Beveiliging In het kort: Serverconsolidatie Verbetering van bestaande scenario’s Software en services Sterke authenticatie
PKI-verbeteringen in Windows 7 en Windows Server 2008 R2 John Morello
In Windows Vista en Windows Server 2008 zagen we al PKIverbeteringen in de deployment interface en mogelijkheden van het OCSP (Online Certificate Status Protocol). Hoewel die heel waardevol waren, en ook goed zijn ontvangen door gebruikers, zijn het voor de IT-professional slechts kleine wijzigingen. Windows 7 beschikt daarentegen over PKI-verbeteringen waarmee implementatie en gebruiksvriendelijkheid aanzienlijk worden verbeterd. Verder zijn er nieuwe krachtige gebruiksmogelijkheden die deels ook helpen bij het terugdringen van de kosten. Dit artikel is gebaseerd op pre-releasecode, waardoor er kleine verschillen kunnen zijn in functionaliteit of bediening ten opzichte van de definitieve release. De verbeteringen in Windows 7 en Windows Server 2008 R2 zijn met name gericht op vier hoofdgebieden, zoals te zien in Figuur 1). We nemen zie hier even kort door.
ringen voor het gebruik van smartcards, de introductie van het Windows Biometric Framework, enzovoort. In dit artikel zal ik enkele van de belangrijkste wijzigingen op deze gebieden bespreken vanuit het perspectief van de IT-professional.
Serverconsolidatie. Hiermee kunnen organisaties het totale
aantal certificeringsinstanties (CA’s) verminderen dat nodig is om te voldoen aan hun zakelijke behoeften. Verbetering van bestaande scenario’s. Hierbij ligt de nadruk op zaken zoals een uitgebreidere ondersteuning van SCEP (Simple Certificate Enrollment Protocol) en toevoeging van een Best Practices Analyzer (BPA). Software en services. Dit is bedoeld om autonome enrollment van gebruikers en apparaten voor certificaten mogelijk te maken, losstaand van netwerkgrenzen en certificaatproviders. Sterke authenticatie. Dit gebied is vooral gericht op verbete22
juli 2009
Serverconsolidatie Serverconsolidatie is al een aantal jaren één van de belangrijkste thema’s in de IT. Eenvoudig gesteld, gaat dit over het terugdringen van de totale footprint van uw serveromgeving, terwijl u uw zakelijke doelstellingen toch blijft behalen of zelfs kunt uitbreiden. Door de huidige situatie in de w ereldwijde economie is kostenbesparing voor veel ITgroepen één van de prioriteiten geworden. Serverconsolidatie kan hierbij een belangrijke rol spelen. Hoewel de meeste organisaties geen grote, absolute aantallen CA’s hebben, hebTechNet Magazine
Figuur 1 De vier hoofdgebieden van PKI-verbeteringen ben veel o rganisaties er wel meer dan ze nodig hebben als het uitsluitend gaat om het aanmaken van certificaten. Met andere woorden: veel organisaties hebben CA’s die weinig effectief worden gebruikt. Als oorzaak van deze ineffectiviteit kunnen twee hoofdredenen worden aangewezen. In de eerste plaats hebben sommige organisaties afzonderlijke CA’s (Certification Authority) nodig om te voldoen aan regelgeving of beveiligingsbeleid. Bepaalde klanten kiezen er bijvoorbeeld voor om certificaten aan externe partijen door een andere CA te laten uitgeven dan de CA die certificaten uitgeeft aan interne gebruikers en computers. De noodzaak van afzonderlijke serverhardware kan in deze gevallen worden geëlimineerd door de CA te virtualiseren op Hyper-V (hoewel de CA zelf dan nog wel moet worden beheerd, zelfs als een VM). In de tweede plaats werd auto-enrollment tot voor kort alleen ondersteund in intra-forest scenario’s. Een CA kon entiteiten alleen automatisch koppelen aan certificaten wanneer deze entiteiten deel uitmaakten van hetzelfde forest. Zelfs in gevallen waarin sprake was van een forest-vertrouwensrelatie in twee richtingen, waren afzonderlijke CA’s nodig voor elk forest waarin auto-enrollment werd gebruikt. Eén van de belangrijkste nieuwe voorzieningen in Windows Server 2008 R2 is de mogelijkheid om auto-enrollment uit te voeren door forest-vertrouwensrelaties heen. Hierdoor kan het totale aantal CA’s dat