Angenommen, man implementiert das Active Directory-Verwaltungsebenenmodell (Administrative Tiering Model) von Microsoft, oder wendet vergleichbare Härtungsmaßnahmen auf seinen Servern an, hat dies Auswirkungen auf die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE).
„Benötigte Windows-Sicherheitsberechtigungen für die Zertifizierungsstellen-Webregistrierung (CAWE)“ weiterlesenKategorie: Security
Den Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Domänenkonto konfigurieren
Nachfolgend wird beschrieben, wie man einen Certificate Enrollment Policy Web Service (CEP) einrichtet, dass der Dienst unter einem Domänenkonto läuft.
„Den Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Domänenkonto konfigurieren“ weiterlesenDen Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren
Aus Sicherheitsgründen kann es sinnvoll sein, den CEP statt mit einem normalen Domänenkonto lieber mit einem Group Managed Service Account (gMSA) zu betreiben. Diese Option bietet den charmanten Vorteil, dass das Passwort des Kontos automatisch geändert wird, und dieser Schritt somit nicht von Hand vorgenommen werden muss, was leider viel zu oft vergessen wird.
„Den Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren“ weiterlesenVerwenden von Authentication Mechanism Assurance (AMA) für die Absicherung der Anmeldung administrativer Konten
Bei der Authentication Mechanism Assurance (AMA) handelt es sich um eine Funktion, welche sicherstellen soll, dass ein Benutzer nur dann Mitglied einer Sicherheitsgruppe ist, wenn er sich nachweislich mit einer starken Authentifizierunsmethode (also einer Smartcard) angemeldet hat. Meldet sich der Benutzer stattdessen via Benutzername und Kennwort an, hat er keinen Zugriff auf die angeforderten Ressourcen.
Ursprünglich für den Zugriff auf Dateiserver gedacht, kann man die AMA (mit einigen Einschränkungen) jedoch auch für die administrative Anmeldung verwenden. Somit wäre es beispielsweise denkbar, dass ein Benutzer unprivilegiert ist, wenn er sich mit Benutzername und Passwort anmeldet, und über administrative Rechte verfügt, wenn er sich mit einem Zertifikat anmeldet.
„Verwenden von Authentication Mechanism Assurance (AMA) für die Absicherung der Anmeldung administrativer Konten“ weiterlesenEine universelle Sicherheitsgruppe mit einem Object Identifier (OID) im Active Directory Verzeichnisdienst verbinden (Authentication Mechanism Assurance)
Die Authentication Mechanism Assurance (AMA) bietet die Möglichkeit, die Mitgliedschaft in einer Sicherheitsgruppe an die Anmeldung mit einem Smartcard Zertifikat, welches einen bestimmten Object Identifier (OID) enthält, zu binden.
Meldet sich der Benutzer nicht mit dem Smartcard Zertifikat, sondern mit Benutzername und Passwort an, ist er auch nicht Mitglied der Sicherheitsgruppe.
Nachfolgend wird beschrieben, wie man die Verbindung zwischen dem Zertifikat und der Sicherheitsgruppe herstellt.
„Eine universelle Sicherheitsgruppe mit einem Object Identifier (OID) im Active Directory Verzeichnisdienst verbinden (Authentication Mechanism Assurance)“ weiterlesenKonfigurieren einer Zertifikatvorlage für Authentication Mechanism Assurance (AMA)
Die Authentication Mechanism Assurance (AMA) bietet die Möglichkeit, die Mitgliedschaft in einer Sicherheitsgruppe an die Anmeldung mit einem Smartcard Zertifikat, welches einen bestimmten Object Identifier (OID) enthält, zu binden.
Meldet sich der Benutzer nicht mit dem Smartcard Zertifikat, sondern mit Benutzername und Passwort an, ist er auch nicht Mitglied der Sicherheitsgruppe.
Nachfolgend wird beschrieben, wie eine Zertifikatvorlage für die Nutzung mit der Authentication Mechanism Assurance erzeugt werden kann.
„Konfigurieren einer Zertifikatvorlage für Authentication Mechanism Assurance (AMA)“ weiterlesenErmitteln und Exportieren eines Trusted Platform Module (TPM) Endorsement Zertifikats
Möchte man die Trusted Platform Module (TPM) Key Attestation verwenden, hat man die Option, das TPM unter Anderem über das Endorsement-Zertifikat (EkCert) zu attestieren. Nachfolgend wird beschrieben, wie man an diese Information herankommt.
