Archiv der Kategorie: Zertifikate

CA, Zertifikate, PKI

Teil 20b: Mit dem BitLocker-DRA ein Volume entschlüsseln

Veröffentlicht am von
Antworten

In Teil 6h habe ich einen Datenwiederherstellungs-Agenten für BitLocker konfiguriert. Dabei handelt es sich um ein Zertifikat, welches mittels Gruppenrichtlinien zu den Schlüsselschutzvorrichtungen von BitLocker hinzugefügt wird. Dieses Zertifikat habe ich mit Passwort als .pfx-Datei exportiert und auf CD in zweifacher Ausführung in den Safe gelegt. Mit diesem Zertifikat kann jedes im Unternehmen mit BitLocker verschlüsselte Volume entsperrt werden, sollte also nicht in falsche Hände geraten. Damit die Verwendung des BitLocker-DRA funktioniert, muss die Gruppenrichtlinieneinstellung Provide the unique identifiers for your organization konfiguriert sein (Teil 6h und Teil 20).

Mit dem BitLocker-DRA ein Volume entschlüsseln – Schritte:

  • Entschlüsselung eines Volumes mit Hilfe des  Datenwiederherstellungs-Agenten für BitLocker

Entschlüsselung eines Volumes mit Hilfe des  Datenwiederherstellungs-Agenten für BitLocker

  1. Festplatte aus Client003 aus- und in einen USB-Wechselrahmen einbauen
  2. Als Administrator an SERVER02 anmelden
  3. USB-Festplatte anschließen
    BITLOCKER_RECOVERY-007
  4. Zertifikat Haimann_BitLocker_DRA.pfx nach D:\Sourcen kopieren
  5. MMC als Administrator starten Weiterlesen

Teil 6b: Windows Server Update Services konfigurieren

Veröffentlicht am von
Antworten

Inhaltsverzeichnis

Nach der Installation muss ich die Windows Server Update Services konfigurieren. Den Anfang mache ich mit der Verwendung von SSL. Damit wird sichergestellt, dass sich die Clients zum konfigurierten Server verbinden und die Kommunikation verschlüsselt ist. Danach erstelle ich Computergruppen und Automatic Approval Rules. Die Zuweisung der Clients und Server zu den Gruppen und die Verwendung des internen WSUS erfolgt mittels Gruppenrichtlinien.

DNS-Alias für wsus.intern.einfaches-netzwerk.at erstellen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > DNS
  3. DC1\Forward Lookup Zones\intern.einfaches-netzwerk.at rechts anklicken > New Alias (CNAME)…
    WSUS_CONFIG-001
  4. New Resource Record
    1. Alias name: wsus
    2. Fully qualified domain name: wsus.intern.einfaches-netzwerk.at.
    3. Fully qualified domain name for target host: WSUS1.intern.einfaches-netzwerk.at > OK
      WSUS_CONFIG-002
  5. Alle Fenster schließen

WSUS_CONFIG-003

Web Server-Zertifikat anfordern

  1. Als Administrator an WSUS1 anmelden
  2. MMC (Admin) starten
  3. Das Snap-in Certificates für Computer account importieren
  4. Certificates erweitern
  5. Personal rechts anklicken > All Tasks > Request New Certificate…
    WSUS_CONFIG-004
  6. Certificate Enrollment
    1. Before You Begin > Next
    2. Select Certificate Enrollment Policy > Next
    3. Request Certificate
      1. CUSTOM – Web Server Certificate anhaken > More Information is required… anklicken
        WSUS_CONFIG-005
    4. Certificate Properties
      1. Reiter Subject
        1. Alternative name:
          1. Type: DNS
          2. Value: wsus1.intern.einfaches-netzwerk.at
          3. Value: wsus.intern.einfaches-netzwerk.at
            WSUS_CONFIG-006
      2. Reiter General
        1. Friendly name: WSUS Web Server Certificate
        2. Description: HD, 04.08.2015 > OK
          WSUS_CONFIG-007
    5. Enroll
      WSUS_CONFIG-008
    6. Finish
      WSUS_CONFIG-009
    7. Alle Fenster schließen
      WSUS_CONFIG-010

WSUS für die Verwendung von SSL konfigurieren

  1. Server Manager > Tools > IIS Manager
  2. WSUS1\Sites\WSUS Administration erweitern
  3. Auf der rechten Seite auf Bindings… klicken
    WSUS_CONFIG-017
  4. https markieren > Edit…
  5. Edit Site Binding
    1. SSL certificate: WSUS Web Server Certificate > OK > Close
      WSUS_CONFIG-012
  6. Auf der linken Seite unter WSUS Administration ApiRemoting30 markieren
  7. Im mittleren Bereich SSL Settings doppelklicken
    WSUS_CONFIG-013
  8. SSL Settings
    1. Require SSL aktivieren > Apply
      WSUS_CONFIG-014
  9. Für folgende Sites unter WSUS Administration wiederholen:
    1. ClientWebService
    2. DssAuthWebService
    3. ServerSyncWebService
    4. SimpleAuthWebService
  10. Alle Fenster schließen
  11. Command Prompt (Admin) starten
  12. Mit folgendem Befehl SSL für WSUS aktivieren 
    "C:\Program Files\Update Services\Tools\WsusUtil.exe" configureSSL wsus1.intern.einfaches-netzwerk.at