in een onderneming nodig is, drastisch worden verminderd. Laten we even uitgaan van een typisch bedrijfsnetwerk waarop al enige consolidatie heeft plaatsgevonden en dat nu vier forests heeft: productie, ontwikkeling, test en edge. Vóór R2 had u tenminste vier CA’s nodig als u auto-enrollment wilde gebruiken voor elk forest, ook als alle forests elkaar vertrouwden. Met R2 kunt u het aantal CA’s in dit scenario tot één terugbrengen, waarbij een enkele CA in één van de forests, certificaten uitgeeft aan entiteiten in alle overige forests. Voor een omgeving met een complexer multi-forest ontwerp, kan de totale vermindering van het aantal CA’s nog drastischer zijn, waardoor u de investering in de upgrade naar R2 meteen terugverdient. Cross-forest enrollment maakt het ook gemakkelijker een PKI uit te breiden tijdens fusies en acquisities, omdat aan de nieuwe assets meteen certificaten kunnen worden verstrekt zodra een forestvertrouwensrelatie tot stand is gebracht. En omdat TechNet Magazine
cross-forest enrollment uitsluitend aan de serverkant plaatsvindt, kan de enrollment beginnen zonder dat er wijzigingen worden aangebracht aan de clientcomputers. Bovendien werkt het ook met oudere clientbesturingssystemen, zoals Windows XP. Hoe werkt cross-forest enrollment dan? De eindgebruiker merkt er in elk geval helemaal niets van. Net zoals bij andere scenario’s voor auto-enrollment krijgen gebruikers gewoon certificaten zonder dat ze hiervoor veel hoeven te doen. Meestal weten eindgebruikers helemaal niet van welk forest de CA’s afkomstig zijn en ze hoeven ook geen speciale acties uit te voeren om de certificaten te krijgen. Voor een IT-professional komen de basisbouwstenen grotendeels overeen met die van traditionele intra-forest autoenrollment. Het grootste verschil is dat de CA nu aanvragen kan verwerken die afkomstig zijn van een extern forest, en metadata over de aanvraag kan ophalen uit een vertrouwde Active Directory. Deze mogelijkheid om een aanvraag van een trusted forest te ontvangen en op de juiste wijze te verwerken, is de belangrijkste voorziening in R2 die dit scenario mogelijk maakt. Behalve dat er een R2 CA en een forestvertrouwensrelatie in twee richtingen moet zijn, moeten er ook certificaatsjablonen worden gerepliceerd tussen het forest dat de CA bevat en alle overige forests die zich registreren. Microsoft verschaft een Windows PowerShell-script om deze replicatie te automatiseren. Dit moet na elke wijziging in een sjabloon gebeuren. In veel gevallen is het raadzaam dit script automatisch uit te voeren als een geplande taak. Er zijn ook nog enkele kleinere functies die kunnen helpen bij de serverconsolidatie. Eén hiervan is dat de CA nu ondersteuning biedt voor niet-persistente aanvragen. Dit zijn aanvragen voor certificaten, meestal kort durende, die niet in de database van de CA worden geregistreerd. Neem bijvoorbeeld Network Access Protection Health Registration Authorities. Deze systemen kunnen dagelijks duizenden certificaten uitgeven die slechts enkele uren geldig zijn. Het registreren van al deze aanvragen in de database van de CA heeft weinig nut, maar het vereist wel enorm veel extra opslagruimte. Met R2 kunnen deze aanvragen zo worden geconfigureerd dat ze niet naar de database worden geschreven. Deze configuratie kan plaatsvinden op CA- of sjabloonniveau (zie Figuur 2). Nog een functie die is bedoeld om serverconsolidatie gemakkelijker te maken, is de ondersteuning voor Server Core. Met R2 kan de CA-rol worden geïnstalleerd op Server Core, hoewel er geen andere AD CS-rolservice (Active Directory Certificate Services) beschikbaar is op Server Core. Een CA die op Server Core is geïnstalleerd, kan worden beheerd met lokale commandline programma’s, zoals certutil, of met de standaard-MMC’s vanaf een extern systeem. Als hardware security modules (HSM’s) worden gebruikt, moet u wel controleren of uitvoering van de integratiecomponenten op Server Core wordt ondersteund door de HSM-leverancier.
