Шифрование / Сертификат / Аутентификация / PKI

1. Authentication Аутентификация - логин/пароль
2. Autorization Авторизация - права доступа
У каждой учетной записи Name;Hash_PW;SID.

1. Authentication Аутентификация - логин/пароль

2. Autorization Авторизация - права доступа

У каждой учетной записи Name;Hash_PW;SID.

Workgroup

+ все просто
- Проблема с безопасностью 
- Сложность в администрировании
NTLM - хранение локальных пользователей и аутентификация на локальном пк
erberos - авторизация и аутентификация
SAM -  Security Accaunt Manager

+ все просто

- Проблема с безопасностью

- Сложность в администрировании

NTLM - хранение локальных пользователей и аутентификация на локальном пк

erberos - авторизация и аутентификация

SAM - Security Accaunt Manager

Domain AD (Active Directory) (AD DS)

+ Управляемость
+ Безопасность
- Ресурсы
LDAP - хранение пользователей AD (использует kerberos для аутентификации и авторизации)
NTLM - хранение локальных пользователей и аутентификация на локальном пк
SAM -  Security Accaunt Manager
kerberos - авторизация и аутентификация

+ Управляемость

+ Безопасность

- Ресурсы

LDAP - хранение пользователей AD (использует kerberos для аутентификации и авторизации)

NTLM - хранение локальных пользователей и аутентификация на локальном пк

SAM - Security Accaunt Manager

kerberos - авторизация и аутентификация

Файлы ADDS:

%SysytemRoot%\NTDS - расположены тут по умолчанию
NTDS.DIT - База данных Active Directory
EDD.CHK  - Проверочный (checkpoint) файл
EDB.LOG  - Журнал транзакций (событий). 
           Все изменения, происходящие с каталогом Active Directory, 
           содержатся в этом файле. Размер файла ограничивается 10 Мб.
EDBхххх.LOG - Вспомогательные журналы событий, которые создаются, когда файл EBD.LOG уже достиг 10 Мб,
              а данные еще не выгружены в файл NTDS.DIT. С
              соответственно каждый файл занимает не более 10 Мб дискового пространства
RES1.LOG - Резервный файл журнала событий
RES2.LOG - Резервный файл журнала событий
TEMP.EDB - Временный журнал, который содержит информацию о событиях, происходящих в настоящий момент
SHEMA.INI - Необязательный файл, используемый для инициализации файла NTDS.DIT во время загрузки контроллера домена

%SysytemRoot%\NTDS - расположены тут по умолчанию

NTDS.DIT - База данных Active Directory

EDD.CHK - Проверочный (checkpoint) файл

EDB.LOG - Журнал транзакций (событий).

Все изменения, происходящие с каталогом Active Directory,

содержатся в этом файле. Размер файла ограничивается 10 Мб.

EDBхххх.LOG - Вспомогательные журналы событий, которые создаются, когда файл EBD.LOG уже достиг 10 Мб,

а данные еще не выгружены в файл NTDS.DIT. С

соответственно каждый файл занимает не более 10 Мб дискового пространства

RES1.LOG - Резервный файл журнала событий

RES2.LOG - Резервный файл журнала событий

TEMP.EDB - Временный журнал, который содержит информацию о событиях, происходящих в настоящий момент

SHEMA.INI - Необязательный файл, используемый для инициализации файла NTDS.DIT во время загрузки контроллера домена

Билет

tiket -  в себе содержит информацию о группах,SID,RID,время получения тикета.

1	tiket - в себе содержит информацию о группах,SID,RID,время получения тикета.

Работа kerberos:

При логине на пк мы получаем tiket который содержит правила авторизации.
Пере логин на пк позволяет обновить права получив новый tiket.
получение доступа (билет/tiket)
k1-дай_доступ_куда_нибуть!я свой.->k2
k2-ты_кто?куда?подтверди?->k1
k1->докажи_что_я_свой!->DC
DC->На_tiket_покажи_к2->k1
k1->На_tiket_я_свой!->k2
k2->Мне_тут_tiket_дали_говорят_своии!?->DC
DC->Да_это_свои_Пропусти!->к2

При логине на пк мы получаем tiket который содержит правила авторизации.

Пере логин на пк позволяет обновить права получив новый tiket.

