Schlagwort-Archive: Zertifikate

Teil 21: Die Verwendung von Virtual Smart Cards konfigurieren

Veröffentlicht am von
Antworten

Virtual Smart Card (VSC) wurde mit Windows 8 und Windows Server 2012 eingeführt. Sie bieten zu physischen Smart Cards eine vergleichbare Sicherheit (Besitz und Wissen). VSCs emulieren eine physische Smart Card, speichern das Zertifikat aber am TPM-Chip mit all seinen Sicherheitsfunktionen (Sperre bei häufigen Fehlversuchen, Anti-Hammering). Wie man die TPM-Sperre aufhebt, habe ich in Teil 20c beschrieben. Praktisch sind VSCs in Verbindung mit Tablets, die selten ein physisches Kartenlesegerät eingebaut haben (z.B. Microsoft Surface). So kann man z.B. mit DirectAccess mittels Zwei-Faktor-Authentifizierung auf Unternehmensressouren zugreifen.

Voraussetzungen:

  • mind. Windows Server 2012, mind. Windows 8
  • TPM Version 1.2 und Version 2.0; eingeschaltet und aktiviert, Besitz übernommen; darf nicht gesperrt sein
  • max. 10 VSCs pro Device
  • max. 30 Zertifikate pro VSC
  • Public Key Infrastructure
  • BitLocker Network Unlock Feature installiert (Teil 20d)

Die Verwendung von Virtual Smart Cards konfigurieren – Schritte:

  • Zertifikatsvorlage für die Windows-Anmeldung mit Smart Card konfigurieren
  • Auf CLIENT004 eine virtuelle Smart Card erzeugen
  • Zertifikat anfordern
  • Die virtuelle Smart Card verwenden

Zertifikatsvorlage für die Windows-Anmeldung mit Smart Card konfigurieren

  1. Als Administrator an SERVER01 anmelden
  2. Server Manager > Local Server > Tools > Certification Authority
  3. Haimann Root CA erweitern
  4. Certificate Templates rechts anklicken und im Kontextmenü Manage anklicken
    VIRTUAL_SMARTCARD-001
  5. Im Detailbereich die Zertifikatsvorlage Smartcard Logon rechts anklicken und im Kontextmenü Duplicate Template anklicken
    VIRTUAL_SMARTCARD-002 Weiterlesen

Teil 20d: BitLocker Network Unlock konfigurieren

Veröffentlicht am von
1

Für BitLocker Network Unlock sind folgende Komponenten notwendig:

  • Windows Server 2012 oder Windows Server 2012 R2 (Teil 1, Teil 7)
  • Windows 8 x64 oder Windows 8.1 x64 (Teil 14ff)
  • UEFI Firmware 2.3.1 mit DHCP-Treiber im native Mode*
  • Einen Server mit Windows Deployment Services (Teil 13)
  • BitLocker Network Unlock Feature auf einem Server installiert (in diesem Teil weiter unten)
  • Einen DHCP Server, der nicht am WDS installiert ist (Teil 4)
  • Public Key Infrastructure (Teil 6ff)
  • Network Unlock Gruppenrichtlinie (in diesem Teil weiter unten; Teil 6h, Teil 20)

* UEFI Firmware 2.3.1 mit DHCP-Treiber: Es ist mir nicht gelungen, die Firmware-Version meines HP EliteBook 840 G1 (CLIENT004) festzustellen. Allerdings benötigt SecureBoot mindestens UEFI 2.3.1. Weil im BIOS Einstellungen zu SecureBoot vorhanden sind, nehme ich an, dass die Version passt. So habe ich mein HP EliteBook 840 G1 konfiguriert:

  1. Notebook starten > ESC drücken
  2. Mit F10 das BIOS Setup starten
  3. Erweitert > Bootoptionen
  4. Schnell-Boot deaktiviert (erlaubt nur PXE und den Start von der internen Festplatte)
  5. Natives UEFI (ohne CSM) aktiviert
  6. SecureBoot aktiviert
  7. Einstellungen mit F10 übernehmen

BitLocker Network Unlock konfigurieren – Schritte:

  • Die Zertifikatsvorlage für BitLocker Network Unlock konfigurieren
  • Das Feature BitLocker Network Unlock installieren
  • Zertifikat anfordern und exportieren
  • Zertifikat mit Private Key (.pfx) am WDS-Server importieren
  • Gruppenrichtlinien für Network Unlock konfigurieren
  • BitLocker Network Unlock mit CLIENT004 testen
  • Windows Deployment Services Debug-Log aktivieren

Die Zertifikatsvorlage für BitLocker Network Unlock konfigurieren

  1. Als Administrator an SERVER01 anmelden
  2. Server Manager > Local Server > Tools > Certification Authority
  3. Haimann Root CA erweitern
  4. Certificate Templates rechts anklicken und im Kontextmenü Manage anklicken
    NETWORK_UNLOCK-008
  5. Im Detailbereich die Zertifikatsvorlage User rechts anklicken und im Kontextmenü Duplicate Template anklicken
    NETWORK_UNLOCK-009 Weiterlesen

Teil 6b: Windows Server Update Services konfigurieren

Veröffentlicht am von
Antworten

Nach der Installation muss ich die Windows Server Update Services konfigurieren. Den Anfang mache ich mit der Verwendung von SSL. Damit wird sichergestellt, dass sich die Clients zum konfigurierten Server verbinden und die Kommunikation verschlüsselt ist. Danach erstelle ich Computergruppen und Automatic Approval Rules. Die Zuweisung der Clients und Server zu den Gruppen und die Verwendung des internen WSUS erfolgt mittels Gruppenrichtlinien.

DNS-Alias für wsus.intern.einfaches-netzwerk.at erstellen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > DNS
  3. DC1\Forward Lookup Zones\intern.einfaches-netzwerk.at rechts anklicken > New Alias (CNAME)…
    WSUS_CONFIG-001
  4. New Resource Record
    1. Alias name: wsus
    2. Fully qualified domain name: wsus.intern.einfaches-netzwerk.at.
    3. Fully qualified domain name for target host: WSUS1.intern.einfaches-netzwerk.at > OK
      WSUS_CONFIG-002
  5. Alle Fenster schließen

WSUS_CONFIG-003

Web Server-Zertifikat anfordern

  1. Als Administrator an WSUS1 anmelden
  2. MMC (Admin) starten
  3. Das Snap-in Certificates für Computer account importieren
  4. Certificates erweitern
  5. Personal rechts anklicken > All Tasks > Request New Certificate…
    WSUS_CONFIG-004
  6. Certificate Enrollment
    1. Before You Begin > Next
    2. Select Certificate Enrollment Policy > Next
    3. Request Certificate
      1. CUSTOM – Web Server Certificate anhaken > More Information is required… anklicken
        WSUS_CONFIG-005
    4. Certificate Properties
      1. Reiter Subject
        1. Alternative name:
          1. Type: DNS
          2. Value: wsus1.intern.einfaches-netzwerk.at
          3. Value: wsus.intern.einfaches-netzwerk.at
            WSUS_CONFIG-006
      2. Reiter General
        1. Friendly name: WSUS Web Server Certificate
        2. Description: HD, 04.08.2015 > OK
          WSUS_CONFIG-007
    5. Enroll
      WSUS_CONFIG-008
    6. Finish
      WSUS_CONFIG-009
    7. Alle Fenster schließen
      WSUS_CONFIG-010

WSUS für die Verwendung von SSL konfigurieren

  1. Server Manager > Tools > IIS Manager
  2. WSUS1\Sites\WSUS Administration erweitern
  3. Auf der rechten Seite auf Bindings… klicken
    WSUS_CONFIG-017
  4. https markieren > Edit…
  5. Edit Site Binding
    1. SSL certificate: WSUS Web Server Certificate > OK > Close
      WSUS_CONFIG-012
  6. Auf der linken Seite unter WSUS Administration ApiRemoting30 markieren
  7. Im mittleren Bereich SSL Settings doppelklicken
    WSUS_CONFIG-013
  8. SSL Settings
    1. Require SSL aktivieren > Apply
      WSUS_CONFIG-014
  9. Für folgende Sites unter WSUS Administration wiederholen:
    1. ClientWebService
    2. DssAuthWebService
    3. ServerSyncWebService
    4. SimpleAuthWebService
  10. Alle Fenster schließen
  11. Command Prompt (Admin) starten
  12. Mit folgendem Befehl SSL für WSUS aktivieren 
    "C:\Program Files\Update Services\Tools\WsusUtil.exe" configureSSL wsus1.intern.einfaches-netzwerk.at

    WSUS_CONFIG-015

  13. Server Manager > Tools > Windows Server Update Services
    WSUS_CONFIG-016

Computergruppen in WSUS konfigurieren

  1. In der Update Services-Konsole auf der linken Seite auf Computers klicken
  2. All Computers rechts anklicken > Add Computer Group…
    WSUS_CONFIG-018
  3. Add Computer Group
    1. Name: Einfaches-Netzwerk > Add
      WSUS_CONFIG-019
  4. Folgende Gruppen zur Gruppe Einfaches-Netzwerk hinzufügen
    1. Arbeitsstationen
    2. Server
      WSUS_CONFIG-020
  5. Auf der linken Seite auf Options klicken
  6. Im mittleren Bereich auf Computers klicken
    WSUS_CONFIG-021
  7. Computers
    1. Use Group Policy or registry settings on computers > OK
      WSUS_CONFIG-022

Automatic Approvals in WSUS konfigurieren

  1. In der Update Services-Konsole auf der linken Seite auf Options klicken
  2. Im mittleren Bereich auf Automatic Approvals klicken
    WSUS_CONFIG-023
  3. Automatic Approvals
    1. Default Automatic Approval Rule markieren > Edit…
      WSUS_CONFIG-024
    2. Edit Rule
      1. Step 1: Select properties
        1. When an update is in a specific classification
        2. When an update is in a specific product
      2. Step 2: Edit the properties
        1. When an update is in Critical Updates, Definition Updates, Feature Packs, Security Updates, Update Rollups,  Updates
        2. When an update is in Office 2013, Silverlight, Windows 10, Windows 7, Windows 8.1
        3. Approve the update for Unassigned Computers, Arbeitsstationen
      3. Step 3: Specify a name: Einfaches-Netzwerk Client Automatic Approval Rule
        WSUS_CONFIG-026
    3. Eine weitere Regel erstellen
      1. Name: Einfaches-Netzwerk Server Automatic Approval Rule
      2. Classification: Critical Updates, Security Updates
      3. Product: Windows Server 2012 R2
      4. Approve for: Server
        WSUS_CONFIG-027
    4. Fenster mit OK schließen
  4. Auf der linken Seite Synchronizations markieren
  5. Auf der rechten Seite auf Synchronize Now klicken
    WSUS_CONFIG-028WSUS_CONFIG-029

Gruppenrichtlinien für die Verwendung von WSUS für Clients und Server konfigurieren

Grundlagen für Gruppenrichtlinien siehe Teil 2ff.

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Das GPO CUSTOM – Client Standard Settings zum Bearbeiten öffnen
  4. Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update erweitern
  5. Folgende Einstellungen konfigurieren
    1. Configure Automatic Updates > Enabled
      1. Configure automatic updating: 4 – Autodownload and schedule the install
        WSUS_CONFIG-030
    2. Enable client-side targeting > Enabled
      1. Target group name for this computer: Arbeitsstationen
        WSUS_CONFIG-032
    3. Specify intranet Microsoft update service location > Enabled
      1. Set intranet update service for detecting updates: https://wsus.intern.einfaches-netzwerk.at:8531
      2. Set the intranet statistics server: https://wsus.intern.einfaches-netzwerk.at:8531
        WSUS_CONFIG-031
  6. Fenster schließen
    WSUS_CONFIG-033
  7. Das GPO CUSTOM – Server Standard Settings zum Bearbeiten öffnen
  8. Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update erweitern
  9. Folgende Einstellungen konfigurieren
    1. Configure Automatic Updates > Enabled
      1. Configure automatic updating: 3 – Auto download and notify for install
    2. Enable client-side targeting > Enabled
      1. Target group name for this computer: Server
    3. Specify intranet Microsoft update service location > Enabled
      1. Set intranet update service for detecting updates: https://wsus.intern.einfaches-netzwerk.at:8531
      2. Set the intranet statistics server: https://wsus.intern.einfaches-netzwerk.at:8531
  10. Fenster schließen
    WSUS_CONFIG-034

Weitere Informationen