„Ermitteln und Exportieren eines Trusted Platform Module (TPM) Endorsement Zertifikats“ weiterlesenDie Prüfsumme (Hash) eines Trusted Platform (TPM) Endorsement Key ermitteln
Möchte man die Trusted Platform Module (TPM) Key Attestation verwenden, hat man die Option, das TPM unter Anderem über den Endorsement-Key (EkPub) zu attestieren. Nachfolgend wird beschrieben, wie man an diese Information herankommt.
„Die Prüfsumme (Hash) eines Trusted Platform (TPM) Endorsement Key ermitteln“ weiterlesenDen Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren
Aus Sicherheitsgründen kann es sinnvoll sein, NDES statt mit einem normalen Domänenkonto lieber mit einem Group Managed Service Account (gMSA) zu betreiben. Diese Option bietet den charmanten Vorteil, dass das Passwort des Kontos automatisch geändert wird, und dieser Schritt somit nicht von Hand vorgenommen werden muss, was leider viel zu oft vergessen wird.
„Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren“ weiterlesenDen Network Device Enrollment Service (NDES) für den Betrieb ohne Passwort konfigurieren
Es gibt Situationen, in welchen man NDES nicht mit wechselnden Passwörtern betreiben kann. Meist ist dies der Fall, wenn es entweder keine Managementlösung für die zu verwaltenden Geräte gibt, oder wenn diese nicht mit wechselnden Passwörtern umgehen kann. Manche Lösungen können überhaupt nicht mit einem Passwort umgehen.
In diesem Fall kann man NDES konfigurieren, kein Passwort zu generieren oder zu verlangen.
„Den Network Device Enrollment Service (NDES) für den Betrieb ohne Passwort konfigurieren“ weiterlesenDen Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem statischen Passwort konfigurieren
Es gibt Situationen, in welchen man NDES nicht mit wechselnden Passwörtern betreiben kann. Meist ist dies der Fall, wenn es entweder keine Managementlösung für die zu verwaltenden Geräte gibt, oder wenn diese nicht mit wechselnden Passwörtern umgehen kann.
In diesem Fall kann man NDES konfigurieren, ein statisches Passwort zu generieren, welches sich danach nicht mehr ändert.
Erstellen einer virtuellen Smartcard in einem Hyper-V Gastsystem
Für Testumgebungen ist es oft hilfreich, mit Smartcards arbeiten zu können. Nachfolgend eine kurze Anleitung, wie eine virtuelle Smartcard in einem Hyper-V Gast mit Hilfe eines virtualisierten Trusted Platform Moduls (TPM) eingerichtet werden kann.
„Erstellen einer virtuellen Smartcard in einem Hyper-V Gastsystem“ weiterlesenDomänencontroller-Zertifikatvorlagen und Smartcard Anmeldung
Damit Domänencontroller Smartcard Anmeldungen verarbeiten können, benötigen sie Zertifikate, welche diese Funktion bereitstellen.
„Domänencontroller-Zertifikatvorlagen und Smartcard Anmeldung“ weiterlesenBearbeiten des NTAuthCertificates Objektes im Active Directory
In der Standardkonfiguration befinden sich alle Zertifizierungsstellen-Zertifikate von ins Active Directory integrierten Zertifizierungsstellen (Enterprise Certification Authority) in einem Objekt vom Typ CertificationAuthority namens NTAuthCertificates innerhalb der Configuration Partition der Active Directory Gesamtstruktur.
„Bearbeiten des NTAuthCertificates Objektes im Active Directory“ weiterlesenAngriffsvektor auf den Active Directory Verzeichnisdienst über den Smartcard Logon Mechanismus
Vereinfacht ausgedrückt kann man Public Key Kryptographie auf die Annahme reduzieren, dass der private Teil eines jeden Schlüsselpaares nur dessen Inhaber bekannt ist.
Eine Zertifizierungsstelle ist für die korrekte Identifikation von Benutzern, Computern oder Ressourcen zuständig. Ihren ausgestellten Zertifikaten wird deshalb ein Vertrauensstatus eingeräumt, weil alle Teilnehmer der Annahme sind, dass ihr privater Schlüssel nur ihr bekannt ist.
Gelingt es einem Angreifer, Kenntnis des privaten Schlüssels einer Zertifizierungsstelle zu erlangen, oder zumindest Signaturen mittels des privaten Schlüssels durchzuführen, ist die Integrität der Zertifizierungsstelle nicht länger gewährleistet.
„Angriffsvektor auf den Active Directory Verzeichnisdienst über den Smartcard Logon Mechanismus“ weiterlesen
Deutsch 
English