MCSE Training and Certification - 70-293

Sicherheitsvorlage für Dateiserver erstellen

nospam@example.com (MCSE) — Fri, 16 Feb 2007 11:45:00 +0100

Beispiel: Für die Dateiserver soll eine Sicherheitsvorlage erstellt werden, die den Dienstanweisungen genügt. Dies soll hier beispielhaft mal mit einigen Einstellungen vorgemacht werden.

Zunächst einmal wird die neue Sicherheitsvorlage in der Microsoft Management Console mit dem Snap-In Sicherheitsvorlagen erstellt:

Alle erfolgreichen Anmeldeversuche und Anmelde-Ereignisse, also sowohl an diesem Server als auch an einem Mitgliedsserver in der Domäne sollen im Sicherheitsprotokoll notiert werden:

Unsere Dienstanweisung sieht ein 10 MB grosses Logfile vor das automatisch überschrieben wird wenn diese Größe erreicht wird:

Zu Wartungszwecken sollen sich an einem Dateiserver nur Administratoren und Hilfsgruppenmitglieder direkt lokal anmelden können:

Ausgestellte Zertifikate sperren und Sperrliste veröffentlichen

nospam@example.com (MCSE) — Wed, 14 Feb 2007 13:32:27 +0100

Ausgestellte Zertifikate können in der Verwaltung der Zertifizierungsstelle gesperrt werden. Ein Grund kann dazu angegeben werden um den Vorgang besser nachvollziehbar zu halten.

Um die Zertifikatssperrliste umgehend zu aktualisieren muss die Sperrliste veröffentlicht werden. Dies kann entweder inkrementell (Deltasperrliste) oder komplett (neue Sperrliste) erfolgen. In kleineren Public-Key-Infrastrukturen sollte sicherheitshalber eine neue Sperrliste erzeugt werden:

Smartcard-Zertifikate mit Zertifizierungsstelle ausstellen

nospam@example.com (MCSE) — Wed, 14 Feb 2007 12:18:51 +0100

Die Zertifizierungsstelle enthält auch eine Vorlage für die Ausstellung von Smartcard-Zertifikaten, die man zunächst einmal hinzufügen muss, dort sind auch Codesignatur oder Exchange-Benutzer wählbar.

Dann kann auf der lokalen Webseite des Zertifizierungsstelle das gewünschte Smartcard-Zertifikat angefordert werden:

Für die Zertifizierungsstelle kann außerdem eingestellt werden, wer alles Zertifikate zum Active Directory hinzufügen dürfen soll. An dieser Stelle kann man sich als Administrator übrigens auch selbst aussperren, dies ist nur mit einer Neuinstallation der Zertifizierungsstelle zu beheben. Daher wählen wir hier als Beispiel den Administrator als den einzigen mit dieser Autorität:

Webserverzertifikat "*.cer" in IIS installieren

nospam@example.com (MCSE) — Tue, 13 Feb 2007 15:13:24 +0100

In der Verwaltung des IIS muss zunächst einmal ein Zertifikat bestellt werden, nur so weiss der IIS welches Zertifikat noch aussteht! Man bekommt eine Textdatei die an die Zertifizierungsstelle geschickt wird und bekommt von dort eine "*.cer"-Datei zurück.

Dieser Vorgang entfällt bei einer Online-Zertifizierungsstelle völlig! Hier läuft der Assistent komplett durch und der Server hat sein Zertifikat. Bei diesem Ablauf ist der Dialog wie unten mit dem ausstehenden Zertifikat nicht zu sehen.

In der Verwaltung des IIS kann für die Standardwebsite nun der Port 443 für das https-Protokoll eingestellt werden, wenn dies noch nicht der Fall sein sollte. Das Zertifikat kann wie gesagt nur aus einer Datei mit einem Assistenten hinzugefügt werden, wenn es vorher auf diesem Wege bestellt wurde.

Der Assistent fragt nun nur noch das ausstehende Zertifikat für den Webserver ab. Man muss dazu nur wissen wo man es gelassen hat.

IIS-Installation (Webhosting) mit GPO verhindern für OU

nospam@example.com (MCSE) — Tue, 13 Feb 2007 14:07:37 +0100

Beispiel: In einem Unternehmen installiert sich die Marketing-Abteilung gerne mal einen Webserver zu Präsentationszwecken. Das dies aber ein Sicherheitsrisiko darstellt soll es mit einer schon für die "Marketing_OU" erstellten "Marketing_GPO" verhindert werden.

Im GPMC wird die Marketing_GPO mit der Marketing_OU verknüpft:

In der Marketing_GPO wird nun die Installation des IIS (Internet-Information-Server für das Webhosting) in den Administrativen Vorlagen der Windows-Software verboten: