Verloren gegangene Schlüssel mit dem Key Recovery Agent wiederherstellen

    Details einer mit EFS verschlüsselten DateiHat man die vorbereitenden Schritte erledigt, also Key Recovery Agents und die Schlüssel­archi­vierung für seine Zertifizierungsstelle eingerichtet, ist man fast in der Lage, auf den Hilferuf eines Benutzers wegen eines verloren gegangenen Schlüssels zu reagieren, etwa wenn er nach einer Neuinstallation des OS nicht mehr an seine EFS-verschlüsselten Daten herankommt. Es fehlt nur noch an einer Kleinigkeit – die Zertifikate der Benutzer müssen auf Schlüsselarchivierung umgestellt werden, und zwar bevor man eine Schlüsselwiederherstellung braucht.

    Schlüsselarchivierung für eine Zertifizierungsstelle einrichten

    Aktivierung der Schlüsselarchivierung (Detail)Hat man einen oder mehrere Administratoren berechtigt, als Key Recovery Agents zu fungieren, können diese Zertifikate anfordern, um sie für die Schlüsselwiederherstellung zu verwenden. Damit die Schlüsselarchivierung funktioniert, ist seitens der Zertifizierungsstelle noch zusätzliche Konfiguration vonnöten. Im Wesentlichen handelt es sich um zwei Schritte, die erledigt sein müssen:

    Windows-Cluster und Storage Spaces Direct mit StarWind Manager überwachen

    StarWind ManagerStarWind liefert mit seinem Manager ein Tool zur Echt­zeit­über­wachung von Cluster-Knoten, und auch für Storage Spaces Direct. Es erlaubt ein Monitoring des Ver­bundes im Web-Browser und zeigt unter anderem den Health Status. Künftig wird StarWind auch das Manage­ment solcher Umgebungen unter­stützen.*

    Einrichten eines Key Recovery Agent (KRA)

    Die KRA-StandardvorlageInnerhalb einer PKI spielt der Key Recovery Agent eine wichtige Rolle. Es handelt sich hierbei um einen Administrator, der für die Wiederherstellung von Zertifikaten im Namen eines Endbenutzers autorisiert ist. Da ein Key Recovery Agent mit vertraulichen Daten in Berührung kommen, dürfen nur vertrauenswürdige Personen mit dieser Aufgabe betraut werden. Nur Domänen-Admins oder Mitglieder einer entsprechenden Gruppe können einen KRA bestimmen.

    Mehrere Netzwerkadapter im PC

    Default Route teaserKlassische Desktop-PCs besitzen in der Regel genau einen Netzwerkadapter. Für Notebooks sind meist 2 Adapter Standard – ein drahtloser und ein klassischer, und virtuelle Geräte können sowieso ohne größeren Aufwand je nach Bedarf bestückt werden. Sobald mehr als beide Adapter belegt sind, stellt sich dann die Frage, welcher davon für welchen Datenverkehr zuständig ist.

    Mit WinRE Registry offline editieren

    Offline Registry TeaserEiner der nützlichsten Eigenschaften von WinRE ist das Vorhandensein vollwertiger Werkzeuge zur Registry-Bearbeitung. Fährt ein PC wegen einer Fehlkonfiguration nicht mehr hoch und kann auch der abgesicherte Modus nicht helfen, dies zu reparieren, lässt sich unter WinRE der Registry-Editor verwenden, etwa um fehlerhafte Treiber zu deaktivieren, einen Festplatten-Check zu veranlassen oder eine gerade vorgenommene Änderung wieder rückgängig zu machen.

    Windows Virtual PC: Dateien und Speicherorte für virtuelle Maschinen

    Rückgängig-Datenträger aktivierenWindows Virtual PC ist die in Windows 7 enthaltene Ausführung von Virtual PC und der Nachfolger der Version 2007. Sie bringt eine Reihe neuer Funktionen, die gemessen an Produkten anderer Hersteller nicht gerade sensationell sind, aber im Vergleich zu VPC 2007 einen erheblichen Fortschritt bedeuten. Zu den Neuerungen gehört auch die engere Integration in das Betriebssystem, die allerdings verschleiert, welche Dateien an welchem Ort für eine VM zuständig sind.

    Zertifikatvorlagen in der Windows-PKI verwalten

    ZertifikatvorlagenkonsoleSobald man die Rolle Zertifikatdienste auf einem Windows-Server installiert hat, stehen vorinstallierte Standard-Zertifikatvorlagen zur Verfügung, auf denen basierend die Clients Zertifikate anfordern können. Diese decken typische Szenarien ab, Administratoren haben jedoch oft differenziertere Anforderungen an die Vorlagen. Dann modifiziert man die Vorlagen oder erstellt auf ihrer Basis neue für die Organisation.

    Datenausführungsverhinderung (DEP) konfigurieren oder abschalten

    Datenausführungsverhinderung (Data Execution Prevention, DEP)Die Unterstützung für Da­ten­aus­füh­rungs­ver­hin­de­rung (Data Execution Prevention, DEP) hat Microsoft mit Windows XP SP2 beziehungsweise Windows Server 2003 SP1 eingeführt. Seitdem ist sie bei allen Windows-Versionen dabei. Es handelt sich um eine Technik zur Vermeidung schädlicher Auswirkungen von Buffer Overflows, bei denen Daten als Code ausgeführt und auf diese Weise potentiell Schadcode gestartet werden könnte.

    Tools für das PC-Management: CA, BMC, HP, IBM, Microsoft im Vergleich

    Magischer Quadrant für PC Configuration Lifecycle ManagementDie Gartner Group hat ihre jährlich aktualisierte Herstellerübersicht im Bereich PC Configuration Lifecycle Management (PCCLM) veröffentlicht. Die dort berück­sich­tig­ten Anbieter sind die gleichen wie im letzten Jahr, aber die Anforderungen der Analysten haben sich deutlich geändert. Die neu angelegten Kriterien orientieren sich hauptsächlich an neuen Entwicklungen am Client, etwa der Desktop-Virtualisierung und der stärkeren Nutzung von mobilen Geräten.

    Zertifikat-Management mit certutil automatisieren

    Die Batch-Datei für makecert.exe und certutil.exeDie Arbeit mit einer gut gestalteten GUI in Kommandozeilenwerkzeugen abzubilden ist nicht einfach, das Ergebnis wird oft trotzdem als unkomfortabel empfunden. Anders ist es bei immer wiederkehrenden Aufgaben, wie etwa der Erstellung und Verteilung von Computer-Zertifikaten innerhalb einer Arbeitsgruppe. Hier muss man ersteres ohnehin per Kommandozeile erledigen – da spart es Zeit und Nerven, auch die Verwaltung der Zertifikate per certutil.exe zu regeln.

    Seiten