none
Frage zu Netzwerkrichtlinien für VPN\SSTP-Einwahl: Bedingung nach Computernamen möglich? RRS feed

  • Frage

  • Hallo,

    ich habe einen Windows Server 2012 R2 und dort VPN-Einwahl über SSTP eingerichtet.
    Dort ist auch eine Netzwerkrichtlinie (über NPS) konfiguriert: 
    Bedingung "Windows Gruppe" .....

    Das funktioniert auch einwandfrei.

    Ich hätte aber gern noch weitere Bedingungen.
    Und zwar würde ich gern den Zugriff auf Domänencomputer eingrenzen.
    Wähle ich also in der vorhandenen Richtlinie zusätzlich noch "Computergruppen" aus, und gebe als Gruppe "Domänencomputer" an, dann ist keine Einwahl mehr möglich.
    Natürlich sind die Computer im AD registriert.
    Auch eine eigens erstellte Gruppe mit den Computern als Mitglieder funktioniert nicht.
    Was mache ich falsch?

    2. ergänzende Frage dazu:
    Es gibt eine handvoll PCs die nicht Mitglied der AD-Domäne sind. Diesen würde ich gern manuell den Zugriff
    erlauben. Bsp. mein Chef verwendet zu Hause einen "Privat"-Rechner. Gibt es eine Möglichkeit das ich zwar 
    erstmal nur Domänencomputer den Zugriff erlaube, aber zusätzlich noch eine Handvoll "fremde" PCs den Zugriff erlaube?
    zB: anhand dem PC Namen? Oder auch irgendwas anderes.... Vielleicht ein ClientZertifikat das derjenige braucht etc.

    Danke schonmal,

    Gruß,
    Coyo


    Donnerstag, 23. Juni 2016 09:36

Antworten

  • @Lennart

    Er will doch aber SSTP verwenden. Dein Vorschlag setzt aber L2TP mit IPSec voraus. Dann hat er doch wieder das Problem mit den ausgehenden Regeln fremder Firewalls.

    Auf der von dir verlinkten Seite steht: You must use certificate-based authentication for VPN connections based on Layer Two Tunneling protocol over Internet protocol security (L2TP/IPsec).

    Da finde ich den Vorschlag von Klaus Kroenert schon viel besser. Microsoft stellt dazu ein Dokument zur Verfügung: Understanding and Evaluating Virtual Smart Cards-Understanding and Evaluating Virtual Smart Cards. Damit kannst du zum einen bei SSTP bleiben und zum anderen hast du indirekt eine Computerauthentifizierung, denn nur wenn der Benutzer den Computer mit der virtuellen Smartcard verwendet, kann er die VPN-Verbindung aufbauen. Internet-Café, Kumpel usw. sind damit ausgeschlossen.


    Wenn dir meine Antwort nützt, kannst du "Als Antwort vorschlagen" anklicken. Warum? Das steht hier.

    Montag, 27. Juni 2016 09:23

Alle Antworten

  • Auf den ersten Blick würde ich sagen: das geht so nicht. Eine VPN-Verbindung wird immer vom Benutzer aufgebaut. Deshalb funktioniert deine Regel mit den Computergruppen auch nicht.

    Willst du Computer einschränken, bietet sich DirectAccess an. Das wird vom Computer aufgebaut und deshalb dienen zur Filterung auch Computergruppen.

    Eine Idee wären noch Verbindungssicherheitsrichtlinien in der Firewall.

    Eine auf Zertifikaten basierende Authentifizierung für Computer sollte möglich sein, ist aber auf eine Zertifizierungsstelle beschränkt.


    Wenn dir meine Antwort nützt, kannst du "Als Antwort vorschlagen" anklicken. Warum? Das steht hier.

