PKI: Verwenden eines HSM
Um den privaten Schlüssel einer RootCA sicher abzulegen kann man auch sog. „HSM“ (= Hardware Security Module) verwenden. Es gibt verschiedene Modelle von HSMs, manche haben die Größe eines Servers und sind für eine...
Um den privaten Schlüssel einer RootCA sicher abzulegen kann man auch sog. „HSM“ (= Hardware Security Module) verwenden. Es gibt verschiedene Modelle von HSMs, manche haben die Größe eines Servers und sind für eine...
Seit April 2023 verteilt Microsoft das LAPS (= „Local Administrator Password Solution„) auf aktuelle Systeme per Windows-Update. Es wurden unter der Haube ein paar Funktionen hinzugefügt, letztlich soll das Einrichten und Verwenden von LAPS...
In diesem Beitrag wird eine zweistufige PKI (Zertifizierungsstelle) eingerichtet. Ich orientiere mich hierbei an der dreiteiligen Anleitung von „Frankys Web“: Was ist eine PKI und was bedeutet „zweistufig“? Eine zweistufige PKI besteht aus einer...
Im Rahmen des sog. „Privileged Access Management“ gibt es ab Windows Server 2016 die Möglichkeit auch zeitbasierte Gruppenzugehörigkeit (engl.: „Timebased groupmembership“) zu verwenden. Standardmäßig ist dieses Feature deaktiviert und muss nachträglich aktiviert werden. Der...
Die ADMX-Templates (gibt es bspw. von Microsoft oder bei Group Policy Administrative Templates (admx.help)) werden standardmäßig im lokalen Speicher abgelegt. Es gibt aber auch einen zentralen Speicher. Sobald man das erste Template im zentralen...
Möchte man einen Domain-Controller vollständig außer Betrieb nehmen, bspw., weil die Hardware oder das Betriebssystem zu alt ist, so sollte man diesen zu erst sauber aus der Domäne rauskonfigurieren, bevor man das Computerobjekt in...
Jeder Windows Client und Server hat automatisch bei der Installation einen lokalen Administrator. Häufig werden für diese Accounts die Kennwörter nie geändert oder sogar vergessen. Das stellt natürlich ein Sicherheitsrisiko dar. Microsoft hat hierfür...
Wenn man neue GPOs anlegt und sich dann wundert, warum diese auf dem Zielsystem nicht greifen, kann das an der Verarbeitungsreihenfolge liegen bzw. dass die neue GPO von einer anderen GPO „ausgehebelt“ wird. Die...
Häufig passiert es gerade in virtuellen Testumgebungen, dass beim Starten des (einzigen) Domain Controllers das Firewall-Profil auf „Private“ anstelle „Domain“ steht. Hintergrund ist, dass der Dienst „NLA“ (= „Network Location Awareness“) gestartet ist, bevor...
Wie überall schadet es auch einem Active Directory nicht, wenn man es hin & wieder mal prüft und nicht mehr benötigte Dinge (bspw. alte Computer-Accounts oder Benutzeraccounts von ehem. Mitarbeitern) aufräumt. Man kann dies...