SAM-Kennwort-Daten mit Syskey verschlüsseln

"syskey.exe" ist ein Utility um die SAM-Datenbank mit 128 Bit zu verschlüsseln und wurde als optionales Feature mit Windows NT 4.0 an SP2 verfügbar. Man sollte selbst dann nicht an die Passworte gelangen, wenn man eine Kopie der SAM hat und dann offline versucht an die Passwörter zu kommen. Allerdings ergab eine kryptoanalytische Untersuchung der Algorithmen Ende 1999 dass man mit Brute-Force-Angriffen trotzdem an ein gültiges Passwort kommen könnte.

Wenn man seine Kontodatenbank mit Hilfe von "syskey.exe" verschlüsselt kann man mehr Sicherheit erreichen. Diese Änderungen kann man aber nicht mehr rückgängig machen!
syskey startensyskey aktivieren

Man kann auch ein eigenes Systemkennwort vergeben, dass beim Start noch vor der Anmeldung abgefragt wird.


Zusätzlich kann eine Server auch noch weiter gesichert werden, in dem man einen Schlüssel auf einer Diskette speichert. Ohne diese Diskette ist dann ebenfalls kein Zugang zum Server mehr möglich.

Zertifikatsbasierte IEEE 802.1x WLAN Authentifizierung

Voraussetzung für die zertifikatsbasierte Authentifizierung der Client-Computer bei eine Zertifizierungsstelle (CA) im Netzwerk ist die Installation eines Zertifikates.

Eine Möglichkeit ist hier einfach unter Verwendung einer Diskette auf jedem der Computer ein Computer ein Zertifikat abzulegen. Alternativ kann man den Client auch kurz über ein Kabel anschließen und das benötigte Zertifikat auf den Client kopieren, auf jeden Fall muss das Zertifikat irgendwie da drauf.

Emergency Management Services (EMS)

Um Server auch dann noch fernadministrierbar zu haben, wenn das Betriebssystem ausfällt und die Wiederhestellungskonsole benutzt werden soll, kann man die Emergency Management Services verwenden.

Dazu muss man die Boot.ini editieren und den Parameter /redirect einfügen.

Die für die unbeaufsichtigten Installation von Windows vorgesehen Datei "winnt.sif" muss dann noch um die Parameter und EMSBaudRate für die die Aktivierung der EMS ergänzt, damit die Notfallkonsole vom Terminal-Server (Terminalkonzentrator) angesprochen werden kann.

Natürlich sollte man für den normalen Betrieb die Remotedesktopverbindung zur Remote-Administration verwenden.

EAP-TLS-Authentifizierung mit Organisationszertifikatsserver

EAP-TLS ist Extensible Authentication Protocol over Tunneled Transport Layer Security. Es geht dabei um ein Protokoll zur Authentifizierung von Clients, das dabei auch auf RADIUS-Server zurückgreifen kann.

Dazu wird auf Transport Layer Security Protocol (als TLS im RFC 2246 spezifizierte Weiterentwicklung von SSL) aufgesetzt. Mit TLS kann der Client sich per Public-Key authentifizieren. Aber:Alle anderen Methoden lassen sich auch verwenden, er meldet sich dann anonym an und auf Applikationslevel erfolgt dann die eigentliche Anmeldung, wie beispielsweise bei einem Webserver.

Mit einem eigenem Zertifikatsserver kann man seine Datenübertragung absichern, allerdings können die Zertifikate extern nicht überprüft werden.
Zertifikatsserver mit Win2003 Server einrichten

Bei Verwendung von EAP-TLS wird der gesamte Datenverkehr mit einer End-to-End Verschlüsselung gesichert und die Anmeldeinformationen werden nicht als Teil des Authentifizierungsprozesses über das Internet übertragen.

Internet Authentication Service (IAS) Serverdienst

Die Microsoft-Umsetzung von RADIUS ist der IAS-Serverdienst:
http://de.wikipedia.org/wiki/RADIUS

Man kann damit die Authentifizierung für mehrere VPN- bzw. Einwahlserver an zentraler Stelle durchführen. Es wird nur ein IAS-Server (im Rest der Welt: RADIUS-Server) benötigt und z.B. alle Einwahlkunden eines Providers oder VPN-Verbindung externer Mitarbeiter können dann so authentifiziert werden.

Ein Satz RAS-Richtlinien kann für das gesamte Unternehmen zentralisiert werden. Wenn ein RRAS-Server für die RADIUS-Authentifizierung konfiguriert ist, werden statt der der auf dem RAS-Server gespeicherten RAS-Richtlinien die auf dem IAS-Server gespeicherten RAS-Richtlinien verwendet.

Der IAS-Server muss kein zusätzlicher physikalischer Server sein, sondern kann zusätzlich zu einem VPN-Server installiert werden. Auf jedem VPN-Server ist dann noch ein RADIUS-Client erforderlich.
tweetbackcheck