Sicherheit

    Schlüsselarchivierung für eine Zertifizierungsstelle einrichten

    Aktivierung der Schlüsselarchivierung (Detail)Hat man einen oder mehrere Administratoren berechtigt, als Key Recovery Agents zu fungieren, können diese Zertifikate anfordern, um sie für die Schlüsselwiederherstellung zu verwenden. Damit die Schlüsselarchivierung funktioniert, ist seitens der Zertifizierungsstelle noch zusätzliche Konfiguration vonnöten. Im Wesentlichen handelt es sich um zwei Schritte, die erledigt sein müssen:

    Einrichten eines Key Recovery Agent (KRA)

    Die KRA-StandardvorlageInnerhalb einer PKI spielt der Key Recovery Agent eine wichtige Rolle. Es handelt sich hierbei um einen Administrator, der für die Wiederherstellung von Zertifikaten im Namen eines Endbenutzers autorisiert ist. Da ein Key Recovery Agent mit vertraulichen Daten in Berührung kommen, dürfen nur vertrauenswürdige Personen mit dieser Aufgabe betraut werden. Nur Domänen-Admins oder Mitglieder einer entsprechenden Gruppe können einen KRA bestimmen.

    Google-Accounts mittels Zweifaktor-Authentifizierung schützen

    Die Zweifaktor-Authentifizierung ist in Deutschland noch nicht verfügbarZunächst stellte Google die Zweifaktor-Authentifizierung nur Kunden seines kosten­pflichtigen Angebots "Text & Tabellen" zur Verfügung. Nun können jedoch alle Nutzer von Google Mail und anderen Services des Unter­nehmens diese Sicherheitsfunktion verwenden.

    Zertifikatvorlagen in der Windows-PKI verwalten

    ZertifikatvorlagenkonsoleSobald man die Rolle Zertifikatdienste auf einem Windows-Server installiert hat, stehen vorinstallierte Standard-Zertifikatvorlagen zur Verfügung, auf denen basierend die Clients Zertifikate anfordern können. Diese decken typische Szenarien ab, Administratoren haben jedoch oft differenziertere Anforderungen an die Vorlagen. Dann modifiziert man die Vorlagen oder erstellt auf ihrer Basis neue für die Organisation.

    Datenausführungsverhinderung (DEP) konfigurieren oder abschalten

    Datenausführungsverhinderung (Data Execution Prevention, DEP)Die Unterstützung für Da­ten­aus­füh­rungs­ver­hin­de­rung (Data Execution Prevention, DEP) hat Microsoft mit Windows XP SP2 beziehungsweise Windows Server 2003 SP1 eingeführt. Seitdem ist sie bei allen Windows-Versionen dabei. Es handelt sich um eine Technik zur Vermeidung schädlicher Auswirkungen von Buffer Overflows, bei denen Daten als Code ausgeführt und auf diese Weise potentiell Schadcode gestartet werden könnte.

    Zertifikat-Management mit certutil automatisieren

    Die Batch-Datei für makecert.exe und certutil.exeDie Arbeit mit einer gut gestalteten GUI in Kommandozeilenwerkzeugen abzubilden ist nicht einfach, das Ergebnis wird oft trotzdem als unkomfortabel empfunden. Anders ist es bei immer wiederkehrenden Aufgaben, wie etwa der Erstellung und Verteilung von Computer-Zertifikaten innerhalb einer Arbeitsgruppe. Hier muss man ersteres ohnehin per Kommandozeile erledigen – da spart es Zeit und Nerven, auch die Verwaltung der Zertifikate per certutil.exe zu regeln.

    IPsec in Arbeitsgruppen einrichten

    IPsec in ArbeitsgruppenIn einer Domäne ist IPSec – dank der zentralen Verwaltung und Anwendung der dazu gehörenden Richtlinien per Gruppenrichtlinien – schnell und vergleichsweise unkompliziert implementiert. Anders ist es, wenn man das sichere Protokoll zwischen Arbeitsgruppen-PCs verwenden will: Die entsprechenden Firewall-Richtlinien müssen bei jeder Maschine einzeln konfiguriert werden. Eine weitere zu meisternde Schwierigkeit ist die gegenseitige Authentifizierung der beteiligten Hosts. Diese erfolgt auf Computer-Ebene, bevor irgendwelche Benutzer-Logon-Daten ausgetauscht werden. In einer Domäne sorgt das Active Directory dafür, ohne dieses muss man selbst Hand anlegen.

    Zertifikatsdienste auf Server Core installieren

    Das Script SetupCA.vbs für die Eionrichtung der Zertifikatdienste auf Server CoreServer Core ist genau wie ein voll ausgebauter Windows-Server als CA verwendbar. Der Weg dahin ist führt jedoch um ein paar Ecken – mit der bloßen Installation einer Serverrolle ist es nicht getan. Für die Konfiguration als Zertifizierungsstelle braucht es ein paar Vorbereitungen und ein Script aus dem TechNet.

    Kostenlose Zertifikate mit makecert.exe erstellen

    makecert erstellt ein Root-ZertifikatEs gibt Fälle, bei denen sich der Arbeits-PC und sein Benutzerkonto nicht innerhalb einer PKI befinden, man aber dennoch gültige Zertifikate einer anerkannten Zertifizierungsstelle benötigt. Beispiele dafür sind etwa freiberufliche Entwickler, die zum Zwecke der Codesignatur oder des Testbetriebs von Web-Servern weder eine Domäne aufsetzen noch Zertifikate teuer erwerben wollen.

    Sicherheitslücke in MHTML-Handler von Windows: Internet Explorer für Angriffe anfällig

    Windows-LogoMicrosoft warnt in einem Security Advisory vor einer ernstzunehmenden Sicherheitslücke im MHTM-Handler (Mime HTML) von Windows. Der Bug ermöglicht es nach Angaben des Software-Herstellers Angreifern, über den Browser Internet Explorer eigene Scripts auszuführen und sich so Zugang zu sensitiven Daten zu verschaffen, die auf fremden Rechnern lagern. Das erfolgt - altbewährter Manier - dann, wenn das Opfer eine Web-Site besucht oder zu deren Besuch verleitet wird, auf welcher der Schadcode platziert ist.

    Seiten