AD CS – قسمت پنجم

 

پس از نصب سرویس Active Directory Certificate Services اولین اقدامات مدیریتی برای راه اندازی اولیه سرویس عبارتند از:

۱٫ تنظیم Certificate revocation

2.تنظیم قالب مجوز ها با توجه به فاکتور های زیر:

الف. چنانچه با استفاده از EFS در ذخیره سازی اطلاعات استفاده می شود، باید تنظیمات مربوط به این مسئله در نظر گرفته شود که شامل Recovery Agent نیز می باشد. Recovery Agent فردی است که در صورتی که کلید کاربر از دست برود می تواند اطلاعات را بازیابی کند.

ب. چنانچه با استفاده از مجوز ها ارتباط بی سیم(wireless) محافظت می شود، باید تنظیمات مربوط به این مسئله در نظر گرفته شود که شامل Authentication و Encryption اجباری برای تمام ارتباطات Wireless نیز می باشد.

ج. چنانچه با استفاده از کارت های هوشمند (Smart Card) تشخیص هویت افراد دو عاملی می شود، باید تنظیمات مربوطه در نظر گرفته شود. منظور از دو عاملی استفاده همزمان از کلمه عبور (چه چیزی می دانید؟) و کارت هوشمند (چه چیزی به همراه دارید؟) است. توضیح اضافه آنکه فاکتور دیگری به نام چه ویژگی دارید وجود دارد که شامل تشخیص هویت با وسایل بیومتریک است.

د. چنانچه قصد دارید از یک وب سایت محافظت کنید باید مجوز های مربوطه را تنظیم نمایید. البته از همین روش می توانید برای محافظت از DC ها نیز بهره ببرید و تمام انتقال اطلاعات بین آن ها را رمزنگاری کنید.

ه. موارد بسیاری دیگر که در اینجا صرف نظر شده تا در بحث خودشان دقیق مورد بررسی قرار گیرند.

۳٫ تکمیل تنظیمات نحوه ی درخواست و صدور مجوز

تنظیم Certification Revocation برای یک سرور:

Revocation تنها ابزاری است که برای ابطال یک مجوز پس از صدور موجود است. پیش از این به برخی دلایل ابطال مجوز اشاره شد. بنابراین باید پیش از صدور مجوز تنظیمات مربوطه را اعمال کرد. یکی از ویژگی های Active Directory Certificate Services ، به روز رسانی و انتشار خودکار CRL است. بازه های زمانی توسط مدیر CA معین می شود تا این عمل صورت گیرد. این بازه زمانی به نام Publish Period مشهور است. پس از راه اندازی اولیه CA، بازه زمانی انتشار یک هفته، به صورت پیش فرض در نظر گرفته می شود. این بازه زمانی از روی Local time کامپیوتر معین می شود و دقیقا یک هفته یکبار از اولین راه اندازی CRL منتشر می شود. این بازه زمانی قابل تغییر است که در ادامه به آن خواهیم پرداخت. مسئله مهم دیگر، بازه زمانی دیگری است به نام مدت اعتبار CRL یا The Validity Period of CRL مقوله ای کاملا متفاوت با Publish Period است. بازه زمانی اعتبار CRL مدت زمان اعتبار یک CRL است که این مدت زمان برای شخص بازبینی کننده مجوزها تعیین می شود. تا زمانی که یک نسخه دارای اعتبار از CRL روی Cache سیستم Local موجود باشد، سیستم برای دریافت یک CRL جدید تلاشی نخواهد کرد. بازه زمانی انتشار CRL توسط CA administrator معین می شود. اما مدت زمان اعتبار CRL توسط اکتیو دایرکتوری، با افزودن به بازه زمانی انتشار معین می شود. به صورت پیش فرض اکتیو دایرکتوری این کار را با افزودن ۱۰% زمان به بازه زمانی انتشار انجام می دهد. به عبارت دیگر چنانچه Publish Period بیست و چهار ساعت در نظر گرفته شود، آنگاه The Validity Period of CRL به مدت ۲۶٫۴ ساعت در نظر گرفته می شود. البته این اضافه شدن زمان دارای سقف ۱۲ ساعت است و چنانچه ۱۰% اضافه بیش از ۱۲ ساعت باشد، تنها ۱۲ ساعت اضافه خواهد شد. به اضافه آنکه ۱۰ دقیقه برای عدم توازن ساعت در نظر گرفته می شود. برای تعیین این بازه زمانی باید سنجشی بر روی امنیت و عملکرد صورت گیرد.(Performance & Security) بدیهی است بازه های زمانی طولانی تر انتشار CRL سبب می شود تا اطلاعات کلاینت ها از مجوز های باطل شده نا صحیح باشد و امکان سوء استفاده های احتمالی افزوده می شود. از جهت دیگر دریافت CRL در بازه های زمانی کوتاه تر سبب می شود تا باری بر روی سرورها، کلاینت ها و شبکه اضافه شود. از این رو انتخاب بازه زمانی مناسب با توجه به حساسیت ها و تعداد کاربران بسیار در این مرحله دارای اهمیت است.

