Личный кабинет на сайте Advanced Training

Курс Microsoft 2821B

Microsofthttps://www.atraining.ru/img/course/Microsoft/2821/B.png

Развёртывание PKI предприятия, используя Windows Server и Active Directory (Designing and Managing a Windows Public Key Infrastructure)

Даты ближайших онлайн-курсов

  • В данный момент в расписании нет ближайших занятий. Возможно индивидуальное обучение - оставьте нам запрос на курс - мы обязательно ответим и уточним детали.

Краткое описание курса 2821 (версия 2821B)

Классический четырёхдневный курс Microsoft по PKI-решениям, обновлённый и адаптированный нами в 2017 году.

Добавлены темы про все нововведения ОС Windows Server 2008 - 2016, актуализированы задачи и механизмы их решения.

Мы углубляем материал наших курсов, добавляя практические работы, заменяя демонстрации на лабораторные работы, рассказывая дополнительные темы - поэтому наш курс 2821B лучше подходит для подготовки к экзаменам, чем стандартный "минималистичный" авторизованный 2821.

AT-COURSE-2821-B

Программа курса 2821B

Часть 1 - Криптография

  • Криптология и раздел криптоанализа. ИОК/PKI: задачи, технологии, принципы.
  • Хэш-функции; режимы работы и HMAC.
  • Шифрование с закрытым ключом - блочные и поточные шифры, режимы работы и пространство ключей. Примеры использования и настройки в Windows-системах.
  • KDF (PBKDF2, scrypt, bcrypt) и генерация ключевого материала; PRGN.
  • Библиотеки в Windows - CryptoAPI - NCrypt и BCrypt. CNG. CAPICOM.
  • Библиотеки в Unix - OpenSSL.
  • Стандарты, с которыми сталкивается Windows-администратор - FIPS 140-x, FIPS 180-x. Suite B.
  • Алгоритмы с открытым ключом. RSA, DH, ECDH. Схема DSA.
  • Эллиптические кривые и их применение - ECDH, ECDSA.
  • Понятие Perfect Forward Secrecy.

Часть 2 - Компоненты PKI

  • CA (Certification Authority), сертификаты x.509v3, шаблоны сертификатов, локальное хранилище сертификатов, CRL и механизмы их проверки (CDP и OCSP), AIA.
  • Утилиты и инструменты для управления PKI в Windows-системах. certutil, certreq, компоненты MMC, PKI Health Tool.
  • Стандарты PKCS.
  • Работа CCE (Certificate Chaining Engine) и связанные с его работой настройки на локальной системе.

Часть 3 - Иерархия CA

  • Роли в Certification Authority Hierarchy.
  • Доверие - Trusted Root и другие Trusted-хранилища на локальной системе.
  • Определение требований к иерархии CA для данной организации. Project scope / design scope.
  • Определение приложений, использующих PKI - 802.1x, IPsec, подтверждение подлинности SSL/TLS, EFS, цифровые подписи почты и документов, вход в систему через токены/смарткарты, подпись ПО, SRP / AppLocker.
  • Определение учётных записей, использующих PKI - пользователи, компьютеры, MSA. Механизм Authentication Assurance.
  • Технические требования (безопасность, работа с партнёрами, использование сервисов не-сотрудниками, соответствие отраслевым стандартам), задачи управления (кто будет выполнять какие задачи, связанные с работой ИОК).
  • Типы иерархий CA - по классу использования, по географической локации, по структуре организации.
  • Создание CPS - Certificate Practice Statement, влияние на него Certificate Policy и Security Policy. Публикация CPS на Policy CA.
  • Рекомендации по проектированию и оптимизации CA Hierarchy. Вопросы availability сервисов PKI-инфраструктуры.
  • Понятия кросс-сертификации и qualified subordination.
  • Типы CA - интегрированный в Active Directory (enterprise) и standalone