    WSUS_CONFIG-015

  13. Server Manager > Tools > Windows Server Update Services
    WSUS_CONFIG-016

Computergruppen in WSUS konfigurieren

  1. In der Update Services-Konsole auf der linken Seite auf Computers klicken
  2. All Computers rechts anklicken > Add Computer Group…
    WSUS_CONFIG-018
  3. Add Computer Group
    1. Name: Einfaches-Netzwerk > Add
      WSUS_CONFIG-019
  4. Folgende Gruppen zur Gruppe Einfaches-Netzwerk hinzufügen
    1. Arbeitsstationen
    2. Server
      WSUS_CONFIG-020
  5. Auf der linken Seite auf Options klicken
  6. Im mittleren Bereich auf Computers klicken
    WSUS_CONFIG-021
  7. Computers
    1. Use Group Policy or registry settings on computers > OK
      WSUS_CONFIG-022

Automatic Approvals in WSUS konfigurieren

  1. In der Update Services-Konsole auf der linken Seite auf Options klicken
  2. Im mittleren Bereich auf Automatic Approvals klicken
    WSUS_CONFIG-023
  3. Automatic Approvals
    1. Default Automatic Approval Rule markieren > Edit…
      WSUS_CONFIG-024
    2. Edit Rule
      1. Step 1: Select properties
        1. When an update is in a specific classification
        2. When an update is in a specific product
      2. Step 2: Edit the properties
        1. When an update is in Critical Updates, Definition Updates, Feature Packs, Security Updates, Update Rollups,  Updates
        2. When an update is in Office 2013, Silverlight, Windows 10, Windows 7, Windows 8.1
        3. Approve the update for Unassigned Computers, Arbeitsstationen
      3. Step 3: Specify a name: Einfaches-Netzwerk Client Automatic Approval Rule
        WSUS_CONFIG-026
    3. Eine weitere Regel erstellen
      1. Name: Einfaches-Netzwerk Server Automatic Approval Rule
      2. Classification: Critical Updates, Security Updates
      3. Product: Windows Server 2012 R2
      4. Approve for: Server
        WSUS_CONFIG-027
    4. Fenster mit OK schließen
  4. Auf der linken Seite Synchronizations markieren
  5. Auf der rechten Seite auf Synchronize Now klicken
    WSUS_CONFIG-028WSUS_CONFIG-029

Gruppenrichtlinien für die Verwendung von WSUS für Clients und Server konfigurieren

Grundlagen für Gruppenrichtlinien siehe Teil 2ff.

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Das GPO CUSTOM – Client Standard Settings zum Bearbeiten öffnen
  4. Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update erweitern
  5. Folgende Einstellungen konfigurieren
    1. Configure Automatic Updates > Enabled
      1. Configure automatic updating: 4 – Autodownload and schedule the install
        WSUS_CONFIG-030
    2. Enable client-side targeting > Enabled
      1. Target group name for this computer: Arbeitsstationen
        WSUS_CONFIG-032
    3. Specify intranet Microsoft update service location > Enabled
      1. Set intranet update service for detecting updates: https://wsus.intern.einfaches-netzwerk.at:8531
      2. Set the intranet statistics server: https://wsus.intern.einfaches-netzwerk.at:8531
        WSUS_CONFIG-031
  6. Fenster schließen
    WSUS_CONFIG-033
  7. Das GPO CUSTOM – Server Standard Settings zum Bearbeiten öffnen
  8. Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update erweitern
  9. Folgende Einstellungen konfigurieren
    1. Configure Automatic Updates > Enabled
      1. Configure automatic updating: 3 – Auto download and notify for install
    2. Enable client-side targeting > Enabled
      1. Target group name for this computer: Server
    3. Specify intranet Microsoft update service location > Enabled
      1. Set intranet update service for detecting updates: https://wsus.intern.einfaches-netzwerk.at:8531
      2. Set the intranet statistics server: https://wsus.intern.einfaches-netzwerk.at:8531
  10. Fenster schließen
    WSUS_CONFIG-034

Weitere Informationen

Teil 5h: Eine Zertifikatsvorlage für Web Server erstellen

Veröffentlicht am von
Antworten

Inhaltsverzeichnis

Damit ich die Kommunikation zu meinen Web Servern sichern kann, brauche ich eine Zertifikatsvorlage für Web Server.

Eine Active Directory-Sicherheitsgruppe für Web Server erstellen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Active Directory Users and Computers
  3. intern.einfaches-netzwerk.at\Einfaches-Netzwerk\Sicherheitsgruppen rechts anklicken > New > Group
  4. New Object – Group
    1. Group name: Web Server > OK
      WEBSERVER_CERT-001
  5. Alle Fenster schließen
    WEBSERVER_CERT-002

Eine Zertifikatsvorlage für Web Server erstellen

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Certification Authority
  3. Einfaches-Netzwerk SubCA erweitern
  4. Certificate Templates rechts anklicken > Manage
  5. Die Vorlage Web Server rechts anklicken > Duplicate Template
  6. Properties of New Template:
    1. Reiter General:
      1. Template display name: CUSTOM – Web Server
        WEBSERVER_CERT-003
    2. Reiter Security:
      1. Group or user names > Add… > Web Server > Check Names > OK
      2. Web Server markieren > Allow Read, Enroll > OK
        WEBSERVER_CERT-004
  7. Certificate Templates-Konsole schließen
    WEBSERVER_CERT-005
  8. In der Certification Authority-Konsole Certificate Templates rechts anklicken > Certificate Template to Issue
  9. CUSTOM – Web Server markieren > OK
    WEBSERVER_CERT-006
  10. Web Server-Vorlage rechts anklicken > Delete
    WEBSERVER_CERT-007
  11. Alle Fenster schließen

Weitere Informationen