    Donnerstag, 23. Juni 2016 09:49
  • Vielen Dank für deine Antwort.
    Wir würden gern bei SSTP bleiben. Damit haben wir bisher sehr gute Erfahrungen gemacht was zB. die Verbindung von Hotels oder von Kunden aus angeht. Bei DirectAccess spielen ja doch ein paar andere Ports noch ne Rolle.

    Dank deiner Erklärung weiß ich jetzt auch warum das mit der Computergruppe nicht funktioniert hat.

    Hast du da einen Anhaltspunkt wo ich Info's zum Thema Zertifkatsbasierende Authentifizierung für Computer finden kann? Wir hätten ein offizielles Wildcard-Zertifikat. Vielleicht könnte man damit was anfangen?

    Gruß,

    Coyo

    Donnerstag, 23. Juni 2016 12:03
  • Vergiss meine Idee mit den Verbindungssicherheitsrichtlinien - sie gelten nur für IPSec.

    Vielleicht können wir uns der Lösung von der anderen Richtung her nähern? Warum willst du bestimmten Computern eine VPN-Verbindung erlauben/verbieten? Warum reichen nicht die Benutzer?


    Wenn dir meine Antwort nützt, kannst du "Als Antwort vorschlagen" anklicken. Warum? Das steht hier.

    Donnerstag, 23. Juni 2016 12:23
  • Ich dachte mir, es wäre eine Erhöhung der Sicherheit wenn zusätzlich zu den Benutzerlogins auch noch die Rechner überprüft werden.
    Aber es gibt ein paar, wenige Benutzer die auch von zuhause arbeiten. Diese PCs sind eben nicht in der Domäne.
    Vielleicht übertreibe ich auch?
    Aber wie kann ich sonst verhindern, das ein Benutzer, zB: in einem Internet-Cafe, Kumpel oder sonstiges, eine VPN einrichtet (ist ja mit wenigen klicks gemacht)?
    Dann ist da womöglich das Kennwort für die VPN gespeichert und irgendjemand anderes kann die Verbindung in unser Netz benutzen. Damit fehlt zwar für die Server immer noch die weitere Anmeldung (Fileshare\rdp....) Aber auch das kann ja der Benutzer gespeichert haben.

    Habe ich da einen Denkfehler? Paranoia? 
    Mit Firmen\Verhaltensrichtlinien brauche ich da nicht kommen. Auch Gewalt androhen hab ich schon probiert ;) Aber was nicht verhindert wird, wird irgendwann "ausprobiert".

    Donnerstag, 23. Juni 2016 13:11
  • Am 23.06.2016 schrieb Coyote75:

    Vielen Dank für deine Antwort.
    Wir würden gern bei SSTP bleiben. Damit haben wir bisher sehr gute Erfahrungen gemacht was zB. die Verbindung von Hotels oder von Kunden aus angeht. Bei DirectAccess spielen ja doch ein paar andere Ports noch ne Rolle.

    Nö, Direct Access (zumindest ab 2012) spricht nur https. Andere Ports braucht man nicht. Deswegen hat man dann aber eventuell andere Problemchen und man benötigt die Windows Enterprise Edition.
    Trotzdem will ichs nicht mehr weggeben. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable application of high explosives.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Donnerstag, 23. Juni 2016 13:18
  • Dann wäre NAP (Network Access Protection) noch eine Alternative zu DirectAccess. Allerdings wird das ab Windows 10 / Server 2016 nicht mehr unterstützt. Ob du bis dahin noch ein totes Pferd reiten willst ...?

    Also doch DA.


    Wenn dir meine Antwort nützt, kannst du "Als Antwort vorschlagen" anklicken. Warum? Das steht hier.

    Donnerstag, 23. Juni 2016 13:32
  • Hmmm, ein paar Benutzer haben Windows 10 Prof.

    Mit Direct Access hatten wir letztes Jahr auch experimentiert. Aber einige Kollegen berichteten von Verbindungsschwierigkeiten in Hotel-WLANs, warum auch immer. Und da SSTP bisher ohne Probleme funktioniert, habe ich gehofft dabei bleiben zu können.
    Vielleicht muss ich doch auf die zusätzliche Überprüfung nach PCName usw. verzichten.

