30
Browser-Client-Zertifikate sollen nicht zu sichern oder exportieren sein
Hallo,
mal eine Frage.
Ein Kunde von mir betreibt für eine Anwendung ein Web-Portal welches im RZ läuft.
Die Benutzer im Home-Office greifen mit den Home-Office-PCs oder Notebooks darauf mit Benutzernamen+Kennwort+2FA zu.
Nun haben einige Benutzer, trotz Verbot, begonnen mit privaten Geräten darauf zuzugreifen.
Jetzt soll ich eine technische Lösung konzipieren.
Es wurde bereits eine Lösung mittels VPN realisiert, aber die User haben einfach die VPN-Software mit der Config-Datei auf dem privaten Endgerät installiert.
Kann man Client-Zertifikate so in einem Browser (am besten Firefox) installieren, man diese weder sichern noch exportieren oder kopieren kann? Hat da Jemand Erfahrungswerte.
Stefan
mal eine Frage.
Ein Kunde von mir betreibt für eine Anwendung ein Web-Portal welches im RZ läuft.
Die Benutzer im Home-Office greifen mit den Home-Office-PCs oder Notebooks darauf mit Benutzernamen+Kennwort+2FA zu.
Nun haben einige Benutzer, trotz Verbot, begonnen mit privaten Geräten darauf zuzugreifen.
Jetzt soll ich eine technische Lösung konzipieren.
Es wurde bereits eine Lösung mittels VPN realisiert, aber die User haben einfach die VPN-Software mit der Config-Datei auf dem privaten Endgerät installiert.
Kann man Client-Zertifikate so in einem Browser (am besten Firefox) installieren, man diese weder sichern noch exportieren oder kopieren kann? Hat da Jemand Erfahrungswerte.
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 91351843243
Url: https://administrator.de/contentid/91351843243
Printed on: June 20, 2024 at 11:06 o'clock
30 Comments
Latest comment
Moin,
kenne mich mit Websites nicht aus.
Wir nutzen für unseren VPN ein Zertifikat, das per GPO an Domänenclients verteilt wird.
Damit stellen wir sicher, dass private Geräte den VPN Tunnel nicht aufbauen können, da sie das Zertifikat nicht haben. Export und Import geht auch nicht, weil PK nicht exportierbar.
Ansonsten ist das ein Unding, dass die Mitarbeiter den VPN auf den privaten Clients importieren.
Welche VPN Lösung habt ihr?
Würde im Betrieb klarstellen, dass sowas nicht geht und die Kollegen dafür "Probleme" bekommen können / werden.
Thema Sicherheit usw.
VG
kenne mich mit Websites nicht aus.
Wir nutzen für unseren VPN ein Zertifikat, das per GPO an Domänenclients verteilt wird.
Damit stellen wir sicher, dass private Geräte den VPN Tunnel nicht aufbauen können, da sie das Zertifikat nicht haben. Export und Import geht auch nicht, weil PK nicht exportierbar.
Ansonsten ist das ein Unding, dass die Mitarbeiter den VPN auf den privaten Clients importieren.
Welche VPN Lösung habt ihr?
Würde im Betrieb klarstellen, dass sowas nicht geht und die Kollegen dafür "Probleme" bekommen können / werden.
Thema Sicherheit usw.
VG
Zitat von @Celiko:
Wir nutzen für unseren VPN ein Zertifikat, das per GPO an Domänenclients verteilt wird.
Die HO-PCs und Notebooks sind nicht Teil des ADs. Sie werden über ein RMM verwaltet.Wir nutzen für unseren VPN ein Zertifikat, das per GPO an Domänenclients verteilt wird.
Welche VPN Lösung habt ihr?
Keine. Es wurde ein VPN installiert auf basis einer OPNsense.Würde im Betrieb klarstellen, dass sowas nicht geht und die Kollegen dafür "Probleme" bekommen können / werden. Thema Sicherheit usw.
Das ist denen bewusst. Aber der Chef sagt halt "technische Einschränkungen sind ok" "organisatorische nicht".Er soll das auf Anforderung seiner Versicherung umsetzen. Nicht weil er das will oder für sinnvoll hält...
Deshalb kam ich auf die Idees mit den Clientzertifikaten. Die würde die IT von Hand(Remote) auf den Endgeräten installieren. Das wäre elegant und würde die Anforderungen erfüllen.
