Главная | Контакты | Настройки СМЕНИТЬ ПАЛИТРУ:

Главная > Интернет > Безопасность

Защита конфиденциальности электронной
почты в регулируемых отраслях

Опубликовано 16 января 2007 г.
Содержание:
  • Введение
  • Сценарий обеспечения конфиденциальности электронных сообщений
  • Аннотация
  • Введение

    Любые организации сталкиваются со значительными правовыми и нормативными трудностями в таких областях как информационная безопасность, конфиденциальность и надежность. Решение этих проблем может потребовать серьезных изменений в системах и процессах по всей организации. Предприятиям необходимо учитывать усложняющуюся структуру и регулирование ответственности и контроля и реагировать на эти изменения, чтобы соответствовать правовым и этическим задачам. Соответствие нормам — это соответствие всем правовым и деловым требованиям к организации, которое она обязана проявить при выполнении операций и ведении дел. Соответствие нормам также означает понимание правовой платформы, в пределах которой действуют юридические и корпоративные требования. Приведение бизнеса в соответствие с нормами затрагивает каждый отдел и каждого сотрудника организации. Этого невозможно достичь применением одного единственного решения или процесса — необходимо внедрить принципы соответствия нормам в каждое подразделение организации.

    Нормативная среда имеет тенденцию к усложнению. Приведение бизнеса в соответствие с нормами зачастую представляет из себя непростой процесс. При этом нормы различаются по специфике выдвигаемых ими требований. Таким образом, организации необходимо провести полную оценку рисков и последствий.

    Задача этого документа — описать некоторые процессы и технологии, которые можно использовать в целях стандартизации и упрощения программ по нормативной совместимости в области обеспечения конфиденциальности электронной почты. В этом документе представлены ресурсы и варианты действий для предприятий малого и среднего бизнеса в процессе приведения деятельности в соответствие с законами и нормами. Этот документ не является руководством по приведению в соответствие, он также не предоставляет юридических рекомендаций по какому-либо из этих вопросов. Перед выполнением любой программы или процесса по приведению бизнеса в соответствие с нормами читателям следует обратиться за советом к собственным консультантам и юристам.

    Для кого предназначено это руководство

    Целевая аудитория данного руководства включает ИТ-специалистов, ответственных за установку, обслуживание и администрирование службы электронной почты на основе сервера Microsoft® Exchange Server 2003 в сетевых средах предприятия.

    Сведения, содержащиеся в данном руководстве, предназначены для малых и средних предприятий, нуждающихся в доставке конфиденциальных сообщений электронной почты по своим сетям.

    Обзор

    Несмотря на то, что функции защиты сообщений входили в состав сервера Microsoft Exchange Server начиная с первой его версии, обычно они использовались только клиентами, имеющими особые требования безопасности и персоналом, ответственным за безопасность. Основные знания в области защиты электронной почты требовались только специалистам по безопасности и сотрудникам, которые занимались шифрованием. В связи с поддержкой сервером Exchange Server 2003 стандарта обеспечения безопасности S/MIME и необходимостью нормативной совместимости усвоение указанных принципов и понятий стало необходимым для администраторов.

    Пакет Messaging and Security Feature Pack для системы Windows Mobile 5.0 имеет поддержку сертификатов S/MIME для смарт-телефонов. Кроме того, сервер Microsoft Exchange Server 2003 с пакетом обновления  2 (SP2) имеет поддержку стандарта S/MIME для веб-клиента Microsoft Outlook® (OWA).

    Данный документ содержит введение в стандарт S/MIME и связанные с ним понятия, а также руководства по внедрению S/MIME. Специальные знания в области безопасности не требуются. В документе приведены базовые понятия S/MIME, которым можно найти конкретное применение при работе с сервером Exchange Server.

    Выгоды от использования S/MIME

    До появления S/MIME администраторы использовали для передачи сообщений электронной почты широко применявшийся протокол SMTP, изначально обладавший меньшим уровнем защищенности. Кроме этого, администраторы применяли более безопасные, но самостоятельно разработанные и, следовательно, специфичные решения. В сущности, перед ними стоял выбор между безопасностью и совместимостью. С появлением стандарта S/MIME администраторы получили альтернативу, обеспечивающую более высокий уровень безопасности, чем протокол SMTP, а также широкую совместимость и безопасность обмена сообщениями электронной почты.

    Стандарт S/MIME включает в себя две службы безопасности:

    • цифровые подписи;
    • шифрование сообщений

    Эти две службы являются главными компонентами системы безопасности, основанной на стандарте S/MIME. Все остальные понятия, относящиеся к защите сообщений, предназначены для поддержки этих двух служб. Несмотря на то, что вся система защиты сообщений может показаться сложной для понимания, две указанные службы являются основой обеспечения безопасности сообщений.

    Цифровые подписи и шифрование сообщений не являются взаимоисключающими службами. Каждая из них направлена на решение определенных задач обеспечения безопасности. Цифровые подписи предназначены для решения задач проверки подлинности и предотвращения отказа от авторства, а шифрование сообщений направлено на обеспечение конфиденциальности. Поскольку каждая из этих служб выполняет только свою задачу, стратегия защиты сообщений требует работы обеих служб, причем зачастую одновременно. Обе службы разработаны с учетом возможности их совместного использования, так как каждая в отдельности обслуживает одну из сторон взаимоотношений отправителя и получателя. Служба цифровых подписей занимается вопросами безопасности, относящимися к отправителям, а служба шифрования — вопросами, связанными с получателями.

    При совместном использовании цифровых подписей и шифрования сотрудники предприятия извлекают пользу их обеих служб. При совместном применении ни одна из них не влияет на использование и работу другой.