با گذشت زمان لیست مجوز های ابطال شده، CRL، بسیار طولانی خواهد شد. به عبارت دیگر حجم این لیست زیاد می شود و چنانچه دفعات انتشار زیاد باشد بار سنگینی ایجاد خواهد کرد. لازم است تا راهکاری برای این مسئله یافت شود. برای این مسئله لیست دیگری از CRL ها ایجاد می شود به نام Delta CRL. به این طریق، کلاینت لیستی از جدید ترین Delta CRL ها را با لیستی از جدیدترین CRL ها ترکیب می کند و لیستی کامل و تقریبا به روز از مجوز های باطل شده دارد. از آنجایی که به صورت پیش فرض کلاینت دارای یک Cache برای CRL است، استفاده از Delta CRL می تواند عملکرد را بهبود ببخشد. برای استفاده از Delta CRL کلاینت ها باید از وجود Delta CRL آگاه باشند تا آن را برای مجوز های باطل شده چک کنند. چنانچه کلاینت از Delta CRL استفاده نکند، در هر زمان که Cache تجدید (Refresh) می شود برای دریافت CRL مجددا اقدام خواهد کرد. چنانچه از Delta CRL توسط برنامه ای که از certification Autority استفاده پیشتیانی نمی شود توصیه می شود از تنظیم Delta CRL خودداری شود.

در میان رخ داد دو زمان انتشار CRL می توان CRL را منتشر کرد. کاربر رایج این مسئله زمانی است که یک مجوز داری اهمیت ابطال می شود احتمال سوء استفاده از آن وجود دارد. چنانچه به صورت دستی در میان بازه زمانی CRL منتشر شود، بازه زمانی restart می شود به عبارت دیگر، بازه زمانی از آن زمان در نظر گرفته خواهد شد. مثلا، اگر بازه زمانی انتشار ۷ روز باشد و در روز پنجم یک انتشار دستی صورت گیرد، انتشار خودکار بعدی، ۷ روز پس از روز انتشار دستی در نظر گرفته می شود. نحوه انتشار دستی در ادامه توضیح داده می شود.

هر مجوزی که توسط Microsoft certification Authority صادر شده باشد دارای یک قسمت به نام CRL Distribution Point است. CRL Distribution Piont معین کننده ی آدرسی در شبکه است که به آن طریق می توان اعتبار مجوز ها را آزمود. به عبارت ساده تر این آدرس، محلی است که CRL ها و یا Delta CRL ها در آن ها قرار گرفته اند و به منظور بررسی آنکه آیا مجوز ابطال شده است یا خیر مورد استفاده قرار می گیرد. در خصوص معین کردن Distribution Point در ادامه بحث می شود. به صورت پیش فرض CRL و Delta CRL ها در مسیر SystemrootSystem32CertsrvCertenroll قرار می گیرند. پسوند این فایل ها crl است و نحوه نام گیری آن ها به شکل زیر است:

myca.crl CA مجوز CA خود را هیچ گاه تجدید نکرده یا با همان کلید فقط یک بار تجدید کرده است.
myca+.crl Delta CA برای CA یک بار با همان کلید تجدید شده است.
myca(X).crl CA به تعداد X بار مجوز CA را تجدید کرده به طوری که X>=1 است.

* myca نام سرور CA است.

