Angenommen, man implementiert das Active Directory-Verwaltungsebenenmodell (Administrative Tiering Model) von Microsoft, oder wendet vergleichbare Härtungsmaßnahmen auf seinen Servern an, hat dies Auswirkungen auf die CEP Komponenten.
„Benötigte Windows-Sicherheitsberechtigungen für den Certificate Enrollment Policy Web Service (CEP)“ weiterlesenKategorie: Security
Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse
Nachfolgend eine Übersicht über die von der Zertifizierungsstelle erzeugten Audit-Ereignisse in der Windows-Ereignisanzeige.
Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.
„Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse“ weiterlesenGrundlagen und Risikobetrachtung Delegierungseinstellungen
Delegierung ist immer dann erforderlich, wenn es zwischen dem Anwender und dem eigentlichen Dienst einen Mittelsmann gibt. Im Fall der Zertifizierungsstellen-Webregistrierung wäre dies der Fall, wenn diese auf einem separaten Server installiert ist. Sie fungiert dann als Mittelsmann zwischen dem Antragsteller und der Zertifizierungsstelle.
„Grundlagen und Risikobetrachtung Delegierungseinstellungen“ weiterlesenStandard-Auditierungsregeln für Windows Server Betriebssysteme
Sobald eine Gruppenrichtlinie mit Auditeinstellungen aktiv ist, werden die Standard-Auditierungs-Regeln, die mit dem Betriebssystem vorkonfiguriert sind, ausgeschaltet und nur noch die explizit konfigurierten Auditeinstellungen angewendet.
„Standard-Auditierungsregeln für Windows Server Betriebssysteme“ weiterlesenBenötigte Windows-Sicherheitsberechtigungen für den Zertifikatregistrierungs-Webdienst (CES)
Angenommen, man implementiert das Active Directory-Verwaltungsebenenmodell (Administrative Tiering Model) von Microsoft, oder wendet vergleichbare Härtungsmaßnahmen auf seinen Servern an, hat dies Auswirkungen auf die CES Komponenten.
„Benötigte Windows-Sicherheitsberechtigungen für den Zertifikatregistrierungs-Webdienst (CES)“ weiterlesenDen Certificate Enrollment Web Service (CES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren
Aus Sicherheitsgründen kann es sinnvoll sein, den CES statt mit einem normalen Domänenkonto lieber mit einem Group Managed Service Account (gMSA) zu betreiben. Diese Option bietet den charmanten Vorteil, dass das Passwort des Kontos automatisch geändert wird, und dieser Schritt somit nicht von Hand vorgenommen werden muss, was leider viel zu oft vergessen wird.
„Den Certificate Enrollment Web Service (CES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren“ weiterlesenDie Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Domänenkonto konfigurieren
Nachfolgend wird beschrieben, wie man die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) einrichten sodass der Dienst unter einem Domänenkonto läuft.
„Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Domänenkonto konfigurieren“ weiterlesenDie Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Group Managed Service Account (gMSA) konfigurieren
Aus Sicherheitsgründen kann es sinnvoll sein, den CAWE statt mit einem normalen Domänenkonto lieber mit einem Group Managed Service Account (gMSA) zu betreiben. Diese Option bietet den charmanten Vorteil, dass das Passwort des Kontos automatisch geändert wird, und dieser Schritt somit nicht von Hand vorgenommen werden muss, was leider viel zu oft vergessen wird.
„Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Group Managed Service Account (gMSA) konfigurieren“ weiterlesenBenötigte Windows-Sicherheitsberechtigungen für die Zertifizierungsstellen-Webregistrierung (CAWE)
Angenommen, man implementiert das Active Directory-Verwaltungsebenenmodell (Administrative Tiering Model) von Microsoft, oder wendet vergleichbare Härtungsmaßnahmen auf seinen Servern an, hat dies Auswirkungen auf die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE).
„Benötigte Windows-Sicherheitsberechtigungen für die Zertifizierungsstellen-Webregistrierung (CAWE)“ weiterlesenDen Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Domänenkonto konfigurieren
Nachfolgend wird beschrieben, wie man einen Certificate Enrollment Policy Web Service (CEP) einrichtet, dass der Dienst unter einem Domänenkonto läuft.
