Windows 7

    Zertifikat-Management mit certutil automatisieren

    Die Batch-Datei für makecert.exe und certutil.exeDie Arbeit mit einer gut gestalteten GUI in Kommandozeilenwerkzeugen abzubilden ist nicht einfach, das Ergebnis wird oft trotzdem als unkomfortabel empfunden. Anders ist es bei immer wiederkehrenden Aufgaben, wie etwa der Erstellung und Verteilung von Computer-Zertifikaten innerhalb einer Arbeitsgruppe. Hier muss man ersteres ohnehin per Kommandozeile erledigen – da spart es Zeit und Nerven, auch die Verwaltung der Zertifikate per certutil.exe zu regeln.

    IPsec in Arbeitsgruppen einrichten

    IPsec in ArbeitsgruppenIn einer Domäne ist IPSec – dank der zentralen Verwaltung und Anwendung der dazu gehörenden Richtlinien per Gruppenrichtlinien – schnell und vergleichsweise unkompliziert implementiert. Anders ist es, wenn man das sichere Protokoll zwischen Arbeitsgruppen-PCs verwenden will: Die entsprechenden Firewall-Richtlinien müssen bei jeder Maschine einzeln konfiguriert werden. Eine weitere zu meisternde Schwierigkeit ist die gegenseitige Authentifizierung der beteiligten Hosts. Diese erfolgt auf Computer-Ebene, bevor irgendwelche Benutzer-Logon-Daten ausgetauscht werden. In einer Domäne sorgt das Active Directory dafür, ohne dieses muss man selbst Hand anlegen.

    Kostenlose Zertifikate mit makecert.exe erstellen

    makecert erstellt ein Root-ZertifikatEs gibt Fälle, bei denen sich der Arbeits-PC und sein Benutzerkonto nicht innerhalb einer PKI befinden, man aber dennoch gültige Zertifikate einer anerkannten Zertifizierungsstelle benötigt. Beispiele dafür sind etwa freiberufliche Entwickler, die zum Zwecke der Codesignatur oder des Testbetriebs von Web-Servern weder eine Domäne aufsetzen noch Zertifikate teuer erwerben wollen. Da zu diesen Testzwecken alle Beteiligten – Aussteller, Stamm­zerti­fi­zierungs­stelle und Benutzer der Zertifikate – ein- und dieselbe oder zumindest nur sehr wenige Personen sind, genügt es hier, selbstsignierte Zertifikate zu verwenden.

    IPSec mit Windows 7 und Windows Server 2008 R2

    Per IPSec verschlüsselte Telnet-VerbindungDie Klartext-Übertragung sensibler Daten will man im lokalen Netzwerk nicht haben, da ein beliebiger Netzwerk-Sniffer ausreicht, um die mitzulesen. Eine Strategie dagegen kann sein, auf sichere Protokolle umzusteigen, etwa im Intranet nur noch HTTPS statt HTTP zu verwenden. Wenn das mit den vorhandenen Anwendungen nicht möglich ist, bietet sich an, den gesamten Datenverkehr mit IPSec auf der Vermittlungsschicht (internet layer) des TCP/IP-Protokollstapels zu verschlüsseln.

    Microsoft Attack Surface Analyzer

    Ein neues Microsoft-Tool mit dem Namen Microsoft Attack Surface Analyzer soll Administratoren, Entwicklern und IT-Sicherheitsbeauftragten helfen, Systemveränderungen sichtbar zu machen, die durch die Installation von Software verursacht werden.

    Zertifikat-Richtlinien für Benutzer und Gruppen

    ZertifizierungsstelleNach der der Einrichtung einer Zertifizierungsstelle ohne weitere Konfiguration stehen zunächst alle Zertifikattypen allen dafür geeigneten Benutzern und Computern der dafür konfigurierten OU zur Verfügung und werden auf Anforderung automatisch ausgestellt. Für bestimmte Zertifikattypen wie etwa Basis-EFS ist das auch sinnvoll, jedoch will man für die meisten anderen Zertifikattypen diese Berechtigungen feiner granulieren.

    EFS-Verschlüsselung in einer Domäne verwalten

    Die ausgestellten Zertifikate lassen sich an der Konsole der Zertifizierungsstelle nachverfolgenIn einer Organisation möchte man EFS-Verschlüsselung zentral verwalten statt, wie an Stand-Alone- oder Workgroup-Rechnern, jedem Benutzer selbst die Erzeugung und Sicherung seiner Schlüssel und Zertifikate zu überlassen. So ist gewährleistet, dass auch nach einem Password-Reset, der Restaurierung des Gerätes per Image oder ähnlichen administrativen Eingriffen der Benutzer Zugriff auf seine verschlüsselten Dateien hat: Schlüssel, Zertifikate und Wie­der­her­stellungs­agenten verwaltet das Active Directory. Voraussetzung dazu ist die Einrichtung einer PKI.

    EFS-Schlüssel (Recovery Agent) sichern und wiederherstellen

    Assistent zum Speichern des EFS-Schlüssels (teaser)Wenn man seine Dateien mit dem Encrypting File System (EFS) verschlüsselt, reicht eine Kennwortrücksetzdiskette im Falle eines vergessenen Passwortes nicht aus. Vielmehr muss man auch das Zertifikat des EFS Recovery Agent sichern, um nach dem Passwort-Reset wieder an seine Daten zu gelangen.

    Windows-Passwort zurücksetzen per USB-Stick

    Erstellung einer „Kennwortrücksetzdiskette“Gegen ein vergessenes lokales Passwort hilft unter Windows 7 ein Wechseldatenträger zur Passwort-Wiederherstellung, die Kennwort­rück­setz­diskette oder „Password Reset Disk“. Die Möglichkeit gab es bereits unter Windows XP. Windows ist es bei der Erstellung dieser Disk egal, was für eine Art von Wechseldatenträger es vorfindet – Floppy-Disks, USB-Sticks, SD-Karten, alles ist recht. Die „Password Reset Disk“ wirkt auch nach einem Wechsel des Passwortes durch den Benutzer, muss danach also nicht neu erstellt werden.

    Seiten