grizzly999 11 Geschrieben 6. Juli 2005 Melden Geschrieben 6. Juli 2005 Kerberos verschlüsselt nicht. Genau das meine ich: du willst schwimmen gehen, ohne schwimmen gelernt zu haben, auch nicht, ohne es zu lernen. Und mit "wer erklärt mir die nächsten Klicks in dieser Richtlinie?" ist's halt nicht getan. MEIN Support endet hier, good luck ;) grizzly999 Zitieren
Ice--Tee 10 Geschrieben 6. Juli 2005 Autor Melden Geschrieben 6. Juli 2005 Ne, bestimmt nicht. MAn braucht im AD überhaupt keine PKI dazu, das funktioniert oberprima ohne (nur mit Kerberos V5). Aber mit dem Know-How (allgemein), da hast du recht Ich habe dich doch nur beim Wort genommen Siehe oben "...funktioniert prima..." Na ja, schade. Ich dachte, ich wäre auf dem richtigen Weg. Dank dir! Zitieren
Hr_Rossi 10 Geschrieben 6. Juli 2005 Melden Geschrieben 6. Juli 2005 hallo wenn dich dieser stoff interessiert hier ein link http://www.microsoft.com/germany/technet/datenbank/articles/900163.mspx bezieht sich aber auf WLAN, aber ich bin der Meinung das es egal ist welches Medium man verwendet. Ich habe dies impelmentiert mit Port-security auf einem Cisco Switch (Switch war praktisch RADIUS-Proxy) in verbindung mit dot1x (dot1x=CISCO 802.1x=MS) und einem Radius Server von MS ! hat geklappt ! aber nicht trivial und nicht zu supporten ! lg rossi p.s: Bezoeht sich aber nur auf die Authentifizierung und nicht auf die Verschlüsselung Zitieren
Hr_Rossi 10 Geschrieben 6. Juli 2005 Melden Geschrieben 6. Juli 2005 hi hier noch was zu deinem eigentlichen wunsch http://www.microsoft.com/germany/technet/datenbank/articles/900348.mspx lg rossi Zitieren
Workaholic4u 10 Geschrieben 6. Juli 2005 Melden Geschrieben 6. Juli 2005 Ne, bestimmt nicht. MAn braucht im AD überhaupt keine PKI dazu, das funktioniert oberprima ohne (nur mit Kerberos V5). Aber mit dem Know-How (allgemein), da hast du recht grizzly999 hmmm... lokale Zertifikate? Oder wie meinst du das nun? das würde doch bedeuten... Was passiert wenn Nutzer A Dateien mit lokalen Zertifikaten Verschlüsselt, und nun sein Rechner inkl. Profil löten geht? dann komme ich dich nicht mehr an die Dateien ran, oder? Nur der Lokale Admin der Maschiene wäre Wiederherstellungagent sehe ich das richtig? Ich muss zugeben ich hab immer Versucht das Thma Verschlüsselung zu vermeiden... das thema bewahrt mich auch gerade so ein bisschen vor der MCSE 2003 Upgrade Prüfung... :rolleyes: Zitieren
ChristianHemker 10 Geschrieben 6. Juli 2005 Melden Geschrieben 6. Juli 2005 Man braucht für die IPSec Verschlüsselung in einer Active Directory Domäne keinerlei Zertifikate, wenn man Kerberos benutzt. Darum auch keine "lokalen" oder von einer PKI ausgestellten. Zitieren
Workaholic4u 10 Geschrieben 6. Juli 2005 Melden Geschrieben 6. Juli 2005 Man braucht für die IPSec Verschlüsselung in einer Active Directory Domäne keinerlei Zertifikate, wenn man Kerberos benutzt. Darum auch keine "lokalen" oder von einer PKI ausgestellten. hmm... Sorry, irgendwie bin ich von IPSec mit einmal in EFS gerutscht... :shock: :wink2: Zitieren
kingnet 10 Geschrieben 6. Juli 2005 Melden Geschrieben 6. Juli 2005 kann ich IPSEC nur in der gesamten Domäne benutzen oder kann ich eine GPO erstellen und diese nur einer OU zuweisen? Zitieren
Ice--Tee 10 Geschrieben 6. Juli 2005 Autor Melden Geschrieben 6. Juli 2005 hi hier noch was zu deinem eigentlichen wunsch http://www.microsoft.com/germany/technet/datenbank/articles/900348.mspx lg rossi Danke rossi :thumb1: So weit die Theorie. Nur wie setze ich das in die Praxis um?? Soll heißen, wo muß ich was einstellen, aktivieren, eingeben, etc.? Sorry, wenn ich so dappert frage :( Ware echt super, wenn mir an der Stelle ein wenig geholfen wird - DANKE - Zitieren
Ice--Tee 10 Geschrieben 7. Juli 2005 Autor Melden Geschrieben 7. Juli 2005 Sodele. Nun habe ich entdeckt, das es doch mit einfacheren Mitteln geht: "Durch Kerberos werden insbesondere Angriffe durch passives Sniffing unterbunden, aber auch Spoofing, Wörterbuch, Replay und andere Angriffe werden erschwert." Siehe: http://www.computerbase.de/lexikon/Kerberos_%28Informatik%29 Allerdings: "Microsoft verwendet Kerberos als Standard-Protokoll für die Authentifizierung unter Windows 2000/2003 basierten Netzwerken sowie für den Windows XP-Client. Hier werden die Kerberos-Schlüssel im Verzeichnis gespeichert. Unter Windows 2000 wurden nur RC4 und DES Verschlüsselung unterstützt, was das Active Directory verwundbar für Brute Force Angriffe macht. In der Version von Windows Server 2003 und Windows XP ab SP1 sind Erweiterungen implementiert worden, die das System gegen solche Angriffe stärker absichern." Bedeutet: In unserem Netzwerk sind auch 2000er Rechner. Somit ist die ADS verwundbar. Bleibt also nur IPsec. Das wäre nun entgültig geklärt. Danke an alle!! Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.