    Цифровые подписи

    Служба цифровых подписей является более широко используемой службой S/MIME. Как следует из названия, цифровые подписи являются электронным аналогом традиционных подписей на печатных документах, имеющих законную силу. Как и подписи на печатных документах, цифровые подписи обеспечивают следующие возможности защиты:

    • Проверка подлинности Подпись служит для подтверждения личности. Служба проверяет ответ на вопрос «Кто вы?» с помощью средств проверки личности, а также путем получения подтверждения из надежного с точки зрения обеих сторон источника. Поскольку протокол SMTP не поддерживает проверку подлинности, он не дает возможности определить реального отправителя сообщения. Проверка подлинности с помощью цифровой подписи помогает в решении данной проблемы, предоставляя получателю возможность определить, действительно ли сообщение отправлено указанным в нем адресатом.
    • Невозможность отказа от авторства Уникальность подписи помогает доказать ее принадлежность при отказе владельца от своей подписи. Эта функция называется невозможностью отказа от авторства. Таким образом проверка подлинности, которую обеспечивает подпись, является средством реализации невозможности отказа от авторства. Понятие невозможности отказа от авторства наиболее часто используется в контексте договоров на бумажных носителях. Подписанный договор является документом, налагающим ответственность по закону. При этом отказаться от подтвержденной подписи очень трудно. Цифровые подписи служат той же цели и в некоторых областях все чаще принимают на себя функции подписей на бумаге, налагая ответственность по закону. Поскольку протокол SMTP не обеспечивает проверку подлинности, он не может предоставить функции невозможности отказа от авторства. Для отправителя не представляет сложности отказаться от авторства сообщения электронной почты, переданного по протоколу SMTP.
    • Целостность данных Дополнительной функцией защиты, которую обеспечивает служба цифровых подписей, является целостность данных. Проверка целостности данных становится возможной благодаря специальным операциям, необходимым для использования цифровых подписей. При использовании служб сохранения целостности данных получатель сообщения с цифровой подписью проверяет подлинность подписи и при этом удостоверяется, что получено действительно исходное сообщение, и оно не было изменено после его подписания и отправки. Любое изменение, внесенное при передаче сообщения после его подписания, делает подпись недействительной. Таким образом цифровые подписи дают гарантии, которые не могут дать подписи на бумаге, так как документ на бумажном носителе можно изменить после его подписания.
    Шифрование сообщений

    Шифрование сообщений — это решение, обеспечивающее неразглашение информации. Службы электронной почты в Интернете на основе протокола SMTP не обеспечивают безопасность сообщений. Сообщение электронной почты, отправленное через Интернет по протоколу SMTP, может прочитать любой человек, обнаруживший его при передаче или в месте его хранения. Стандарт S/MIME помогает в решении этих проблем при помощи шифрования.

    Шифрование — это метод, при помощи которого данные изменяются таким образом, что их невозможно прочитать и понять, если не вернуть их в доступную для восприятия исходную форму.

    Несмотря на то, что шифрование сообщений применяется не так широко, как цифровые подписи, оно направлено на устранение самой серьезной, по мнению многих, уязвимости электронной почты, передающейся через Интернет. Шифрование сообщений обеспечивает две отдельные службы обеспечения безопасности.

    • Конфиденциальность Шифрование сообщений помогает защитить содержимое сообщения электронной почты. Просматривать содержимое может только предполагаемый получатель, при этом содержимое остается конфиденциальным и недоступным для любого другого лица, имеющего возможность получить или просмотреть сообщение. Шифрование обеспечивает конфиденциальность сообщения при его передаче и хранении.
    • Целостность данных Как и цифровые подписи, шифрование сообщений обеспечивает проверку целостности данных благодаря специальным операциям, делающим шифрование возможным.

    Требования S/MIME

    Для обеспечения конфиденциальности электронной почты требуется наличие в рабочей среде особых компонентов. В данном разделе перечислены эти компоненты.

    Инфраструктура открытых ключей (PKI)

    Инфраструктура PKI необходима решениям S/MIME, чтобы предоставлять цифровым сертификатам пары открытых или частных ключей и сопоставлять сертификаты в службе Active Directory®. Согласно стандарту S/MIME цифровые сертификаты, использующиеся в S/MIME, соответствуют стандарту X.509 Международного Союза Телекоммуникаций (ITU). Согласно версии 3 стандарта S/MIME цифровые сертификаты должны соответствовать версии 3 стандарта X.509. Поскольку S/MIME основан на установленном общепринятом стандарте структуры цифровых сертификатов, стандарт S/MIME строится на его основе и способствует его признанию.

    Инфраструктуру PKI для поддержки стандарта S/MIME можно реализовать одним из следующих двух способов: путем предоставления внешней организации инфраструктуры внутреннего сертификата либо путем использования служб сертификации в составе операционной системы Microsoft Windows Server™ 2003.

    Дополнительные сведения о службах сертификации в Windows Server 2003 см. на веб-узле «Инфраструктура открытых ключей для Windows Server 2003» по адресу www.microsoft.com/windowsserver2003/technologies/pki/default.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

    Инфраструктура открытых ключей должна иметь механизм отзыва сертификата. Отзыв сертификата необходим при истечении срока действия сертификата или при возможном нарушении безопасности сертификата злоумышленником. Отзывая сертификат, администратор запрещает доступ любым пользователям, работающим с этим сертификатом. Каждый сертификат содержит данные о местоположении списка аннулированных сертификатов (CRL).

    Более подробные сведения об управлении отзывом сертификатов см. в статье «Управление отзывом сертификатов» по адресу http://technet2.microsoft.com/WindowsServer/en/Library/de0ae267-14e6-46f8-bcc7-8ac480889b951033.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

    Шаблоны сертификатов

    Система Windows Server 2003 предоставляет определенные шаблоны сертификатов, чтобы выпускать цифровые сертификаты для использования со стандартом S/MIME. Для выдачи сертификатов безопасного обмена сообщениями электронной почты можно использовать три многофункциональных шаблона сертификатов.

    • Администратор Позволяет администратору использовать сертификат для авторизации, шифрования в файловой системе EFS, безопасного обмена сообщениями электронной почты и подписывания списка надежных сертификатов.
    • Пользователь Позволяет пользователю применять сертификат для авторизации, шифрования EFS и безопасного обмена сообщениями электронной почты.
    • Пользователь смарт-карты Позволяет пользователю входить в систему при помощи смарт-карты и подписывать сообщения электронной почты. Кроме того, этот сертификат обеспечивает проверку подлинности клиента.

    Примечание.   Корпорация Майкрософт настоятельно рекомендует обновить текущую версию инфраструктуры открытых ключей Windows Server 2003 до версии инфраструктуры открытых ключей Windows Server 2003 с пакетом обновления 1 (SP1), чтобы иметь возможность пользоваться улучшенными средствами защиты.

