

  • Создание и отправка запроса на сертификат с IDN с помощью инструмента командной строки certreq.exe

  • Публикация списков отозванных сертификатов (CRL) и Интернет-протокола состояния сертификатов (OCSP), публикация на серверах с использованием IDN

  • Пользовательский интерфейс сертификата поддерживает IDN

  • Оснастка Certificate MMC также позволяет использовать IDN в Свойства сертификата

Что работает по-другому?

Как описано выше, поддержка IDN ограничена.

Повышенная безопасность включена по умолчанию для службы роли ЦС

Когда запрос сертификата получен центром сертификации (ЦС), шифрование запроса может быть принудительно выполнено ЦС через RPC_C_AUTHN_LEVEL_PKT, как описано в статье MSDN «Константы уровня аутентификации». В Windows Server 2008 R2 и более ранних версиях этот параметр не включен по умолчанию в центре сертификации. В ЦС Windows Server 2012 или Windows Server 2012 R2 этот усиленный параметр безопасности включен по умолчанию.

Какую ценность добавляет это изменение?

ЦС усиливает повышенную безопасность отправляемых ему запросов. Этот более высокий уровень безопасности требует, чтобы пакеты, запрашивающие сертификат, были зашифрованы, чтобы их нельзя было перехватить и прочитать. Если этот параметр не включен, любой, у кого есть доступ к сети, может читать пакеты, отправленные в ЦС и из него, с помощью сетевого анализатора. Это означает, что может быть раскрыта информация, которая может считаться нарушением конфиденциальности, например имена запрашивающих пользователей или машин, типы сертификатов, для которых они регистрируются, задействованные открытые ключи и т. Д.В пределах леса или домена утечка этих данных может не беспокоить большинство организаций. Однако, если злоумышленники получат доступ к сетевому трафику, можно будет определить внутреннюю структуру и деятельность компании, что может быть использовано для более целенаправленной социальной инженерии или фишинговых атак.

Команды для включения повышенного уровня безопасности RPC_C_AUTHN_LEVEL_PKT в центрах сертификации Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 или Windows Server 2008 R2:

certutil -setreg CA \ InterfaceFlags + IF_ENFORCEENCRYPTICERTREQUEST Чтобы перезапустить центр сертификации: net stop certsvc чистый старт certsvc

Если у вас все еще есть клиентские компьютеры под управлением Windows XP, которым необходимо запрашивать сертификаты из центра сертификации, для которого этот параметр включен, у вас есть два варианта:

  1. Обновите клиенты Windows XP до более новой операционной системы.

  2. Понизьте безопасность ЦС, выполнив следующие команды:

    Для снижения безопасности ЦС для совместимости с клиентами Windows XP

    1. certutil -setreg CA \ InterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST

    2. net stop certsvc

    3. чистый старт certsvc

Что работает по-другому?

Клиенты Windows XP не будут совместимы с этим более высоким параметром безопасности, включенным по умолчанию в ЦС Windows Server 2012 или Windows Server 2012 R2.При необходимости вы можете понизить настройку безопасности, как описано ранее.

Информация о сайте AD DS для клиентов AD CS и PKI

Службы сертификатов

в Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2 можно настроить для использования сайтов доменных служб Active Directory (AD DS) для оптимизации запросов клиентов служб сертификатов. Эта функция не включена по умолчанию ни на центрах сертификации (CA), ни на клиентских компьютерах инфраструктуры открытых ключей (PKI).

Какую ценность добавляет это изменение?

Это изменение позволяет клиентам сертификатов Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2 находить ЦС на своем локальном сайте AD DS.

Что по-другому работает?

При регистрации на сертификат на основе шаблона клиент запрашивает в AD DS шаблон и объекты CA. Затем клиент использует вызов функции DsGetSiteName для получения собственного имени сайта. Для центров сертификации с уже установленным атрибутом msPKI-Site-Name клиент службы сертификации определяет стоимость связи сайта AD DS с клиентского сайта на каждый целевой сайт CA.Для этого используется вызов функции DsQuerySitesByCost. Клиент служб сертификатов использует возвращенные затраты на сайт для определения приоритета центров сертификации, которые предоставляют клиенту разрешение на регистрацию и поддерживают соответствующий шаблон сертификата. Центры сертификации с более высокой стоимостью пытаются связаться в последнюю очередь (только если предыдущие центры сертификации недоступны).

Примечание


CA может не возвращать стоимость сайта, если атрибут msPKI-Site-Name не установлен в CA. Если для отдельного ЦС стоимость сайта недоступна, то этому ЦС назначается максимально возможная стоимость.

Формат PFX с групповой защитой

Ранее формат стандарта PKCS # 12 (также известный как PFX) был защищен только паролем со следующими ограничениями:

  • Сложно автоматизировать

  • Не очень безопасно, потому что обычно администратор использовал слабый пароль

  • Трудно поделиться между несколькими пользователями

Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2 могут защищать сертификаты и связанные с ними закрытые ключи путем объединения существующего формата PFX с новой функцией защиты данных.Это позволяет зашифровать содержимое файла PFX с помощью ключа, принадлежащего группе или отдельному лицу, вместо того, чтобы защищать его паролем.

  • Для реализации этой функции хотя бы один контроллер домена должен работать под управлением Windows Server 2012 или Windows Server 2012 R2.
  • Дополнительные сведения см. В статье TechNet Wiki Экспорт и импорт сертификатов PFX с использованием защиты учетной записи AD DS.

    • Какую ценность добавляет это изменение?

    Используя эту функцию, администраторы смогут:

    • Развертывайте сертификаты, управляйте ими и устраняйте их неполадки удаленно и на фермах серверов с помощью Windows PowerShell.

    • Безопасный обмен сертификатами и ключами между фермами серверов под управлением Windows Server 2012 или Windows Server 2012 R2 с помощью Windows API.

    Более ранние версии Windows могут использовать этот PFX, потому что внутри операционной системы назначается надежный случайный пароль. Пароль включен в PFX и защищен набором идентификаторов безопасности (SID) с API защиты данных. Любой пользователь, имеющий доступ к PFX, может увидеть этот пароль и поделиться им с предыдущими версиями Windows.

    Что по-другому работает?

    PFX-файл теперь может быть защищен участником безопасности, а не просто паролем. Пользовательский интерфейс для экспорта сертификатов был обновлен, чтобы обеспечить возможность выбора участника безопасности во время экспорта.

    Уведомления о жизненном цикле сертификата

    В Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2 сертификаты предоставляют уведомления о жизненном цикле в хранилище MY из API регистрации сертификатов и уровней Windows PowerShell.Уведомления включают истечение срока, удаление, новое, обновление, замену, близкое к истечению, архивирование и экспорт. Администраторы и разработчики могут удаленно управлять сертификатами и связанными с ними закрытыми ключами (просматривать, устанавливать, копировать, запрашивать и удалять) с помощью Windows PowerShell. Эта функция позволяет запускать сценарий или исполняемый файл в ответ на уведомление о жизненном цикле сертификата.

  • Уведомление об истечении срока действия поддерживается магазинами в дополнение к магазину MY .
  • Дополнительные сведения см. В статье TechNet Wiki «Уведомления о жизненном цикле служб сертификации».

    • Какую ценность добавляет это изменение?

    Для разработчиков приложений и серверных рабочих нагрузок, которые используют сертификаты в своих продуктах, интеграция с жизненным циклом сертификатов в Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2 проста и надежна, и это можно сделать удаленно. Разработчики могут разрабатывать приложения, которые меняют конфигурацию каждый раз, когда сертификат обновляется или заменяется другим сертификатом - с помощью автоматической регистрации, вручную или с помощью сценария, выполняемого администратором.Инвестиции, необходимые для интеграции с интерфейсами управления сертификатами, очень малы.

    Для администратора, который управляет приложениями, использующими сертификаты, сертификаты Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2 используются этими приложениями автоматически. Это происходит потому, что приложения интегрируются с уведомлениями сертификатов Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2 или когда сценарий администратора запускается событием сертификата.