Stefan
Hallo,
mir fällt gerade auf, dass dies so quatsch ist.
Ich kann ja einfach das Firefox-Profil komplett kopieren.
Es müsste also ein System-Zertifikat unter Windows sein.
Dies kann ich per RMM verteilen.
Der User darf es lesen und im Web nutzen aber nicht speichern oder exportieren.
Wenn so etwas überhaupt geht.
Jemand eine Idee?
Es könnte auch eine Extension in FF sein mit der man auf einer Webseite die Seriennummer des PCs auslesen könnte.
Es geht also eigentlich um die Frage: Wie kann ich auf einer Webseite ein Endgerät eindeutig identifizieren.
Das was man also mit allen Mitteln zu verhinder sucht
Stefan
mir fällt gerade auf, dass dies so quatsch ist.
Ich kann ja einfach das Firefox-Profil komplett kopieren.
Es müsste also ein System-Zertifikat unter Windows sein.
Dies kann ich per RMM verteilen.
Der User darf es lesen und im Web nutzen aber nicht speichern oder exportieren.
Wenn so etwas überhaupt geht.
Jemand eine Idee?
Es könnte auch eine Extension in FF sein mit der man auf einer Webseite die Seriennummer des PCs auslesen könnte.
Es geht also eigentlich um die Frage: Wie kann ich auf einer Webseite ein Endgerät eindeutig identifizieren.
Das was man also mit allen Mitteln zu verhinder sucht
Stefan
Schau Dir mal das hier an:
https://www.windowspro.de/thomas-joos/radius-authentifizierung-windows-s ...
https://www.windowspro.de/thomas-joos/radius-authentifizierung-windows-s ...
Ehrlich gesagt würde ich das ganze anders angehen -> denn so hast du ja immernoch die privaten geräte im VPN und wenn die da irgendwelchen Müll machen ggf. ein Problem.
Ich würde einfach die Authentifikation am VPN bereits entweder per Zertifikat machen (was du natürlich dem Anwender nicht aushändigst sondern eben dort installierst oder per AD verteilen lässt) -> somit sind die privaten Geräte da schon raus... Alternativ halt per PSK -> dann eben ähnlich, das einmal für den Anwender installieren, fertig.
Den anderen Weg über irgendwelche Plugins/Würg-Arounds den Client zu identifizieren würde ich direkt wieder verwerfen. Das nächste Update bei des OS, des Browesers,... und du stehst ggf. wieder da und hast die pappnase auf. Oder der Anwender erzählt dir dann das er/sie/es nicht mit Firefox arbeiten kann und du hast plötzlich div. Browser zu verwalten (und dann kommen die das es ja aufm privaten IPad mit IOS 3.0alpha immer noch nich läuft ;) ).
Falls das alles nicht gewünscht ist würde ich das ganze simpel über RDP lösen -> irgendwo nen Terminal-Server und nur von da können die dann arbeiten. DA hast du dann ne möglichkeit über die Quell-IP schon zu filtern und es kann dir relativ egal sein ob die nu vom Firmen-Laptop oder vom privaten die TS-Session öffnen (sofern Datenübertragung usw. verboten ist).
Und wenn der Chef am Ende die technische Lösung will die aber keinerlei Veränderung im Ablauf erzeugt ist die Antwort auch einfach: Kannst du nicht anbieten, geht halt nicht. Das ist was viele auch gerne vergessen: "NEIN" ist auch eine valide Antwort.
Ich würde einfach die Authentifikation am VPN bereits entweder per Zertifikat machen (was du natürlich dem Anwender nicht aushändigst sondern eben dort installierst oder per AD verteilen lässt) -> somit sind die privaten Geräte da schon raus... Alternativ halt per PSK -> dann eben ähnlich, das einmal für den Anwender installieren, fertig.
Den anderen Weg über irgendwelche Plugins/Würg-Arounds den Client zu identifizieren würde ich direkt wieder verwerfen. Das nächste Update bei des OS, des Browesers,... und du stehst ggf. wieder da und hast die pappnase auf. Oder der Anwender erzählt dir dann das er/sie/es nicht mit Firefox arbeiten kann und du hast plötzlich div. Browser zu verwalten (und dann kommen die das es ja aufm privaten IPad mit IOS 3.0alpha immer noch nich läuft ;) ).