    Дополнительные сведения о шаблонах сертификатов см. в статье «Шаблоны сертификатов» на веб-узле Microsoft TechNet по адресу http://technet2.microsoft.com/windowsserver/en/library/7D82B420-10EF-4F20-A56F-17EE7EE352D21033.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

    Active Directory

    Служба Active Directory является ключевым компонентом для реализации сертификатов S/MIME. Для развертывания сертификатов пользователям с целью использования в службах электронной почты администратор может использовать такую функцию групповой политики, как автоматическая подача заявок на сертификаты. Кроме того, служба Active Directory в составе Windows Server 2003 включает в себя встроенную поддержку для нескольких клиентов электронной почты корпорации Майкрософт, в том числе приложений Microsoft Outlook и Outlook Express, а также веб-клиента Outlook (OWA) с S/MIME, в качестве каталога PKI и возможность отображать учетные записи пользователей в сертификаты.

    Для получения подробных сведений об отображении сертификатов см. статью «Сопоставление сертификатов и учетных записей пользователей» на веб- узле по адресу http://technet2.microsoft.com/WindowsServer/en/library/0539dcf5-82c5-48e6-be8a-57bca16c7e171033.mspx?mfr=true (эта ссылка может указывать на содержимое частично или полностью на английском зыке).

    Exchange Server 2003

    Обеспечивая поддержку ряду клиентов электронной почты, администраторы сервера Exchange Server 2003 могут настраивать развертывание клиентов для соответствия конкретным условиям. Поддержка сервером Exchange Server 2003 стандарта S/MIME для клиентов сходна с общей поддержкой клиентов в том аспекте, что пользователь может одновременно работать с любыми клиентами. Таким образом, основанное на S/MIME решение в составе сервера Exchange Server 2003 может поддерживать клиенты Microsoft Outlook, клиенты OWA и клиенты Outlook Express одновременно, используя протокол POP3. Между тем, поскольку клиент электронной почты должен поддерживать S/MIME версии 3 и поддерживаться сервером Exchange Server, не все клиенты могут являться клиентами S/MIME.

    Поддержка стандарта S/MIME также обеспечивается серверами Exchange Server 2000 и Exchange Server 2007.

    Клиенты электронной почты

    Сервер Exchange Server 2003 поддерживает клиентов S/MIME посредством существующей поддержки протоколов клиентов. Если поддерживаемый клиент также обеспечивает поддержку S/MIME, то такой клиент можно использовать совместно с сервером Exchange Server 2003. Если клиент не поддерживает версию 3 стандарта S/MIME , то такой клиент, тем не менее, можно использовать для прочтения четко подписанных сообщений.

    Microsoft Outlook 2003

    Приложение Microsoft Outlook поддерживает соединение с сервером Exchange Server 2003 через интерфейс MAPI. Кроме того, клиент Outlook может подключаться к серверу посредством протоколов POP3 и IMAP4. Сервер Exchange Server 2003 S/MIME можно использовать с любой версией Outlook, поддерживающей цифровые сертификаты стандарта X.509 (версия 3). Полная поддержка приложением Outlook сертификатов стандарта X.509 (версии 3) была впервые введена в Outlook 2000 с набором исправлений 1 (SR-1).

    Клиенты POP3 и IMAP4

    Если клиент электронной почты поддерживает версию 2 или 3 стандарта S/MIME, то сервер Exchange Server 2003 обеспечивает полную поддержку клиентов S/MIME с помощью стандартных протоколов POP3 и IMAP4. Любой клиент с поддержкой версии 2 или 3 стандарта S/MIME и поддержкой протокола POP3 или IMAP4 может использоваться в качестве клиента электронной почты в системе защиты сообщений в составе сервера Exchange Server 2003. Поскольку любой клиент с поддержкой стандарта S/MIME обеспечивает полную поддержку всех служб защиты сообщений, такие клиенты могут использоваться в качестве полноценных клиентов электронной почты. Майкрософт обеспечивает поддержку версии 3 стандарта S/MIME в клиентах POP3 и IMAP4 в Outlook Express версии 5.5 и выше и Outlook 2000 с набором исправлений SR-1a или более поздней версии.

    Примечание.   Различные интернет-стандарты и клиенты электронной почты имеют собственные требования и методы обработки сертификатов стандарта X.509 версии 3. Учитывайте эти требования и вопросы совместимости при принятии решения о поддержке определенных клиентов электронной почты.

    Рекомендации по работе

    После внедрения и проверки элементов данного решения необходимо также постоянно выполнять большое количество действий, чтобы гарантировать, что решение будет успешно обеспечивать конфиденциальность сообщений электронной почты.

    Ниже перечислены основные рекомендации по работе.

    • Применяйте пакеты обновления. Среди усовершенствований, включенных в пакет обновления 2 (SP2) для сервера Exchange Server, имеются функции фильтрации нежелательной почты. Для получения более подробных сведений см. статью «Усовершенствования для фильтрации нежелательной почты, внесенные в пакет обновления 2 (SP2) для сервера Exchange Server 2003» на веб-узле TechNet по адресу http://go.microsoft.com/fwlink/?linkid=55849 (эта ссылка может указывать на содержимое полностью или частично на английском языке).
    • Применяйте последние обновления для системы безопасности. Защитите все серверы с помощью обновлений из Центра загрузки Майкрософт.
    • Прогнозируйте технические проблемы. Регулярно посещайте веб-узел Центра обновления Майкрософт по адресу http://update.microsoft.com/ для загрузки и установки других обновлений для систем безопасности серверов Exchange Server и Windows Server.
    • Запускайте анализатор Microsoft Baseline Security Analyzer (MBSA) Загрузив MBSA, можно проверить сервер Exchange Server 2003 на отсутствие некоторых обновлений безопасностей.
    • Используйте интеллектуальный фильтр сообщений Microsoft Exchange. Уменьшите поток нежелательной почты при использовании интеллектуального фильтра сообщений Exchange с программой Outlook 2003 путем усовершенствованной эвристической фильтрации сообщений на сервере. Для получения подробных сведений о том, как обновлять интеллектуальный фильтр сообщений Exchange, см. статью Microsoft Exchange Server Intelligent Message Filter v2 Operations Guide на веб-узле http://support.microsoft.com/?kbid=907747.
    • Запускайте анализатор соответствия рекомендациям для Microsoft Exchange. Это средство, которое можно загрузить бесплатно, осуществляет удаленный сбор данных о конфигурации каждого сервера в топологии и анализирует эти данные. Полученный отчет содержит подробные сведения о критически важных вопросах конфигурации и потенциальных проблемах, а также параметры продукта, имеющие значения не по умолчанию. Следуя этим рекомендациям, можно повысить производительность, масштабируемость и надежность, а также увеличить время бесперебойной работы.
    • Регулярно проверяйте наличие обновленных сведений о безопасности. Чтобы получить инструкции по технической безопасности, посетите страницу библиотеки технической документации для Exchange Server 2003, посвященную безопасности и защите, по адресу www.microsoft.com/technet/prodtechnol/exchange/2003/security.mspx (эта ссылка может указывать на содержимое частично или полностью на английском языке).
    К началу страницы

