В. Предоставляет ли инфраструктура открытых ключей Windows PKI какой-либо механизм, который позволяет пользователям и системам автоматически (то есть без вмешательства пользователя или администратора) развертывать сертификаты X.509 из удостоверяющего центра Windows Certification Authority (CA)? Если такой механизм существует, может ли он работать между разными лесами Windows Active Directory (AD)?

О. У Windows PKI есть такая функция. Она называется авторазвертывание сертификата. Авторазвертывание сертификата может применяться для автоматического получения сертификатов пользователями и компьютерами для систем, объединенных в один домен, когда система или пользователь регистрируются в нем. Эту функцию нельзя задействовать для автоматического развертывания сертификатов на автономных системах. Начиная с Windows Server 2008 R2, авторазвертывание PKI также может использоваться между двумя разными лесами Active Directory, связанными двусторонними доверительными отношениями, что позволяет организациям разрешать применять свои корпоративные сертификаты пользователям другого леса Active Directory. Более подробную информацию об этой возможности вы можете найти в техническом документе Microsoft «AD CS: Cross-forest Certificate Enrollment with Windows Server 2008 R2» (technet.microsoft.com/en-us/library/ff955842%28v=WS.10%29.aspx).

Для настройки сертификата для авторазвертывания необходимо внести изменения в настройки в двух оснастках Microsoft Management Console (MMC): Certificate Templates («Шаблон сертификата») и Group Policy («Групповая политика»).

Для активации авторазвертывания на уровне шаблона сертификата откройте оснастку Certificate Templates, выберите шаблон, для которого хотите активировать авторазвертывание, перейдите на вкладку Security и предоставьте соответствующим пользователям, системам или группам разрешение Autoenroll. Если вы хотите, чтобы авторазвертывание осуществлялось без вмешательства пользователя, оставьте настройки, которые установлены по умолчанию на вкладке Request Handling, без изменений. Если желательно, чтобы пользователь видел подсказки к действиям в процессе авторазвертывания, выберите параметр Prompt the user during enrollment («Подсказка пользователю в процессе авторазвертывания»).

Для активации авторазвертывания на уровне Group Policy Object (GPO) откройте оснастку Group Policy, пройдите по пути Computer Configuration\Windows Settings\Security Settings\Public Key Policies (для авторазвертывания сертификата компьютера) или нажмите User Configuration\Windows Settings\Security Settings\Public Key Policies (для авторазвертывания сертификата пользователя), затем откройте окно Autoenrollment Settings Properties. Если вы хотите, чтобы процесс авторазвертывания позаботился об обновлении сертификата и других процедурах, необходимо убедиться, что вы установили флажок Renew expired certificates, update pending certificates, and remove revoked certificates («Обновлять сертификаты с истекшим сроком действия, обновлять изменяемые сертификаты, удалять отмененные сертификаты»).

В. Какова задача службы удаленной аттестации для Windows 8.1 и Windows 8?

О. Удаленная аттестация основана на идее проверяемой загрузки, которую специалисты Microsoft реализовали в Windows 8.1 и Windows 8. Проверяемая загрузка позволяет производить замеры различных компонентов программного обеспечения, используемых в загрузочном процессе Windows (например, BIOS, загрузчик операционной системы, ядро Windows, драйверы) и осуществлять безопасное хранение этих замеров в модуле Trusted Platform Module (TPM – микросхема системы безопасности, встроенная в современные материнские платы компьютеров).

Измерения могут использоваться службой безопасности для проверки целостности платформы Windows и подтверждения того, что платформа не была повреждена вредоносными программами. Такая служба безопасности может проверяться третьей стороной, про которую и говорят как про службу удаленной аттестации. Эта третья сторона сравнивает измерения с известными значениями. При этом она может подтвердить, что загрузочный процесс Windows на определенной системе проходит в безопасном режиме и что антивредоносное программное обеспечение на этой машине функционирует должным образом.

Когда организации задействуют механизм Dynamic Access Control (DAC) для контроля доступа к своим ресурсам, служба удаленной аттестации также может выдать компьютеру утверждение о безопасности устройства, что можно использовать для различных сценариев контроля доступа. Например, служба может разрешить сетевой доступ или доступ к файлам, если утверждение для устройства подтверждает, что компьютер находится в безопасном режиме. Кроме того, служба может запретить доступ, если утверждение констатирует, что компьютер небезопасен.

Программное обеспечение, с помощью которого организации сегодня могут обезопасить свои платформы Windows 8 посредством службы удаленной аттестации, — это Wave Endpoint Monitor (www.wave.com/products/wave-endpoint-monitor). Организации также могут последовать рекомендациям Microsoft, которые представлены в наборе TPM Platform Crypto-Provider Toolkit (http://research.microsoft.com/en-us/downloads/74c45746-24ad-4cb7-ba4b-0c6df2f92d5d/), для разработки собственной службы удаленной аттестации.

В. Какие варианты отказоустойчивости доступны для сервера DHCP в Windows и есть ли какие-нибудь новые варианты отказоустойчивости DHCP в Windows Server 2012?

О. Сервер Windows DHCP поддерживает три варианта отказоустойчивости. Вы можете установить DHCP на отказоустойчивый кластер Windows, настроить групповую область DHCP или настроить обработку отказа DHCP, что как раз является новой возможностью, введенной в Server 2012.

Установка сервера DHCP на отказоустойчивом кластере Windows. Вы можете установить DHCP на двухузловом отказоустойчивом кластере Windows так, чтобы второй сервер DHCP принимал загрузку DHCP, если первый сервер DHCP неисправен. Эта возможность использует общую систему хранения и требует дополнительных вложений для обеспечения ее избыточности.

