Zertifikate

    PowerShell Remoting über HTTPS mit einem selbstsignierten SSL-Zertifikat

    PowerShell-Remoting über HTTPS konfigurierenVerbindungen, die man über Enter-PSSession und Invoke-Command aufbaut, kommu­nizieren stan­dard­mäßig über HTTP. Aller­dings ver­schlüsselt dabei WinRM die über­tragenen Daten. Zusätz­liche Sicher­heit erlangt man speziell in Work­groups durch HTTPS, wobei ein selbst­sig­nierten SSL-Zertifikat in der Regel reicht.

    New-SelfSignedCertificate: Selbstsignierte Zertifikate ausstellen mit PowerShell

    Zertifikate mit PowerShell verwaltenWährend man früher Tools wie makecert.exe benö­tigte, um selbst­signierte Zerti­fikate aus­zustellen, kann Power­Shell diese Auf­gabe seit Windows 8 und Server 2012 mit New-SelfSignedCertificate über­nehmen. Sie lassen sich etwa für die Client- und Server-Authenti­fizierung oder die Code-Signierung ver­wenden.

    PowerShell-Scripts signieren mit Zertifikaten einer AD-Zertifizierungsstelle

    Zertifikate mit PowerShell verwaltenUm die Authen­tizität von Scripts zu gewähr­leisten, kann sie PowerShell mit einer Signatur versehen. Dies ist eine Voraus­setzung dafür, um stren­gere Richt­linien für die Aus­führung von PowerShell-Code vorzu­geben. Das erfor­derliche Zerti­fikat kann man bei intern ent­wickel­ten Scripts über eine AD-basierte CA aus­stellen.

    Ausführungsrichtlinien (Execution Policy) für PowerShell-Scripts über GPO setzen

    PowerShell SecurityDie Ausführung von PowerShell-Scripts lässt sich über Richt­linien ein­schränken, standard­mäßig wird sie blockiert. Während die vom Admin interaktiv gesetzte Execution Policy von jedem User aufge­hoben werden kann, ist die Konfi­guration per GPO nach­haltiger. Sicher­heit gegen bös­willige User bietet sie aber trotz­dem nicht.

    Zertifikat für IIS und Exchange mit Lets Encrypt ausstellen

    Logo Let's EncryptFür öffentlich zugäng­liche Web­sites sind SSL-Verbin­dungen mittler­weile Standard, und Ähnliches sollte auch für Exchange gelten. Let's Encrypt betreibt eine freie CA, die Zerti­fikate nicht nur kosten­los, sondern auch weit­gehend automa­tisiert ausstellt. Diese Anleitung zeigt das Vorgehen für IIS und Exchange.

    Webinar: Herkunft von Produkten nachverfolgen mit Blockchain

    Herkunft von Lebensmitteln zurückverfolgenDie Blockchain-Techno­logie erobert viele Anwen­dungen jen­seits von Krypto-Währungen, durch die sie bekannt ge­worden ist. Ihr Ein­satz bietet sich beson­ders in der Logis­tik und bei Liefer­ketten an, wo global ver­teilte Partner invol­viert sind. Block­chains helfen dort, Produkte zuver­lässig bis zum Ur­sprung zurück­zu­ver­folgen.

    Zertifikate mit PowerShell analysieren: ThumbPrint, Ablaufdatum, Aussteller, Private Key, Hash-Algorithmus

    Zertifikate mit PowerShell verwaltenZertif­ikate sind zweifel­los eine kri­tische Kompo­nente der IT-Infra­struktur. Laufen sie ab, dann kann dies zum Aus­fall von Diensten führen. Wurden sie mit einem schwachen Hash-Algo­rithmus signiert, stellen sie ein Sicher­heits­risiko dar. Diese und andere Infor­ma­tionen lassen sich mit PowerShell effizient aus­lesen.

    WSUS für SSL-Verbindung konfigurieren

    WSUS für SSL konfigurierenMicrosoft em­pfiehlt, die Kommu­nikation der Windows Server Update Services (WSUS) mit Clients und ab­hängigen WSUS-Servern über SSL abzu­sichern. Dafür müssen ein Zerti­fikat installiert, die IIS angepasst, die Clients via GPO auf die korrekte URL verwiesen und die MMC-Konsole konfiguriert werden.

    Outlook-Kontakte verschwinden nach Import vom globalen Adressbuch

    Der Import von Kontakten aus dem globalen Adressbuch macht sie offline verfügbar.Das Über­tragen von Kon­takten aus dem glo­balen in das per­sön­liche Adress­buch kann Sinn machen, wenn diese bei schlechter Ver­bindung zum Exchange-Server lokal in Outlook ver­fügbar sein sollen. Aller­dings kann es dabei vor­kommen, dass eben impor­tierte Kon­takte sofort wieder aus Outlook ver­schwinden.

    SSL-Zertifikat für IIS und WSUS installieren auf Server Core

    Zertifikat-SymbolServer Core ist mittler­weile die von Micro­soft em­pfohlene Instal­lations­variante für Infra­struktur­dienste wie AD, File Services, WSUS oder Web-Server. Benötigt man für Letztere ein Zerti­fikat, dann kann man es dort nicht über die GUI-Tools direkt installieren. Diese An­leitung zeigt ein Core-taug­liches Ver­fahren.

    Seiten