190 likes | 375 Views
Elektronické podepisování a šifrování zpráv (S/MIME) MSG007_300. Microsoft Advanced Technologies. Ladislav Šolc Security Systems Engineer Microsoft ČR &SK. Elektronické podepisování a šifrování zpráv (S/MIME). Agenda Základní předpoklady Příprava prostředí Windows Server 2003
E N D
Elektronické podepisování a šifrování zpráv (S/MIME)MSG007_300 Microsoft Advanced Technologies Ladislav ŠolcSecurity Systems EngineerMicrosoft ČR&SK
Elektronické podepisování a šifrování zpráv (S/MIME) Agenda • Základní předpoklady • Příprava prostředí Windows Server 2003 • Příprava Exchange Server 2003 • Příprava E-mail klienta
5 kroků k bezpečným emailům • Nainstalujte službu IIS • Nainstalujte službu Certifikační Autority(CA) • Upravte Exchange mailbox store pro podporu zpráv S/MIME • Získejte Digitální certifikát z CA • Připravte klienta Microsoft Outlook 2003 nebo Outlook Web Access (OWA) pro elekronické podepisování a šifrování zpráv
From: support@microsoft.comSubject: Microsoft Security BulletinMessage:Unchecked Buffer in Windows Explorer Could Enable System Compromise (329390)SummaryWho should read this bulletin: Customers using Microsoft Windows 95,98,2K,ME,XPImpact of vulnerability: Run code of an attacker's choiceMaximum Severity Rating: CriticalRecommendation: Customers using Microsoft Windows 95,98,2K,ME,XP should apply the patch immediately. Attachment: patch.zip or patch_329390.exe Proč podepisovat • Falešný email • Falešný email s objednávkou • Falešný email s obchodní nabídkou • Falešný email s přílohou • Falešný email se zrušením akce • … a šifrovat • Citlivé emaily uvnitř společnosti • Citlivé emaily pro partnery a zákazníky
PKI • Active Directory – LDAP úložiště • Certifikáty a veřejné klíče – uživatelů, CA • CRL – Seznamy zneplatněných certifikátů • Automatické vydávání certifikátů • Certifikační služba (CA) • Vydává certifikáty podle šablon – man./aut. • Zneplatňuje existující certifikáty na CRL • Zálohuje privátní klíče pro určité typy certifikátů
PKI PKI Health tool CA - Příprava šablon Uložení Certifikátu uživatele v AD Atribut UserSMIMECertificate, UserCertificate
Microsoft Exchange Server 2003 • Exchange 2003 v podstatě přenechává funkce operačnímu systému a klientům • Konfigurace podpory formátu S/MIME • Kompatibilita s Event sinks • Kompatibilita s Antivirem
Exchange Store • Podpora formátu S/MIME
Poštovní klient • POP3, IMAP4 – Outlook Express • Outlook 2003 MAPI • GetDigitalID, PublishToGAL • Outlook Web Access • S/MIME Control • XP SP2 Exchange > http://support.microsoft.com/?id=883543
Základy: ŠifrováníJak vytvořit certifikáty Privátní klíč Uživatel Pár klíčůVeřejný/privátní počítač Veřejný klíč Služby Aplikace Certifikační autorita Oprávněný správce
Poštovní klienti • OE • O2K3 - Žádost o certifikát (GetDigitalID, PublishToGAL), nastavení registrů • Podpis a šifrování • Revokace certifikátu • Outlook Web Access – S/MIME Control
Archivace privátních klíčů • Jen pro šifrování – vlastní šablona • V případě čipových karet se privátní klíč negeneruje na kartě pro „šifrovací“ certifikáty • Obnova klíčů
Archivace klíčů - Demo • Obnova privátního klíče pro šifrování
5 kroků k bezpečným emailům (S/MIME) • Nainstalujte službu IIS • Nainstalujte službu Certifikační Autority(CA) • Upravte Exchange mailbox store pro podporu zpráv S/MIME • Získejte Digitální certifikát z CA • Připravte klienta Microsoft Outlook 2003 nebo Outlook Web Access (OWA) pro elekronické podepisování a šifrování zpráv
Odkazy • Exchange Server 2003 Message Security Guide • Windows Server 2003 Certification Authority • • • Troubleshooting Certificate Status and Revocation (http://go.microsoft.com/fwlink/?LinkId=21760)• • MSA Enterprise Design for Certificate Services (http://go.microsoft.com/fwlink/?LinkId=21761)• • PKI Enhancements in Windows XP Professional and Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=21762)• • Public Key Infrastructure for Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=21763)• • Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure (http://go.microsoft.com/fwlink/?LinkId=17800)• • Certificate