Know-how

    Zertifikat-Management mit certutil automatisieren

    Die Batch-Datei für makecert.exe und certutil.exeDie Arbeit mit einer gut gestalteten GUI in Kommandozeilenwerkzeugen abzubilden ist nicht einfach, das Ergebnis wird oft trotzdem als unkomfortabel empfunden. Anders ist es bei immer wiederkehrenden Aufgaben, wie etwa der Erstellung und Verteilung von Computer-Zertifikaten innerhalb einer Arbeitsgruppe. Hier muss man ersteres ohnehin per Kommandozeile erledigen – da spart es Zeit und Nerven, auch die Verwaltung der Zertifikate per certutil.exe zu regeln.

    IPsec in Arbeitsgruppen einrichten

    IPsec in ArbeitsgruppenIn einer Domäne ist IPSec – dank der zentralen Verwaltung und Anwendung der dazu gehörenden Richtlinien per Gruppenrichtlinien – schnell und vergleichsweise unkompliziert implementiert.

    Zertifikatsdienste auf Server Core installieren

    Das Script SetupCA.vbs für die Eionrichtung der Zertifikatdienste auf Server CoreServer Core ist genau wie ein voll ausgebauter Windows-Server als CA verwendbar. Der Weg dahin ist führt jedoch um ein paar Ecken – mit der bloßen Installation einer Serverrolle ist es nicht getan. Für die Konfiguration als Zertifizierungsstelle braucht es ein paar Vorbereitungen und ein Script aus dem TechNet.

    Kostenlose Zertifikate mit makecert.exe erstellen

    makecert erstellt ein Root-ZertifikatEs gibt Fälle, bei denen sich der Arbeits-PC und sein Benutzerkonto nicht innerhalb einer PKI befinden, man aber dennoch gültige Zertifikate einer anerkannten Zertifizierungsstelle benötigt. Beispiele dafür sind etwa freiberufliche Entwickler, die zum Zwecke der Codesignatur oder des Testbetriebs von Web-Servern weder eine Domäne aufsetzen noch Zertifikate teuer erwerben wollen.

    VMs in VMware Workstation herunterfahren: Ausschalten, Reset, Suspend

    VMware bietet 9 Optionen, um eine VM ein- oder auszuschaltenWindows bietet schon selbst genug Optionen, um das System auszuschalten oder in einen Ruhezustand zu versetzen. Läuft es als Gast in einer VMware Workstation, dann kommen über die Virtualisierungs-Software gleich 9 Befehle dazu, um eine VM zu starten oder zu beenden. Wie fährt man also eine VM richtig herunter?

    Hierarchischer Aufbau einer Windows-PKI

    PKI mit 2-Stufen-Layout (Quelle: Microsoft)Die hier als einfaches Beispiel für eine Microsoft-PKI dienende Zertifizierungsstelle kann nicht als Beispiel für Planung oder Design dienen: Beides ist in diesem Sinne nicht vorhanden, es wurde lediglich ein Service auf einem Active-Directory-Server installiert und konfiguriert. In der Praxis reicht so ein Setup selten aus: Sicherheitstechnisch sollte man sowohl die Zertifizierungsstelle von Servern mit anderen Rollen physisch trennen als auch ihre Komponenten untereinander.

    regedit.exe direkt bei einem Pfad oder Schlüssel öffnen

    Viele dokumentierte und undokumentierte Einstellungen von Windows lassen sich bis heute nicht über die grafische Oberfläche vornehmen, sondern erfordern, dass Schlüssel in der Registry angelegt oder ihre Werte neu gesetzt werden. Das Tool dafür ist unter den Windows-Bordmitteln regedit.exe, in dem man sich jedoch umständlich durch ellenlange Pfade navigieren muss, bevor man an der gewünschten Position anlangt. Einfacher geht es mit regjump von Sysinternals.

    IPSec mit Windows 7 und Windows Server 2008 R2

    Per IPSec verschlüsselte Telnet-VerbindungDie Klartext-Übertragung sensibler Daten will man im lokalen Netzwerk nicht haben, da ein beliebiger Netzwerk-Sniffer ausreicht, um die mitzulesen. Eine Strategie dagegen kann sein, auf sichere Protokolle umzusteigen, etwa im Intranet nur noch HTTPS statt HTTP zu verwenden. Wenn das mit den vorhandenen Anwendungen nicht möglich ist, bietet sich an, den gesamten Datenverkehr mit IPSec auf der Vermittlungsschicht (internet layer) des TCP/IP-Protokollstapels zu verschlüsseln.

    PowerShell-ExecutionPolicy setzen, Scripts signieren und ausführen

    Unsignierte Scripts werden von PowerShell nicht ausgeführtIn der Vorein­stellung ist Power­Shell kompr­omiss­los auf Sicher­heit getrimmt: Man kann generell keine Scripts ausführen, nur die Shell interaktiv benutzen. Damit soll ver­hindert werden, dass Schad­code ausge­führt und ein Computer oder Benutzer­konto dadurch kompro­mittiert wird.

    Zertifikat-Richtlinien für Benutzer und Gruppen

    ZertifizierungsstelleNach der Ein­richtung einer Zertifi­zierungs­stelle ohne weitere Konfi­guration stehen zunächst alle Zertifikat­typen allen dafür geeigneten Benutzern und Computern der dafür konfigurierten OU zur Verfügung und werden auf Anfor­derung auto­matisch ausge­stellt. Für bestimmte Zertifikat­typen wie etwa Basis-EFS ist das auch sinnvoll, jedoch will man für die meisten anderen Zertifikat­typen diese Berechtigungen feiner abstufen.

    Seiten