Засоби та комплекси

Захист входу в контролер домену Microsoft Active Directory

Додаткові матеріали
Загальні відомості

Найменування засобів: засоби захисту входу в контролер домену Microsoft Active Directory "ІІТ Захищений вхід".

Призначення засобів: автентифікація користувачів операційних систем (ОС) Microsoft Windows в контролері домену Microsoft Active Directory при вході в ОС та при доступі до ресурсів.

Зазначені функції засоби виконують шляхом застосування механізмів криптографічного захисту інформації (КЗІ).

Автентифікація користувачів в контролері домену здійснюється під час входу користувача до ОС з його робочій станції (РС) чи портативному комп'ютері (ПК) з використанням апаратних засобів КЗІ (носіїв ключової інформації) користувача, таких як електронні ключі та смарт-карти.

Для організації ключової системи (управління ключовими даними) засобів користувачів та контролера домену використовується центр сертифікації ключів (програмно-технічний комплекс ЦСК).

Структура та склад комплексу

Структурна схема засобів за розміщенням їх складових частин на окремих технічних засобах наведена на рисунку.



До складу засобів входять програмні засоби інтеграції носіїв ключової інформації (в т.ч. і апаратних засобів КЗІ) користувачів в ОС - програмний комплекс захисту входу користувача "ІІТ Захищений вхід. Користувач" для ОС Microsoft Windows, який включає:
  • міні-драйвери смарт-карт носіїв ключів (як апаратних засобів КЗІ так і віртуальних);
  • віртуального драйвера смарт-карт;
  • програмних засобів (бібліотек) КЗІ (користувача ЦСК) “ІІТ Користувач ЦСК-1”.

До складу апаратних засобів КЗІ користувачів можуть входити:
  • електронний ключ “Кристал-1” (“ІІТ Е.ключ Кристал-1”);
  • електронний ключ “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”);
  • смарт-карта “Карта-1” (“ІІТ Смарт-карта Карта-1”).

Опис складових частин комплексу

Програмні засоби інтегруються безпосередньо у підсистему автентифікації ОС на стороні користувача контролеру домену Microsoft Active Directory.

Програмні засоби для автентифікації на контролері домену можуть використовувати зовнішні апаратні засоби КЗІ (носії ключової інформації) користувача, такі як електронні ключі та смарт-карти.

Міні-драйвер смарт-карт призначений для інтеграції апаратних засобів КЗІ (носіїв ключової інформації) у підсистему автентифікації ОС на стороні користувача та забезпечення розпізнавання апаратних засобів у підсистемі автентифікації ОС та їх використання в процесі автентифікації на контролері домену.

Віртуальний драйвер смарт-карт використовуються для носіїв ключової інформації та апаратних засобів КЗІ (наприклад, електронних ключів), які не є смарт-картами та потребують емуляції поведінки смарт-карти у ОС з метою їх розпізнавання ОС на стороні користувача в якості смарт-карти.

Бібліотеки користувача центру сертифікації ключів (ЦСК) призначені для використання міні-драйвером смарт-карт в якості базових засобів КЗІ та виконують наступні функції у їх складі:
  • роботу з носіями ключової інформації (зчитування особистих ключів з носіїв) та взаємодію з апаратними засобами КЗІ);
  • роботу з файловим сховищем сертифікатів та списків відкликаних сертифікатів (СВС), що включає:
    • зчитування сертифікатів та списків відкликаних сертифікатів із файлового сховища;
    • визначення статусу сертифіката за допомогою списків відкликаних сертифікатів;
    • завантаження списків відкликаних сертифікатів з веб-сторінки ЦСК (з веб-серверу ЦСК);
  • інтерактивну перевірку статусу сертифікатів у ЦСК за протоколом OCSP (через OCSP-сервер ЦСК);
  • пошук сертифікатів у LDAP-каталозі ЦСК (на LDAP-сервері ЦСК) тощо.

Електронні ключі, смарт-карти чи інші носії ключової інформації (апаратні засоби КЗІ) призначені для зберігання особистого ключа автентифікації користувача на контролері домену.

Програмні засоби інтеграції носіїв ключової інформації (апаратних засобів КЗІ) користувачів в ОС встановлюються та використовуються виключно на стороні користувача на його РС (ПК).

Для автентифікації користувачів на контролері домену (сервері) має бути налаштована служба Microsoft Active Directory та створений і налаштований домен, а користувачі, які мають автентифікуватися в контролері, повинні бути користувачами створеного домену. На контролері домену не здійснюється встановлення жодних складових частин засобів.

