Archiv der Kategorie: Zertifikate

CA, Zertifikate, PKI

Teil 22: Installation von SCUP 2011 vorbereiten

Veröffentlicht am von
2

Für die Verteilung von Drittanbieter-Updates hat Microsoft den SCUP 2011 (System Center Updates Publisher) im Portfolio. Die folgenden Schritte machen ausschließlich Sinn bei der Verwendung von System Center Essentials 2010 oder System Center Cofiguration Manager bis Version 2012 R2. Der SCUP 2011 funktioniert nicht mit WSUS alleine und wird auch so nicht lizenziert. In den folgenden Teilen beschreibe ich die notwendigen Schritte bis zum Veröffentlichen der Updates am WSUS, wo diese aber nicht sichtbar werden. SCE 2010 und ConfigMgr 2012 R2 werden (noch) nicht beschrieben.

Installation von SCUP 2011 vorbereiten – Schritte:

  • Zertifikatsvorlage für Code Signing konfigurieren
  • Haimann SCUP Code Signing-Zertifikat anfordern
  • SCUP_CodeSigning-Zertifikat am WSUS-Server importieren
  • Gruppenrichtlinie für die Verteilung des SCUP_CodeSigning-Zertifikats konfigurieren
  • Gruppenrichtlinie Windows Updates konfigurieren
  • Auf CLIENT004 die Verteilung des Zertifikats überprüfen

Zertifikatsvorlage für Code Signing konfigurieren

  1. Als Administrator an SERVER01 anmelden
  2. Server Manager > Local Server > Tools > Certification Authority
  3. Haimann Root CA erweitern
  4. Certificate Templates rechts anklicken und im Kontextmenü Manage anklicken
    SCUP-001 Weiterlesen

Teil 21a: BitLocker To Go mittels Virtual Smart Card aktivieren

Veröffentlicht am von
2

BitLocker To Go mittels Virtual Smart Card aktivieren – Schritte:

  • Gruppenrichtlinien für BitLocker auf Wechseldatenträgern konfigurieren
  • Zertifikatsvorlage für virtuelle Smart Card für BitLocker konfigurieren
  • Auf CLIENT004 Zertifikat für die virtuelle Smart Card anfordern
  • USB-Wechseldatenträger mit BitLocker To Go verschlüsseln

 Gruppenrichtlinien für BitLocker auf Wechseldatenträgern (BitLocker To Go) konfigurieren

Mit den folgenden Einstellungen kann ein Kennwort und/oder eine Smart Card für die Entsperrung eines USB-Laufwerks verwendet werden. Dass es zum Thema passt, werde ich auf meine virtuelle Smart Card auf CLIENT004 (Teil 21) ein weiteres Zertifikat für die BitLocker-Laufwerksverschlüsselung installieren und diese zum Entsperren verwenden. In der Praxis macht das wenig Sinn, weil der USB-Stick nur noch auf genau diesem Rechner entsperrt werden kann (VSC am TPM).

Um Kompatibilität zu erreichen, können die Benutzer firmeneigene und fremde USB-Laufwerke lesen, aber nur auf die eigenen schreiben und auch nur dann, wenn diese mit BitLocker verschlüsselt sind (Provide the unique identifiers for your organization, Teil 6h und Teil 20). Da kann man mit den Einstellungen etwas experimentieren.

Als Grundlage für die Einstellungen verwende ich Best Practices for BitLocker in Windows 7.

  1. Als Administrator an SERVER01 anmelden
  2. Server Manager > Local Server > Tools > Group Policy Management
  3. haimann.local\Group Policy Objects erweitern
  4. Computer Standard Settings rechts anklicken und im Kontextmenü Edit… anklicken
    VIRTUAL_SMARTCARD-060 Weiterlesen

Teil 20d: BitLocker Network Unlock konfigurieren

Veröffentlicht am von
1

Für BitLocker Network Unlock sind folgende Komponenten notwendig:

  • Windows Server 2012 oder Windows Server 2012 R2 (Teil 1, Teil 7)
  • Windows 8 x64 oder Windows 8.1 x64 (Teil 14ff)
  • UEFI Firmware 2.3.1 mit DHCP-Treiber im native Mode*
  • Einen Server mit Windows Deployment Services (Teil 13)
  • BitLocker Network Unlock Feature auf einem Server installiert (in diesem Teil weiter unten)
  • Einen DHCP Server, der nicht am WDS installiert ist (Teil 4)
  • Public Key Infrastructure (Teil 6ff)
  • Network Unlock Gruppenrichtlinie (in diesem Teil weiter unten; Teil 6h, Teil 20)

* UEFI Firmware 2.3.1 mit DHCP-Treiber: Es ist mir nicht gelungen, die Firmware-Version meines HP EliteBook 840 G1 (CLIENT004) festzustellen. Allerdings benötigt SecureBoot mindestens UEFI 2.3.1. Weil im BIOS Einstellungen zu SecureBoot vorhanden sind, nehme ich an, dass die Version passt. So habe ich mein HP EliteBook 840 G1 konfiguriert:

  1. Notebook starten > ESC drücken
  2. Mit F10 das BIOS Setup starten
  3. Erweitert > Bootoptionen
  4. Schnell-Boot deaktiviert (erlaubt nur PXE und den Start von der internen Festplatte)
  5. Natives UEFI (ohne CSM) aktiviert
  6. SecureBoot aktiviert
  7. Einstellungen mit F10 übernehmen

BitLocker Network Unlock konfigurieren – Schritte:

  • Die Zertifikatsvorlage für BitLocker Network Unlock konfigurieren
  • Das Feature BitLocker Network Unlock installieren
  • Zertifikat anfordern und exportieren
  • Zertifikat mit Private Key (.pfx) am WDS-Server importieren
  • Gruppenrichtlinien für Network Unlock konfigurieren
  • BitLocker Network Unlock mit CLIENT004 testen
  • Windows Deployment Services Debug-Log aktivieren

Die Zertifikatsvorlage für BitLocker Network Unlock konfigurieren

  1. Als Administrator an SERVER01 anmelden
  2. Server Manager > Local Server > Tools > Certification Authority
  3. Haimann Root CA erweitern
  4. Certificate Templates rechts anklicken und im Kontextmenü Manage anklicken
    NETWORK_UNLOCK-008
  5. Im Detailbereich die Zertifikatsvorlage User rechts anklicken und im Kontextmenü Duplicate Template anklicken
    NETWORK_UNLOCK-009 Weiterlesen