Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NPS Radius Frage

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Foxhound

Foxhound (Level 1) - Jetzt verbinden

25.06.2013 um 08:50 Uhr, 1772 Aufrufe, 4 Kommentare

Hallo zusammen,

hab ne frage zum NPS Radius Server 2008.

Wir haben diverse Geräte die bei uns ins Netz (WLAN) müssen zb. Iphones, Laptops mit Win7 etc. Es soll gewährleistet sein, dass nur
Firmen-Notebooks ins Netz kommen und keine fremden Geräte.

Ich habe nun folgendes gemacht: 2 Richtlinien auf dem NPS- Eine die bestimmte Benutzer Authentifiziert und eine 2. die Computergruppen authentifiziert.
Da nur bestimmte Notebooks ins WLAN sollen, hab ich diese in eine AD Gruppe (WLAN_NOTEBOOKS) gepackt.
Die paar User die mit Iphone und co reinwollen, können sich anhand der User-Richtlinie mit ihrer Windows Anmeldung anmelden.

Authentifizierung ist EAP-MS_CHAPv2.

Frage: Wie sicher ist die Computerauthentifizierung anhand einer AD Computergruppe? Was hält ihr von den 2 Richtlininen, eine für USER und eine für COMPUTER?

Würdet ihr das ähnlich machen?
Vielleicht habt ihr ja irgendwelche Verbesserungsvorschläge.

Gruß
Mitglied: dog
25.06.2013 um 22:01 Uhr
Du kannst entweder einen User oder einen Computer authentifizieren, aber nicht beides gleichzeitig!

Wenn du User zulässt können die sich auch beliebig von jedem Gerät aus anmelden.

Die einzige Möglichkeit das zu unterbinden ist:
a) Bitlocker verwenden
b) Den Usern keine Admin-Rechte geben
c) Zertifikate benutzen
d) Sicherstellen, dass der private Schlüssel im Windows Certstore als "Nicht exportierbar" markiert ist.

Das funktioniert natürlich nicht mit "Iphone und co".

Vielleicht ließe sich über Microsofts properitäres NAP-Gedängel noch was machen, aber auch dann gilt: Wenn sich der Benutzer mit einem iPhone einloggen kann, wie willst du dann verhindern, dass er es mit einem beliebigen PC tut?
Bitte warten ..
Mitglied: Foxhound
26.06.2013 um 09:30 Uhr
Du kannst entweder einen User oder einen Computer authentifizieren, aber nicht beides gleichzeitig!

Missverständnis... Ich drück es mal so aus: Es gibt paar User die werden als Vertrauenswürdig eingestuft z.B Geschäftsführung und die IT. Diese bekommen die User Authentifizierung.

Wenn du User zulässt können die sich auch beliebig von jedem Gerät aus anmelden.

Das ist korrekt. Ist auch der Sinn dahinter, denn ich habe keine große Lust für alle Iphones, Androids und co. private Certs zu installieren...
Dann gibt es noch Laptops die von mehreren Leuten benutzt werden. Für diese Laptops ist die Computerauthentifizierung gedacht. Da diese Firmenlaptops sind und Schutzsoftware haben und in der Domäne sind, gelten diese dann auch als Vertrauenswürdig.

Die einzige Möglichkeit das zu unterbinden ist:
a) Bitlocker verwenden

entfällt

b) Den Usern keine Admin-Rechte geben

haben Sie nicht.

c) Zertifikate benutzen

Denk ich gerad drüber nach, via GPO Computerzertifikate für die besagten Laptops zu verteilen.

d) Sicherstellen, dass der private Schlüssel im Windows Certstore als "Nicht exportierbar" markiert ist.
Danke für den Hinweis... gilt das auch für Computercerts oder nur für Usercerts?
Das funktioniert natürlich nicht mit "Iphone und co".

