Skip to content

Sicherheitsvorlage für Dateiserver erstellen

MCSE Beispiel: Für die Dateiserver soll eine Sicherheitsvorlage erstellt werden, die den Dienstanweisungen genügt. Dies soll hier beispielhaft mal mit einigen Einstellungen vorgemacht werden.

Zunächst einmal wird die neue Sicherheitsvorlage in der Microsoft Management Console mit dem Snap-In Sicherheitsvorlagen erstellt:


Alle erfolgreichen Anmeldeversuche und Anmelde-Ereignisse, also sowohl an diesem Server als auch an einem Mitgliedsserver in der Domäne sollen im Sicherheitsprotokoll notiert werden:


Unsere Dienstanweisung sieht ein 10 MB grosses Logfile vor das automatisch überschrieben wird wenn diese Größe erreicht wird:


Zu Wartungszwecken sollen sich an einem Dateiserver nur Administratoren und Hilfsgruppenmitglieder direkt lokal anmelden können:

IPSec-Verbindung mit IP-Sicherheitsrichtlinie

MCSE Eine IPSec-Verbindung kann man einfach über IP-Sicherheitsrichtlinien einrichten. Hier soll die Verbindung zu einem anderen Host ausschließlich über IPSec erfolgen.

Da beide Rechner nicht in der selben Domain sind, kann für den Schlüsseltausch kein Kerberos verwendet werden, sondern es wird auf einen Pre-Shared-Key zurückgegriffen (ähnlich wie bei WPA, hier "12345", sollte natürlich deutlich komplexer sein).


Der Assistent für die Standard-Verbindung kann so durchgeklickt werden. Wichtig ist die spezielle Verbindung zu dem gewünschten Host:


Dazu muss eine Filterregel eingerichtet werden. Solche Regeln kann man für alles definieren, spezielle Ports, Ziel-IPs oder Protokolle:


Danach muss die GPO nur noch zugewiesen und die Gruppenrichtlinien aktualisiert werden. Man kann sich dann mit einem Ping davon überzeugen, dass erst die IP-Sicherheit verhandelt wird bevor Daten übertragen werden.


Im vorgestellten Fall wäre eine lokale Konfiguration einfacher. Der hier vorgestellte Weg verwendet eine GPO, auf diesem Weg kann man am einfachsten die Kommunikation einer ganzen OU auf IPSec umstellen.

Ausgestellte Zertifikate sperren und Sperrliste veröffentlichen

MCSE Ausgestellte Zertifikate können in der Verwaltung der Zertifizierungsstelle gesperrt werden. Ein Grund kann dazu angegeben werden um den Vorgang besser nachvollziehbar zu halten.


Um die Zertifikatssperrliste umgehend zu aktualisieren muss die Sperrliste veröffentlicht werden. Dies kann entweder inkrementell (Deltasperrliste) oder komplett (neue Sperrliste) erfolgen. In kleineren Public-Key-Infrastrukturen sollte sicherheitshalber eine neue Sperrliste erzeugt werden:

Smartcard-Zertifikate mit Zertifizierungsstelle ausstellen

MCSE Die Zertifizierungsstelle enthält auch eine Vorlage für die Ausstellung von Smartcard-Zertifikaten, die man zunächst einmal hinzufügen muss, dort sind auch Codesignatur oder Exchange-Benutzer wählbar.


Dann kann auf der lokalen Webseite des Zertifizierungsstelle das gewünschte Smartcard-Zertifikat angefordert werden:


Für die Zertifizierungsstelle kann außerdem eingestellt werden, wer alles Zertifikate zum Active Directory hinzufügen dürfen soll. An dieser Stelle kann man sich als Administrator übrigens auch selbst aussperren, dies ist nur mit einer Neuinstallation der Zertifizierungsstelle zu beheben. Daher wählen wir hier als Beispiel den Administrator als den einzigen mit dieser Autorität:

Webserverzertifikat "*.cer" in IIS installieren

MCSE In der Verwaltung des IIS muss zunächst einmal ein Zertifikat bestellt werden, nur so weiss der IIS welches Zertifikat noch aussteht! Man bekommt eine Textdatei die an die Zertifizierungsstelle geschickt wird und bekommt von dort eine "*.cer"-Datei zurück.

Dieser Vorgang entfällt bei einer Online-Zertifizierungsstelle völlig! Hier läuft der Assistent komplett durch und der Server hat sein Zertifikat. Bei diesem Ablauf ist der Dialog wie unten mit dem ausstehenden Zertifikat nicht zu sehen.

In der Verwaltung des IIS kann für die Standardwebsite nun der Port 443 für das https-Protokoll eingestellt werden, wenn dies noch nicht der Fall sein sollte. Das Zertifikat kann wie gesagt nur aus einer Datei mit einem Assistenten hinzugefügt werden, wenn es vorher auf diesem Wege bestellt wurde.


Der Assistent fragt nun nur noch das ausstehende Zertifikat für den Webserver ab. Man muss dazu nur wissen wo man es gelassen hat.
tweetbackcheck