получение доступа (билет/tiket)

k1-дай_доступ_куда_нибуть!я свой.->k2

k2-ты_кто?куда?подтверди?->k1

k1->докажи_что_я_свой!->DC

DC->На_tiket_покажи_к2->k1

k1->На_tiket_я_свой!->k2

k2->Мне_тут_tiket_дали_говорят_своии!?->DC

DC->Да_это_свои_Пропусти!->к2

RID

RidMaster - специальная служба выдающая RID, выдает последовательно и гарантирует уникальность в домене.
RID - уникальное значение в пределах домена.
RID = SID + X 
При аутентификации используется RID + hash_pass
объект безопасности - это пользователь или группа
субъект безопасности - это RID

RidMaster - специальная служба выдающая RID, выдает последовательно и гарантирует уникальность в домене.

RID - уникальное значение в пределах домена.

RID = SID + X

При аутентификации используется RID + hash_pass

объект безопасности - это пользователь или группа

субъект безопасности - это RID

Совет.

Запретить обычным пользователям вводить пк в домен.

1	Запретить обычным пользователям вводить пк в домен.

После ввода сервера с ролью dhcp перестает работать.

Необходимо выполнить авторизацию сервера dhcp в домене. 
Нажать кнопу в настройках dhcp.

1 2	Необходимо выполнить авторизацию сервера dhcp в домене. Нажать кнопу в настройках dhcp.

Симметричное шифрование

- для шифрования/расшифровывания используется единый ключ
123 -> key=111->F(key)->234
+маленькие ключи
+быстрые
+не требует много ресурсов
-не безопасно (плохая стойкость к расшифровке)

- для шифрования/расшифровывания используется единый ключ

123 -> key=111->F(key)->234

+маленькие ключи

+быстрые

+не требует много ресурсов

-не безопасно (плохая стойкость к расшифровке)

Асимметричное шифрования

public_key (открытый ключ)
private_key (закрытый ключ)
данные->key1->F1key->канал_связи->зашифр_данные->F2key->расшифровка
Генерируемая пара ключей взаимосвязанная.
Если данные шифруют public_key -> расшифровать может только private_key
Если данные шифруют privat_key -> то расшифровать может только public_key
+ безопасно
-требует много ресурсов

public_key (открытый ключ)

private_key (закрытый ключ)

данные->key1->F1key->канал_связи->зашифр_данные->F2key->расшифровка

Генерируемая пара ключей взаимосвязанная.

Если данные шифруют public_key -> расшифровать может только private_key

Если данные шифруют privat_key -> то расшифровать может только public_key

+ безопасно

-требует много ресурсов

Цифровая подпись

PuK - public_key
PrK - private_key
Fhash - hash файла 
подтверждение что данные не менялись
подтверждение что данные принадлежат пользователю
файл -> получаем hash файла по алгоритму -> шифруем hash PuK.->  создание подписи
получив Puk проверяем подпись -> сравниваем fhash=PuKash=ok
DS- digital signa

PuK - public_key

PrK - private_key

Fhash - hash файла

подтверждение что данные не менялись

подтверждение что данные принадлежат пользователю

файл -> получаем hash файла по алгоритму -> шифруем hash PuK.-> создание подписи

получив Puk проверяем подпись -> сравниваем fhash=PuKash=ok

DS- digital signa

PKI

- инфраструктура открытых ключей
Центр сертификации
Сертификат - это открытый ключ. (доп данные: кем выдан, срок, кому выдан и тд) подписанный цифровой подписью ЦС.
Закрытый ключ известен только владельцу ключа
Открытый ключ известен всем
ЦС заверяет эти открытые ключи и на основе этих ключей выпускает сертификат
Все пользователи доверят только ЦС.

- инфраструктура открытых ключей

Центр сертификации

Сертификат - это открытый ключ. (доп данные: кем выдан, срок, кому выдан и тд) подписанный цифровой подписью ЦС.

Закрытый ключ известен только владельцу ключа

Открытый ключ известен всем

ЦС заверяет эти открытые ключи и на основе этих ключей выпускает сертификат

Все пользователи доверят только ЦС.

Проверка Сертификата.

Проверка имени.
Проверка действительности(не истекло ли время).
Проверка центра сертификации.
Если все ок. То доверенный.

Проверка имени.

Проверка действительности(не истекло ли время).

Проверка центра сертификации.

Если все ок. То доверенный.

SSL — клиент сервер

У сервера есть заверенный сертификат.
Вместе с алгоритмом шифрования он выдает его клиенту.
Клиент принимает сертификат и проверяет его у ЦС.
Если все ок то использует алгоритм шифрования который передал сервер.

У сервера есть заверенный сертификат.

Вместе с алгоритмом шифрования он выдает его клиенту.

Клиент принимает сертификат и проверяет его у ЦС.