Verbeterde scenario’s Windows 7 en R2 beschikken over verschillende verbeteringen van bestaande functies. In de eerste plaats is er een juli 2009
23
Beveiliging wijziging aangebracht in de SKU-differentiatie voor certificaatsjablonen. In vorige releases van AD CS waren CA’s van de Enterprise Edition nodig voor geavanceerde (versie 2 en 3) certificaatsjablonen met auto-enrollment. In Windows Server 2008 R2 biedt een CA van de Standard Edition ondersteuning voor alle sjabloonversies. R2 introduceert ook enkele verbeteringen in de ondersteuning van het Simple Certificate Enrollment Protocol. In R2 ondersteunt de SCEP-component verzoeken voor het vernieuwen van devices en hergebruik van wachtwoorden. Een nieuwe voorziening in AD CS in R2 is een Best Practices Analyzer (zie Figuur 3). Via BPA’s kunnen beheerders hun configuraties eenvoudig controleren aan de hand van best practices die zijn opgesteld en worden onderhouden door functieteams van Microsoft. Uit gegevens van de klantenondersteuning blijkt dat de meeste supportvragen met betrekking tot AD CS naar aanleiding zijn van onjuiste configuraties. Via de BPA kan nu eenvoudiger worden gecontroleerd of een CA op de juiste wijze is geconfigureerd, waardoor de gebruikerservaring verbetert. De analyzer controleert op zaken zoals ontbrekende AIA (Authority Information Access) of OCSP pointers, certificaten die bijna verlopen zijn en problemen met trust chaining. In de huidige releases van Windows kan het kiezen van een certificaat voor client-authenticatie moeilijk zijn voor eindgebruikers. Wanneer meerdere certificaten geldig zijn voor authenticatie, weten gebruikers vaak niet welk certificaat het juiste is voor een bepaald doel. Dit leidt dan weer tot meer telefoontjes naar de helpdesk en hogere kosten voor klan-
tenondersteuning. De interface voor certificaatselectie is sterk verbeterd in Windows 7 en het is nu veel eenvoudiger om het juiste certificaat te kiezen voor een bepaald scenario. Bovendien is de ordening van de lijst aangepast: het meest waarschijnlijke certificaat voor een scenario wordt als standaardkeuze weergegeven. Ten slotte wordt in de selectie-interface nu een onderscheid gemaakt tussen certificaten op smartcards en certificaten die zijn opgeslagen op het bestandssysteem. Smartcardcertificaten worden hoger in de selectielijst weergegeven, omdat deze vaak meer worden gebruikt. De verschillen worden geïllustreerd in de screenshots in Figuur 4. Internet Explorer 8 maakt de verbeterde filters (maar niet de interfacewijzigingen) ook beschikbaar voor lagere besturingssystemen.