Характеристики засобів

В якості ОС користувачів, в які інтегровано засоби автентифікації, можуть використовуватися ОС Microsoft Windows XP/Vista/7/8/8.1/10. В якості ОС контролера домену (сервера) можуть використовуватися ОС Microsoft Windows 2003/2008/2012.

У засобах використовуються такі криптографічні алгоритми та протоколи:
  • алгоритми шифрування TDEA і AES за ISO/IEC 18033-3:2010;
  • алгоритм ЕЦП RSA за PKCS#1 (IETF RFC 3447);
  • алгоритми гешування SHA (SHA-1 і SHA-224/256/384/512) за ДСТУ ISO/IEC 10118-3:2005;
  • протокол розподілу ключів RSA за PKCS#1 (IETF RFC 3447).

Автентифікація користувача на контролері домену здійснюється за протоколом Kerberos, який реалізований штатними засобами ОС користувача та контролера домену. Під час автентифікації штатні засоби ОС користувача здійснюють звертання (використовують) міні-драйвер смарт-карт для виконання криптографічних перетворень.

У засобах використовуються дві підгрупи ключових даних:
  • ключові дані ЦСК;
  • ключові дані користувачів та контролера домену.

До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (OCSP-сервера), які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів тощо.

До ключових даних користувачів та контролера домену відносяться особисті ключі та сертифікати відповідно користувачів та контролера домену.

В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися:
  • електронні диски (flash-диски);
  • оптичні компакт-диски (CD);
  • електронні ключі “Кристал-1”, “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”), Avest AvestKey, Aladdin eToken/JaCarta, Автор SecureToken, Технотрейд uaToken, SafeNet iKey, Giesecke&Devrient StarSign та БІФІТ iBank Key;
  • смарт-карти “Карта-1” (“ІІТ Смарт-карта Карта-1”), Техноконсалтинг TEllipse, Aladdin eToken/JaCarta, Автор CryptoCard, Giesecke&Devrient StarSign та БІФІТ Інтегра;
  • криптомодуль “Гряда-61” (“ІІТ КМ Гряда-61”) та мережний криптомодуль “Гряда-301”;
  • інші носії та криптомодулі з бібліотеками підтримки, що відповідають вимогам до алгоритмів, форматів і інтерфейсів, що реалізуються у засобах шифрування та надійних засобах ЕЦП, затверджених спільним наказом Міністерства юстиції України та Адміністрації Держспецзв’язку № 2782/5/689 від 27.12.2013 р.

Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів:
  • формати сертифікатів та списків відкликаних сертифікатів – згідно вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису, затверджених наказом Міністерства юстиції України та Адміністрації Держспецзв’язку України № 1236/5/453 (вимог до надійних засобів ЕЦП) від 20.08.2012 р. та ISO/IEC 9594-8;
  • формати підписаних даних (даних з ЕЦП) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 5652 (PKCS#7);
  • формати захищених даних (зашифрованих даних) – згідно вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку України № 739 від 18.12.2012 р. та технічних рекомендацій RFC 5652 (PKCS#7);
  • формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 2560;
  • формати запитів на формування позначок часу та самих позначок часу (протокол TSP) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 3161;
  • формати особистих ключів – згідно вимог до алгоритмів, форматів і інтерфейсів, що реалізуються у засобах шифрування та надійних засобах ЕЦП та технічних рекомендацій PKCS#8 і PKCS#12.

Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів користувачів та контролера домену, а також надання (за необхідності) користувачам і контролеру домену засобів генерації особистих та відкритих ключів.

Програмно-технічний комплекс (ПТК) ЦСК забезпечує:
  • обслуговування сертифікатів користувачів та контролера домену, що включає:
    • реєстрацію користувачів та контролера домену;
    • сертифікацію відкритих ключів користувачів та контролера домену;
    • розповсюдження сертифікатів;
    • управління статусом сертифікатів та розповсюдження інформації про статус сертифікатів;
  • надання користувачам та контролеру домену (за необхідності) засобів генерації особистих та відкритих ключів.

Для взаємодії з центром сертифікації ключів (використання його інтерактивних служб) користувачі та контролер домену повинні мати можливість мережного підключення до ЦСК. Усі механізми взаємодії з ЦСК виконують бібліотеки користувача ЦСК.

Зміна статусу сертифікатів (блокування, поновлення або скасування) та знищення особистих ключів користувачів та контролера домену здійснюється у відповідності до порядку, який визначений ЦСК (згідно регламенту ЦСК).

В якості ПТК ЦСК має використовуватися комплекс “ІІТ ЦСК-1”.

Повернутись до списку