在以前,自动注册是Windows中WINLOGON过程中的一部分,将它暴露给更多的攻击。实际上,所有的 Windows NT 服务已经被重新设计架构用作一个WMI 任务。这意味着Windows Vista 和 Windows Server 2008组件不会有象Windows Server 2003 和Windows XP那么多的攻击面。
证书到期前提前通知特性也被添加进来。换句话说,它就是当一个证书快要终止或已经终止的时候通 知用户。相关的场景是当自动注册没有启用,计算机不能自动更新或代表用户注册一张证书。
凭据漫游
象前面提到的,凭据漫游在Windows Server 2003 SP1中已经被引入,现在是Windows Server 2008的 一个组成部分。
凭据漫游的目的是减少不同计算机的凭据复制,它通过活动目录将加密密钥复制到用户的计算机。
当用户登录计算机的时候,认证信息发送到服务器,在服务器上公钥和私钥被交换。通常,用户的凭 据将在工作站之间传送通过使用漫游配置文件,这会引起负载增加。
通过凭据漫游,用户的公钥和私钥将跟着用户活动目录对象不管他们使用哪台计算机。对于活动或漫 游用户,这提高了邮件保护、用户认证和部署智能卡的能力。
注册和凭据漫游的演示
在Windows Server 2008中,注册用户接口被提高了很多。同时,对于可用性、灵活性和支持性都得到 增强。为了简单起见,我们将从同一台计算机即我们的CA服务器注册一张新证书。通常情况下,我们能够 从域内任何一台计算机或服务器上注册。我们打开证书MMC。位于我们当前证书用户树下的个人文件夹将 显示该用户的当前所有证书。如图14所示。
在该演示中,我们将请求一张新用户证书。我们能够通过Action菜单来完成它。注册用户接口给我们 提供了很多新选项,与以前的版本相比。我们将只配置该服务器接受一些不同类型的认证,但是我们能够 看到这些可用选项,即使它们没有被使用。如图15所示。