Чтение онлайн

Независимо от того, чьи сертификаты вы загружаете, окно оснастки Сертификаты будет содержать следующие подразделы.

• Личные – содержит персональные сертификаты. По умолчанию они есть только у пользователей и у компьютера. Персональный сертификат компьютера удостоверяет его сетевое имя. У пользователей же существует два персональных сертификата. Первый из них принадлежит шифрованной файловой системе EFS. Второй же определяет доверительные отношения в одноранговых сетях.

• Доверенные корневые центры сертификации – включает в себя сертификаты доверенных корневых центров, среди которых есть сертификаты не только известных центров сертификации Интернета, но и сертификат локального компьютера. Список таких сертификатов по умолчанию одинаков как для пользователей или служб, так и для компьютера.

• Доверительные отношения в предприятии – хранит сертификаты, определяющие доверительные отношения в предприятии. По умолчанию данный раздел пуст.

• Промежуточные центры сертификации – содержит сертификаты основных промежуточных центров сертификации. Этот раздел включает в себя два подраздела: Список отзыва сертификатов и Сертификаты. Первый из них определяет список отзыва сертификатов, а второй – сертификаты промежуточных центров. Данные списки по умолчанию одинаковы как для пользователей или

служб, так и для компьютера.

• Объект пользователя Active Directory – хранит сертификаты объектов пользователя Active Directory. Если ваш компьютер не входит в домен Active Directory, то данный список будет пуст.

• Доверенные издатели – определяет список доверенных издателей, сертификаты которых будут считаться истинными.

• Сертификаты, к которым нет доверия – определяет список сертификатов, которым доверять нельзя. По умолчанию данный раздел содержит несколько сертификатов Microsoft с истекшим временем жизни.

• Сторонние корневые центры сертификации – указывает сертификаты сторонних корневых центров сертификации.

• Доверенные лица – определяет сертификаты пользователей, которым можно доверять. По умолчанию доверенным пользователем является ваша учетная запись.

• Доверенные корневые сертификаты смарт-карты – указывает доверенные сертификаты смарт-карт.

Вы также можете выполнить поиск определенного сертификата, вместо того чтобы искать его в одном из подразделов. Для этого в контекстном меню раздела оснастки Сертификаты (или ее определенного подраздела) нужно выбрать команду Поиск сертификатов. После этого отобразится окно, с помощью которого можно выполнить поиск на основе введенной строки текста. При этом поиск может вестись в имени того, кому выдан сертификат (элемент Кому выдан раскрывающегося списка Искать в поле) или кем выдан сертификат (Кем выдан), в серийном номере сертификата (Серийный номер), а также в хэше MD5 (Хэш MD5) или SHA1 (Хэш SHA1).

Если вы нашли нужный вам сертификат, то с помощью его контекстного меню можно выполнить такие задачи, как просмотр сведений о нем (кому и кем выдан, серийный номер, когда выдан и на какой срок, хэши сертификата, является ли на данный момент действующим и т. д.), просмотр параметров работы сертификата, а также экспортирование сертификата.

Чтобы просмотреть сведения о сертификате, нужно выбрать команду Открыть.

Чтобы просмотреть параметры сертификата, нужно выбрать команду Свойства. После этого отобразится окно, представленное на рис. 5.3. С помощью вкладки Общие можно изменить название сертификата и его описание, а также выбрать те из доступных назначений сертификата, которые будут действовать на вашем компьютере. С помощью вкладки Перекрестные сертификаты можно указать дополнительные адреса, из которых будет выполняться загрузка перекрестных сертификатов.

Рис. 5.3. Настройка параметров работы сертификата

Чтобы экспортировать сертификат, нужно выбрать команду Все задачи → Экспорт. Сертификат можно и импортировать. Для этого нужно в контекстном меню дочернего подраздела оснастки Сертификаты выбрать команду Все задачи → Импорт.

Программа certreq.exe

Расположение: %systemroot%\system32\certreq.ехе.

Для работы с центром сертификатов можно использовать новую программу командной строки certreq.ехе. Описание ее возможностей можно просмотреть, используя команду certreq /?. Основные же способы применения данной программы описаны ниже.

• CertReq – отправляет запрос к центру сертификации. После ввода данной команды отобразится окно выбора файла запроса.