Falls das alles nicht gewünscht ist würde ich das ganze simpel über RDP lösen -> irgendwo nen Terminal-Server und nur von da können die dann arbeiten. DA hast du dann ne möglichkeit über die Quell-IP schon zu filtern und es kann dir relativ egal sein ob die nu vom Firmen-Laptop oder vom privaten die TS-Session öffnen (sofern Datenübertragung usw. verboten ist).
Und wenn der Chef am Ende die technische Lösung will die aber keinerlei Veränderung im Ablauf erzeugt ist die Antwort auch einfach: Kannst du nicht anbieten, geht halt nicht. Das ist was viele auch gerne vergessen: "NEIN" ist auch eine valide Antwort.
4
Der User darf es lesen und im Web nutzen aber nicht speichern oder exportieren.
Wenn so etwas überhaupt geht.
Jemand eine Idee?
Wenn so etwas überhaupt geht.
Jemand eine Idee?
Ja, beim Import des Zertifikates in den Windows Store kannst du das Häkchen bei "Mark the private key as exportable" deaktivieren , dann kann man den private Key auch nicht wieder exportieren, und ohne den kann man es nirgendwo anders nutzen.
Den Firefox und Chrome kannst du ja auch anweisen den Certificate Store von Windows zu benutzen.
Gruß
2
Quote from @hempel:
Ja, beim Import des Zertifikates in den Windows Store kannst du das Häkchen bei "Mark the private key as exportable" deaktivieren , dann kann man den private Key auch nicht wieder exportieren, und ohne den kann man es nirgendwo anders nutzen.
Ja, beim Import des Zertifikates in den Windows Store kannst du das Häkchen bei "Mark the private key as exportable" deaktivieren , dann kann man den private Key auch nicht wieder exportieren, und ohne den kann man es nirgendwo anders nutzen.
Das hilft nur bedingt, es gibt duzende Anleitungen wie man das Zertifikat inkl. Private Key per Registry exportieren kann.
/Thomas
@Th0mKa
Wollte gerade ähnliches schreiben. Das ist nun wirklich das einfachste, ein Zertifikat trotzdem zu exportieren.
Am Ende möchte man eben nur die Geräte und die Benutzer im Netz haben, die bestimmte Voraussetzungen erfüllen.
Dann kommt man um eine etwas breitere Lösung nicht umhin.
Wollte gerade ähnliches schreiben. Das ist nun wirklich das einfachste, ein Zertifikat trotzdem zu exportieren.
Am Ende möchte man eben nur die Geräte und die Benutzer im Netz haben, die bestimmte Voraussetzungen erfüllen.
Dann kommt man um eine etwas breitere Lösung nicht umhin.
Zitat von @Th0mKa:
Das hilft nur bedingt, es gibt duzende Anleitungen wie man das Zertifikat inkl. Private Key per Registry exportieren kann.
/Thomas
Das hilft nur bedingt, es gibt duzende Anleitungen wie man das Zertifikat inkl. Private Key per Registry exportieren kann.
/Thomas
Wenn man den Usern Admin-Rechte auf den Maschinen vergibt klar, dann hast du aber noch ganz andere Probleme ...
2Quote from @hempel:
Wenn man den Usern Admin-Rechte auf den Maschinen vergibt klar, dann hast du aber noch ganz andere Probleme ...
Wenn man den Usern Admin-Rechte auf den Maschinen vergibt klar, dann hast du aber noch ganz andere Probleme ...
Netter Versuch, aber zum auslesen der Registry benötigt man keine Adminrechte und auf ihren privaten Devices werden sie diese vermutlich haben.
/Thomas
Netter Versuch, aber für den Machine Store in dem die verschl. p. Keys liegen schon ...
und auf ihren privaten Devices werden sie diese vermutlich haben.
Dachte es geht nur um Geräte die unter Kontrolle des RMM des Unternehmens sind.1
Es wurde bereits eine Lösung mittels VPN realisiert, aber die User haben einfach die VPN-Software mit der Config-Datei auf dem privaten Endgerät installiert.
--> Das öffnet vermutlich ganz andere Baustellen als nur die Browseranwendung. Kannst du übers RMM die öffentlichen IP's erfassen? So könnte man die Benutzer eventuell erfassen und entsprechend organisatorische Schritte (Er-/Abmahnung) einleiten.
Bezüglich technischer Lösungen:
Wenn die User es schaffen die VPN Config zu übernehmen, schaffen sie sicherlich auch Zertifikate zu exportieren. Ist dann ein Katz und Maus Spiel.
