none
Zertifikate für DC/Computer RRS feed

  • Frage

  • Kann mir jemand erklären, wozu genau die Computer-Zertifikate (für Server-, Client-Authentication) verwendet werden und was getan wird, wenn die Computer keien Zertifikate besitzen?

    Wenn die Domäne dann unsicher wäre, würde ich mal drauf tippen, dass dann die AD CA-Dienste standardmässig installiert würden... oder nicht?

    Rudolf

    Samstag, 5. März 2016 19:14

Antworten

  • Doch wenn keine Zertifikate vorhanden sind, dann wäre die Verbindung völlig unverschlüsselt. 

    Ja es gibt eine PKI light wenn man dass so sagen will. Dies sind die selbst erstellten Zertifikate der Rechner.

    Zertifikate bilden eigentlich nur die Basisplattform für eine sichere Infrastruktur und nicht die TOP Sicherheit.

    https://de.wikipedia.org/wiki/Public-Key-Infrastruktur

    Hier mal ein Video von uns wo wir die Angriffe auf E-Mail und die Verschlüsselung mit Zertifikaten zeigen.

    https://www.youtube.com/watch?v=1ELiN2wkYd8

    Gruß Benjamin 


    Benjamin Hoch
    MCSE: Data Platform
    MCSA: Windows Server 2012
    Blog

    Sonntag, 6. März 2016 06:49
  • Hi,
     
    Am 05.03.2016 um 22:41 schrieb Rudolf Meier:
    > Ja gut, klingt logisch... jetzt aber mein ABER... die ganze
    > Kommunikation von DC zu DC und DC zu Client ist ja wohl kaum völlig
    > unverschlüsselt,
     
    das heisst aber noch lange nicht, das Verschlüsselung nur mit
    Zertifikaten möglich ist. In 30 Jahren MS haben die sich einiges
    einfallen lassen ...
     
    > braucht's die Zertifikate um irgendwie die
    > Sicherheit/Verschlüsselungsstärke oder so zu erhöhen?
     
    Ja, wenn du zB IPSec nutzen möchtest, dann werden die Zertifikate zur
    Verschlüsselung, aber auch zur Identitifizierung verwednet, praktisch
    als Reisepass.
     
    > meiner Meinung nach müsste das System doch sowieso genug geschützt
    > sein, sobald ich den Server/Client im AD angemeldet habe.
     
    Nein. Der größte Teil des Traffics ist unverschlüsselt, die Anmeldung
    als solche ist "sicher", aber der Dateiverkehr/-Zugriff etc nicht.
    Alte Anmeldemechanismen (LM/NTLM) lassen sich leicht auslesen und werden
    immer noch von div. 3rd Party und auch MS verwendet.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Sonntag, 6. März 2016 10:14
  • > allgemein. Zertifikate dienen u.a. dazu, die Kommunikation zu
    > verschlüsseln und/oder zu signieren und erhöhen damit die Vertraulichkeit.
     
    ...und in einem AD werden die Anmeldedaten grundsätzlich (wenn nicht
    explizit abgeschaltet) über eine verschlüsselte Verbindung übertragen.
    Diese basiert auf dem Kennworthash des Computerkontos. Stichwort "Secure
    Channel".
     
    > Beispielsweise nutzen Clients LDAPS anstelle von LDAP wenn der Domänen
    > Controller über ein geeignetes Zertifikat verfügt.
     
    Nein. Nur wenn explizit vom Client auf Port 636 initiiert.
     
     
    Montag, 7. März 2016 09:28

Alle Antworten

  • Moin,

    da es eine sehr allgemeine Frage ist, antworte ich auch nur sehr allgemein. Zertifikate dienen u.a. dazu, die Kommunikation zu verschlüsseln und/oder zu signieren und erhöhen damit die Vertraulichkeit.

    Beispielsweise nutzen Clients LDAPS anstelle von LDAP wenn der Domänen Controller über ein geeignetes Zertifikat verfügt.

    Warum werden die Zertifikatsdienste nicht automatisch installiert? Ganz einfach, der Aufbau einer PKI ist i.d.R. nichts, was man einem Automatismus überlassen möchte.


    This posting is provided AS IS with no warranties.

    Samstag, 5. März 2016 19:51
  • Hallo,

    Wenn der Computer kein Zertifikat hat, dann erstellt er sich (z.B. RDP) bei nächsten mal einfach ein neues. Dies sind dann die selbstsignierten Zertifikate wie man sie auch in der entsprechenden MMC findet.