    Что по-другому работает?

    Уведомления теперь могут быть включены для предупреждения системных администраторов до истечения срока действия сертификатов.

    Закрытые ключи ЦС

    включены в образ резервной копии состояния системы

    Компонент

    Windows Server Backup можно установить в центре сертификации (ЦС) для создания резервной копии состояния системы, которая включает закрытые ключи ЦС.

    Что по-другому работает?

    В Windows Server 2012 и Windows Server 2012 R2 функция резервного копирования состояния системы автоматически выполняет резервное копирование закрытого ключа центров сертификации, когда администратор или оператор резервного копирования использует функцию резервного копирования Windows Server для выполнения резервного копирования состояния системы.

    Что по-другому работает?

    Функция резервного копирования Windows Server теперь включает закрытые ключи CA.

  • Чтобы добавить эту функцию в Windows Server 2008 R2 или Windows Server 2008, примените соответствующее обновление, указанное в статье 2603469 базы знаний Microsoft.
  • Подробнее об использовании этой функции см. Резервное копирование и восстановление состояния системы служб сертификации Windows Server 2012 Active Directory.

    • См. Также

    .

    Расположение хранилищ сертификатов в Windows

    Q

    Где в моей системе Windows расположены хранилища сертификатов системы?

    А

    Microsoft хранит хранилища сертификатов системы в Windows 10, 8 или 7 сложным образом:

    • Сертификаты сначала сохраняются в нескольких физических файлах хранилища, скрытых на жестком диске.
    • Файлы физического хранилища затем группируются в хранилища логической системы.
    • Наконец, в системном реестре хранятся несколько копий логических системных хранилищ.

    Вот список местоположений в реестре различных копий хранилищ логической системы:

    1. Логическая система хранит для текущего пользователя: 

     HKEY_CURRENT_USER \ Software \ Microsoft \ SystemCertificates AuthRoot CA Запрещено МОЙ Корень Доверять Доверенные люди TrustedPublisher UserDS

    2. Логическая система хранит для всего компьютера: 

     HKEY_LOCAL_MACHINE \ Software \ Microsoft \ SystemCertificates AuthRoot CA Запрещено МОЙ Корень Доверять TrustedDevices Доверенные люди TrustedPublisher UserDS

    3.Логическая система хранит для каждого пользователя на компьютере: 

     HKEY_USERS \ .DEFAULT \ Software \ Microsoft \ SystemCertificates HKEY_USERS-1-5-18 \ Программное обеспечение \ Microsoft \ SystemCertificates HKEY_USERS-1-5-19 \ Программное обеспечение \ Microsoft \ SystemCertificates ... CA Запрещено Мой Корень Доверять Доверенные люди TrustedPublisher

    корневых сертификатов ЦС, предоставленных в Windows в 2019 году

    Общая информация о сертификатах в Windows

    Общая информация о сертификатах в Windows

    ⇑⇑ Учебники по сертификатам Windows

    .

    Часто задаваемые вопросы

    Windows 8.1 и Windows 10

    Ключ продукта находится внутри упаковки продукта, на странице квитанции или подтверждения цифровой покупки или в электронном письме с подтверждением, которое показывает, что вы приобрели Windows. Если вы приобрели цифровую копию в Microsoft Store, вы можете найти ключ продукта в своей учетной записи в разделе «Цифровое содержимое».

    Windows 7

    Ключ продукта находится внутри коробки, в которой был поставлен DVD с Windows, на DVD, на квитанции или странице подтверждения цифровой покупки или в электронном письме с подтверждением, которое показывает, что вы приобрели Windows.Если вы приобрели цифровую копию в Microsoft Store, вы можете найти ключ продукта в своей учетной записи в разделе «Цифровое содержимое».

    Academic Products

    Ваш ключ продукта находится на странице квитанции при покупке или в разделе истории заказов онлайн-магазина, из которого вы заказали программное обеспечение.