    Сценарий обеспечения конфиденциальности электронных сообщений

    Следующая процедура по защите конфиденциальности электронной почты относится к сценариям для малого и среднего бизнеса, сходным с приведенным на следующем рисунке.

    Рис. 1. Службы электронной почты в ИТ-среде среднего масштаба
    Рис. 1. Службы электронной почты в ИТ-среде среднего масштаба

    В данном случае для пользователей электронной почты требуется обеспечить конфиденциальность электронной почты, отправляемой как внутренним, так и внешним получателям. Для обеспечения конфиденциальности применяется сервер Exchange Server 2003 и клиенты электронной почты с поддержкой стандарта S/MIME.

    Сценарий обеспечения конфиденциальности электронных сообщений

    Ниже описаны процедуры настройки, которые необходимо выполнить для обеспечения конфиденциальности электронной почты.

    Перед проверкой

    Перед тем как использовать S/MIME в среде Exchange Server 2003, необходимо иметь представление о том, как будут обрабатываться сообщения в случае применения следующих средств.

    • Журналы событий.
    • Антивирусное программное обеспечение.
    Журналы событий и сообщения с цифровой подписью.

    Журналы событий могут совершать с сообщениями электронной почты действия при их обработке сервером Exchange Server. Например, некоторые журналы сообщений изменяют содержимое и заголовки сообщений электронной почты в целях фильтрации. Наличие действительной цифровой подписи означает, что сообщение не было изменено при передаче. Журнал событий, вносящий изменения в сообщения электронной почты, делает цифровые подписи недействительными. При получении сообщения и обработке его цифровой подписи она будет недействительна, так как журнал событий изменил сообщение после его отправки.

    Антивирусное программное обеспечение и сообщения S/MIME

    При использовании серверных антивирусных решений шифрование, защищающее конфиденциальность тела сообщения и его вложений от несанкционированного доступа, также не позволяет антивирусному ПО проверять сообщения и вложения на наличие вирусов. Поскольку антивирусное программное обеспечение не в состоянии проверить зашифрованное сообщение, его вложение может содержать вирус. Следует определить схему предотвращения этой опасности в соответствии с политикой безопасности.

    Кроме того, если антивирусная программа обнаружит вирус в сообщении электронной почты с цифровой подписью и очистит сообщение, то такие действия могут сделать цифровую подпись недействительной, так как антивирусное ПО изменило содержимое сообщения при передаче. Несмотря на то, что эти изменения не носят злонамеренного характера, согласно службе цифровой подписи сообщение было изменено и будет определено как измененное.

    Настройка сервера Exchange Server 2003 для обеспечения конфиденциальности электронной почты

    При хранении сообщений электронной почты S/MIME сервером Exchange Server единственным требованием является настройка хранилища сообщений для работы с подписями S/MIME. Поскольку сообщения S/MIME могут храниться в почтовых ящиках пользователей и общедоступных папках, хранилища для обоих этих компонентов можно настроить для хранения сообщений с подписями S/MIME.

    1.

    Войдите в систему с учетной записью, входящей в одну из следующих групп.

    • Группа «Администраторы» на локальном компьютере.
    • Группа, к которой на уровне административной группы была применена по меньшей мере роль Exchange View Only Administrators

    2.

    В меню Пуск выберите пункт Все программы, Microsoft Exchange и System Manager. Появится диспетчер Exchange (приведенный на следующем снимке экрана).

    Диспетчер Exchange

    3.

    Разверните элементы Серверы, <имя_сервера>, Группа хранения, щелкните правой кнопкой мыши элемент Хранилище почтовых ящиков, затем выберите пункт меню Свойства.

    На странице Свойства установите флажок Clients support S/MIME signatures, как показано на следующем снимке экрана.

    Хранилище почтовых ящиков

    Развертывание цифровых сертификатов для S/MIME с использованием автоматической подачи заявок

    Автоматическая подача заявок позволяет клиентам автоматически передавать заявки на сертификаты в центр сертификации (CA), а также получать и хранить выданные сертификаты. Клиенты операционных систем Microsoft Windows® XP и Windows Server™ 2003 могут участвовать в автоматической подаче заявок сертификатов пользователей и сертификатов компьютеров. Автоматическая подача заявок уменьшают общую стоимость владения (TCO), снижая затраты, связанные с процессом подачи заявок и обновления сертификатов.

    Для включения параметров автоматической подачи заявок

    1.

    Войдите в систему с учетной записью администратора.

    2.

    В меню «Администрирование» выберите пункт «Active Directory — пользователи и компьютеры».

    3.

    В дереве консоли щелкните правой кнопкой домен, к которому необходимо применить параметры автоматической подачи заявок. В появившемся меню выберите пункт «Свойства».

    Для включения автоматической подачи заявок объект групповой политики (GPO) должен быть привязан либо к домену, либо к подразделению организации, к которому принадлежит пользователь или компьютер.

    Объект групповой политики

    4.

    В диалоговом окне Свойства <имя_домена> на вкладке Групповая политика нажмите кнопку Открыть, чтобы открыть консоль управления групповой политикой.

    5.

    Создайте объект, привязанный к домену.

    6.

    В редакторе объектов групповой политики в дереве консоли раскройте пункт Конфигурация пользователя.

    7.

    В дереве консоли раскройте элементы Конфигурация Windows, Параметры безопасности, затем щелкните Политики открытых ключей, как показано на следующем снимке экрана.

    Политики открытых ключей

    8.

