| |
Dienstag, 6. Februar 2007
Signierung von SMB Paketen konfigurieren Geschrieben von MCSE
in 70-293 um
12:11Kommentare (0) Trackbacks (0) Signierung von SMB Paketen konfigurieren
Das Server Message Block (SMB)-Protokoll ist die Basis für Microsoft-Datei- und Druckerfreigaben, aber auch die z. B. Remoteadministration.
SMB wird auf Linux-Servern durch das Samba-Paket bereitgestellt. Siehe auch: Zugriff von DOS, 9x oder Linux auf einen Windows 2003 Server Um zu verhindern das SMB-Pakete auf dem Weg der Übertragung verändert werden, unterstützt das SMB-Protokoll das digitale Signieren von SMB-Paketen. Eine Richtlinieneinstellung Abschnitt Computerkonfiguration der Default Domain Controller Policy bestimmt, ob die SMB-Paketsignierung ausgehandelt werden muss, bevor die weitere Kommunikation mit einem SMB-Server zugelassen wird. Für die Kommunikation mit "SMB Server von Drittanbietern" muss dies ausgehandelt und darf nicht erzwungen werden, also "Kommunikation digital signieren (wenn Server zustimmt)" und "Kommunikation digital signieren (wenn Client zustimmt)".  Die SMB Signierung ist damit eine gute Wahl um "man-in-the-middle" Angriffe auszuschließen. Beispiel: In einem Unternehmens-Netzwerk sind nach der Anwendung von HisecDC die Computer mit den Betriebssystemen Windows NT 4.0 und Windows 98 nicht in der Lage sind mit den Domänencontrollern zu kommunizieren. Hier wird nämlich dann in der DC-Policy signiertes SMB befohlen:   Dies lässt sich sehr einfach auch als Option konfigurieren, so dass die alten Clients auch mit dem DC kommunizieren können:  
Dienstag, 6. Februar 2007
SAM-Kennwort-Daten mit Syskey ... Geschrieben von MCSE
in 70-293 um
10:18Kommentare (0) Trackbacks (0) SAM-Kennwort-Daten mit Syskey verschlüsseln
"syskey.exe" ist ein Utility um die SAM-Datenbank mit 128 Bit zu verschlüsseln und wurde als optionales Feature mit Windows NT 4.0 an SP2 verfügbar. Man sollte selbst dann nicht an die Passworte gelangen, wenn man eine Kopie der SAM hat und dann offline versucht an die Passwörter zu kommen. Allerdings ergab eine kryptoanalytische Untersuchung der Algorithmen Ende 1999 dass man mit Brute-Force-Angriffen trotzdem an ein gültiges Passwort kommen könnte.
Wenn man seine Kontodatenbank mit Hilfe von "syskey.exe" verschlüsselt kann man mehr Sicherheit erreichen. Diese Änderungen kann man aber nicht mehr rückgängig machen!   Man kann auch ein eigenes Systemkennwort vergeben, dass beim Start noch vor der Anmeldung abgefragt wird.  Zusätzlich kann eine Server auch noch weiter gesichert werden, in dem man einen Schlüssel auf einer Diskette speichert. Ohne diese Diskette ist dann ebenfalls kein Zugang zum Server mehr möglich. 
Montag, 5. Februar 2007
Zertifikatsbasierte IEEE 802.1x WLAN ... Geschrieben von MCSE
in 70-293 um
14:28Kommentare (0) Trackbacks (0) Zertifikatsbasierte IEEE 802.1x WLAN Authentifizierung
Voraussetzung für die zertifikatsbasierte Authentifizierung der Client-Computer bei eine Zertifizierungsstelle (CA) im Netzwerk ist die Installation eines Zertifikates.
Eine Möglichkeit ist hier einfach unter Verwendung einer Diskette auf jedem der Computer ein Computer ein Zertifikat abzulegen. Alternativ kann man den Client auch kurz über ein Kabel anschließen und das benötigte Zertifikat auf den Client kopieren, auf jeden Fall muss das Zertifikat irgendwie da drauf. Montag, 5. Februar 2007
Emergency Management Services (EMS) Geschrieben von MCSE
in 70-293 um
14:22Kommentare (0) Trackbacks (0) Emergency Management Services (EMS)
Um Server auch dann noch fernadministrierbar zu haben, wenn das Betriebssystem ausfällt und die Wiederhestellungskonsole benutzt werden soll, kann man die Emergency Management Services verwenden.
Dazu muss man die Boot.ini editieren und den Parameter /redirect einfügen. Die für die unbeaufsichtigten Installation von Windows vorgesehen Datei "winnt.sif" muss dann noch um die Parameter und EMSBaudRate für die die Aktivierung der EMS ergänzt, damit die Notfallkonsole vom Terminal-Server (Terminalkonzentrator) angesprochen werden kann. Natürlich sollte man für den normalen Betrieb die Remotedesktopverbindung zur Remote-Administration verwenden. |
SucheKategorien |
Loopback