Настройка групповой области DHCP. Групповая область DHCP использует два независимых сервера DHCP, которые разделяют ответственность за одну группу DHCP. Одна часть пула IP-адресов в группе DHCP назначается на первый сервер, а другая часть — на резервный сервер. Если клиенты не могут добраться до первого сервера, они получают свои настройки IP со второго резервного сервера.

Настройка обхода отказа DHCP. Используя вариант обхода отказа DHCP, вы можете скопировать одну или несколько групп DHCP на другой сервер DHCP. Чтобы осуществить эту настройку, вы можете использовать новую функцию Configure Failover, щелкнув по группе DHCP на интерфейсе управления DHCP в Server 2012. На экране настройки Configure Failover вы можете выбрать один из режимов обхода отказа DHCP: горячее резервирование или разделение нагрузки (этот режим выбран по умолчанию).

В режиме горячего резервирования два сервера DHCP работают по отказоустойчивой схеме, когда активный сервер DHCP несет ответственность за выдачу в аренду IP-данных всем клиентам в группе или в подсети. Резервный сервер DHCP берет ответственность на себя в случае, если первый сервер DHCP вдруг станет недоступен. В контексте подсети сервер DHCP может принимать первичную или вторичную роли. Это означает, что первичный сервер DHCP в данной подсети может быть резервным, или вторичным, сервером DHCP в другой подсети.

В режиме разделения нагрузки два сервера одновременно выдают в аренду IP-данные клиентам в данной подсети. Запросы выравниваются по нагрузке и разделяются между двумя серверами.

Существует два главных ограничения функции обхода отказа DHCP: она ограничена данными настроек IPv4 и может поддерживать только два узла. Более подробную информацию об обходе отказа DHCP можно найти в статье Microsoft на TechNet «Step-by-Step: Configure DHCP for Failover» (technet.microsoft.com/en-us/library/hh831385.aspx).

В. Как осуществить централизованное управление настройками политики исполнения PowerShell на системах Windows, чтобы убедиться, что они не перезаписаны изменениями, внесенными администратором локально на одной из систем домена?

(Ф)

О. Для централизованного управления политиками исполнения PowerShell для систем и пользователей в домене вы можете задействовать настройку Turn on Script Execution (включить исполнение сценария) объекта групповой политики Group Policy Object (GPO). Вы можете задать параметры на обоих узлах, т.е. в узле компьютера и в пользовательском узле настройки различных GPO. Если вы задаете параметры в обоих узлах, настройка на уровне компьютера будет доминировать над настройкой на уровне пользователя. Когда настройки активируются, они отменяют политики исполнения PowerShell, которые были настроены локально на системе (политики, ссылающиеся на области Process («Процесс»), CurrentUser («Текущий пользователь») и LocalMachine («Локальная система»).

Настройка Turn on Script Execution в GPO имеет следующие варианты параметров, которые показаны на приведенном экране:

  • Disabled («не активен»). Когда вы выбираете вариант Disabled, сценарии не запускаются. Выбор этого варианта имеет тот же эффект, что и настройка политики исполнения Restricted («ограничено»).
  • Enabled («активирован»). Если вы выбираете вариант Enabled, вы можете настроить одну из трех политик исполнения: Allow all scripts («Разрешить все сценарии», то есть политика Unrestricted), Allow local scripts and remote signed scripts («Разрешить локальные сценарии и сценарии, подписанные в удаленном режиме», то есть политика RemoteSigned («Подписанные в удаленном режиме»)) и Allow only signed scripts («Разрешить только подписанные сценарии», то есть политика AllSigned («Все подписанные»)).
  • Not Configured («Не настроено»). Когда вы выбираете вариант Not Configured, настройки GPO не будут оказывать эффекта. Таким образом, локальная политика исполнения PowerShell, настроенная администратором, будет продолжать действовать.

 

Настройки GPO
Экран. Настройки GPO

Настройка Turn on Script Execution GPO («Включить код исполнения GPO») не включена в стандартные объекты Windows GPO. Вы можете добавить ее путем установки административного шаблона PowerShellExecutionPolicy. Можно загрузить этот шаблон с веб-страницы Administrative Templates for Windows PowerShell (www.microsoft.com/en-us/download/details.aspx?id=25119). Вы будете загружать пакет *.msi, который должны установить на систему, где задаете параметры GPO.

После успешной установки пакета нужно загрузить административный шаблон. Чтобы это сделать, откройте редактор GPO, перейдите к контейнеру Administrative Templates («Административные шаблоны»), правой кнопкой мыши щелкните по нему, выберите Add/Remove Templates («Добавить»/«Удалить шаблоны»). В диалоговом окне Add/Remove Templates вы можете добавить либо файл PowerShellExecutionPolicy.adm (классический административный шаблон), либо файл PowerShellExecutionPolicy.admx (форматированный в XML административный шаблон). Оба файла расположены в папке %systemdrive%/program files/Microsoft Group Policy.

Настройка Turn on Script Execution GPO расположена в узлах Computer Configuration («Настройка компьютера») и User Configuration GPO («GPO-настройки пользователя») в следующих местах:

  • для Windows XP и Windows Server 2003 — Administrative Templates\Windows Components\Windows PowerShell.
  • для Windows Vista и более новых версий — Administrative Templates\Classic Administrative Templates\Windows Components\Windows PowerShell.