    В области сведений дважды щелкните пункт Параметры автоматической подачи заявок. В диалоговом окне Параметры автоматической подачи заявок убедитесь, что параметры выбраны так, как показано на следующем снимке экрана:

    • Автоматическая подача заявки на сертификаты. Этот параметр включает автоматическую подачу заявок на сертификаты для подразделения организации, к которому привязан объект GPO.
    • Флажок Обновлять сертификаты с истекшим сроком действия, обновлять отозванные и устанавливать сертификаты в состоянии ожидания. Данный параметр включает автоматическую подачу заявок возобновления сертификатов, выпуск приостановленных сертификатов и удаление отозванных из хранилища сертификатов объекта.
    • Флажок Обновлять сертификаты на основе шаблонов сертификатов. Данный параметр включает автоматическую подачу заявок на вышедшие ранее шаблоны сертификатов.

    Параметры автоматической подачи заявок

    9.

    Нажмите кнопку ОК.

    Теперь для подразделения организации, к которому привязан объект GPO, включена автоматическая подача заявок.

    Параметры автоматической подачи заявок будут применены, как только объект GPO будет применен к пользователю. Автоматическая подача заявок пользователя включится при интерактивном входе пользователя в систему или по прошествии интервала обновления групповой политики.

    Обновить параметры объекта GPO можно вручную на клиентском компьютере с установленной Windows XP или Windows Server 2003, принудительно задействовав обновление групповой политики. Для этого нужно ввести GPUpdate /force в командной строке целевой рабочей станции.

    Настройка приложения Outlook 2003 для обеспечения конфиденциальности электронной почты

    Для успешной отправки зашифрованного сообщения электронной почты получатель должен иметь цифровой сертификат. При попытке отправки зашифрованного сообщения электронной почты пользователю, не имеющему цифрового сертификата, будет получено сообщение об ошибке. Убедитесь, что указания в разделе «Развертывание цифровых сертификатов для S/MIME с использованием автоматической подачи заявок» в отношении всех тестовых пользователей были выполнены перед отправкой им сообщений электронной почты.

    Настройка Microsoft Outlook для обеспечения конфиденциальности электронной почты

    1.

    Войдите в домен как член группы пользователей домена.

    2.

    В меню Пуск выберите пункты Все программы, Microsoft Office и Microsoft Office Outlook 2003.

    3.

    Выберите пункт меню Сервис, затем Параметры. Появится следующее диалоговое окно.

    Настройка приложения Outlook 2003 для обеспечения конфиденциальности электронной почты

    4.

    Выберите вкладку Безопасность и нажмите кнопку Параметры.

    5.

    Программа Outlook заполнит диалоговое окно Изменить параметры безопасности данными по умолчанию. Нажмите кнопку ОК, чтобы принять значения по умолчанию, как показано на следующем снимке экрана.

    Измените параметры безопасности.

    6.

    Нажмите кнопку OK, чтобы закрыть диалоговое окно Параметры.

    Таким образом можно настроить программу Microsoft Outlook для обеспечения конфиденциальности электронной почты.

    Отправка сообщения с цифровой подписью с помощью программы Microsoft Outlook

    1.

    Войдите в домен как член группы пользователей домена.

    2.

    В меню Пуск выберите пункты Все программы, Microsoft Office и Microsoft Office Outlook 2003.

    3.

    Чтобы создать новое сообщение, выберите Создать.

    4.

    Добавьте получателя тестового сообщения и заполните поля сообщения.

    5.

    Убедитесь, что выбрана кнопка Добавить к сообщению цифровую подпись. Поскольку требуется проверить только цифровую подпись, убедитесь, что кнопка Шифровать содержимое и вложения сообщений не выбрана.

    Добавить цифровую подпись

    6.

    Нажмите кнопку Отправить.

    Таким образом можно отправить сообщение с цифровой подписью получателю, который может провести проверку цифровой подписи.

    Отправка зашифрованного сообщения с помощью программы Microsoft Outlook

    1.

    Войдите в домен как член группы пользователей домена.

    2.

    В меню Пуск выберите пункты Все программы, Microsoft Office и Microsoft Office Outlook 2003.

    3.

    Чтобы создать новое сообщение, выберите Создать.

    4.

    Добавьте получателя тестового сообщения и заполните поля сообщения.

    5.

    Убедитесь, что кнопка Шифровать содержимое и вложения сообщений на панели инструментов выбрана. Поскольку сейчас необходимо проверить только шифрование, убедитесь, что кнопка Добавить к сообщению цифровую подпись не выбрана.

    Шифровать содержимое и вложения сообщения

    Таким образом можно отправить зашифрованное сообщение получателю, который может его открыть и прочитать.

    Настройка приложения Outlook Express для обеспечения конфиденциальности электронной почты

    Для успешной отправки зашифрованного сообщения электронной почты получатель должен иметь цифровой сертификат. При попытке отправки зашифрованного сообщения электронной почты пользователю, не имеющему цифрового сертификата, будет получено сообщение об ошибке. Убедитесь, что указания в разделе «Развертывание цифровых сертификатов для S/MIME с использованием автоматической подачи заявок» в отношении всех тестовых пользователей были выполнены перед отправкой им сообщений электронной почты.

    Отправка сообщения с цифровой подписью с помощью программы Outlook Express

    1.

    Войдите в домен как член группы пользователей домена.

    2.

    В меню Пуск выберите пункты Все программы и Outlook Express.

    3.

    При запросе введите пароль.

    4.

    Для создания нового сообщения щелкните Создать сообщение.

    5.

    Для добавления получателя из службы Active Directory нажмите Кому.

    6.

    Нажмите кнопку Найти, расположенную рядом с полем Введите или выберите из списка. Появится следующее диалоговое окно.

    Добавьте получателя из службы Active Directory

    7.

    В списке Место поиска выберите пункт Active Directory, затем в поле Имя введите имя получателя и нажмите кнопку Найти.

    8.

    Выберите имя, после чего нажмите кнопку Кому.

    9.

    Чтобы закрыть окно Выбрать получателей, нажмите кнопку ОК.

    10.

    На панели инструментов имеются два значка: один — для шифрования сообщений, другой — для подписывания. Убедитесь, что выбрана кнопка Подписать, как показано на следующем снимке экрана. Поскольку необходимо проверить только подпись, убедитесь, что кнопка Шифровать не выбрана.

    Выбрать получателей

    11.

    Нажмите кнопку Отправить.