Autoenrollment in Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=17801)• • Implementing and Administering Certificate Templates in Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=17802)• • Key Archival and Management in Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=17803)• • Planning and Implementing Cross-Certification and Qualified Subordination Using Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=17806)• • Windows Server 2003 PKI Operations Guide (http://go.microsoft.com/fwlink/?LinkId=17807) • Outlook 2003 • • • Overview of Cryptography in Outlook 2003 (http://go.microsoft.com/fwlink/?LinkId=17808)• • Where to Get Your Digital ID (http://go.microsoft.com/fwlink/?LinkId=21756)• • Digital ID (http://go.microsoft.com/fwlink/?LinkId=22621)• • Microsoft Office 2003 Editions Resource Kit (http://go.microsoft.com/fwlink/?LinkId=21757)• • Information Rights Management in Microsoft Office 2003 (http://go.microsoft.com/fwlink/?LinkId=21758) • Microsoft Knowledge Base Articles • • • OL2000: XCLN: Updated Outlook Security Features Installed with Office 2000 SR-1 (http://go.microsoft.com/fwlink/?linkid=3052&kbid=249780)• • Overview of Mobile Devices That Are Supported by Outlook Mobile Access (http://go.microsoft.com/fwlink/?LinkID=3052&kbid=821835)• • 'Allow Create Top Level Public Folder' Access Control Entry for the Exchange Organization Container Unexpectedly Includes the Everyone and the Anonymous Logon Groups (http://go.microsoft.com/fwlink/?LinkId=3052&kbid=822576)• • You Receive an Error Message When You Try to Forward or to Reply to a Digitally Signed E-Mail Message (http://go.microsoft.com/fwlink/?linkid=3052&kbid=816830)• • Outlook 2003 Continues to Use Old Certificates After You Migrate from Key Management Server to Public Key Infrastructure (http://go.microsoft.com/fwlink/?linkid=3052&kbid=822504) • Other Web Sites • • • Microsoft Baseline Security Analyzer (http://go.microsoft.com/fwlink/?LinkId=17809) • • S/MIME Version 2 Certificate Handling (RFC 2311) (http://www.ietf.org/rfc/rfc2311.txt)• • S/MIME Version 2 Certificate Handling (RFC 2312) (http://www.ietf.org/rfc/rfc2312.txt)• • S/MIME Version 3 Certificate Handling (RFC 2632) (http://www.ietf.org/rfc/rfc2632.txt)• • S/MIME Version 3 Message Specification (RFC 2633) (http://www.ietf.org/rfc/rfc2633.txt)• • Enhanced Security Services for S/MIME (RFC 2634) (http://www.ietf.org/rfc/rfc2634.txt)• • Definition of the inetOrgPerson LDAP Object Class (RFC 2798) (http://www.ietf.org/rfc/rfc2798.txt) • Note • The third-party Web site information is provided to help you find the technical information you need. The URLs are subject to change without notice. • Other Resources • Besides the resources cited in this book, you may find the following resources useful in your implementation of Microsoft® Exchange Server 2003. • Web Sites • • • Exchange Server 2003 Technical Library (http://www.microsoft.com/exchange/library)• • Exchange Server 2003 Tools and Updates (http://www.microsoft.com/exchange/2003/updates)• • Microsoft Developer Network (MSDN®) (http://msdn.microsoft.com/)• • Microsoft security Web site (http://www.microsoft.com/security)• • TechNet security Web site (http://go.microsoft.com/fwlink/?LinkID=5936) • Exchange Server 2003 Books • • • What's New in Exchange Server 2003 (http://go.microsoft.com/fwlink/?LinkId=21765)• • Planning an Exchange Server 2003 Messaging System (http://go.microsoft.com/fwlink/?LinkId=21766)• • Exchange Server 2003 Deployment Guide (http://go.microsoft.com/fwlink/?LinkId=21768)• • Exchange Server 2003 Administration Guide (http://go.microsoft.com/fwlink/?LinkId=21769) • • • Exchange Product Team technical articles and books http://www.microsoft.com/exchange/library• • Exchange Tools and Updates http://www.microsoft.com/exchange/updates• • Self-extracting executable containing all Exchange Product Team technical articles and books http://go.microsoft.com/fwlink/?LinkId=10687
© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Projekt S/MIME Nasazení Ukončení Testování Vývoj Implementace Šablona Draft šablony Plánování Počátek