Rigobert 11 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Hallo Community, ich versuche gerade, auf einem W2k-Server per Script eine Rule zu implementieren, in der kein Kerberos genutzt werden soll. Beim manuellen anlegen kann ich das Häkchen "Activate the default response rule" raus nehmen, sodass diese nicht aktiviert ist. Gibt es einen Schalter, mit dem ich das auch per command line machen kann? Gruß Rigobert Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Hallo Rigobert, Willkommen on Board..,.. Habe ich da was falsch verstanden oder hat ipsec erstmal gar nichts mit Kerberos zu tun? Was hast du denn vor? Zitieren Link zu diesem Kommentar
Rigobert 11 Geschrieben 12. Januar 2006 Autor Melden Teilen Geschrieben 12. Januar 2006 Hallo, in gewisser Weise schon, da es um die Verschlüsselungsmethode für IPSEC geht. Also, ich will eine Policy mit 3des Verschlüsselung erstellen. Microsoft erzeugt automatisch einen IP Filter "<Dynamic> - Default Response - Kerberos". Ich möchte, dass beim erstellen einer Policy per Script dieser Filter "deaktiviert" ist, also das Häkchen NICHT gesetzt ist. Beim erstellen mit dem Assistenten gibt es die Möglichkeit dafür. Ich suche den Schalter für die command-line. Die Policy soll auf mehreren Servern an verschiedenen Standorten installiert werden, OHNE dass noch weitere "klicks" durchgeführt werden müssen. Gruß Rigobert Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 die Verschlüsselungsmethode für IPSEC Microsoft erzeugt automatisch einen IP Filter "<Dynamic> - Default Response - Kerberos". Ich glaube du verwechselst Authentifizierung mit Verschlüsselung! Kerberos ist ein Authentifizierungsprotokoll. Computer die sich über eine IPSEC Verschlüsselte Verbindung unterhalten sollen, müssen sich davor gegenseitig Authentifizieren. Dazu gibt es folgende Alternativen: Kerberos - preshared Key - Zertifikate. siehe auch hier: Infos zu deiner Konfiguration: http://support.microsoft.com/kb/248694/en-us Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Mehr Lesestoff: http://support.microsoft.com/kb/254949/en-us hier steht um welchen reg-keys es geht, damit könntest du ein Skript basteln.... Oder halt per GroupPolicy. hier steht was du tun musst um ausschliesslich 3DES zu verschlüsseln: http://support.microsoft.com/kb/265112/en-us#XSLTH3195121123120121120120 Zitieren Link zu diesem Kommentar
Rigobert 11 Geschrieben 12. Januar 2006 Autor Melden Teilen Geschrieben 12. Januar 2006 Ja, ich glaube, da bin ich etwas durcheinander gekommen :o :rolleyes: Es geht um die Authentifizierung per preshared key, welcher per script erzeugt wird. Dabei wird auch der oben erwähnte <default> Filter erzeugt und per Häkchen aktiviert. Und genau das will ich verhindern, da in dem Netz Kerberos nicht aktiv sein darf. Und ich habe keine Lust, bei einer Sicherheitsüberprüfung mir dumme Fargen stellen zu lassen :cool: Aber anscheinend ist das nicht möglich :suspect: Oder etwa doch? Gruß Rigobert Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Es geht um die Authentifizierung per preshared key, welcher per script erzeugt wird. Leider habe ich da keine Antwort parat. Was nicht heisst, das es nicht geht! Aber imho ist Kerberos sicherer als preshared key. Weshalb darf denn kein Kerberos verwendet werden? Hier steht ein bisschen mehr dazu wie Kerberos funktioniert (ist zwar bei 2000 - gilt aber bei 2003 genauso...) http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/security/kerberos.mspx und hier auf deutsch: http://de.wikipedia.org/wiki/Kerberos_%28Informatik%29 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.