顯示具有 ADCS 標籤的文章。 顯示所有文章
顯示具有 ADCS 標籤的文章。 顯示所有文章

2019年7月10日 星期三

建立ADFS使用的憑證 - 2.利用IIS建立

另一種建立 ADFS使用的憑證是利用 IIS 來建立, 不過要先建立 CA

1. 開啟 IIS, 點擊在首頁中的「伺服器憑證」項目
w-studio.idv.tw
2. 在右方動作處, 點擊建立網域憑證
read more »
at 沒有留言:
分類: , ,

2019年7月9日 星期二

建立ADFS使用的憑證 - 1.利用CA建立

在操作 ADFS時, 需要先建立一組憑證供其使用, 以下是利用 CA來建立:

1. 開啟CA憑證授權單位(certsrv)w-studio.idv.tw

2. 在憑證範本按滑鼠右鍵, 按下管理
read more »
at 沒有留言:
分類: , ,

2019年6月18日 星期二

虛擬智慧卡與TPM

虛擬智慧卡(Virtual Smart Card, VSC)是模擬實體智慧卡功能的一種軟體解決方案, 它讓你在沒有插入實體智慧卡(如 IC卡、身分識別卡)的情況下也能達成同樣的安全驗證目的, Windows Server 2012 ADCS引進了一項虛擬智慧卡技術, 在提供智慧卡安全性的同時, 也降低了材料和支援成本, 虛擬智慧卡把智慧卡的邏輯功能轉移到電腦的軟體環境中, 但依然保有與智慧卡相同的安全性操作, 例如使用憑證與私密金鑰

虛擬智慧卡與 TPM的關係:
虛擬智慧卡的安全性是依賴 TPM(Trusted Platform Module)晶片來實現, TPM是一種電腦中的硬體安全模組, 用來安全地儲存與操作加密金鑰, 虛擬智慧卡本身是軟體概念, 但其安全性依賴 TPM這個硬體

由於我的電腦中沒有 TPM這個裝置, 只能借用一下網路上的圖來展示
圖片來源: https://docs.oracle.com/cd/E62159_01/html/E62171/z40013591297501.html

虛擬智慧卡+TPM:
。虛擬智慧卡使用 TPM來儲存和保護其私密金鑰
。TPM能確保金鑰無法匯出, 並只能在裝置中進行加密/解密運算
。即使是虛擬智慧卡, 也能提供類似實體智慧卡的高安全性

看到網路上說 Hyper-V虛擬機也能查看 BIOS, 試著操作一下只有下面的畫面, 沒有其他功能
w-studio.idv.tw
另外注意的是在建立虛擬機時只有世代第2代才有 TPM功能

at 沒有留言:
分類:

2019年6月17日 星期一

在CA上設定智慧卡憑證

雖然在 Hyper-V虛擬機上無法玩智慧卡, 但還是記錄一下網上找到的大略設定過程

1. 在安裝好 ADCS後的部署後設定, 不太曉得是否要將密碼編譯改成這兩個?
w-studio.idv.tw
2. 但設定後卻出現錯誤, 這部分教材上沒教, 只能自己摸索

read more »
at 沒有留言:
分類:

智慧卡(Smart Card)

智慧卡的一種

智慧卡猶如信用卡、提款卡等塑膠卡片, 是一個將 IC嵌入在塑膠卡中, 具有有限儲存和處理能力的微型電腦, 它提供多重驗證的選項, 也提供比密碼驗證更安全的保護, 與 PIN碼一起使用更有保護作用

本想試作一下使用 CA加上智慧卡登入系統, 試了很久後來才發現 Hyper-V的虛擬機並沒有支援這功能只能作罷😅
虛擬機只能做到這樣

at 沒有留言:
分類:

2019年6月16日 星期日

使用EFS加密文件

1. 使用者 Peter登入 Client主機中, 模擬在網域中的共用資料夾內新增一個文字文件檔

2. 修改檔案名稱為peter's file w-studio.idv.tw

read more »
at 沒有留言:
分類:

2019年6月15日 星期六

加密檔案系統(Encrypting File System, EFS)

加密檔案系統(Encrypting File System, EFS)是 Windows作業系統中的一項功能, 用來對儲存在 NTFS檔案系統上的檔案或資料夾進行透明的加密保護, 確保資料在儲存時是加密狀態, 即使檔案被竊取或磁碟遺失, 也無法被未授權的使用者讀取:
。Windows中內建的檔案層級加密技術
。加密與解密動作對使用者來說是透明的, 不需手動操作
。使用者只要使用其帳戶登入系統, 就可以像平常一樣存取加密檔案
。未授權的使用者(即使擁有檔案)也無法讀取內容, 因為缺乏對應的憑證與金鑰

EFS的運作方式:
1. 使用者選擇加密檔案或資料夾w-studio.idv.tw
2. 系統會自動產生一把檔案加密金鑰(FEK, File Encryption Key), 用來對檔案內容進行對稱加密(例如 AES)
3. 這把 FEK會使用使用者帳戶的 EFS憑證(含公鑰)加以加密, 這樣只有對應的私鑰可以解開 FEK
4. 加密後的 FEK儲存在檔案的屬性中(不會影響檔案格式)
5. 當使用者開啟檔案時, 系統會自動用其私鑰解開 FEK, 然後再用 FEK解密檔案內容

為什麼要用憑證進行 EFS加密?
因使用數位簽章只能保證重要文件資料不會被他人修改, 而無法保證其內容不會被存取, 使用憑證的目的是提供安全的非對稱加密來保護用於實際檔案加密的金鑰(FEK), 其好處如下:
1. 安全性高
。FEK是對稱金鑰, 效能高但不安全, 透過憑證的公鑰加密 FEK, 可以安全地保管 FEK
。私鑰只在擁有者帳戶中存在, 未經授權的使用者無法解密
2. 多用戶支援
可以讓多位使用者的公鑰一併加密 FEK, 實現多用戶共用加密檔案的需求
3. 支援恢復機制
系統可以指定一個資料恢復代理人(DRA, Data Recovery Agent)的憑證, 萬一使用者遺失私鑰也能透過 DRA解密檔案
4. 整合 AD
在企業中可以透過 AD自動設定 EFS憑證, 管理 DRA及進行金鑰備份, 強化控管與稽核

at 沒有留言:
分類: