Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NPS Radius Frage

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Foxhound

Foxhound (Level 1) - Jetzt verbinden

25.06.2013 um 08:50 Uhr, 1690 Aufrufe, 4 Kommentare

Hallo zusammen,

hab ne frage zum NPS Radius Server 2008.

Wir haben diverse Geräte die bei uns ins Netz (WLAN) müssen zb. Iphones, Laptops mit Win7 etc. Es soll gewährleistet sein, dass nur
Firmen-Notebooks ins Netz kommen und keine fremden Geräte.

Ich habe nun folgendes gemacht: 2 Richtlinien auf dem NPS- Eine die bestimmte Benutzer Authentifiziert und eine 2. die Computergruppen authentifiziert.
Da nur bestimmte Notebooks ins WLAN sollen, hab ich diese in eine AD Gruppe (WLAN_NOTEBOOKS) gepackt.
Die paar User die mit Iphone und co reinwollen, können sich anhand der User-Richtlinie mit ihrer Windows Anmeldung anmelden.

Authentifizierung ist EAP-MS_CHAPv2.

Frage: Wie sicher ist die Computerauthentifizierung anhand einer AD Computergruppe? Was hält ihr von den 2 Richtlininen, eine für USER und eine für COMPUTER?

Würdet ihr das ähnlich machen?
Vielleicht habt ihr ja irgendwelche Verbesserungsvorschläge.

Gruß
Mitglied: dog
25.06.2013 um 22:01 Uhr
Du kannst entweder einen User oder einen Computer authentifizieren, aber nicht beides gleichzeitig!

Wenn du User zulässt können die sich auch beliebig von jedem Gerät aus anmelden.

Die einzige Möglichkeit das zu unterbinden ist:
a) Bitlocker verwenden
b) Den Usern keine Admin-Rechte geben
c) Zertifikate benutzen
d) Sicherstellen, dass der private Schlüssel im Windows Certstore als "Nicht exportierbar" markiert ist.

Das funktioniert natürlich nicht mit "Iphone und co".

Vielleicht ließe sich über Microsofts properitäres NAP-Gedängel noch was machen, aber auch dann gilt: Wenn sich der Benutzer mit einem iPhone einloggen kann, wie willst du dann verhindern, dass er es mit einem beliebigen PC tut?
Bitte warten ..
Mitglied: Foxhound
26.06.2013 um 09:30 Uhr
Du kannst entweder einen User oder einen Computer authentifizieren, aber nicht beides gleichzeitig!

Missverständnis... Ich drück es mal so aus: Es gibt paar User die werden als Vertrauenswürdig eingestuft z.B Geschäftsführung und die IT. Diese bekommen die User Authentifizierung.

Wenn du User zulässt können die sich auch beliebig von jedem Gerät aus anmelden.

Das ist korrekt. Ist auch der Sinn dahinter, denn ich habe keine große Lust für alle Iphones, Androids und co. private Certs zu installieren...
Dann gibt es noch Laptops die von mehreren Leuten benutzt werden. Für diese Laptops ist die Computerauthentifizierung gedacht. Da diese Firmenlaptops sind und Schutzsoftware haben und in der Domäne sind, gelten diese dann auch als Vertrauenswürdig.

Die einzige Möglichkeit das zu unterbinden ist:
a) Bitlocker verwenden

entfällt

b) Den Usern keine Admin-Rechte geben

haben Sie nicht.

c) Zertifikate benutzen

Denk ich gerad drüber nach, via GPO Computerzertifikate für die besagten Laptops zu verteilen.

d) Sicherstellen, dass der private Schlüssel im Windows Certstore als "Nicht exportierbar" markiert ist.
Danke für den Hinweis... gilt das auch für Computercerts oder nur für Usercerts?
Das funktioniert natürlich nicht mit "Iphone und co".

Vielleicht ließe sich über Microsofts properitäres NAP-Gedängel noch was machen, aber auch dann gilt: Wenn
sich der Benutzer mit einem iPhone einloggen kann, wie willst du dann verhindern, dass er es mit einem beliebigen PC tut?#

Was machen denn all die Leute die Radius-User-Authentifizierung via MSCHAPv2 machen? Ich meine wie unterbinden die, das sich die User nicht mit fremden Laptops sich einwählen????


Gruß
Bitte warten ..
Mitglied: dog
26.06.2013 um 10:53 Uhr
entfällt

Ohne Festplattenverschlüsselung sind Zertifikatverfahren wertlos!
Dann kann jeder den PC mit den den entsprechenden Live-CDs starten bzw. die Festplatte ausbauen und offline die Zertifikate entnehmen.

Ich meine wie unterbinden die, das sich die User nicht mit fremden Laptops sich einwählen????

Garnicht.
Bitte warten ..
Mitglied: Foxhound
26.06.2013 um 13:28 Uhr
Zitat von dog:
> entfällt

Ohne Festplattenverschlüsselung sind Zertifikatverfahren wertlos!
Dann kann jeder den PC mit den den entsprechenden Live-CDs starten bzw. die Festplatte ausbauen und offline die Zertifikate
entnehmen.

Aber nicht wenn der private Key als "nicht exportierbar" markiert ist oder?
Ich meine, man kann sich auch zu Tode sichern...

> Ich meine wie unterbinden die, das sich die User nicht mit fremden Laptops sich einwählen????
Garnicht.

ist auch doof

Wie siehts eigentlich mit Computerauthentifizierung ohne Zertifikate aus? Also AD-Gruppe.. Sicher genug??

Gruß
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
Frage zu Microsoft NPS + Radius Authentifizierung auf Switchen (5)

Frage von Axel90 zum Thema Windows Server ...

LAN, WAN, Wireless
gelöst 802.1x Authentifizierung - NPS - RADIUS MAC (2)

Frage von LKaderavek zum Thema LAN, WAN, Wireless ...

Windows Server
Nicht Domänencomputer verkabelt und NPS (und WLAN RADIUS)

Frage von derLenhart zum Thema Windows Server ...

Router & Routing
Radius für 15 User direkt über Mikrotik- oder Ubiquiti-Router (4)

Frage von Muesliriegel zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...