Software en services
Tijdens het ontwerp van Windows 7 werd er samen met veel van de belangrijkste PKI-gebruikers gebrainstormd over de aandachtsgebieden voor de nieuwe release. De meerderheid van de gebruikers gaf aan dat het te moeilijk is certificaten te beheren over de organisatiegrenzen heen, bijvoorbeeld tussen twee afzonderlijke bedrijven die zakenpartners zijn. Bovendien werd door velen aangegeven dat ze PKI zeer geschikt vonden voor outsourcing, omdat voor een effectief beheer hiervan gespecialiseerde vaardigheden nodig zijn. Windows 7 en Windows Server 2008 R2 beschikken nu over een nieuwe technologie die aan beide wensen tegemoetkomt: levering van certificaten over grenzen heen wordt eenvoudiger en er zijn nieuwe bedrijfsmodellen voor hosted PKI-oplossingen. Deze technologie is HTTP enrollment. HTTP enrollment is een vervanger voor het traditionele RPC/DCOM-protocol dat in vorige releases werd gebruikt voor auto-enrollment (de RPC-benadering is nog steeds beschikbaar in R2). HTTP enrollment is echter veel meer dan een enrollment-protocol alleen: het is een geheel nieuwe benadering van de levering van certificaten aan eind-entiteiten, ongeacht waar deze zich bevinden en of dit beheerde computers zijn, en met flexibele authenticatie-opties. Veel van de obstakels in de traditionele auto-enrollment over Figuur 2 Ervoor kiezen certificaten niet in de database op te slaan organisatiegrenzen heen worden met behulp van dit nieuwe model opgelost. Bovendien biedt het een kader waarmee derden eenvoudig auto-enrollment-services kunnen bieden zonder dat op de clients extra software nodig is. Met HTTP enrollment worden twee nieuwe HTTP-protocollen geïmplementeerd. Het eerste protocol, Certificate Enrollment Policy Protocol, maakt certificaten beschikbaar voor gebruikers via HTTPS-sessies. De eind-entiteiten kunnen afkomstig zijn van computers in afzonderlijke forests zonder vertrouwensrelaties en van computers die zelfs geen deel uitmaken van een domein. Bij authenticatie wordt gebruikgemaakt van Kerberos, gebruikersnamen/wachtwoorden of certificaten. Figuur 3 De nieuwe Best Practices Analyzer uitvoeren
24
juli 2009
TechNet Magazine
Met het Enrollment Policy Protocol kunnen gebruikers pollen naar sjablonen en op basis van nieuwe of bijgewerkte sjablonen bepalen wanneer certificaten worden aangevraagd. Het Certificate Enrollment Service Protocol is een uitbreiding van WS-Trust. Het protocol wordt gebruikt voor het verkrijgen van certificaten zodra de sjabloongegevens zijn vastgesteld. Het ondersteunt flexibele authenticatiemethoden en gebruikt HTTPS voor het transport. Het voorbeeld in Figuur 5 illustreert hoe dit nieuwe enrollment-model werkt. • In stap 1 worden certificaatsjablonen van Active Directory
•
•
•
•
• •
gepubliceerd naar een server die de Certificate Enrollment Policy Web Service uitvoert (een nieuwe rolservice in R2). Beheerders die deze sjablonen publiceren, gebruiken gewoon de MMC’s en andere tools waarmee ze vertrouwd zijn. In stap 2 heeft een client de webservice via HTTPS gepolled om een lijst te krijgen met sjablonen die beschikbaar zijn voor enrollment. De client krijgt de URL voor de webservice via Group Policy, een script of een handmatige configuratie. De client moet een computer zijn die deel uitmaakt van een domein, een computer bij een zakenpartner of een thuiscomputer van een gebruiker. In stap 3 heeft de client de gewenste sjabloon bepaald en stuurt de client een aanvraag voor de feitelijke enrollment naar de Certificate Enrollment Web Service. In stap 4 stuurt de server waarop de Enrollment Web Service wordt uitgevoerd, de aanvraag naar een CA om te worden verwerkt. In stap 5 heeft de CA in Active Directory gegevens over de aanvrager opgezocht (bijvoorbeeld het e-mailadres of de DNS-naam) die worden opgenomen in het verleende certificaat. In stap 6 retourneert de CA het volledige certificaat naar de Enrollment Web Service. In stap 7 voltooit de Enrollment Web Service de transactie met de client via HTTPS en wordt het ondertekende certificaat verzonden.
