WEB开发网
开发学院操作系统Windows XP Windows的公钥基础结构(PKI)增强功能 阅读

Windows的公钥基础结构(PKI)增强功能

 2007-08-09 09:08:07 来源:WEB开发网   
核心提示: 在以前版本的 Windows Server 中,对注册代理能代表哪些群体进行注册并没有什么限制,Windows的公钥基础结构(PKI)增强功能(4),换句话说,一旦授予了用户注册代理能力,但组织内可能仍然有用户没有卡或用户持有的证书并未存储在卡内,凭据漫游通过安全存储 Active Dir

在以前版本的 Windows Server 中,对注册代理能代表哪些群体进行注册并没有什么限制。换句话说,一旦授予了用户注册代理能力,他就能够代表林中的其他任何用户进行注册。当然,这就意味着用户通过代表某位现有用户进行注册,进而使用新创建的证书假冒该用户,即可轻松升级自已的权限。为防止此类威胁,仅对具有高可信度的用户提供注册代理能力。这种方法虽然提高了安全性,但也使部署模型的灵活性降低,因为只有少量用户具有代表其他用户进行注册的能力。因此,地理位置分散的大型组织为最终用户(例如智能卡)部署证书的复杂度将会增加。

在 Windows Server 2008 中,可以将注册代理限制在更低的级别。可以针对能够代表哪些用户进行注册加以限制,也可以针对能够依照哪些模板进行注册加以限制,如图 3 所示。例如,现在,某组织可以赋予某个本地 IT 专业人员代表本分支机构内所有用户(而不是人力资源组中的用户)进行注册的能力。针对注册代理的这一精确方法使企业能在其组织内部更有效、更安全地委派注册能力。

Windows的公钥基础结构(PKI)增强功能

图 3 注册代理限制

管理 PKI 的最大挑战之一是管理分散在组织内各设备中的所有密钥对。即使在一个不很复杂的 PKI 环境中,任何特定用户也可能具有若干个不同的密钥对(如 EFS、无线网络身份验证和 S/MIME),并要求无论该用户从何处登录都可以使用这些密钥对。随着移动计算和终端服务的日益盛行,在网络内复制这些密钥对以便用户在任何位置登录都可以使用它们,将变得空前重要。虽然用户持有的令牌(如智能卡)有助于解决部分问题,但组织内可能仍然有用户没有卡或用户持有的证书并未存储在卡内。凭据漫游通过安全存储 Active Directory® 内部的密钥对和证书使得用户无论从何处登录都能够使用它们,从而解决了上述问题。

上一页  1 2 3 4 5 6 7  下一页

Tags:Windows 公钥 基础

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接