Skip to content

Webserverzertifikat "*.cer" in IIS installieren

MCSE In der Verwaltung des IIS muss zunächst einmal ein Zertifikat bestellt werden, nur so weiss der IIS welches Zertifikat noch aussteht! Man bekommt eine Textdatei die an die Zertifizierungsstelle geschickt wird und bekommt von dort eine "*.cer"-Datei zurück.

Dieser Vorgang entfällt bei einer Online-Zertifizierungsstelle völlig! Hier läuft der Assistent komplett durch und der Server hat sein Zertifikat. Bei diesem Ablauf ist der Dialog wie unten mit dem ausstehenden Zertifikat nicht zu sehen.

In der Verwaltung des IIS kann für die Standardwebsite nun der Port 443 für das https-Protokoll eingestellt werden, wenn dies noch nicht der Fall sein sollte. Das Zertifikat kann wie gesagt nur aus einer Datei mit einem Assistenten hinzugefügt werden, wenn es vorher auf diesem Wege bestellt wurde.


Der Assistent fragt nun nur noch das ausstehende Zertifikat für den Webserver ab. Man muss dazu nur wissen wo man es gelassen hat.

IIS-Installation (Webhosting) mit GPO verhindern für OU

MCSE Beispiel: In einem Unternehmen installiert sich die Marketing-Abteilung gerne mal einen Webserver zu Präsentationszwecken. Das dies aber ein Sicherheitsrisiko darstellt soll es mit einer schon für die "Marketing_OU" erstellten "Marketing_GPO" verhindert werden.

Im GPMC wird die Marketing_GPO mit der Marketing_OU verknüpft:


In der Marketing_GPO wird nun die Installation des IIS (Internet-Information-Server für das Webhosting) in den Administrativen Vorlagen der Windows-Software verboten:

Unterschiede von AH und ESP bei IPSec

MCSE IPSec wird in RFC 2401 definiert und ist der einzig brauchbare Ansatz in der Praxis IP-Daten auf ISO Ebene 3 zu verschlüsseln. Das heisst, es werden direkt die Datenpakete verschlüsselt und signiert, man kann also eine gesicherte Kommunikation zwischen zwei Punkten herstellen. Dabei wird sichergestellt dass die Daten erstens authentisch sind zweitens unverändert übertragen wurden und drittens nicht während der Übertragung eingesehen werden konnten.

Der Authentication Header (AH) ist eine Art Prüfsumme (Hashcode) über ein Datenpaket und alle Felder des Headers, die nicht von einem Router geändert werden. Man kann damit den richtigen Absender des Pakets sicherstellen. Damit wird aber keine Verschlüsselung der Daten durchgeführt. Ein Problem sind jedoch NAT-Router, da sie die Adressen der Datenpakete ändern müssen um zu funktionieren.

Encapsulating Security Payload (ESP) sorgt für die Verschlüsselung mit Triple-DES-Sitzungsschlüssel. Die zusätzliche SHA1- oder MD5-Signierung ist nur eine Option, bezieht sich aber nur auf den Inhalt des Datenpakets. Damit kann ESP auch zusammen mit NAT-Routern funktionieren. Allerdings ist damit allein nicht mehr die Authenzität des Absenders sicherzustellen.

AH und ESP schließen sich nicht aus, können also zusammen verwendet werden, allerdings wird damit ein leichter Overhead erzeugt.
3desah esp

3DES erfordert höheren Rechenaufwand als DES, es bearbeitet jeden Block drei Mal und verwendet dabei jedes Mal einen einmaligen 56-Bit-Schlüssel. MD5 (Message Digest 5) basiert auf RFC 1321 und berechnet einem 128-Bit-Hash, der für die Integritätsprüfung verwendet wird. SHA1 (Secure Hash Algorithm 1) wurde eng an MD5 angelehnt und führt zu einem 160-Bit-Hash, durch die längere Prüfsumme ist dieser Algorithmus sicherer, aber aufwändiger.

Quellen:
http://de.wikipedia.org/wiki/IPsec
Netzwerke mit IPSec schützen

Download der Gruppenrichtlinien Verwaltungskonsole (GPMC)

MCSE Die Gruppenrichtlinien-Verwaltungskonsole ist als Datei mit dem Dateinamen "gpmc.msi" von Microsoft zu bekommen.
GPMC-Download von Microsoft

Mit diesem Tool wird die organisationsweite Verwaltung von Gruppenrichtlinien vereinheitlicht.. Statt mehrerer Tools von Microsoft zum Verwalten von Gruppenrichtlinien wird im GPMC die vorhandene Gruppenrichtlinienfunktionalität in eine einheitliche Konsole integriert. Dazu kommen noch neue Funktionen wie Import/Export von GPOs und WMI-Filtern sowie sichern und wiederherstellen von Gruppenrichtlinienobjekten.
gpmc

NTLMv2 Authentifizierung auf Domain-Controller

MCSE Um die NTLMv2 Authentifizierung auf Domain-Controllern zu verwenden muss man die "securedc.inf" Sicherheitsvorlage in die Default Domain Policy der Domäne konfigurieren.

Standardmäßig ist seit Windows 2000 Kerberos V5 bevorzugt als Authentifizierungsmechanismus implementiert. Das funktioniert aber nur in reinen W2K-Domänen zuverlässig - damit das System nicht auf einfaches NTLM zurückfällt ist seit NT 4.0 SP4 aber NTLMv2 konfigurierbar.
http://www.heise.de/security/artikel/40744/3

Beispiel: Die Abteilung Auswertung hat aktuelle Computer mit Windows XP und es soll nur NTLMv2 für die Auswertung_OU verwendet werden, in dem eine Gruppenrichtlinie Auswertung_GPO damit verknüpft wird. Die GPO sieht so aus:

Diese GPO kann nun sehr einfach im GPMC mit der gewünschte OU verknüpft werden:


NTLMv2 wird nicht standardmäßig nicht von Windows 95 unterstützt, hier muss die Active Directory Client Software installiert werden, Windows NT4 benötigt wie erwähnt mindestens SP4.
tweetbackcheck