TechNet - Experternas arenaBättre säkerhet i Windows Server 2008 – men inte utan PKI
Om skribenten
Bättre säkerhet i Windows Server 2008 – men inte utan PKIWindows Server 2008 innehåller många funktioner som du kan konfigurera till bättre säkerhet genom användning av certifikat från en betrodd utgivare i en betrodd PKI (Public Key Infrastructure). Nedan följer en lista på en del av dessa:
En annan efterlängtad nyhet är Certificate Services Client, en av funktionerna i Windows Server som gör det möjligt att hantera mjuka certifikat för användare på ett smart och effektivt sätt, speciellt i miljöer där användare förflyttar sig mellan många olika klienter eller virtuella skrivbord. Dessutom är det inte lika hårda krav som Windows Server 2003 hade på smartkort i samband med Smart Card Logon: du är inte längre begränsad till certifikat från Windows Server-baserade utgivare, eller sådana som är till hundra procent kompatibla med dessa, för att kunna konfigurera och använda Smart Card Logon. Värd att nämna är satsningen på en lösning för problemen med Cryptographic Service Providers (CSP), i och med att Base Smart Card Cryptograpic Providern gjorts tillgänglig. Dessutom är det öppet för att olika kortleverantörer kan integrera med den, för att dra nytta av såväl grundfunktionalitet som användargränssnitt och support i olika produkter på ett standardmässigt sätt. Du kan givetvis konfigurera många av de olika funktionerna och protokollen med Self Signed Certificate, även kallade ful-certifikat. Där måste du godkänna varenda en, i alla servrar och klienter i miljön, för att det ska fungera på ett bra sätt. Hållbarheten i en sådan lösning är sällan bättre än att köra utan helt PKI. Att införa en fungerande PKI var under en lång tid både komplicerat och kostsamt, främst på grund av systemen krävt specialkompetens och en stor mängd manuellt arbete för att utfärda och underhålla certifikat och revokeringslistor. Windows Server 2003 gjorde det möjligt att ha en fungerande PKI som dessutom var kostnadseffektiv, tack vare automatiseringar, enklare administration och möjlighet till integration med Active Directory och relaterade system. Windows Server 2008 fortsätter givetvis på samma spår. Den ser till att via Online Certificate Status Protocol (OCSP) – och en rad nya kryptografiska algoritmer – erbjuda ännu mer kompatibilitet med omvärlden, och samtidigt en utökad säkerhetsmodell för enklare administration och delegering. Det går givetvis att använda externa PKI-tjänster för att tillhandahålla certifikaten för de olika funktionerna. Men tänk på att mängden certifikat som behövs i systemet har ökat ganska drastiskt i Windows Server 2008. Alternativet med ett internt PKI blir därmed mer och mer aktuellt för många miljöer, med tanke på kostnaden och framförallt administration av dessa certifikat. Kommer vi att minnas Windows Server 2008 som det operativsystem som gjorde PKI till en självklar komponent i våra IT-miljöer? Hasain Alshakarti, TrueSec De åsikter och idéer som uttrycks i texten är skribentens egna, och delas inte nödvändigtvis av Microsoft AB eller dess representanter. |