• CertReq – Submit <файл запроса> – отправляет запрос к центру сертификации. Для просмотра дополнительных параметров данной команды введите CertReq – Submit —?.

• CertReq – Retrieve – ^идентификатор запроса> – возвращает ответ на предыдущий запрос к центру сертификации. Для просмотра дополнительных параметров данной команды введите CertReq – Retrieve —?.

• CertReq – New – создает новый запрос на основе INF-файла настроек запроса. Можно как указывать путь к INF-файлу в данной команде, так и не указывать. Если INF-файл указан не будет, то после ввода команды отобразится окно выбора INF-файла. Для просмотра дополнительных параметров данной команды введите CertReq – New —?.

• CertReq – Accept <-machine или – user> – устанавливает полученный сертификат PKCS #7 или Х.509 в контексте данного компьютера или текущего пользователя. В данной команде можно как указывать путь к сертификату, так и не указывать. Если сертификат не указан, то после ввода команды отобразится окно выбора сертификата. Для просмотра дополнительных параметров данной команды введите CertReq – Accept —?.

• CertReq – Policy – создает взаимное свидетельство или квалифицированный запрос для существующего файла запроса. В данной команде можно как указывать путь к запросу, так и не указывать. Если путь к запросу не указан, то после ввода команды отобразится окно выбора файла запроса. Для просмотра дополнительных параметров данной команды введите CertReq – Policy —?.

• CertReq – Sign – подписывает файл запроса. В данной команде можно как указывать путь к файлу запроса, так и не указывать. Если путь к запросу не указан, то после ввода данной команды отобразится окно выбора файла запроса. Для просмотра дополнительных параметров данной команды введите CertReq – Sign —?.

Программа certutil.exe

Расположение: %systemroot%\system32\certutil.ехе.

Если предыдущая программа командной строки была предназначена только для работы с центром сертификации, то эта предназначена для работы с сертификатами и службой сертификатов домена Active Directory. Она поддерживает очень большое количество возможностей и предназначена для работы в домене, поэтому на страницах данной книги параметры этой программы описаны не будут. Описание всех возможностей программы можно просмотреть, введя команду certutil /?.

При работе с программой может понадобиться просмотр ее файла журнала. Он расположен в каталоге %systemroot% и имеет название certutil.log.

Управление дисками

CLSID-номер оснастки: {dbfca500-8c31-11d0-aa2c-00a0c92749a3}.

Библиотека: dmdskmgr.dll.

Используется в стандартных консолях: compmgmt.msc, diskmgmt.msc.

С помощью данной оснастки можно добавить, удалить или отредактировать параметры разделов жесткого диска, установленного на компьютере. С ее помощью вы можете увеличивать размер тома (для динамических дисков), форматировать разделы, изменять файловую систему, изменять букву диска, изменять активный раздел (раздел, который содержит загрузочные файлы, его также

называют системным).

Работа с данной оснасткой, как и ее интерфейс, совершенно не изменились. При добавлении оснастки вы можете выбрать компьютер, информацию которого она должна отображать. После этого оснастка будет добавлена.

Оснастка Управление дисками имеет одно расширение, которое можно отключить. Это расширение VSSUI.

Общие папки

CLSID-номер оснастки: {58221C65-EA2 7-11CF-ADCF-0 0AA0 0A8 0 033}.

Библиотека: filemgmt.dll.

Используется в стандартных консолях: compmgmt.msc, f smgmt.msc.

С помощью данной оснастки можно просмотреть список общих папок данного компьютера, а также список открытых по сети в данный момент файлов и список созданных сетевых сессий. Используя оснастку Общие папки, можно создавать, удалять или редактировать параметры общих папок.

Перед загрузкой оснастки ее нужно настроить. Для этого предназначен мастер. Он предложит вам указать компьютер, данные которого будут загружены в оснастку, а также те из частей оснастки, которые будут отображаться (либо только папки общего доступа, сессии или открытые файлы, либо все вместе).

Работа с оснасткой Общие папки операционной системы Windows Vista полностью аналогична работе с оснасткой предыдущих версий Windows, поэтому на страницах данной книги мы не будем рассматривать ее работу.