Du könntest das Spiel technisch wie folgt weiter treiben: Auf den von dir verwalteteten Geräten installierst du heimlich eine Browser-Extension (natürlich irgendwie getarnt), diese Extension setzt einfach nur einen zusätzlichen, unauffälligen Cookie. Diesen Cookie prüfst du dann am Webserver und leitest die "Experten" einfach auf eine weiße Seite. Sofern sie nicht diesen Thread finden, dürften sie ziemlich lange brauchen, das zu finden
Moin
Imho hilft in solchen Fällen wirklich nur Cat9. Wenn die Mitarbeiter sich nicht an die Anweisungen des Chefs halten, helfen keine technischen Lösungen.
Ich würde eher versuchen zu ergründen, warum sie gegen die Anweisungen verstoßen und dann mit Zuckerbrot und Cat9 die Richtlinien durchzusetzen.
lks
Imho hilft in solchen Fällen wirklich nur Cat9. Wenn die Mitarbeiter sich nicht an die Anweisungen des Chefs halten, helfen keine technischen Lösungen.
Ich würde eher versuchen zu ergründen, warum sie gegen die Anweisungen verstoßen und dann mit Zuckerbrot und Cat9 die Richtlinien durchzusetzen.
lks
2
Moin,
folgendes Tool klärt das auf jeden Fall über den organisatorischen Weg.
https://www.getdigital.de/lart-netzwerkpeitsche-cat5-o-nine-tails.html
Trommel
folgendes Tool klärt das auf jeden Fall über den organisatorischen Weg.
https://www.getdigital.de/lart-netzwerkpeitsche-cat5-o-nine-tails.html
Trommel
1
Moin,
danke für die Inputs.
Die HO-PCs sind in keinem AD. Sie werden per RMM verwaltet, die Nutzer haben keine Admin-Rechte und die SSDs sind per Bitlocker verschlüsselt.
Der Webserver auf den die zugreifen steht im RZ und läuft unter Linux rein als LAMP.
Das VPN ist rein für den Zugriff auf den Webserver eingerichtet (Testphase).
Es gibt keine Einwahl in ein Firmennetzwerk oder ähnliches.
Es geht "nur" darum, dass nur ausgewählte PCs sich am Webserver anmelden können.
Also quasi 3FA.
Die HO-PCs stehen in den privaten Netzwerken der Benutzer zuhause.
Keine festen IP-Adressen. Auch bringt mir diese IP nichts weil der Zugriff mit dem privaten Gerät aus dem gleichen Netzwerk kommt.
Der Chef sagt "Es ist alles erlaubt was die IT nicht verhindern kann".
Ich teste das mal mit System-Client-Zertifikaten.
Alternativ wäre noch eine Möglichkeit eine kleine Anwendung zu programmieren welche die Seriennummer des Gerätes mit anderen Merkmalen verknüpft, signiert, den Browser startet und einen ID-Parameter mitgibt.
Stefan
danke für die Inputs.
Die HO-PCs sind in keinem AD. Sie werden per RMM verwaltet, die Nutzer haben keine Admin-Rechte und die SSDs sind per Bitlocker verschlüsselt.
Der Webserver auf den die zugreifen steht im RZ und läuft unter Linux rein als LAMP.
Das VPN ist rein für den Zugriff auf den Webserver eingerichtet (Testphase).
Es gibt keine Einwahl in ein Firmennetzwerk oder ähnliches.
Es geht "nur" darum, dass nur ausgewählte PCs sich am Webserver anmelden können.
Also quasi 3FA.
Die HO-PCs stehen in den privaten Netzwerken der Benutzer zuhause.
Keine festen IP-Adressen. Auch bringt mir diese IP nichts weil der Zugriff mit dem privaten Gerät aus dem gleichen Netzwerk kommt.
Der Chef sagt "Es ist alles erlaubt was die IT nicht verhindern kann".
Ich teste das mal mit System-Client-Zertifikaten.
Alternativ wäre noch eine Möglichkeit eine kleine Anwendung zu programmieren welche die Seriennummer des Gerätes mit anderen Merkmalen verknüpft, signiert, den Browser startet und einen ID-Parameter mitgibt.
Stefan
Keine festen IP-Adressen. Auch bringt mir diese IP nichts weil der Zugriff mit dem privaten Gerät aus dem gleichen Netzwerk kommt.
