Windows WinRM über HTTPs

Windows Remote Management ist in den heutigen Zeiten nicht mehr Weg zudenken. Aber warum machen wir es unverschlüsselt? Normalerweise erfolgt die Authentifizierung über Kerberos. Das ist für die meisten Sicher genug. Kerberos hat aber auch Einschränkungen, zum Beispiel wenn lokale Konten benutzt werden sollen.

Im Standard erfolgt die Kommunikation per HTTP über den TCP Port 5985. Warum nicht HTTPS? Der möglich ist das, der Port TCP 5986 ist dafür vorgesehen. Leider fehlt der nicht nur in den Firewall-Regel Vorlagen, sondern hat auch ein paar Hürden, die noch im weg stehen. Um diese Hürden kümmern wir uns heuten.

„Windows WinRM über HTTPs“ weiterlesen

CodeSigning Zertifikate mit Windows Server 2019 Zertifikatsdienste

CodeSigning Zertifikate gibt es für verschiedene Zwecke. Jeder dieser Zwecke hat bestimmte Anforderungen, wie zum Beispiel die Klasse des Zertifikat (Klasse 1,2 oder 3), oder die Überprüfbarkeit. Manche CodeSigning Zertifikate müssen von Bestimmten Zertifizierungsstellen, zum Beispiel öffentlichen, ausgestellt sein, zum Beispiel Kernelmode-Treiber.

„CodeSigning Zertifikate mit Windows Server 2019 Zertifikatsdienste“ weiterlesen

Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019

Zertifizierungsstellen können sehr verschieden eingerichtet sein. Es gibt keine Anleitung, die für alles passt, aber ich sage Ihnen für welches Szenario sie geschrieben wurde. Entsprechend müssen Sie es nur noch für Ihre Situation anpassen.

Wichtiger Hinweis

Wichtig: Machen Sie vorher ein Backup und planen Sie ihre Schritte! Auch übernehme ich keine Gewährleistung oder Support falls etwas schief geht.

„Umzug einer Windows Zertifizierungsstelle von 2012R2 auf Windows Server 2019“ weiterlesen

Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows

Seit Windows Server 2012 ist es möglich den Bitlocker automatisch zu entsperren, wenn der Computer in einem Vertrauten Netzwerk ist. Dies hat den Vorteil, dass Computer außerhalb des Unternehmens Netzwerkes mit BitLocker und einer Pin bzw. einer erweiterten Pin geschützt sind.

„Bitlocker Netzwerkentsperrung mit Windows Server 2016 und Windows“ weiterlesen

Virtuelle SmartCards mit Windows 10

In vielen Unternehmen wir gerne für besonders schützenswerte Anwendungen die zusätzliche Verwendung von Smartcards vorgeschrieben. Smartcards bedeutet immer extra Lesegeräte und extra Smartcards. Seit Windows 8 gab es die Möglichkeit dies durch Virtuelle Smartcards zu ersetzten. Mit Windows 10 wurde das Ganze noch etwas erweitert. Virtuelle Smartcards können wie normale Smartcards genutzt werden, zum Beispiel zur Anmeldung an Windows, an Webseiten oder zur Authentifizierung als zweiter Faktor zu Benutzername und Kennwort.

„Virtuelle SmartCards mit Windows 10“ weiterlesen

Windows PKI: Root CA Zertifikat und Issuing CA Zertifikate erneuern

In meinem System Center Umfeld werde ich regelmäßig mit dem Thema PKI konfrontiert. In einem entsprechenden Projekt steht die Erneuerung von Root CA Zertifikat und der untergeordneten ausgebenden Zertifizierungsstellenzertifikate an.

Aus diesem Anlass hier eine kurze Anleitung welche Schritte dabei zu bearbeiten sind.

Situation:

In meinem Szenario beschreibe ich die Vorgehensweise für eine 2-Stufige PKI. Der Einfachheit halber mit einer Offline Root CA und einer Ausgebenden Unternehmenszertifizierungsstelle.

Beide CA sollen ins AD und auf einen Webserver publizieren.

Vorarbeit – Namenssuffix der CRL anpassen auf Root CA und Ausgebender CA

Für eine Übergangszeit werden zwei voneinander unabhängige Vertrauensketten Gültigkeit haben. Ergo benötigt man zwei getrennte CRL Files. Ohne Anpassung des CRL Suffixes funktioniert das leider nicht. Mit einem Certutil Befehl lässt sich das Ziel erreichen:
„Windows PKI: Root CA Zertifikat und Issuing CA Zertifikate erneuern“ weiterlesen

Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 2 – Erstellen der unter geordneten CA

Dies ist Teil 2 der Reihe „Installation einer Zertifizierungsstelle unter Windows Server 2012R2“. Teil 1, ist das Einrichten einer Offline-CA. Dieser Teil behandelt die untergeordnete Active Directory Integrierte Zertifizierungsstelle. „Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 2 – Erstellen der unter geordneten CA“ weiterlesen

Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 – Die Offline Root-CA

Ich empfehle Ihnen vorher den Artikel „Grundlegendes einer Zertifizierungsstellen (CA)“ zu lesen. In diesem Artikel beschreibe ich Ihnen wie Sie eine interne Zertifizierungsstelle unter Windows Server 2012R2 einrichten. Wie in dem Artikel über die Grundlagen von Zertifizierungsstellen beschrieben, richte auch ich zuerst eine Offline Root-CA ein. Dafür wird eine Virtuelle Windows Server 2012R2 Maschine benötigt. Diese sollte unter keinen Umständen Mitglied der Domäne sein.
„Installation einer Zertifizierungsstelle unter Windows Server 2012R2 Teil 1 – Die Offline Root-CA“ weiterlesen

Grundlegendes einer Zertifizierungsstellen (CA)

Bevor Sie mal eben schnell eine CA einrichten, sollten Sie vorher über ein paar Dinge nachdenken. Ist eine Interne CA überhaupt, dass was Sie benötigen? Ergeben sich aus Ihren Sicherheitsanforderungen der Bedarf nach einer Offline Root-CA? Sollen / müssen die Zertifikate im Internet auf Ihre Gültigkeit geprüft werden können? Welche Arten von Zertifikaten benötigen Sie? Welche Menge an Zertifikaten benötigen Sie?
„Grundlegendes einer Zertifizierungsstellen (CA)“ weiterlesen

SSTP unter Windows Server 2012

Das Secure Socket Tunneling Protocol (SSTP) nutzt einen SSL Verschlüsselten Tunnel um eine VPN-Verbindung aufzubauen. Genutzt wird wie für HTTPS der Port 443 (TCP). So kann die Verbindung auch über die meisten Firewalls hinweg aufgebaut werden, ein guter Vorteil wenn man viel unterwegs ist. Da PPTP nicht mehr ganz sicher ist, kann SSTP eine gute Alternative

Das Secure Socket Tunneling Protocol (SSTP) nutzt einen SSL Verschlüsselten Tunnel um eine VPN-Verbindung aufzubauen. Genutzt wird wie für HTTPS der Port 443 (TCP). So kann die Verbindung auch über die meisten Firewalls hinweg aufgebaut werden, ein guter Vorteil wenn man viel unterwegs ist. Da PPTP nicht mehr ganz sicher ist, kann SSTP eine gute Alternative für eine sichere Verbindung „SSTP unter Windows Server 2012“ weiterlesen