Vielleicht ließe sich über Microsofts properitäres NAP-Gedängel noch was machen, aber auch dann gilt: Wenn
sich der Benutzer mit einem iPhone einloggen kann, wie willst du dann verhindern, dass er es mit einem beliebigen PC tut?#

Was machen denn all die Leute die Radius-User-Authentifizierung via MSCHAPv2 machen? Ich meine wie unterbinden die, das sich die User nicht mit fremden Laptops sich einwählen????


Gruß
Bitte warten ..
Mitglied: dog
26.06.2013 um 10:53 Uhr
entfällt

Ohne Festplattenverschlüsselung sind Zertifikatverfahren wertlos!
Dann kann jeder den PC mit den den entsprechenden Live-CDs starten bzw. die Festplatte ausbauen und offline die Zertifikate entnehmen.

Ich meine wie unterbinden die, das sich die User nicht mit fremden Laptops sich einwählen????

Garnicht.
Bitte warten ..
Mitglied: Foxhound
26.06.2013 um 13:28 Uhr
Zitat von dog:
> entfällt

Ohne Festplattenverschlüsselung sind Zertifikatverfahren wertlos!
Dann kann jeder den PC mit den den entsprechenden Live-CDs starten bzw. die Festplatte ausbauen und offline die Zertifikate
entnehmen.

Aber nicht wenn der private Key als "nicht exportierbar" markiert ist oder?
Ich meine, man kann sich auch zu Tode sichern...

> Ich meine wie unterbinden die, das sich die User nicht mit fremden Laptops sich einwählen????
Garnicht.

ist auch doof

Wie siehts eigentlich mit Computerauthentifizierung ohne Zertifikate aus? Also AD-Gruppe.. Sicher genug??

Gruß
Bitte warten ..
Ähnliche Inhalte
Windows Server
Frage zu Microsoft NPS + Radius Authentifizierung auf Switchen
Frage von Axel90Windows Server5 Kommentare

Hallo! ich möchte Cisco Switche an einen Microsoft NPS anbinden, sodass beim Login Radius Authentifizerung durchgeführt wird. Wie das ...

Windows Netzwerk
Frage zur Radius Einrichtung unter Windows Server 2016 NPS
gelöst Frage von Herbrich19Windows Netzwerk4 Kommentare

Hallo, Ich versuche gerade Radius einzurichten. Nun hapert's an den Patterns. Ich möchte alle User meiner Domäne natürlich lokal ...

Windows Server
Microsoft NPS zum RADIUS konfigurieren
Frage von denkisWindows Server3 Kommentare

Hallo, ich bin dazu verdonnert worden ein sicheres WLAN in unserer Infrastruktur zu etablieren. Und wie es eben ist ...

LAN, WAN, Wireless
WLAN mit Windows NPS Radius ohne Zertifikate
Frage von xTobiasxLAN, WAN, Wireless6 Kommentare

Hallo, ich bin im Moment dabei ein WLAN Netzwerk aufzubauen. Das Gäste WLAN ist schon mit einer pfSense als ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 13 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 18 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 19 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Windows XP
Windows XP Aktivieren geht nicht
Frage von tetikmiroWindows XP13 Kommentare

Hallo Ich habe einen Windows XP mit einen vCenter Converter umgezogen auf eine ESXI. Soweit funktioniert dies auch ohne ...

Blogs
Immer wiederkehrende PHP Fehlermeldung bei Wordpress UTF-8 - ASCII
gelöst Frage von vcdweltBlogs11 Kommentare

Hi, seit einiger Zeit wird mein error_log meines Wordpress Blogs mit immer der gleichen Fehlermeldung überschwemmt. 14-Dec-2017 08:18:05 UTC ...

Switche und Hubs
Redundante L2 LWL Leitung über 2 Standorte - Spanning Tree - HP Equipment
gelöst Frage von ResolvSwitche und Hubs10 Kommentare

Hallo, ich stehe vor der Herausforderung eine Redundante L2 LWL Leitung über 2 Standorte herzustellen. Grundsätzliches Switching Know How ...