Ok stimmt natürlich :D Soweit hatte ich nicht gedacht...Viel Erfolg
Wo ist dann das Problem. Wenn er das so durchwinkt, muß er auch die Konsequenzen (er)tragen.
lks
Lass dir die Aussage "Es ist alles erlaubt, was die IT nicht verhindern kann" nochmal schriftlich bestätigen
Versuch aber trotzdem mal in der Testphase noch eine Lösung zu finden.
Falls du keine bessere Lösung findest und der Chef die Haftung schriftlich übernimmt - dann bist du fein raus
Versuch aber trotzdem mal in der Testphase noch eine Lösung zu finden.
Falls du keine bessere Lösung findest und der Chef die Haftung schriftlich übernimmt - dann bist du fein raus
die Nutzer haben keine Admin-Rechte und die SSDs sind per Bitlocker verschlüsselt.
Dann machst du schon am VPN eine Computer Authentisierung mit Zertifikaten via Radius!Die Computer Zertifikate kann man nur als Admin auslesen was den Usern dann nicht gelingen wird wenn sie diese Rechte nicht haben. Der übliche Weg bei Firmennetzen...
Folglich hast du damit eine feste, gerätespezifische Authentisierung die nicht mehr auf firmenfremde Endgeräte klonbar ist!
Die Chefaussage steht dazu natürlich im krassen Widerspruch. Das zu sagen und etwas völlig anderes zu fordern ist natürlich laienhaft naiv. Muss man sicher auch nicht weiter kommentieren so einen Unsinn.
Hallo,
Gruss,
Peter
Zitat von @aqui:
Die Chefaussage steht dazu natürlich im krassen Widerspruch. Das zu sagen und etwas völlig anderes zu fordern ist natürlich laienhaft naiv. Muss man sicher auch nicht weiter kommentieren so einen Unsinn.
Viele Chefs haben ein Raumschiff Enterprise vor Augen wenn es um IT geht. Da geht ja auch alles und nichts gleichzeitig. Warum also nicht in der jetzigen IT. Sonst ein Leut. Worf abstellen der die nicht vorhandenen Firmenrichtlinien durchpeitscht. Die Chefaussage steht dazu natürlich im krassen Widerspruch. Das zu sagen und etwas völlig anderes zu fordern ist natürlich laienhaft naiv. Muss man sicher auch nicht weiter kommentieren so einen Unsinn.
Gruss,
Peter
1
Moin,
Gruß,
Dani
Alternativ wäre noch eine Möglichkeit eine kleine Anwendung zu programmieren welche die Seriennummer des Gerätes mit anderen Merkmalen verknüpft, signiert, den Browser startet und einen ID-Parameter mitgibt.
wir haben bei uns den User Agent des Browser erweitert. Sozusagen um eine UID. Das haben die meisten nicht auf dem Schirm. Diese UID wechselt auch regelmäßig. Damit wir auch diejenigen finden, die meinen kreativ werden. Der Wechsel erfolgt über unsere UEM.Gruß,
Dani
1
Nun ja da ich nicht weiss welches RMM im Einsatz ist würde ich hier was in der Richtung Conditional Access vorschlagen.
Heißt Gerät nicht im MDM oder RMM kein Zugriff selbst wenn Benutzername/Kennwort/ MFA und Zertifikat vorhanden sind. Anmeldung im RMM natürlich dann entsprechend gestalten bzw. dafür sorgen das sich nicht jeder mit jedem Gerät anmelden kann ( im RMM )
Problem gelöst.
Problem bei den Zertifikaten ist u.U. das man solche Tools wie MIMIKATZ einsetzen kann um die Key´s bzw. Zertifikate zu exportieren auch wenn es eigentlich auf direktem Wege nicht geht.
Bitlocker ist da schon mal ein guter Freund damit keiner einfach einen neuen lokalen Admin installieren mit dem er dann System Rechte bekommt und mit denen dann an die Key´s kommt.
Jaaaa jetzt werden einige sagen dass das für manche zu kompliziert sein wird mit MIMIKATZ usw..... Aber wer es schaft Zertifikate von einem System zum anderen zu Übertragen der schafft das bisschen mit MIMIKATZ auch noch.
Aber eventuell hilft ja auch ein anderer Ansatz:
Vielleicht fragt der Chefe mal warum seine Mitarbeiter lieber von Ihren Privatgeräten arbeiten bzw. arbeiten wollen.