    Таким образом можно отправить сообщение с цифровой подписью получателю, который может провести проверку цифровой подписи.

    Отправка зашифрованного сообщения с помощью программы Outlook Express

    1.

    Войдите в домен как член группы пользователей домена.

    2.

    В меню Пуск выберите пункты Все программы и Outlook Express.

    3.

    При запросе введите пароль.

    4.

    Для создания нового сообщения щелкните Создать сообщение.

    5.

    Для добавления получателя из службы Active Directory нажмите Кому.

    6.

    Нажмите кнопку Найти, расположенную рядом с полем Введите или выберите из списка.

    7.

    В списке Место поиска выберите пункт Active Directory, затем в поле Имя введите имя получателя и нажмите кнопку Найти.

    8.

    Выберите имя, после чего нажмите кнопку Кому.

    9.

    Чтобы закрыть окно Выбрать получателей, нажмите кнопку ОК.

    10.

    Убедитесь в том, что кнопка Шифрование на панели инструментов нажата, как показано на снимке экрана. Поскольку необходимо проверить только функцию шифрования, убедитесь в том, что не нажата кнопка Подпись.

    Шифрование

    11.

    Нажмите кнопку Отправить.

    Таким образом можно отправить зашифрованное сообщение получателю, который может его открыть и прочитать.

    Проверка наличия сертификата пользователя для стандарта сообщений S/MIME в службе Active Directory

    Для проверки наличия цифрового сертификата для стандарта сообщений S/MIME в учетной записи пользователя, содержащейся в службах Active Directory, можно воспользоваться оснасткой «Active Directory — пользователи и компьютеры».

    Проверка наличия сертификата в учетной записи пользователя в службе Active Directory

    1.

    Войдите в домен как член группы администраторов Центра сертификации.

    2.

    В меню Пуск выберите пункты Все программы, Администрирование, а затем Active Directory — пользователи и компьютеры.

    3.

    Откройте меню Вид и выберите пункт Дополнительные параметры, как это показано на снимке экрана.

    Active Directory — пользователи и компьютеры

    4.

    На панели слева выберите папку Пользователи.

    5.

    На панели справа дважды щелкните одного из тестовых пользователей.

    6.

    Перейдите на вкладку Опубликованные сертификаты.

    7.

    В Списке сертификатов X509 учетной записи пользователя, показанном на снимке экрана, будут перечислены как цифровые сертификаты пользователя, выданные Центром сертификации Windows, так и все остальные цифровые сертификаты данного пользователя, хранящиеся в Active Directory.

    Опубликованные сертификаты

    Таким образом можно проверить, был ли сертификат добавлен в учетную запись пользователя в службе Active Directory.

    Проверка настройки параметров обеспечения конфиденциальности электронной почты на сервере Exchange Server

    Для проверки установленных на сервере Exchange Server параметров поддержки клиентов, использующих стандарт сообщений S/MIME, можно воспользоваться диспетчером Exchange Server.

    1.

    Войдите в систему как член обеих следующих групп.

    • Группа администраторов локального компьютера.
    • Группа, для которой на уровне группы администраторов была задана по меньшей мере роль администратора Exchange View Only Administrators.

    2.

    В меню Пуск выберите пункт Все программы, Microsoft Exchange и System Manager.

    3.

    Раскройте элементы Серверы, <имя_сервера> и Группа хранения, щелкните правой кнопкой мыши элемент Хранилище почтовых ящиков или Общая папка. В контекстном меню выберите пункт Свойства.

    4.

    На странице Свойства убедитесь в том, что на вкладке Общие установлен флажок Clients support S/MIME signatures, как это показано на снимке экрана.

    Свойства

    Таким образом можно проверить, настроен ли сервер Exchange Server на обеспечение конфиденциальности электронной почты.

    Проверка возможности приложения Outlook 2003 принимать сообщения электронной почты, настроенные на обеспечение конфиденциальности

    Чтобы проверить, можно ли принимать электронные сообщения, для которых настроены цифровые подписи и шифрование, можно воспользоваться приложением Outlook 2003.

    Проcмотр сообщения, содержащего цифровую подпись, при помощи приложения Outlook

    1.

    Войдите в домен как член группы пользователей домена.

    2.

    В меню Пуск выберите пункты Все программы, Microsoft Office и Microsoft Office Outlook 2003.

    3.

    В папке «Входящие» найдите тестовое сообщение, содержащее цифровую подпись, и дважды щелкните его.

    4.

    Чтобы проверить подпись, нажмите кнопку Проверить подпись (как показано на снимке экрана), когда сообщение откроется.

    Проверить подпись

    После нажатия кнопки Проверить подпись, появится диалоговое окно Цифровая подпись, показанное на снимке экрана, с уведомлением о том, что подпись действительна.

    Цифровая подпись

    Таким образом можно проверить цифровую подпись сообщения.

    Просмотр зашифрованного сообщения при помощи приложения Outlook

    1.

    Войдите в домен как член группы пользователей домена.

    2.

    В меню Пуск выберите пункты Все программы, Microsoft Office и Microsoft Office Outlook 2003.

    3.

    В папке «Входящие» найдите зашифрованное тестовое сообщение и дважды щелкните его.

    4.

    Для проверки шифрования нажмите кнопку Проверить шифрование (как показано на снимке экрана), когда сообщение откроется.

    Проверить шифрование

    5.

    После нажатия кнопки Проверить подпись появится диалоговое окно Свойства безопасности сообщения, в котором будет указано, что зашифрованное сообщение действительно.

    Свойства безопасности сообщения

    Таким образом можно проверить шифрование сообщения.

    Выполнив все эти действия, можно проверить все элементы использования стандарта сообщений S/MIME в приложении Outlook 2003. Эти сведения дают представление о том, как система S/MIME в приложении Outlook будет работать для пользователей.

    Проверка возможности приложения Outlook Express принимать сообщения электронной почты, настроенные на обеспечение конфиденциальности

    Чтобы проверить, можно ли принимать электронные сообщения, для которых настроены цифровые подписи и шифрование, можно воспользоваться приложением Outlook Express.

    Просмотр сообщения, содержащего цифровую подпись, при помощи приложения Outlook Express

    1.

    Войдите в домен как член группы пользователей домена.

    2.

    В меню Пуск выберите пункты Все программы и Outlook Express.

    3.