В операционной системе Windows Vista присутствует стандартная программа командной строки предыдущих версий Windows openf iles.ехе (Расположение: %systemroot% \system32\openfiles.exe). С ее помощью также можно просмотреть список открытых в данный момент файлов общих каталогов. Для этого применяется команда openf iles.ехе /query. А с помощью команды openfiles.exe/disconnect <параметры> можно завершить работу определенного пользователя с открытым в данный момент ресурсом общего доступа. Описание ее параметров можно отобразить с помощью команды openfiles.exe/disconnect /?.

Кроме того, в Windows Vista данная программа стала поддерживать новый параметр – /Local. Если воспользоваться командой openf iles.ехе/Local on, то программа openfiles.exe будет отображать не только список открытых файлов из каталогов общего доступа, но и список локальных открытых файлов. Выполнение приведенной выше команды присваивает значение 4 0 0 0 параметру REG_DWORD-типа GlobalFlag ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Session Manager.

Работа с сетью

Монитор IP-безопасности

CLSID-номер оснастки: {57C596D0-9370-40C0-BA0D-AB491B63255D}.

Библиотека: ipsmsnap.dll.

Используется в стандартных консолях: нет.

Оснастка Монитор IP-безопасности также практически не изменилась. Основным ее назначением является слежение за работой локальной политики IP-безопасности, назначаемой оснасткой Локальные параметры безопасности. Однако с помощью команды Добавить компьютер контекстного меню раздела оснастки можно выбрать удаленный компьютер, работу политик которого нужно проконтролировать.

Оснастка не имеет расширений и каких-нибудь параметров, настраиваемых при ее загрузке в консоль управления Microsoft, поэтому после загрузки оснастки перед вами отобразится ее основное окно (рис. 5.4). Мы не будем подробно рассматривать работу данной оснастки, но кратко описать ее возможности все же стоит.

Оснастка Монитор IP-безопасности состоит из следующих разделов.

• Активная политика – это новый раздел, которого не было в оснастке для операционных систем Windows ХР. Он отображает такие сведения о применяемой в данный момент политике, как ее название, описание, дата последнего изменения, хранилище политики, а также остальные сведения, используемые при работе вашего компьютера в составе домена Active Directory.

Рис. 5.4. Окно оснастки Монитор IP-безопасности

• Основной режим – определяет параметры работы протокола IPSec в основном режиме. Раздел включает в себя следующие подразделы.

– Универсальные фильтры – отображает сведения о применяемом фильтре (о его настройках).

– Специальные фильтры – содержит список специальных фильтров, отдельно для входящих и исходящих пакетов.

С помощью контекстного меню данного подраздела можно выполнить поиск совпадающих фильтров. Для этого нужно воспользоваться командой Найти совпадающие фильтры.

В отображенном после выбора команды окне можно ввести IP-адрес, порт узла источника и узла назначения, используемый протокол, а также указать, среди фильтров для каких пакетов будет выполняться поиск (входящих или исходящих) (рис. 5.5).

– Политики IKE – содержит применяемое в данный момент действие политики IKE.

– Статистика – определяет общую статистику, например статистику по основному и быстрому режиму, а также общее количество принятых пакетов и количество поврежденных пакетов.

– Сопоставление безопасности – содержит список сопоставлений безопасности.

• Быстрый режим – определяет параметры работы протокола IPSec в быстром режиме. Раздел включает в себя те же подразделы, что и раздел Основной режим.

Рис. 5.5. Окно поиска совпадающих фильтров

Единственным его отличием является то, что его подраздел Статистика определяет сведения о других статистических параметрах. Например, к ним относятся следующие сведения, определяющие количество:

• активных сопоставлений безопасности (SA);

• разгруженных сопоставлений безопасности;

• незаконченных операций с ключами;

• удаленных ключей;

• повторно сгенерированных ключей;

• активных туннелей;

• поврежденных пакетов SPI;

• незашифрованных или непроверенных пакетов;

• и т. д.

Локальные параметры безопасности

CLSID-номер оснастки: {DEA8AFA0-CC85-11d0-9CE2-0080C7221EBD}.

Библиотека: ipsecsnp.dll.

Используется в стандартных консолях: secpol.msc.

С помощью предыдущей оснастки мы выполняли мониторинг работы политик IPSec, однако если вы не создали ни одной политики IPSec, то мониторинг ни к чему не приведет. Как раз для создания политик IPSec и служит оснастка Локальные параметры безопасности.

При ее загрузке можно указать компьютер, политики которого будут настраиваться, после чего формирование настроек оснастки будет закончено. Оснастка не имеет расширений.