Verschlüsselung
Netlogon: Domänen-Controller verweigern Verbindung zu unsicheren Geräten
Im August 2020 wurde die Schwachstelle CVE-2020-1472 im Netlogon Remote Protocol publiziert. Microsofts Patch erzwingt ab dem 9. Februar die Kommunikation über einen Secure RPC. Inkompatible Geräte können sich ab sofort nur mehr an einem DC authentifizieren, wenn man sie über ein GPO zulässt.
Zertifikat für BitLocker Recovery Agent ausstellen
BitLocker unterstützt mehrere Mechanismen, um ein verschlüsseltes Laufwerk zu entsperren. Dazu gehören auch Wiederherstellungsagenten, mit deren Zertifikat man einen BitLocker-Protector hinzufügen kann. Für die Ausstellung eines solchen Zertifikats benötigt man eine eigens dafür angepasste Vorlage.
BitLocker-Laufwerke automatisch entsperren über Auto-Unlock oder SID-Protector
Wenn ein Rechner neben dem System-Volume über Datenlaufwerke verfügt, die mit BitLocker verschlüsselt sind, dann ist es angenehm, wenn man sie nicht immer separat entsperren muss. Das gilt erst recht für Wechseldatenträger. BitLocker bietet mit Auto-Unlock und SID-Protector dafür zwei Verfahren.
BitLocker To Go: Verschlüsselung von USB-Laufwerken über Gruppenrichtlinien steuern
Wenn Unternehmen den unkontrollierten Abfluss von Daten verhindern wollen, dann gilt ihre besondere Aufmerksamkeit den Wechseldatenträgern. Bei Verlust von USB-Speichern schützt BitLocker To Go deren Inhalt vor unbefugtem Zugriff. Das Feature lässt sich über Gruppenrichtlinien erzwingen und anpassen.
Clients hinter Proxy erfordern HTTPS-Verbindung zu WSUS
Mit dem kumulativen Update für September ändern Rechner unter Windows 10 ihr Verhalten gegenüber den Windows Server Update Services (WSUS). Wenn Letztere nicht für die Kommunikation über HTTPS konfiguriert wurden, dann können die Clients unter bestimmten Bedingungen keine Updates mehr abrufen.
Invoke-WebRequest: Es konnte kein geschützter SSL/TLS-Kanal erstellt werden
Wer mit Invoke-WebRequest Web-Inhalte abrufen will, kann an einem SSL/TLS-Fehler scheitern. Der Grund liegt darin, dass immer mehr Websites die Version 1.0 des Protokolls ablehnen. In Windows PowerShell muss man dann, je nach Version des installierten .NET-Frameworks, TLS 1.1 / 1.2 manuell aktivieren.
Schritt-für-Schritt-Anleitung: vSphere Trust Authority konfigurieren
Die vSphere Trust Authority (vTA) besteht aus dem Verwaltungs-Cluster und einem vertrauenswürdigen Schlüsselanbieter. Alle normalen ESXi-Cluster werden gegen den vTA-Cluster bestätigt. Diese Anleitung beschreibt, wie man eine solche Infrastruktur einrichtet, um die Integrität der Hosts zu prüfen.
vSphere Trust Authority: Komponenten und Funktionsweise
Die vSphere Trust Authority (vTA) bestätigt die Vertrauenswürdigkeit von ESXi-Hosts, welche dann kryptografische Operationen ausführen können. Die Infrastruktur besteht aus vTA- und vertrauenswürdigen Clustern sowie einem externen KMIP-Server. Auf den ESXi-Hosts laufen zudem mehrere Dienste für vTA.
vSphere Trust Authority: ESXi-Hosts über separaten Verwaltungs-Cluster absichern
Neben der Kubernetes-Integration ist Security ein Schwerpunkt von vSphere 7. Zu den Neuheiten gehört dabei die vSphere Trust Authority (vTA), welche die ESXi-Infrastruktur schützen soll. Sie benötigt einen vertrauenswürdigen Verwaltungs-Cluster, der einen Bestätigungsdienst für die produktiven Hosts ausführt.
Key Management Server (KMS) für vSphere: PyKMIP als Docker-Container installieren
Es gibt mehrere Drittanbieter für KMIP-kompatible KMS, die VMware für seine Verschlüsselungsfunktion unterstützt. Es handelt sich dabei jedoch um kommerzielle Produkte, die für eine Evaluierung schlecht geeignet sind. Dafür empfiehlt sich die Open-Source-Lösung PyKMIP, die als Linux-Container verfügbar ist.
Seiten
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- …
- nächste Seite ›
- letzte Seite »