Microsoft Public Key Infrastructure 2015 (ERC-A9)

Ориентирован на:

всех IT-специалистов, заинтересованных в получении комплексного набора знаний и навыков по проектированию, пуско-наладке и обслуживанию инфраструктуры открытых ключей (PKI) на основе продуктов корпорации Microsoft

Предварительный уровень подготовки:

Сертификации CompTIA A+, Network+, Server+ и Security+ или эквивалентный набор знаний и навыков; 2-летний опыт администрирования гетерогенной сети (Windows\Linux\Unix)

Методические материалы:

Учебное пособие на английском языке с теоретической и практической частью

Сертификационные статусы и экзамены:

Сертификация Microsoft Certified Solutions Expert (MCSE): Server Infrastructure, экзамены 70-413 и 70-414

Аннотация:

Взрывной рост рисков информационной безопасности требует от современных систем защиты масштабного применения гибридной криптографии, что в свою очередь порождает проблему безопасного распространения ключевой информации. Решением этой проблемы является инфраструктура открытых ключей (Public Key Infrastructure – PKI). Сложность и критичность этого программно-аппаратного комплекса требуют системного подхода к его созданию.

Данный курс предлагает освоить методику проектирования, пуско-наладки и обслуживания, сложившуюся у автора курса в результате многолетней работы в области системной интеграции. Для достижения максимального учебного эффекта PKI собирается на основе широко распространенной и зарекомендовавшей себя серверной операционной системы Microsoft Windows Server 2012R2.

Для каждого из этапов жизненного цикла подробно рассматриваются как общие для всех PKI вопросы, так и уникальные для решения от Microsoft. Каждый из этапов сопровождается лабораторным практикумом, позволяющим подтвердить теорию на виртуальном стенде.

В результате успешного построения PKI и отработки вопросов ее обслуживания, участникам тренинга предлагается применить электронные сертификаты для активации продвинутых услуг безопасности в среде Microsoft таких как:

  • мультифакторная аутентификация с помощью смарт-карт,
  • защита трафика Web-приложений с помощью SSL\TLS,
  • потоковая защита трафика сети организации с помощью IPSec,
  • безопасность электронной почты в Exchange 2013,
  • шифрование критичных файлов пользователей с помощью EFS

5-дневный тренинг (50% времени лекции/50% практические занятия)

Программа курса:

Модуль 0. Оценочный тест. 100 вопросов

Модуль 1. Обзор PKI

  • Урок 1.1. Введение в криптографию
  • Урок 1.2. Знакомство с PKI
  • Урок 1.3. Сертификаты и удостоверяющие центры (CA)
    • Упражнение 1.3. Определение доверенных корневых CA

Модуль 2. Проектирование иерархии CA

  • Урок 2.1. Определение требований к дизайну иерархии
  • Урок 2.2. Типовые дизайны иерархий
  • Урок 2.3. Требования законов\регуляторов
  • Урок 2.4. Анализ требований
  • Урок 2.5. Проектирование структуры иерархии СА
    • Упражнение 2.5. Проектирование иерархии СА

Модуль 3. Создание иерархии СА

  • Урок 3.1. Создание отключенного корневого СА (Offline Root CA)
    • Упражнение 3.1. Установка Offline CA
  • Урок 3.2. Проверка сертификатов
  • Урок 3.3. Планирование публикации списка отозванных сертификатов (Certificate Revocation List - CRL)
    • Упражнение 3.3. Публикация CRL и информации о СА (Authority Information Access – AIA)
  • Урок 3.4. Установка подчиненного СА
    • Упражнение 3.4. Внедрение подчиненного корпоративного СА (Subordinate Enterprise CA)

Модуль 4. Управление PKI

  • Урок 4.1. Знакомство с управлением PKI
  • Урок 4.2. Управление сертификатами
  • Урок 4.3. Управление СА
    • Упражнение 4.3. Реализация принципа разделения полномочий
  • Урок 4.4. Планирование восстановления после катастрофы
    • Упражнение 4.4. Резервное копирование и восстановление СА

Модуль 5. Настройка шаблонов сертификатов

  • Урок 5.1. Знакомство с шаблонами сертификатов
    • Упражнение 5.1. Делегирование управления шаблонами сертификатов
  • Урок 5.2. Проектирование и создание шаблонов
    • Упражнение 5.2. Проектирование шаблона сертификата
  • Урок 5.3. Публикация шаблона сертификата
  • Урок 5.4. Управление изменениями в шаблонах сертификатов
    • Упражнение 5.4. Настройка шаблонов сертификатов