„Den Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Domänenkonto konfigurieren“ weiterlesenDen Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren
Aus Sicherheitsgründen kann es sinnvoll sein, den CEP statt mit einem normalen Domänenkonto lieber mit einem Group Managed Service Account (gMSA) zu betreiben. Diese Option bietet den charmanten Vorteil, dass das Passwort des Kontos automatisch geändert wird, und dieser Schritt somit nicht von Hand vorgenommen werden muss, was leider viel zu oft vergessen wird.
„Den Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren“ weiterlesenVerwenden von Authentication Mechanism Assurance (AMA) für die Absicherung der Anmeldung administrativer Konten
Bei der Authentication Mechanism Assurance (AMA) handelt es sich um eine Funktion, welche sicherstellen soll, dass ein Benutzer nur dann Mitglied einer Sicherheitsgruppe ist, wenn er sich nachweislich mit einer starken Authentifizierunsmethode (also einer Smartcard) angemeldet hat. Meldet sich der Benutzer stattdessen via Benutzername und Kennwort an, hat er keinen Zugriff auf die angeforderten Ressourcen.
Ursprünglich für den Zugriff auf Dateiserver gedacht, kann man die AMA (mit einigen Einschränkungen) jedoch auch für die administrative Anmeldung verwenden. Somit wäre es beispielsweise denkbar, dass ein Benutzer unprivilegiert ist, wenn er sich mit Benutzername und Passwort anmeldet, und über administrative Rechte verfügt, wenn er sich mit einem Zertifikat anmeldet.
„Verwenden von Authentication Mechanism Assurance (AMA) für die Absicherung der Anmeldung administrativer Konten“ weiterlesenEine universelle Sicherheitsgruppe mit einem Object Identifier (OID) im Active Directory Verzeichnisdienst verbinden (Authentication Mechanism Assurance)
Die Authentication Mechanism Assurance (AMA) bietet die Möglichkeit, die Mitgliedschaft in einer Sicherheitsgruppe an die Anmeldung mit einem Smartcard Zertifikat, welches einen bestimmten Object Identifier (OID) enthält, zu binden.
Meldet sich der Benutzer nicht mit dem Smartcard Zertifikat, sondern mit Benutzername und Passwort an, ist er auch nicht Mitglied der Sicherheitsgruppe.
Nachfolgend wird beschrieben, wie man die Verbindung zwischen dem Zertifikat und der Sicherheitsgruppe herstellt.
„Eine universelle Sicherheitsgruppe mit einem Object Identifier (OID) im Active Directory Verzeichnisdienst verbinden (Authentication Mechanism Assurance)“ weiterlesenKonfigurieren einer Zertifikatvorlage für Authentication Mechanism Assurance (AMA)
Die Authentication Mechanism Assurance (AMA) bietet die Möglichkeit, die Mitgliedschaft in einer Sicherheitsgruppe an die Anmeldung mit einem Smartcard Zertifikat, welches einen bestimmten Object Identifier (OID) enthält, zu binden.
Meldet sich der Benutzer nicht mit dem Smartcard Zertifikat, sondern mit Benutzername und Passwort an, ist er auch nicht Mitglied der Sicherheitsgruppe.
Nachfolgend wird beschrieben, wie eine Zertifikatvorlage für die Nutzung mit der Authentication Mechanism Assurance erzeugt werden kann.
„Konfigurieren einer Zertifikatvorlage für Authentication Mechanism Assurance (AMA)“ weiterlesenErmitteln und Exportieren eines Trusted Platform Module (TPM) Endorsement Zertifikats
Möchte man die Trusted Platform Module (TPM) Key Attestation verwenden, hat man die Option, das TPM unter Anderem über das Endorsement-Zertifikat (EkCert) zu attestieren. Nachfolgend wird beschrieben, wie man an diese Information herankommt.
„Ermitteln und Exportieren eines Trusted Platform Module (TPM) Endorsement Zertifikats“ weiterlesen