Bij het ontwerp van deze nieuwe service ging het in de eerste plaats om flexibiliteit. Het ontwerp kan dan ook aan uiteenlopende scenario’s worden aangepast. Omdat HTTPS wordt gebruikt als enrollment-protocol, kunnen clients zich aanmelden zonder dat hiervoor een VPN nodig is, ook van achter een bedrijfsfirewall of met een thuisverbinding via een internetprovider. Omdat er drie verschillende authenticatiemethoden worden ondersteund, kunnen clients deel uitmaken van het interne domein van een organisatie, een niet-vertrouwd domein van een externe organisatie of helemaal geen domein. Ten slotte, omdat de servercomponenten als webservices worden geïmplementeerd, kunnen deze afzonderlijk van de CA worden geïnstalleerd en worden gesegmenteerde omgevingen ondersteund. Behalve het inschrijven van eind-entiteiten zoals gebruikers en desktops voor certificaten, biedt HTTP enrollment ook mogelijkheden voor het verstrekken van certificaten van verTechNet Magazine
trouwde basis-CA’s. Scenario’s zoals S/MIME-certificaten voor gebruikers, openbaar gerichte webservers en andere sys temen waarbij impliciet vertrouwen van certificaten van belang is, zouden allemaal kunnen profiteren van een meer autonome enrollment. Veel organisaties met grote aantallen webservers onderhouden certificaten bijvoorbeeld handmatig. Daarvoor gebruiken ze lijsten met servernamen en vervaldatums die zijn opgeslagen in Microsoft Office Excelwerkmappen. Met HTTP enrollment kunnen vertrouwde basis-CA’s een service bieden waarmee ze automatisch, rechtstreeks certificaten leveren aan deze webservers, zodat de beheerder de certificaten op deze servers niet meer handmatig hoeft bij te houden. Dankzij deze combinatie van software en services kunnen organisaties het deployment-model kiezen dat het beste bij hen past, die ook probleemloos buiten de netwerk- of organisatiegrenzen werkt.
Sterke authenticatie Met Windows Biometric Framework (WBF) biedt Windows 7 nu voor het eerst kant-en-klare ondersteuning voor bio-
Ook eindgebruikers profiteren van PKI-voorzieningen in Windows 7 die het gebruik van certificaten vergemakkelijken metrische apparaten. WBF is in de eerste plaats gericht op authenticatie op basis van vingerafdrukken voor gebruikers toepassingen en het maakt biometrie gebruiksvriendelijker en beter geïntegreerd voor de eindgebruiker. Een geïntegreerd drivermodel zorgt voor een consistente gebruikerservaring bij verschillende soorten apparaten met ondersteuning voor Windows-aanmelding (zowel lokale als domeinaanmelding), User Account Control (UAC) en autonome apparaatdetectie. Voor bedrijven biedt WBF een door Group Policy gestuurde methode om het framework uit te schakelen voor organisaties die geen gebruik maken van biometrie. Bovendien kunnen bedrijven ervoor kiezen biometrie wel toe te staan voor toepassingen, maar niet voor domeinaanmeldingen. Ten slotte kan met het verbeterde apparaatbeheer niet alleen de installatie van drivers, maar ook het gebruik van apparaten worden voorkomen.
Figuur 4 Een betere presentatie van certificaten juli 2009
25
Beveiliging
Figuur 5 Het nieuwe enrollment-model Naast de verbeteringen op het gebied van biometrie, biedt Windows 7 ook verbeteringen van smartcardscenario’s voor zowel gebruikers als beheerders. Smartcards worden nu behandeld als Plug and Play-apparaten waarvoor drivers kunnen worden geïnstalleerd via Windows Update. Het Plug and Play-detectie- en –installatieproces vindt vóór de aanmelding plaats. Gebruikers die zich met een smartcard moeten aanmelden, kunnen zich dus ook aanmelden als de kaart nog niet eerder is gedetecteerd. Bovendien zijn voor de installatie geen beheerdersrechten nodig, waardoor het ook in omgevingen met de laagste bevoegdheden kan worden gebruikt. De smart card class mini-driver biedt nu ondersteuning voor NIST SP 800-73-1, zodat bijvoorbeeld overheidsinstellingen in de VS hun PIV-kaarten (Personal Identity Verification) zonder extra middleware kunnen gebruiken. Bovendien ondersteunt de mini-driver de nieuwe INCITS GICS (Butterfly) standaard, waardoor die kaarten ook Plug and Play kunnen worden gebruikt. Windows 7 introduceert verder ondersteuning voor smartcardontgrendeling op basis van biometrie en beschikt over nieuwe API’s voor secure key injection. Ten slotte ondersteunt Windows 7 ECC-smartcardcertificaten (Elliptic Curve Cryptography) voor enrollment van ECC-certificaten en voor het gebruik van die ECC-certificaten voor aanmelding.