    Устройства с предустановленной Windows

    Перед тем, как использовать копии операционной системы с этого сайта для установки, переустановки или восстановления на устройствах с предустановленными операционными системами, обратитесь к производителю устройства или торговому посреднику для получения настраиваемых драйверов и приложений, специфичных для вашей машина.Использование операционных систем, скопированных с этого сайта, для установки, переустановки или восстановления может привести к аннулированию вашего соглашения о поддержке с вашим производителем или торговым посредником. Любые драйверы или программы, которые были установлены производителем устройства или торговым посредником, могут быть удалены во время установки.

    Windows 8.1 и 10: ключ продукта может быть встроен в материнскую плату или может быть на наклейке сертификата подлинности в нижней части устройства.

    Windows 7: Для устройств, которые поставлялись с предустановленной Windows 7, ключ продукта может быть на наклейке сертификата подлинности в нижней части устройства.

    Дополнительные сведения о ключах продуктов Windows и подлинных продуктах Microsoft см. На веб-сайтах «Что такое ключ продукта» и «Как узнать».

    .

    Настройка шаблонов сертификатов для требований PEAP и EAP

    • 4 минуты на чтение

    В этой статье

    Применимо к: Windows Server (полугодовой канал), Windows Server 2016

    Все сертификаты, которые используются для аутентификации сетевого доступа с протоколом расширенной аутентификации - протоколом безопасности транспортного уровня (EAP-TLS), защищенным протоколом расширенной аутентификации - безопасностью транспортного уровня (PEAP-TLS) и протоколом аутентификации с подтверждением связи PEAP-Microsoft версии 2 (MS -CHAP v2) должен соответствовать требованиям для сертификатов X.509 и работают для соединений, использующих Secure Socket Layer / Transport Level Security (SSL / TLS). К сертификатам клиента и сервера предъявляются дополнительные требования.

    Важно

    В этом разделе приведены инструкции по настройке шаблонов сертификатов. Для использования этих инструкций необходимо, чтобы вы развернули собственную инфраструктуру открытого ключа (PKI) со службами сертификатов Active Directory (AD CS).

    Минимальные требования к сертификату сервера

    При использовании PEAP-MS-CHAP v2, PEAP-TLS или EAP-TLS в качестве метода проверки подлинности сервер политики сети должен использовать сертификат сервера, который соответствует минимальным требованиям к сертификату сервера.

    Клиентские компьютеры можно настроить для проверки сертификатов сервера с помощью параметра Проверить сертификат сервера на клиентском компьютере или в групповой политике.

    Клиентский компьютер принимает попытку аутентификации сервера, если сертификат сервера соответствует следующим требованиям:

    • Имя темы содержит значение. Если вы выпускаете сертификат на свой сервер, на котором запущен сервер политики сети (NPS), с пустым именем субъекта, сертификат будет недоступен для проверки подлинности вашего NPS.Чтобы настроить шаблон сертификата с именем субъекта:

      1. Открытые шаблоны сертификатов.
      2. В области сведений щелкните правой кнопкой мыши шаблон сертификата, который нужно изменить, и выберите Свойства .
      3. Щелкните вкладку Subject Name , а затем щелкните Build from this Active Directory information .
      4. В Формат имени субъекта выберите значение, отличное от Нет .

    • Сертификат компьютера на сервере связан с доверенным корневым центром сертификации (ЦС) и не дает сбоев ни одной из проверок, выполняемых CryptoAPI и указанных в политике удаленного доступа или сетевой политике.

    • Сертификат компьютера для NPS или VPN-сервера настроен с целью проверки подлинности сервера в расширениях расширенного использования ключа (EKU). (Идентификатор объекта для аутентификации сервера - 1.3.6.1.5.5.7.3.1.)

    • Настройте сертификат сервера с требуемой настройкой криптографии:

      1. Открытые шаблоны сертификатов.
      2. В области сведений щелкните правой кнопкой мыши шаблон сертификата, который нужно изменить, и выберите Свойства .
      3. Щелкните вкладку Cryptography и убедитесь, что настроены следующие параметры:
        • Категория поставщика: Поставщик хранилища ключей
        • Название алгоритма: RSA
        • Провайдеры: Поставщик шифрования платформы Microsoft
        • Минимальный размер ключа: 2048
        • Алгоритм хеширования: SHA2
      4. Щелкните Далее .