    При запросе введите пароль.

    4.

    В папке «Входящие» найдите тестовое сообщение, содержащее цифровую подпись, и дважды щелкните его.

    5.

    При открытии тестового сообщения приложение Outlook Express отобразит следующее сообщение для объяснения цифровых подписей. Установите флажок Больше не выводить это окно и нажмите кнопку Продолжить.

    Справка

    6.

    Чтобы проверить подпись, нажмите кнопку Проверить подпись.

    После нажатия кнопки Проверить подпись, появится диалоговое окно Проверка цифровой подписи, указывающее, что подпись действительна.

    Проверка цифровой подписи

    Таким образом можно проверить цифровую подпись сообщения.

    Просмотр зашифрованного сообщения в приложении Outlook Express

    1.

    Войдите в домен как член группы пользователей домена.

    2.

    В меню Пуск выберите пункты Все программы и Outlook Express.

    3.

    При запросе введите пароль.

    4.

    В папке «Входящие» найдите зашифрованное тестовое сообщение и дважды щелкните его.

    5.

    При открытии тестового сообщения приложение Outlook Express отобразит следующее сообщение для объяснения шифрования. Установите флажок Больше не выводить это окно и нажмите кнопку Продолжить.

    Справка

    6.

    Для проверки подписи, нажмите кнопку Проверить шифрование.

    После нажатия кнопки Проверить шифрование появится диалоговое окно Проверка шифрования, в котором будет указано, что зашифрованное сообщение действительно.

    Проверка шифрования

    Таким образом можно проверить шифрование сообщения.

    Выполнив все эти действия, можно проверить все элементы использования стандарта S/MIME в приложении Outlook Express. Эти сведения дают представление о том, как система S/MIME в приложении Outlook Express будет работать для пользователей.

    Разрешение проблем, возникающих при обеспечении конфиденциальности сообщений электронной почты

    В этом разделе описываются распространенные проблемы, возникающие в процессе работы с системой S/MIME на базе сервера Exchange Server 2003. Хотя данный список и не является исчерпывающим, он содержит сведения о проблемах, которые могут возникнуть в процессе развертывания, а также рекомендации по их устранению.

    Проблема. Не удается распознать цифровую подпись отправителя

    Данная проблема может быть связана с тем, что цифровой сертификат корневого или промежуточного центра сертификации не представлен в находящемся на сервере Exchange Server хранилище сертификатов для локального компьютера получателя.

    Решение

    Для решения данной проблемы импортируйте цифровой сертификат корневого или промежуточного центра сертификации отправителя в папку доверенных корневых центров сертификации, которая размещена в находящемся на сервере Exchange Server хранилище сертификатов локального компьютера получателя. Импортирование цифрового сертификата для корневого центра сертификации обеспечит соответствующее доверие всем цифровым сертификатам, выданным корневыми центрами сертификации в иерархической модели. Организациям, в которых предоставление подобного рода доверия запрещено политиками безопасности, в качестве альтернативы рекомендуется рассмотреть стратегии перекрестной сертификации. Подробную информацию об использовании перекрестной сертификации при работе с центром сертификации сервера Windows Server 2003 см. в статье «Планирование и внедрение перекрестной сертификации и квалифицированного подчинения при работе с ОС Windows Server 2003», находящемся по адресу http://go.microsoft.com/fwlink/?LinkId=17806 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

    Импорт цифрового сертификата для корневого центра сертификации отправителя в папку доверенных корневых центров сертификации

    1. Войдите на сервер Exchange Server получателя как член локальной группы администраторов.
    2. Нажмите кнопку Пуск, выберите пункт Выполнить, введите mmc и нажмите кнопку ОК.
    3. В меню Файл выберите пункт Добавить или удалить оснастку.
    4. На вкладке Изолированная оснастка нажмите кнопку Добавить.
    5. Выберите пункт Сертификаты и нажмите кнопку Добавить. Выберите пункт учетной записи компьютера и нажмите кнопку Далее.
    6. В окне Учетная запись компьютера выберите пункт локальным компьютером (тем, на котором выполняется эта консоль) и нажмите кнопку Готово.
    7. В консоли управления MMC, разверните элемент Сертификаты (локальный компьютер) и затем папку Доверенные корневые центры сертификации.
    8. Щелкните правой кнопкой мыши на панели сведений, выберите пункт Все задачи и нажмите кнопку Импорт.
    9. На первой странице Мастера импорта сертификатов нажмите кнопку Далее.
    10. В диалоговом окне Имя файла укажите имя и размещение файла, содержащего цифровой сертификат корневого центра сертификации, и нажмите кнопку Далее.
    11. В окне Хранилище сертификатов выберите пункт Поместить все сертификаты в это хранилище, убедитесь в том, что в диалоговом окне Хранилище сертификатов указаны Доверенные корневые центры сертификации, и нажмите кнопку Далее.
    12. В последнем окне нажмите кнопку Готово.

    После импорта цифрового сертификата для корневого центра сертификации отправителя сервер Exchange Server сможет от имени получателя проверять цифровую подпись отправителя.

    Импорт цифрового сертификата для промежуточного центра сертификации отправителя в папку промежуточных центров сертификации

    1. Войдите на сервер Exchange Server получателя как член локальной группы администраторов.
    2. Нажмите кнопку Пуск, выберите пункт Выполнить, введите mmc и нажмите кнопку ОК.
    3. В меню Файл выберите пункт Добавить или удалить оснастку.
    4. На вкладке Изолированная оснастка нажмите кнопку Добавить.
    5. Выберите пункт Сертификаты и нажмите кнопку Добавить. Выберите пункт учетной записи компьютера и нажмите кнопку Далее.
    6. В окне Учетная запись компьютера выберите пункт локальным компьютером (тем, на котором выполняется эта консоль) и нажмите кнопку Готово.
    7. В консоли управления MMC разверните пункт Сертификаты – Локальный компьютер и раскройте папку Промежуточные центры сертификации.
    8. Щелкните правой кнопкой мыши на панели сведений, выберите пункт Все задачи и нажмите кнопку Импорт.
    9. На первой странице Мастера импорта сертификатов нажмите кнопку Далее.
    10. В диалоговом окне Имя файла укажите имя и размещение файла, содержащего цифровой сертификат корневого центра сертификации, и нажмите кнопку Далее.
    11. В окне Хранилище сертификатов выберите пункт Поместить все сертификаты в это хранилище, убедитесь в том, что в диалоговом окне Хранилище сертификатов указаны Промежуточные центры сертификации, и нажмите кнопку Далее.
    12. В последнем окне нажмите кнопку Готово.

