Zertifikatvorlagen in der Windows-PKI verwalten

    ZertifikatvorlagenkonsoleSobald man die Rolle Zertifikatdienste auf einem Windows-Server installiert hat, stehen vorinstallierte Standard-Zertifikatvorlagen zur Verfügung, auf denen basierend die Clients Zertifikate anfordern können. Diese decken typische Szenarien ab, Administratoren haben jedoch oft differenziertere Anforderungen an die Vorlagen. Dann modifiziert man die Vorlagen oder erstellt auf ihrer Basis neue für die Organisation.

    Datenausführungsverhinderung (DEP) konfigurieren oder abschalten

    Datenausführungsverhinderung (Data Execution Prevention, DEP)Die Unterstützung für Da­ten­aus­füh­rungs­ver­hin­de­rung (Data Execution Prevention, DEP) hat Microsoft mit Windows XP SP2 beziehungsweise Windows Server 2003 SP1 eingeführt. Seitdem ist sie bei allen Windows-Versionen dabei. Es handelt sich um eine Technik zur Vermeidung schädlicher Auswirkungen von Buffer Overflows, bei denen Daten als Code ausgeführt und auf diese Weise potentiell Schadcode gestartet werden könnte.

    Virtuelle Maschinen mit Near CDP kontinuierlich sichern

    Near CDP in Altaro VM BackupModerne Backup-Tools für virtu­elle Maschinen können die Inter­valle zwischen den Sicherungen auf wenige Minuten redu­zieren. Diese Fähig­keit wird häufig als Near Continuous Data Protection (CDP) be­zeichnet. Damit lässt sich der Recovery Point Objective (RPO) gering halten, ohne den Speicher­bedarf über­mäßig zu erhöhen.*

    Tools für das PC-Management: CA, BMC, HP, IBM, Microsoft im Vergleich

    Magischer Quadrant für PC Configuration Lifecycle ManagementDie Gartner Group hat ihre jährlich aktualisierte Herstellerübersicht im Bereich PC Configuration Lifecycle Management (PCCLM) veröffentlicht. Die dort berück­sich­tig­ten Anbieter sind die gleichen wie im letzten Jahr, aber die Anforderungen der Analysten haben sich deutlich geändert. Die neu angelegten Kriterien orientieren sich hauptsächlich an neuen Entwicklungen am Client, etwa der Desktop-Virtualisierung und der stärkeren Nutzung von mobilen Geräten.

    Zertifikat-Management mit certutil automatisieren

    Die Batch-Datei für makecert.exe und certutil.exeDie Arbeit mit einer gut gestalteten GUI in Kommandozeilenwerkzeugen abzubilden ist nicht einfach, das Ergebnis wird oft trotzdem als unkomfortabel empfunden. Anders ist es bei immer wiederkehrenden Aufgaben, wie etwa der Erstellung und Verteilung von Computer-Zertifikaten innerhalb einer Arbeitsgruppe. Hier muss man ersteres ohnehin per Kommandozeile erledigen – da spart es Zeit und Nerven, auch die Verwaltung der Zertifikate per certutil.exe zu regeln.

    Fraunhofer-Studie: Thin Clients und PCs im Kostenvergleich

    Fat versus Thin ClientDas Fraunhofer-Institut für Umwelt-, Sicherheits- und Energietechnik (UMSICHT) hat im Auftrag des deutschen Thin-Client-Herstellers IGEL eine Studie (PDF) verfasst, die PCs und Thin Clients hinsichtlich ihrer Umweltverträglichkeit und Kosten vergleicht.

    Azure, Office 365, CRM Online: Microsoft legt Support-Richtlinien fest

    Microsoft Support PolicyFür Software, von der traditionell Lizenzen erworben und die in den Unternehmen installiert wird, existieren seit Jahren wohlbekannte Support-Richtlinien von Microsoft. Sie sehen für Business-Anwendungen einen 5 Jahre währenden Mainstream- und einen ebenso langen Extended Support vor. Bei Services aus der Cloud dagegen herrscht diesbezüglich jedoch wenig Klarheit. Microsoft veröffentlichte nun seine Support-Regeln für die Online-Services und versteht sich damit als Vorreiter der Cloud-Branche.

    Virtuelle Maschinen in VMware Player/Workstation über HTTP streamen

    Die VMware Workstation wartet nach dem Donload der .vmx-Datei auf den manuellen Start der VM.Seit der Version 6.5 bietet die VMware Workstation ein kaum beachtetes und ein nur unvollständig dokumentiertes Feature namens VM Streaming. Es dient dazu, den Inhalt einer vmdk-Datei von einem Web-Server über HTTP herunterzuladen. Dabei handelt es um keinen ordinären Download, vielmehr kann die VM bereits starten, während der Code noch im Hintergrund über das Netz kommt. Wenn eine VM immer wieder auf verschiedenen PCs benötigt wird, ist dies eine interessante Alternative zum lokalen Speichern auf allen Rechnern.

    IPsec in Arbeitsgruppen einrichten

    IPsec in ArbeitsgruppenIn einer Domäne ist IPSec – dank der zentralen Verwaltung und Anwendung der dazu gehörenden Richtlinien per Gruppenrichtlinien – schnell und vergleichsweise unkompliziert implementiert. Anders ist es, wenn man das sichere Protokoll zwischen Arbeitsgruppen-PCs verwenden will: Die entsprechenden Firewall-Richtlinien müssen bei jeder Maschine einzeln konfiguriert werden. Eine weitere zu meisternde Schwierigkeit ist die gegenseitige Authentifizierung der beteiligten Hosts. Diese erfolgt auf Computer-Ebene, bevor irgendwelche Benutzer-Logon-Daten ausgetauscht werden. In einer Domäne sorgt das Active Directory dafür, ohne dieses muss man selbst Hand anlegen.

    Zertifikatsdienste auf Server Core installieren

    Das Script SetupCA.vbs für die Eionrichtung der Zertifikatdienste auf Server CoreServer Core ist genau wie ein voll ausgebauter Windows-Server als CA verwendbar. Der Weg dahin ist führt jedoch um ein paar Ecken – mit der bloßen Installation einer Serverrolle ist es nicht getan. Für die Konfiguration als Zertifizierungsstelle braucht es ein paar Vorbereitungen und ein Script aus dem TechNet.

    Kostenlose Zertifikate mit makecert.exe erstellen

    makecert erstellt ein Root-ZertifikatEs gibt Fälle, bei denen sich der Arbeits-PC und sein Benutzerkonto nicht innerhalb einer PKI befinden, man aber dennoch gültige Zertifikate einer anerkannten Zertifizierungsstelle benötigt. Beispiele dafür sind etwa freiberufliche Entwickler, die zum Zwecke der Codesignatur oder des Testbetriebs von Web-Servern weder eine Domäne aufsetzen noch Zertifikate teuer erwerben wollen.

    Seiten