Schlagwort-Archive: Windows 8.1

Administrative Templates für Windows 8.1 Update 1

Veröffentlicht am von
Antworten

Am 03. Juli 2014 hat Microsoft die Administrative Templates für Windows 8.1 Update 1 und Windows Server 2012 R2 Update 1 veröffentlicht. In Teil 10 habe ich beschrieben, wie die Vorlagedateien vom zentralen Speicher geladen werden können.

Administrative Templates für Windows 8.1 Update 1 – Schritte:

  1. Als Administrator an SERVER02 anmelden
  2. Administrative Templates (.admx) for Windows 8.1 Update and Windows Server 2012 R2 Update von http://www.microsoft.com/de-DE/download/details.aspx?id=43413 nach D:\Sourcen herunterladen
    W81U1_ADMX-001
  3. Windows8.1-Update-Server2012R2-Update-ADMX.msi doppelklicken
  4. Den Anweisungen des Setup-Assistenten folgen
    W81U1_ADMX-002
  5. Windows Explorer starten und nach C:\Program Files (x86)\Microsoft Group Policy\Windows 8.1-Update -Windows Server 2012 R2-Update\PolicyDefinitions wechseln
  6. Alle admx-Dateien und den gewünschten Sprachordner, mindestens aber en-us kopieren
  7. ACHTUNG: Bei meinem Test war die Bezeichnung des Ordners de-DE nicht korrekt! Von da-DE nach de-DE umbenennen!
    W81U1_ADMX-003
  8. Im Windows Explorer nach \\haimann.local\SYSVOL\haimann.local\Policies\PolicyDefinitions wechseln oder anlegen, falls noch nicht vorhanden
  9. Dateien und Sprachordner einfügen
    W81U1_ADMX-004
  10. Server Manager > Local Server > Tool > Group Policy Management
  11. Ein bestehendes Gruppenrichtlinienobjekt öffnen
    W81U1_ADMX-005

Teil 21a: BitLocker To Go mittels Virtual Smart Card aktivieren

Veröffentlicht am von
2

BitLocker To Go mittels Virtual Smart Card aktivieren – Schritte:

  • Gruppenrichtlinien für BitLocker auf Wechseldatenträgern konfigurieren
  • Zertifikatsvorlage für virtuelle Smart Card für BitLocker konfigurieren
  • Auf CLIENT004 Zertifikat für die virtuelle Smart Card anfordern
  • USB-Wechseldatenträger mit BitLocker To Go verschlüsseln

 Gruppenrichtlinien für BitLocker auf Wechseldatenträgern (BitLocker To Go) konfigurieren

Mit den folgenden Einstellungen kann ein Kennwort und/oder eine Smart Card für die Entsperrung eines USB-Laufwerks verwendet werden. Dass es zum Thema passt, werde ich auf meine virtuelle Smart Card auf CLIENT004 (Teil 21) ein weiteres Zertifikat für die BitLocker-Laufwerksverschlüsselung installieren und diese zum Entsperren verwenden. In der Praxis macht das wenig Sinn, weil der USB-Stick nur noch auf genau diesem Rechner entsperrt werden kann (VSC am TPM).

Um Kompatibilität zu erreichen, können die Benutzer firmeneigene und fremde USB-Laufwerke lesen, aber nur auf die eigenen schreiben und auch nur dann, wenn diese mit BitLocker verschlüsselt sind (Provide the unique identifiers for your organization, Teil 6h und Teil 20). Da kann man mit den Einstellungen etwas experimentieren.

Als Grundlage für die Einstellungen verwende ich Best Practices for BitLocker in Windows 7.

  1. Als Administrator an SERVER01 anmelden
  2. Server Manager > Local Server > Tools > Group Policy Management
  3. haimann.local\Group Policy Objects erweitern
  4. Computer Standard Settings rechts anklicken und im Kontextmenü Edit… anklicken
    VIRTUAL_SMARTCARD-060 Weiterlesen

Teil 21: Die Verwendung von Virtual Smart Cards konfigurieren

Veröffentlicht am von
Antworten

Virtual Smart Card (VSC) wurde mit Windows 8 und Windows Server 2012 eingeführt. Sie bieten zu physischen Smart Cards eine vergleichbare Sicherheit (Besitz und Wissen). VSCs emulieren eine physische Smart Card, speichern das Zertifikat aber am TPM-Chip mit all seinen Sicherheitsfunktionen (Sperre bei häufigen Fehlversuchen, Anti-Hammering). Wie man die TPM-Sperre aufhebt, habe ich in Teil 20c beschrieben. Praktisch sind VSCs in Verbindung mit Tablets, die selten ein physisches Kartenlesegerät eingebaut haben (z.B. Microsoft Surface). So kann man z.B. mit DirectAccess mittels Zwei-Faktor-Authentifizierung auf Unternehmensressouren zugreifen.

Voraussetzungen:

  • mind. Windows Server 2012, mind. Windows 8
  • TPM Version 1.2 und Version 2.0; eingeschaltet und aktiviert, Besitz übernommen; darf nicht gesperrt sein
  • max. 10 VSCs pro Device
  • max. 30 Zertifikate pro VSC
  • Public Key Infrastructure
  • BitLocker Network Unlock Feature installiert (Teil 20d)

Die Verwendung von Virtual Smart Cards konfigurieren – Schritte:

  • Zertifikatsvorlage für die Windows-Anmeldung mit Smart Card konfigurieren
  • Auf CLIENT004 eine virtuelle Smart Card erzeugen
  • Zertifikat anfordern
  • Die virtuelle Smart Card verwenden

Zertifikatsvorlage für die Windows-Anmeldung mit Smart Card konfigurieren

  1. Als Administrator an SERVER01 anmelden
  2. Server Manager > Local Server > Tools > Certification Authority
  3. Haimann Root CA erweitern
  4. Certificate Templates rechts anklicken und im Kontextmenü Manage anklicken
    VIRTUAL_SMARTCARD-001
  5. Im Detailbereich die Zertifikatsvorlage Smartcard Logon rechts anklicken und im Kontextmenü Duplicate Template anklicken
    VIRTUAL_SMARTCARD-002 Weiterlesen