    • Расширение альтернативного имени субъекта (SubjectAltName), если оно используется, должно содержать DNS-имя сервера.Чтобы настроить шаблон сертификата с использованием имени системы доменных имен (DNS) регистрирующего сервера:

      1. Открытые шаблоны сертификатов.
      2. В области сведений щелкните правой кнопкой мыши шаблон сертификата, который нужно изменить, и выберите Свойства .
      3. Щелкните вкладку Subject Name , а затем щелкните Build from this Active Directory information .
      4. В Включите эту информацию в альтернативное имя субъекта , выберите DNS-имя .

    При использовании PEAP и EAP-TLS серверы политики сети отображают список всех установленных сертификатов в хранилище сертификатов компьютера, за следующими исключениями:

    • Сертификаты, которые не содержат цель аутентификации сервера в расширениях EKU, не отображаются.

    • Сертификаты, не содержащие имени субъекта, не отображаются.

    • Реестровые сертификаты и сертификаты для входа со смарт-картой не отображаются.

    Для получения дополнительной информации см. Развертывание сертификатов сервера для проводных и беспроводных развертываний 802.1X.

    Минимальные требования к сертификату клиента

    При использовании EAP-TLS или PEAP-TLS сервер принимает попытку аутентификации клиента, если сертификат соответствует следующим требованиям:

    • Сертификат клиента выдается центром сертификации предприятия или сопоставляется с учетной записью пользователя или компьютера в доменных службах Active Directory (AD DS).

    • Сертификат пользователя или компьютера в цепочке клиентов к доверенному корневому ЦС, включает цель аутентификации клиента в расширениях EKU (идентификатор объекта для аутентификации клиента равен 1.3.6.1.5.5.7.3.2), и не проходит ни проверки, выполняемые CryptoAPI и указанные в политике удаленного доступа или сетевой политики, ни проверки идентификатора объекта сертификата, указанные в сетевой политике NPS.

    • Клиент 802.1X не использует сертификаты на основе реестра, которые являются сертификатами для входа в систему со смарт-картой или сертификатами, защищенными паролем.

    • Для пользовательских сертификатов расширение альтернативного имени субъекта (SubjectAltName) в сертификате содержит основное имя пользователя (UPN).Чтобы настроить UPN в шаблоне сертификата:

      1. Открытые шаблоны сертификатов.
      2. В области сведений щелкните правой кнопкой мыши шаблон сертификата, который нужно изменить, и выберите Свойства .
      3. Щелкните вкладку Subject Name , а затем щелкните Build from this Active Directory information .
      4. В Включите эту информацию в альтернативное имя субъекта , выберите Основное имя пользователя (UPN) .

    • Для сертификатов компьютеров расширение альтернативного имени субъекта (SubjectAltName) в сертификате должно содержать полное доменное имя (FQDN) клиента, которое также называется DNS-именем .Чтобы настроить это имя в шаблоне сертификата:

      1. Открытые шаблоны сертификатов.
      2. В области сведений щелкните правой кнопкой мыши шаблон сертификата, который нужно изменить, и выберите Свойства .
      3. Щелкните вкладку Subject Name , а затем щелкните Build from this Active Directory information .
      4. В Включите эту информацию в альтернативное имя субъекта , выберите DNS-имя .

    При использовании PEAP-TLS и EAP-TLS клиенты отображают список всех установленных сертификатов в оснастке «Сертификаты» со следующими исключениями:

    • Беспроводные клиенты не отображают сертификаты на основе реестра и сертификаты входа со смарт-картой.

    • Беспроводные клиенты и клиенты VPN не отображают сертификаты, защищенные паролем.

    • Сертификаты, которые не содержат цель аутентификации клиента в расширениях EKU, не отображаются.

    Дополнительные сведения о NPS см. В разделе Сервер политики сети (NPS).

    .

    Смотрите также

  • Категории

  • Топ программ

  • Рейтинг программ

  • Голосуемые

    •