۱٫ معین کردن distribution point برای CRL

برای شروع کنسول Certification Authority را باز می کنیم. مثلا از طریق Administrative Tools. روی نام CA کلیک راست کرده و به زبانه Extensions می رویم. در لیست Drop-Down List گزینه CRL Distribution Point را انتخاب می کنیم. با استفاده از دکمه های Add و Remove می توان یکی از محل هایی CRL در آن قرار می گیرد را اضافه یا حذف کرد. با انتخاب هر کدام از این محل های ذخیره سازی CRL می توان گزینه های موجود در پایین Dialog Box را ویرایش کرد. با توجه به نوع CA و محل ذخیره سازی گزینه های مختلفی در دسترس اند. URL های مربوطه می تواند ldap، http، fille یا ftp باشد. از متغیر های زیر برای تعیین مسیر این URL می توان استفاده کرد.

CAName نام CA
CAObjectClass کلاس معرف CA برای استفاده در زمانی که از LDAP برای انتشار استفاده می شود.
CATruncatedName نام کوتاه شده به ۳۲ کاراکتر CA با استفاده از hash در پایان
CDPObjectClass کلاس معرف CRL Distribution Point برای LDAP
CertificateName نام CA با یک پسوند دیگر. مشابه متغییر اول است
ConfigurationContainer محل Configuration container  در اکتیو دایرکتوری
CRLNameSuffix افزودن یک پسوند به پایان نام فایل، در زمان Publish کردن CRL به یک فایل یا URL
DeltaCRLAllowed در زمانی که Delta CRL منشر می شود، پسوند دیگری به جای پسوند CRLNameSuffix قرار می گیرد تا فایل ها متمایز شوند.
ServerDNSName نام DNS سرور CA
ServerShortName نام NetBIOS سرور CA

توحه شود یادگیری این متغیر ها اولویت نیستند چرا که به صورت پیش فرض مسیر های مناسب ساخته می شوند و می توان آن ها را باز تنظیم کرد. پس از انتخاب محل ذخیره سازی، باید گزینه های مربوطه را تنظیم کنیم که به شکل زیر است:

Publish CRLs to this location استفاده از Location برای CRL distribution Point
include in all CRLs. Specifies where to publish in Active Directory when publishing manually انتشار این Location در تمام CRL ها جهت زمانی که publish به صورت دستی انجام شود.
include in CRLs. Clients use this to find Delta CRL location انتشار این Location در تمام CRL ها جهت پوینت کردن کلاینت ها به Delta CRL
include in the CDP extension of issued certificates انتشار این Location در CDPs تمام مجوزهای صادر شده توسط CA
publish Delta CRLs to this location استفاده از Location برای Delta CRL distribution Point
include in the IDP extension of issued CRLs انتشار این Location در تمام CRL های منتشر شده (در IDP extension)
*بسیاری از دانشجویان در درک عملکرد  این گزینه ها مشکل دارند، توجه ویژه به جدول بالا بسیار با اهمیت است.
 
 
۲٫ تنظیم بازه انتشار:
 
همانطور که گفته شد، تنظیم بازه انتشار اهمیت خاصی دارد، برای این منظور کنسول Certification Autority را باز می کنیم. مثلا در Run وارد می کنیم certsrv.msc ، دقت شود که پسوند msc وارد شود. در ساختار درختی سمت چپ، روی Revoked Certificates کلیک راست (RIGHT CLICK) می کنیم و Properties را می زنیم. سپس می توانیم بازه زمانی انتشار CRL، انتشار با عدم انتشار  Delta CRL و بازه زمانی انتشار Delta CRL را معین کنیم.

About Mahyar

OrcID: 0000-0001-8875-3362 ​PhD Candidate (National Academy of Sciences of Ukraine - Institute for Telecommunications and Global Information) MCP - MCSA - MCSE - MCTS Azure Security Engineer Associate MCITP: Enterprise Administrator CCNA, CCNP (R&S , Security) ISO/IEC 27001 Lead Auditor CHFI v10 ECIH v2

Check Also

آشنایی با Windows Azure Active Directory

Windows Azure Active Directory سرویسی است که خدمات Identity and access یا به اختصار IDA …