    После импорта цифрового сертификата для промежуточного центра сертификации отправителя сервер Exchange Server сможет от имени получателя проверять цифровую подпись отправителя.

    Проблема. Не удается получить доступ к списку отзыва сертификатов (CRL)

    Данная проблема может возникнуть, если доступ к точке распространения списков отзыва сертификатов, указанной в цифровых сертификатах, возможен только через брандмауэр, либо если сервер пользователя Exchange Server не обладает достаточными правами для получения доступа к точке распространения списков отзывов сертификатов.

    Решение

    Для решения данной проблемы, выполните одну из следующих операций:

    • Вручную загрузите списки отзыва сертификатов из точки распространения списков отзыва сертификатов и импортируйте их в находящееся на сервере Exchange Server хранилище сертификатов локального компьютера пользователя.
    • Установите и настройте клиент брандмауэра для необходимых протоколов на сервере получателя Exchange Server.
    • Предоставьте учетной записи LocalSystem, находящейся на сервере пользователя Exchange Server, разрешение на доступ к спискам отзыва сертификатов или перенастройте точку распределения сертификатов таким образом, чтобы она не требовала проверки подлинности.

    Импорт списков отзыва сертификатов вручную

    1. Войдите на сервер Exchange Server получателя как член локальной группы администраторов.
    2. Загрузите списки отзыва сертификатов из точки распространения списков отзыва сертификатов, указанной в цифровых сертификатах.
    3. Правой кнопкой мыши щелкните файл с расширением .cer или .crl, выберите пункт Установить сертификат или Установить списки отзыва (CRL) и нажмите кнопку Далее.
    4. В мастере импорта сертификатов выберите пункт Автоматически выбрать хранилище на основе типа сертификата.
    Проблема. Несовпадение сертификатов при работе с разными клиентами сообщений электронной почты

    Данная проблема может возникнуть в связи с тем, что в службе Active Directory, в которой могут храниться цифровые сертификаты системы S/MIME, есть два атрибута: userCertificate и userSMIMECertificate. По умолчанию клиент Outlook в первую очередь обрабатывает атрибут userSMIMECertificate и использует любой подходящий сертификат системы S/MIME, найденный в этом атрибуте. Другие клиенты сообщений электронной почты, включая веб-клиент Outlook (OWA), могут в первую очередь обрабатывать сертификат userCertificate и использовать любой подходящий сертификат системы S/MIME, найденный в этом атрибуте.

    Если в атрибутах userCertificate и userSMIMECertificate хранятся разные сертификаты, то возможно, что клиенты Outlook и OWA будут использовать разные цифровые сертификаты, поскольку каждый из них обращается к разным типам атрибутов службы Active Directory.

    Решение

    Для решения данной проблемы убедитесь в том, что в атрибутах userCertificate и userSMIMECertificate хранятся одинаковые сертификаты. Для получения дополнительной информации см. статью После перехода с сервера управления ключами на инфраструктуру открытых ключей клиент Outlook 2003 продолжает использовать старые сертификаты» по адресу http://go.microsoft.com/fwlink/?linkid=3052&kbid=822504 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

    Проблема. Приложение Outlook Express автоматически пытается подписать сообщения электронной почты

    Когда пользователь отвечает на сообщение или отправляет подписанное сообщение, с помощью приложения Outlook Express, это приложение по умолчанию разрешает цифровую подпись для этого сообщения. В том случае, если пользователь пытается отправить сообщение, не имея действующего сертификата подписи, приложение Outlook Express выводит на экран сообщение об ошибке Вы не имеете цифрового сертификата и не отправляет сообщение.

    Решение

    Для решения данной проблемы запретите цифровую подпись для этого сообщения. Дополнительные сведения см. в статье «При попытке отправить сообщение электронной почты или ответить на сообщение электронной почты, содержащее цифровую подпись, появляется сообщение об ошибке» по адресу http://go.microsoft.com/fwlink/?linkid=3052&kbid=816830 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

    К началу страницы

    Аннотация

    С развитием Интернета в последние годы служба электронной почты серьезно изменилась. Она больше не является лишь средством обеспечения связи внутри организаций. Сегодня электронная почта объединяет людей из разных компаний, стран и регионов. Она даже позволяет общаться людям, находящимся на земле и в космосе, так, словно они находятся в одном здании. На сегодняшний день электронная почта стала, возможно, наиболее важной функцией Интернета. По мере того, как день за днем роль электронной почты в жизни отдельных людей и целых компаний становится все более активной, растет и ее значимость.

    Беспрецедентный рост числа пользователей электронной почты стал возможен благодаря всемирному распространению основополагающего протокола, или «языка», сообщений электронной почты — протокола SMTP. Стандарт SMTP позволяет различным системам электронной почты, подключенным к Интернету, обмениваться информацией.

    Однако, несмотря на все преимущества протокола SMTP для Интернета, он имеет конструктивный недостаток. Стандарт SMTP первоначально разрабатывался для передачи коротких, относительно неважных сообщений в закрытых сетях, а не для передачи важной и конфиденциальной информации по мировым сетям. Ни один из разработчиков стандарта SMTP даже не представлял, что этот стандарт будет когда-нибудь играть такую важную роль, как сейчас. В связи с этим стандарт SMTP не приспособлен для защиты подобной информации в процессе ее передачи по современным сетям. Он предназначен для передачи более простой информации по более простым сетям, что отражено даже в его названии: Simple Mail Transfer Protocol (Простой протокол передачи сообщений). К примеру, стандарт SMTP передает информацию через Интернет таким образом, что любой желающий может прочитать сообщение.

    К счастью, появился новый стандарт S/MIME, который призван обеспечить защиту при передаче сообщений электронной почты SMTP. При использовании стандарта S/MIME, шифрование помогает защитить содержание сообщения электронной почты, а цифровая подпись позволяет подтвердить личность указанного отправителя сообщения.

    Применение стандарта S/MIME в электронной почте требует решения, которое охватывало бы широкий спектр продуктов и технологий.


    Главная > Интернет > Безопасность