Always On VPN – Verwaltung der Zertifikate

In Teil 1 dieser Serie habe ich die Infrastruktur für mein Always On VPN-Lab vorgestellt. In diesem Teil werde ich die automatische Registrierung der Computer- und VPN Benutzerzertifikate mittels Gruppenrichtlinien konfigurieren, die empfohlenen AD-Gruppen und Zertifikatsvorlagen erstellen.

Computer- und Benutzerzertifikate mittels GPOs automatisch ausrollen

  1. Als Administrator an DC01 anmelden
  2. Server Manager > Tools > Group Policy Management starten
  3. Group Policy Management\Forest\Domains\intern.einfaches-netzwerk.at erweitern
  4. Group Policy Objects rechts anklicken > New
  5. New GPO
    1. Name: Autoregistrierung Computerzertifikat > OK
  6. Autoregistrierung Computerzertifikat rechts anklicken > Edit…
  7. Group Policy Management Editor
    1. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
    2. Certificate Services Client – Auto-Enrollment doppelklicken
    3. Certificate Services Client – Auto-Enrollment Properties
      1. Configuration Model: Enabled
      2. Renew expired certificates… > aktivieren
      3. Update certificates… > aktivieren > OK
      4. Fenster schließen
  8. Die OU Einfaches-Netzwerk\Arbeitsstationen rechts anklicken > Link an Existing GPO…
  9. Select GPO
    1. Autoregistrierung Computerzertifikat auswählen > OK
  10. Autoregistrierung Computerzertifikat markieren
  11. Im Detailbereich auf den Reiter Details wechseln
  12. GPO Status: User configuration settings disabled
  13. Group Policy Objects rechts anklicken > New
  14. New GPO
    1. Name: Autoregistrierung VPN Benutzerzertifikat > OK
  15. Autoregistrierung VPN Benutzerzertifikat rechts anklicken > Edit…
  16. Group Policy Management Editor
    1. User Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
    2. Certificate Services Client – Auto-Enrollment doppelklicken
    3. Certificate Services Client – Auto-Enrollment Properties
      1. Configuration Model: Enabled
      2. Renew expired certificates… > aktivieren
      3. Update certificates… > aktivieren > OK
  17. Fenster schließen
  18. Dieses Gruppenrichtlinienobjekt mit der OU Benutzer verknüpfen
  19. GPO Status: Computer configuration settings disabled
  20. Group Policy Management schließen

Weiterlesen

MS16-072: Security update for Group Policy: June 14, 2016

Microsoft hat das Update MS16-072: Security update for Group Policy: June 14, 2016 (KB3163622) veröffentlicht. Damit wird eine Sicherheitslücke geschlossen, welche eine man-in-the-middle-Attacke ermöglicht. Nach der Installation von MS16-072 werden Benutzergruppenrichtlinien nicht mehr im Benutzerkontext sondern im Computerkontext übernommen. Damit Gruppenrichtlinien, die mit Sicherheitsgruppen oder Benutzerkonten gefiltert werden weiterhin funktionieren, muss die Gruppe der Authentifizierten Benutzer das Leserecht auf die Gruppenrichtlinie behalten.

Gruppenrichtlinienobjekt für eine bestimmte Gruppe konfigurieren

  1. Gewünschte Sicherheitsgruppe erstellen
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domains\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. Auf der linken Seite das gewünschte Gruppenrichtlinienobjekt markieren
  5. Auf der rechten Seite im Bereich Security Filtering auf Add… klicken
  6. Die gewünschte Gruppe hinzufügen
    GPOFiltering-002
  7. Auf der rechten Seite auf den Reiter Delegation wechseln > Advanced…
    GPOFiltering-003
  8. Authenticated Users markieren
  9. Das Häkchen bei Apply group policy entfernen
    GPOFiltering-004
  10. Fenster mit OK schließen
    GPOFiltering-005
  11. Gruppenrichtlinienobjekt mit der gewünschten OU verknüpfen

Siehe meinen Beitrag Filtern von Gruppenrichtlinien der Reihe „Ein einfaches Netzwerk“.

Local Administrator Password Management installieren und konfigurieren

Inhaltsverzeichnis

Am 1. Mai 2015 hat Microsoft das Local Administrator Password Management veröffentlicht, mit dem lokale Administrator-Passwörter einfach verwaltet werden können. Dafür werden in AD DS zwei Attribute hinzugefügt:

  • ms-MCS-AdmPwd
  • ms-MCS-AdmPwdExpirationTime

Diese speichern das Passwort und das Ablaufdatum des Passwortes. Ist das Ablaufdatum erreicht, wird beim nächsten Gruppenrichtlinien-Update am Client das Passwort erneuert. Für die Verwaltung gibt es einen Client (LAPS UI) und ein eigenes PowerShell-Modul. Am Client selbst wird eine Client Side Extension (CSE) für die Gruppenrichtlinien installiert.

Gruppenrichtlinien-Vorlagen und das PowerShell-Modul installieren

  1. Als Administrator an DC1 anmelden
  2. Folgende Dateien von Microsoft security advisory: Local Administrator Password Solution (LAPS) now available: May 1, 2015 nach C:\Sourcen herunterladen
    1. LAPS.x86.msi
    2. LAPS.x64.msi
    3. LAPS_Datasheet.docx
    4. LAPS_OperationsGuide.docx
    5. LAPS_TechnicalSpecification.docx
  3. LAPS.x64.msi doppelklicken
  4. Local Administrator Password Solution Setup
    1. Welcome… > Next
    2. License Agreement > Accept > Next
    3. Custom Setup
      1. PowerShell module
      2. GPO Editor templates > Next
        LAPS-001
    4. Ready to install > Install
    5. Complete > Finish
  5. Zum Ordner C:\Windows\PolicyDefinitions wechseln
  6. Folgende Dateien nach \\intern\SYSVOL\intern.einfaches-netzwerk.at\Policies\PolicyDefinitions kopieren
    1. AdmPwd.admx
    2. en-US\AdmPwd.adml
      LAPS-011
  7. Alle Fenster schließen

Sicherheitsgruppe in AD erstellen und Berechtigungen konfigurieren

  1. Server Manager > Tools > Active Directory Users and Computers (ADUC)
  2. intern.einfaches-netzwerk.at/Einfaches-Netzwerk/Sicherheitsgruppen erweitern
  3. Folgende Sicherheitsgruppe erstellen
    1. PwdAdmins
  4. USER1 zur Gruppe PwdAdmins hinzufügen
    LAPS-008
  5. Fenster minimieren, nicht schließen
  6. PowerShell (Admin) starten
  7. Mit folgendem Befehl das PowerShell-Modul für das Local Administrator Password Management importieren
    Import-Module AdmPwd.PS
  8. Mit folgendem Befehl das Active Directory-Schema erweitern
    Update-AdmPwdADSchema
  9. PowerShell
    LAPS-003
  10. Mit folgendem Befehl die Benutzer und Gruppen mit erweiterten Rechten auf die OU Arbeitsstationen ermitteln
    Find-AdmPwdExtendedRights -Identity Arbeitsstationen
  11. Der Benutzer INTERN\osd_join hat erweiterte Rechte
    LAPS-004
  12. Die ADUC-Konsole wiederherstellen
  13. Die OU Arbeitsstationen rechts anklicken > Properties
  14. Auf den Reiter Security wechseln > Advanced
  15. OSD_Join markieren > Edit
    LAPS-005
  16. Permission Entry for Arbeitsstationen
    1. Applies to: This object and all descendant objects
    2. All extended rights deaktivierenLAPS-006 Weiterlesen