heeft, fors worden teruggedrongen en kunnen PKI-bewerkingen tijdens fusies, acquisities en afsplitsingen eenvoudiger worden beheerd. Met de nieuwe Best Practices Analyzer kunnen beheerders eenvoudig algemene configuratieproblemen opzoeken voordat er storingen optreden. Door voorzieningen zoals ondersteuning voor Server Core en niet-persistente aanvragen, kunnen CAbewerkingen beter worden toegesneden op specifieke bedrijfsbehoeften. HTTP enrollment biedt nieuwe methoden voor de automatische verstrekking van certificaten over organisatie- en netwerkgrenzen heen. Ook eindgebruikers profiteren van de PKI-voorzieningen in Windows 7, die het gebruik van certificaten in hun dagelijks werk gemakkelijker maken. Met de verbeterde selectie-interface voor certificaten kunnen gebruikers gemakkelijker het juiste certificaat voor een bepaald doel kiezen en authenticaties sneller uitvoeren. Verbeteringen voor smartcards, zoals een Plug and Play driver-installatie en ingebouwde ondersteuning voor kaartstandaarden, zorgen ervoor dat er minder tijd nodig is om kaarten aan de praat te krijgen op systemen van gebruikers. Ten slotte zorgt de nieuwe standaardondersteuning voor biometrie voor een consistentere en soepelere ervaring voor zowel eindgebruikers als beheerders. Probeer de R2-release uit als u dat nog niet hebt gedaan en laat ons weten wat u ervan vindt of op onze blog op blogs.technet.com/pki. }
Aanvullende informatie
Introduction to the Windows Biometric Framework (WBF) microsoft.com/whdc/device/input/smartcard/WBFIntro. mspx About Personal Identity Verification (PIV) of Federal Employees and Contractors csrc.nist.gov/groups/SNS/piv/index.html Windows Server PKI Home microsoft.com/pki Windows PKI Blog blogs.technet.com/pki
Soepele ervaring Windows 7 en Windows Server 2008 R2 bevatten zeer belangrijke vernieuwingen op het gebied van PKI-technologie sinds de introductie van automatische certificaataanvragen in Windows 2000. Met deze nieuwe functionaliteit kunnen PKI’s eenvoudiger en efficiënter worden beheerd, terwijl tegelijkertijd de gebruikerservaring wordt verbeterd. Windows 7 en Windows Server 2008 R2 beschikken over krachtige nieuwe mogelijkheden waarmee een PKI e fficiënter kan worden uitgevoerd terwijl de functie voor autoenrollment aanzienlijk is verbeterd. Met cross-forest enrollment kan het totale aantal CA’s dat een organisatie nodig TechNet Magazine
John Morello werkt sinds 2000 voor Microsoft. Hij werkte vijf jaar bij Microsoft Consulting Services, waar hij beveiligingsoplossingen ontwierp voor Fortune 500-bedrijven, overheden en krijgsmachten over de hele wereld. Op dit moment is hij werkzaam als Principal Lead Program Manager in de Windows Server Group. John heeft talloze artikelen geschreven voor TechNet Magazine, hij heeft bijdragen geleverd aan verschillende boeken van Microsoft Press en hij spreekt regelmatig op conferenties zoals TechEd en IT Forum. U kunt de blog van zijn team lezen op blogs.technet.com/WinCAT. juli 2009
27