Если все ок то использует алгоритм шифрования который передал сервер.

mmc -> сертификаты

Картинка ключ на сертификате говорит о том, что мы имеем закрытый ключ, которым он подписан.
Хранилища пк и пользователя.
Personal - хранилище сертификатов пользователя
Root Trusted .....- хранилище корневых и промежуточных сертификатов. DigiSertGlobal- один из самых известных УЦ.
Trusted People - хранилище сертификатов которые не будут проходить проверки доверия УЦ.

Картинка ключ на сертификате говорит о том, что мы имеем закрытый ключ, которым он подписан.

Хранилища пк и пользователя.

Personal - хранилище сертификатов пользователя

Root Trusted .....- хранилище корневых и промежуточных сертификатов. DigiSertGlobal- один из самых известных УЦ.

Trusted People - хранилище сертификатов которые не будут проходить проверки доверия УЦ.

Проверка отозванных сертификатов.

0) OCP - проверка отозванных  сертификатов
1) Сервер публикует список отозванных сертификатов RL.
2) Клиентский кеш RL

0) OCP - проверка отозванных сертификатов

1) Сервер публикует список отозванных сертификатов RL.

2) Клиентский кеш RL

certutil

certutil -urlcache * delete - очистка кеша сертификата  браузера
certutil –store My - посмотреть сертификаты в личном хранилище
certutil -store -user my > my.txt - посмотреть сертификаты пользователя my и сохранить в файл
certutil –viewstore My - посмотреть сертификаты в личном хранилище  в графическом режиме)
certutil -store -enterprise NTAuth - посмотреть сертификаты хранимые в домене
certutil –verify -urlfetch –v certificate.cer - где certificate.cer - имя файла, куда экспортирован сертификат
certutil –url certname.cer - проверить, что по URL в CDP можно вытащить CRL.(графика нажать кнопку Retrieve)
certutil –v –verify –urlfetch certname.cer > c:certcheck.txt - проверить, что по URL в CDP можно вытащить CRL
certutil /scinfo - информация о текущем (работа с криптопровайдером CSP - Crypto service provider)
certutil -csplist - список всех (работа с криптопровайдером CSP - Crypto service provider)
certutil -csptest "cspname" - информация конкретном CSP 
certutil -csptest "Microsoft Strong Cryptographic Provider" - информация конкретном CSP
certutil -p test -user -exportPFX 012345678ffffffffff cert.pfx - экспорт в PFX (PKCS#12) (параметры серийник и пароль (через -p))
certutil -p test -user -importpfx cert.pfx - импорт
certutil –backupKey - резервное копирование ключей УЦ
certutil -pulse - запустить autoenrollment
certutil -getkey - извлекает из УЦ зашифрованный ключом Агента восстановления (KRA - Key recovery agent) 
certutil -recoverkey - расшифровывает BLOB и восстанавливает депонированный ключ в PKCS#12 (файл с расширением .pfx)

certutil -urlcache * delete - очистка кеша сертификата браузера

certutil –store My - посмотреть сертификаты в личном хранилище

certutil -store -user my > my.txt - посмотреть сертификаты пользователя my и сохранить в файл

certutil –viewstore My - посмотреть сертификаты в личном хранилище в графическом режиме)

certutil -store -enterprise NTAuth - посмотреть сертификаты хранимые в домене

certutil –verify -urlfetch –v certificate.cer - где certificate.cer - имя файла, куда экспортирован сертификат

certutil –url certname.cer - проверить, что по URL в CDP можно вытащить CRL.(графика нажать кнопку Retrieve)

certutil –v –verify –urlfetch certname.cer > c:certcheck.txt - проверить, что по URL в CDP можно вытащить CRL

certutil /scinfo - информация о текущем (работа с криптопровайдером CSP - Crypto service provider)

certutil -csplist - список всех (работа с криптопровайдером CSP - Crypto service provider)

certutil -csptest "cspname" - информация конкретном CSP

certutil -csptest "Microsoft Strong Cryptographic Provider" - информация конкретном CSP

certutil -p test -user -exportPFX 012345678ffffffffff cert.pfx - экспорт в PFX (PKCS#12) (параметры серийник и пароль (через -p))

certutil -p test -user -importpfx cert.pfx - импорт

certutil –backupKey - резервное копирование ключей УЦ

certutil -pulse - запустить autoenrollment

certutil -getkey - извлекает из УЦ зашифрованный ключом Агента восстановления (KRA - Key recovery agent)

certutil -recoverkey - расшифровывает BLOB и восстанавливает депонированный ключ в PKCS#12 (файл с расширением .pfx)

В IE

В браузере есть галка "cheak for server certificate revocation *" 
- если ее убрать браузер не будет проверять сертификат на отозвание.

1 2	В браузере есть галка "cheak for server certificate revocation *" - если ее убрать браузер не будет проверять сертификат на отозвание.