Модуль 6. Настройка выдачи сертификатов

  • Урок 6.1. Знакомство с процессом выдачи сертификатов
  • Урок 6.2. Выдача сертификатов вручную
  • Урок 6.3. Автоматическая выдача сертификатов (Autoenrollment)
    • Упражнение 6.3. Выдача сертификатов

Модуль 7. Настройка резервного копирования и восстановления закрытых ключей

  • Урок 7.1. Знакомство с процессом резервного копирования и восстановления закрытых ключей
  • Урок 7.2. Ручное резервное копирование и восстановление закрытых ключей
  • Урок 7.3. Автоматическое резервное копирование и восстановление закрытых ключей
    • Упражнение 7.3. Настройка резервного копирования и восстановление закрытого ключа

Модуль 8. Настройка отношений доверия между организациями

  • Урок 8.1. Знакомство со сложными иерархиями PKI
  • Урок 8.2. Концепция правомочной субординации (Qualified Subordination)
  • Урок 8.3. Настройка ограничений в файле Policy.inf
  • Урок 8.4. Внедрение Qualified Subordination
    • Упражнение 8.4. Внедрение связующего СА (Bridge CA)

Модуль 9. Применение сертификатов в инфраструктуре смарт-карт

  • Урок 9.1. Знакомство с мультифакторной аутентификацией
  • Урок 9.2. Планирование и внедрение инфраструктуры смарт-карт
  • Урок 9.3. Управление, поиск и устранение неисправностей в работе инфраструктуры смарт-карт
    • Упражнение 9.3. Внедрение смарт-карт

Модуль 10. Защита Web-трафика с помощью SSL/TLS

  • Урок 10.1. Знакомство с протоколами туннелирования SSL/TLS
  • Урок 10.2. Включение SSL/TLS на Web-сервере
  • Урок 10.3. Внедрение аутентификации на основе сертификатов
    • Упражнение 10.3. Развертывание SSL/TLS на Web-сервере

Модуль 11. Безопасность электронной почты.

  • Урок 11.1. Знакомство с методами защиты почтовых сообщений.
  • Урок 11.2. Настройка механизмов защиты почтовых сообщений
  • Урок 11.3. Восстановление закрытых ключей
    • Упражнение 11.3. Настройка механизмов защиты почтового трафика

Модуль 12. Защита сетевого трафика организации

  • Урок 12.1. Методы защиты сетевого трафика
  • Урок 12.2. Знакомство с IPSec
  • Урок 12.3. Планирование и внедрение IPSec
  • Урок 12.4. Поиск и устранение неисправностей в работе IPSec
    • Упражнение 12.4. Использование IPSec

Модуль 13. Использование шифрующей файловой системы (Encrypting File System – EFS)

  • Урок 13.1. Знакомство с EFS
  • Урок 13.2. Внедрение EFS в режиме рабочей группы
  • Урок 13.3. Планирование и внедрение EFS в доменной среде
  • Урок 13.4. Защита файлового сервера
  • Урок 13.5. Поиск и устранение неисправностей EFS
    • Упражнение 13.5. Использование EFS
Требования к оборудованию учебного класса:

На каждого студента выделенный ПЭВМ с доступом в сеть Интернет, поддержкой аппаратной виртуализации (AMD-V или Intel-VT), 8Гб оперативной памяти, 128Гб дискового пространства, установленная ОС Windows x64 7/8.

На базе указанного оборудования разворачивается виртуальный стенд в среде гипервизора Oracle VirtualBox. Стенд автономен и представлен в виде комплекта виртуальных машин, готовых для выполнения лабораторных работ.


ИНСТРУКТОР

Пашков Кузьма Юрьевич (pashkovky@gmail.com) - эксперт в  области обеспечения информационной безопасности. С 2000 года занимается созданием автоматизированных систем в защищенном исполнении как для государственных, так и для коммерческих заказчиков. Подтвердил свою квалификацию получением топовых сертификационных статусов (ISC)2, ISACA, Microsoft, EMC, CompTIA и HP. С 2005 года преподает курсы по информационной безопасности в учебных центрах стран СНГ. С 2015 года сотрудничает с Учебным комплексом ERC