Часть 4 - Развёртывание PKI

  • Создание иерархии - создаём Offline Root CA. Файл CAPolicy.inf, настройки standalone CA (длина ключа, публикация CRL, срок годности, CDP и AIA), удаление лишнего из сертификата Root CA.
  • Свои OIDы для CPS.
  • Как сертификаты проверяются на соответствие критариям - time validity, формат, заполнение полей, подпись, отзыв, chained-to-root, критические расширения, policy validation. Причины отзыва - штатные и форсированные.
  • Определение точек публикации CRL и интервала публикации. Обычные и delta CRL. Настройка OCSP.
  • Поднимаем subordinate CA, интегрированный в Active Directory. Проверяем ключевые параметры через PKI Health Tool.

Часть 5 - Управление PKI в организации

  • Группы в Active Directory, связанные с PKI. Объекты AD Schema и контейнер настроек PKI в разделе Enterprise Configuration.
  • RBAC. Администраторы CA, менеджеры сертификатов, операторы резервного копирования, операторы работы с ключевой информацией. Ограничения применения ролей (менеджмент сертификатов только указанных групп пользователей в AD).
  • Обновление сертификата CA. Обновление только ключевой пары. Резервное копирование компонентов CA и криптографической информации. Disaster recovery.

Часть 6 - Шаблоны сертификатов

  • Шаблоны сертификатов. Версии - от 1й до 4й+. Обычные и критические расширения. Хранение шаблонов сертификатов.
  • Шаблоны по умолчанию. Наследование и перекрытие шаблонов. Шаблоны single function и multiple functions-типов. Обновление существующих сертификатов при обновлении шаблона.
  • Типы применения - authentication, encryption, key recovery, nonrepudiation protection.
  • Методы выдачи - ручная, autoenrollment, automatic certificate request. Инструментарий - веб-интерфейс CA, консоль MMC, утилита certreq, запрос через Group Policy, посредник Enrollment agent.
  • Формирование SN / SAN - сборка из информации в Active Directory или ручное.
  • Политики применения - Application policies и сертификатов - Certificate policies.
  • Ручное одобрение запросов на сертификаты и автоматическое. Подписанные по PKCS #10 запросы.
  • Детальный разбор всех параметров шаблонов сертификата.

Часть 7 - Депонирование ключевой информации клиентов

  • Data Recovery и Key Recovery. Архивирование ключей. Защита архива ключей.
  • Сертификаты KRA. Ручное депонирование ключа. Автоматическая архивация закрытого ключа выдаваемого сертификата.
  • Защита доступа к архиву ключей и требование минимум 2 KRA для восстановления ключа.
  • Рассматриваем применение на примере EFS.

Часть 8 - Продвинутые PKI-возможности

  • Qualified Subordination. Создание Certificate Trust List. Кросс-сертификация CA. Понятие Bridge CA.
  • Ограничения на CA и длину пути. Basic Constraints, Name Constraints.
  • Как сделать Extended Validation - чтобы-была-зелёная-строчка-в-браузере.

Часть 9 - Токены и смарт-карты для авторизации и доступа к сервисам

  • Смарт-карты и USB-токены в Windows. Специфика различных криптоалгоритмов и необходимые настройки системных сервисов.
  • Основные типы использования - безопасное подключение к сети предприятия, цифровая подпись документов, вход в систему.
  • Усиление безопасности Kerberos, используя цифровые сертификаты.
  • Получение сертификата через Enrollment Agent и автозапрос.
  • Развёртывание системы работы со смарткартами и токенами в организации. Подготовка Active Directory и PKI, создание шаблона сертификата, нужные настройки Group Policy, работа с криптопровайдерами.
  • Авторизация с использованием x.509v3-сертификатов на веб-сервисах (SharePoint, Exchange). Механизм Authentication Assurance в Windows Server 2008 R2+.

Стандартная продолжительность занятий

6 дней

Фактическая продолжительность может быть иной - например субботние курсы обычно читаются дольше. Для уточнения информации по конкретной группе посмотрите расписание.

Что после курса?

RSSВКонтактеTelegramMAXЯндекс.Дзен