    Wäre das grob fahrlässig? Andererseits ist es vermutlich die gängige Praxis, oder?

    Grüße,

    Coyo

    Freitag, 24. Juni 2016 12:26
  • Am 24.06.2016 schrieb Coyote75:
    Hi,

    Mit Direct Access hatten wir letztes Jahr auch experimentiert. Aber einige Kollegen berichteten von Verbindungsschwierigkeiten in Hotel-WLANs, warum auch immer.

    Das kann man natürlich nie ausschließen, und auch mit SSTP kann dir immer irgendwo ein SSL Inspection System dazwischenfunken. Meine Kollegen und ich sind auch regelmässig in der Republik unterwegs und wirklich Probleme hab ich zumindest nicht gehört oder gesehen.

    Und da SSTP bisher ohne Probleme funktioniert, habe ich gehofft dabei bleiben zu können.

    Naja DirectAccess hat ja auch ein paar Vorzüge. ;)

    Wäre das grob fahrlässig? Andererseits ist es vermutlich die gängige Praxis, oder?

    Das mußt du dir überlegen, das kann ja niemand für dich entscheiden. ;)

    Bye
    Norbert

    Freitag, 24. Juni 2016 12:51
  • Hi,

    du könntest das mit Computerzertifikaten regeln. Die kriegen deine Domain Member ja sowieso schon. Für Non-Domain Member müsstest du die halt manuell pflegen...

    Hier ist das ganz gut beschrieben:
    https://technet.microsoft.com/en-us/library/cc772401(v=ws.10).aspx

    Gruß
    Lennart

    Freitag, 24. Juni 2016 13:23
  • Wir machen das so: Bei uns wird auch SSTP benutzt, allerdings können sich die Benutzer per VPN nur mit einer Smartcard (auch virtuelle Smartcard geht) anmelden.

    Bei der virtuellen Smartcard, wird das Zertifikat im TPM Chip gespeichert. Funktioniert sehr gut.
    Ansonsten kann man natürlich auch richtige Smartcards verwenden.

    • Als Antwort vorgeschlagen Klaus Kroenert Sonntag, 26. Juni 2016 22:13
    Sonntag, 26. Juni 2016 22:13
  • @Lennart

    Er will doch aber SSTP verwenden. Dein Vorschlag setzt aber L2TP mit IPSec voraus. Dann hat er doch wieder das Problem mit den ausgehenden Regeln fremder Firewalls.

    Auf der von dir verlinkten Seite steht: You must use certificate-based authentication for VPN connections based on Layer Two Tunneling protocol over Internet protocol security (L2TP/IPsec).

    Da finde ich den Vorschlag von Klaus Kroenert schon viel besser. Microsoft stellt dazu ein Dokument zur Verfügung: Understanding and Evaluating Virtual Smart Cards-Understanding and Evaluating Virtual Smart Cards. Damit kannst du zum einen bei SSTP bleiben und zum anderen hast du indirekt eine Computerauthentifizierung, denn nur wenn der Benutzer den Computer mit der virtuellen Smartcard verwendet, kann er die VPN-Verbindung aufbauen. Internet-Café, Kumpel usw. sind damit ausgeschlossen.


    Wenn dir meine Antwort nützt, kannst du "Als Antwort vorschlagen" anklicken. Warum? Das steht hier.

    Montag, 27. Juni 2016 09:23
  • Das mit den virtuellen Smartcards von Klaus Kroenert hört sich gut an.
    Ich lese mir das Dokument im Link von mslux mal durch.

    Vielen Dank für eure Hilfe
    Grüße,

    Coyo

    Montag, 27. Juni 2016 11:43
  • Indeed, das hab ich überlesen...
    Montag, 27. Juni 2016 13:50