Skip to content

Datenbank der Zertifizierungsstelle sichern

MCSE Die Sicherung und Wiederherstellung der Datenbank der Zertifizierungsstelle kann man wahlweise mit dem Befehlszeilentool "certutil.exe" oder der grafischen Benutzeroberfläche für die Zertifizierungsstelle machen.

Die Sicherung kann auch über ein Snap-In im "mmc" erfolgen:
Zertifizierungsstelle

Mit "certutil.exe" können auch verloren gegangene private Schlüssel wieder beschafft werden. Dazu wird mit "certutil -getkey" der Wiederherstellungsblob des archivierten privaten Schlüssels abgerufen und dann mit "certutil -recoverkey" der private Schlüssel in eine *.pfx Datei geschrieben. Diese Datei kann dem Antragsteller dann wieder zugänglich gemacht werden damit er sie wieder importierten kann.

Signierung von SMB Paketen konfigurieren

MCSE Das Server Message Block (SMB)-Protokoll ist die Basis für Microsoft-Datei- und Druckerfreigaben, aber auch die z. B. Remoteadministration.

SMB wird auf Linux-Servern durch das Samba-Paket bereitgestellt. Siehe auch:
Zugriff von DOS, 9x oder Linux auf einen Windows 2003 Server

Um zu verhindern das SMB-Pakete auf dem Weg der Übertragung verändert werden, unterstützt das SMB-Protokoll das digitale Signieren von SMB-Paketen. Eine Richtlinieneinstellung Abschnitt Computerkonfiguration der Default Domain Controller Policy bestimmt, ob die SMB-Paketsignierung ausgehandelt werden muss, bevor die weitere Kommunikation mit einem SMB-Server zugelassen wird.

Für die Kommunikation mit "SMB Server von Drittanbietern" muss dies ausgehandelt und darf nicht erzwungen werden, also "Kommunikation digital signieren (wenn Server zustimmt)" und "Kommunikation digital signieren (wenn Client zustimmt)".


Die SMB Signierung ist damit eine gute Wahl um "man-in-the-middle" Angriffe auszuschließen.

Beispiel: In einem Unternehmens-Netzwerk sind nach der Anwendung von HisecDC die Computer mit den Betriebssystemen Windows NT 4.0 und Windows 98 nicht in der Lage sind mit den Domänencontrollern zu kommunizieren. Hier wird nämlich dann in der DC-Policy signiertes SMB befohlen:

Dies lässt sich sehr einfach auch als Option konfigurieren, so dass die alten Clients auch mit dem DC kommunizieren können:

SAM-Kennwort-Daten mit Syskey verschlüsseln

MCSE "syskey.exe" ist ein Utility um die SAM-Datenbank mit 128 Bit zu verschlüsseln und wurde als optionales Feature mit Windows NT 4.0 an SP2 verfügbar. Man sollte selbst dann nicht an die Passworte gelangen, wenn man eine Kopie der SAM hat und dann offline versucht an die Passwörter zu kommen. Allerdings ergab eine kryptoanalytische Untersuchung der Algorithmen Ende 1999 dass man mit Brute-Force-Angriffen trotzdem an ein gültiges Passwort kommen könnte.

Wenn man seine Kontodatenbank mit Hilfe von "syskey.exe" verschlüsselt kann man mehr Sicherheit erreichen. Diese Änderungen kann man aber nicht mehr rückgängig machen!
syskey startensyskey aktivieren

Man kann auch ein eigenes Systemkennwort vergeben, dass beim Start noch vor der Anmeldung abgefragt wird.


Zusätzlich kann eine Server auch noch weiter gesichert werden, in dem man einen Schlüssel auf einer Diskette speichert. Ohne diese Diskette ist dann ebenfalls kein Zugang zum Server mehr möglich.

Zertifikatsbasierte IEEE 802.1x WLAN Authentifizierung

MCSE Voraussetzung für die zertifikatsbasierte Authentifizierung der Client-Computer bei eine Zertifizierungsstelle (CA) im Netzwerk ist die Installation eines Zertifikates.

Eine Möglichkeit ist hier einfach unter Verwendung einer Diskette auf jedem der Computer ein Computer ein Zertifikat abzulegen. Alternativ kann man den Client auch kurz über ein Kabel anschließen und das benötigte Zertifikat auf den Client kopieren, auf jeden Fall muss das Zertifikat irgendwie da drauf.

Emergency Management Services (EMS)

MCSE Um Server auch dann noch fernadministrierbar zu haben, wenn das Betriebssystem ausfällt und die Wiederhestellungskonsole benutzt werden soll, kann man die Emergency Management Services verwenden.

Dazu muss man die Boot.ini editieren und den Parameter /redirect einfügen.

Die für die unbeaufsichtigten Installation von Windows vorgesehen Datei "winnt.sif" muss dann noch um die Parameter und EMSBaudRate für die die Aktivierung der EMS ergänzt, damit die Notfallkonsole vom Terminal-Server (Terminalkonzentrator) angesprochen werden kann.

Natürlich sollte man für den normalen Betrieb die Remotedesktopverbindung zur Remote-Administration verwenden.
tweetbackcheck