     


    Benjamin Hoch
    MCSE: Data Platform
    MCSA: Windows Server 2012
    Blog

    Samstag, 5. März 2016 20:04
  • Moin,

    da es eine sehr allgemeine Frage ist, antworte ich auch nur sehr allgemein. Zertifikate dienen u.a. dazu, die Kommunikation zu verschlüsseln und/oder zu signieren und erhöhen damit die Vertraulichkeit.

    Beispielsweise nutzen Clients LDAPS anstelle von LDAP wenn der Domänen Controller über ein geeignetes Zertifikat verfügt.

    Warum werden die Zertifikatsdienste nicht automatisch installiert? Ganz einfach, der Aufbau einer PKI ist i.d.R. nichts, was man einem Automatismus überlassen möchte.


    This posting is provided AS IS with no warranties.

    Ja gut, klingt logisch... jetzt aber mein ABER... die ganze Kommunikation von DC zu DC und DC zu Client ist ja wohl kaum völlig unverschlüsselt, wenn keine Zertifikate auf den Kisten sind. Und... da wär Kerberos und so weiter... langer Rede kurzer Sinn... braucht's die Zertifikate um irgendwie die Sicherheit/Verschlüsselungsstärke oder so zu erhöhen? ... welche Angriffsmuster könnte man damit verhindern oder eher verhindern? Wenn's überhaupt welche gibt... meiner Meinung nach müsste das System doch sowieso genug geschützt sein, sobald ich den Server/Client im AD angemeldet habe. Die machen doch schon von sich aus eine Art Zertifikat-Verteilung-light ... oder? (Computerkonto und so...)

    Gut, ich muss zugeben, ich hab's nie im Detail angeschaut... vielleicht gibt's da gute Quellen um sich intensiver damit zu befassen?

    Samstag, 5. März 2016 21:41
  • Doch wenn keine Zertifikate vorhanden sind, dann wäre die Verbindung völlig unverschlüsselt. 

    Ja es gibt eine PKI light wenn man dass so sagen will. Dies sind die selbst erstellten Zertifikate der Rechner.

    Zertifikate bilden eigentlich nur die Basisplattform für eine sichere Infrastruktur und nicht die TOP Sicherheit.

    https://de.wikipedia.org/wiki/Public-Key-Infrastruktur

    Hier mal ein Video von uns wo wir die Angriffe auf E-Mail und die Verschlüsselung mit Zertifikaten zeigen.

    https://www.youtube.com/watch?v=1ELiN2wkYd8

    Gruß Benjamin 


    Benjamin Hoch
    MCSE: Data Platform
    MCSA: Windows Server 2012
    Blog

    Sonntag, 6. März 2016 06:49
  • Hi,
     
    Am 05.03.2016 um 22:41 schrieb Rudolf Meier:
    > Ja gut, klingt logisch... jetzt aber mein ABER... die ganze
    > Kommunikation von DC zu DC und DC zu Client ist ja wohl kaum völlig
    > unverschlüsselt,
     
    das heisst aber noch lange nicht, das Verschlüsselung nur mit
    Zertifikaten möglich ist. In 30 Jahren MS haben die sich einiges
    einfallen lassen ...
     
    > braucht's die Zertifikate um irgendwie die
    > Sicherheit/Verschlüsselungsstärke oder so zu erhöhen?
     
    Ja, wenn du zB IPSec nutzen möchtest, dann werden die Zertifikate zur
    Verschlüsselung, aber auch zur Identitifizierung verwednet, praktisch
    als Reisepass.
     
    > meiner Meinung nach müsste das System doch sowieso genug geschützt
    > sein, sobald ich den Server/Client im AD angemeldet habe.
     
    Nein. Der größte Teil des Traffics ist unverschlüsselt, die Anmeldung
    als solche ist "sicher", aber der Dateiverkehr/-Zugriff etc nicht.
    Alte Anmeldemechanismen (LM/NTLM) lassen sich leicht auslesen und werden
    immer noch von div. 3rd Party und auch MS verwendet.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Sonntag, 6. März 2016 10:14
  • > allgemein. Zertifikate dienen u.a. dazu, die Kommunikation zu
    > verschlüsseln und/oder zu signieren und erhöhen damit die Vertraulichkeit.
     
    ...und in einem AD werden die Anmeldedaten grundsätzlich (wenn nicht
    explizit abgeschaltet) über eine verschlüsselte Verbindung übertragen.
    Diese basiert auf dem Kennworthash des Computerkontos. Stichwort "Secure
    Channel".
     
    > Beispielsweise nutzen Clients LDAPS anstelle von LDAP wenn der Domänen
    > Controller über ein geeignetes Zertifikat verfügt.
     
    Nein. Nur wenn explizit vom Client auf Port 636 initiiert.
     
     
    Montag, 7. März 2016 09:28