Wir hatten da irgendwann mal ein ähnliches Problem was sich mit einer Dockingstation und einem 27" Monitor im HO lösen lies.
Hintergrund war das den Entwicklern und manchen Software Eng. die Bildschirme des Notebooks zu klein waren, die Notebooks angeblich nicht genug Leistung hatten usw......
Immer dran denken: Benutzer sind kreativ
Heißt Gerät nicht im MDM oder RMM kein Zugriff selbst wenn Benutzername/Kennwort/ MFA und Zertifikat vorhanden sind. Anmeldung im RMM natürlich dann entsprechend gestalten bzw. dafür sorgen das sich nicht jeder mit jedem Gerät anmelden kann ( im RMM )
Problem gelöst.
Problem bei den Zertifikaten ist u.U. das man solche Tools wie MIMIKATZ einsetzen kann um die Key´s bzw. Zertifikate zu exportieren auch wenn es eigentlich auf direktem Wege nicht geht.
Bitlocker ist da schon mal ein guter Freund damit keiner einfach einen neuen lokalen Admin installieren mit dem er dann System Rechte bekommt und mit denen dann an die Key´s kommt.
Jaaaa jetzt werden einige sagen dass das für manche zu kompliziert sein wird mit MIMIKATZ usw..... Aber wer es schaft Zertifikate von einem System zum anderen zu Übertragen der schafft das bisschen mit MIMIKATZ auch noch.
Aber eventuell hilft ja auch ein anderer Ansatz:
Vielleicht fragt der Chefe mal warum seine Mitarbeiter lieber von Ihren Privatgeräten arbeiten bzw. arbeiten wollen.
Wir hatten da irgendwann mal ein ähnliches Problem was sich mit einer Dockingstation und einem 27" Monitor im HO lösen lies.
Hintergrund war das den Entwicklern und manchen Software Eng. die Bildschirme des Notebooks zu klein waren, die Notebooks angeblich nicht genug Leistung hatten usw......
Immer dran denken: Benutzer sind kreativ
Ich probiere gerade mit Client-Zertifikaten rum.
Wenn ich so eines beim Benutzer installiere funktioniert es im Browser (Chrome+FF) wie gewünscht.
Aber egal wo ich es beim PC installieren kann der Client es nicht auswählen.
Wo kann/muss ich ein Client-Zertifikat installieren damit der Benutzer es im Browser verwenden kann?
Stefan
Wenn ich so eines beim Benutzer installiere funktioniert es im Browser (Chrome+FF) wie gewünscht.
Aber egal wo ich es beim PC installieren kann der Client es nicht auswählen.
Wo kann/muss ich ein Client-Zertifikat installieren damit der Benutzer es im Browser verwenden kann?
Stefan
Moin,
Gruß,
Dani
Wo kann/muss ich ein Client-Zertifikat installieren damit der Benutzer es im Browser verwenden kann?
Du legst das Zertifikat im Zertifikatsspeicher des jeweiligen Benutzers ab. Damit ist es aber nicht getan. Es muss seitens Webserver auch angefordert werden. Was kommt für ein Webserver zum Einsatz? Wie sieht dort deine Konfiguration aus?Gruß,
Dani
Zitat von @Dani:
Ne, das funktioniert.Wo kann/muss ich ein Client-Zertifikat installieren damit der Benutzer es im Browser verwenden kann?
Du legst das Zertifikat im Zertifikatsspeicher des jeweiligen Benutzers ab. Damit ist es aber nicht getan. Es muss seitens Webserver auch angefordert werden. Was kommt für ein Webserver zum Einsatz? Wie sieht dort deine Konfiguration aus?Wenn ich es beim Benutzer hinzufüge funktioniert alles.
Ich würde es aber gerne per RMM und Powershell hinmzufügen. Das geht aber nur zum Computer, da dies im Computer-Kontext läuft. Also quasi globale Zertifikate.
Ich hatte gehofft dies Zertifikat zum Computer hinzuzufügen und so hatte ich einige Texte auch verstanden.
Vermutlich geht das aber nicht.
Stefan
Oder wie kann ich mittels PS das Zertifikat zu einem bestimmten Benutzer hinzuzügen?
Als Administrator und ich kenne das Kennwort des Benutzers nicht.
Als Administrator und ich kenne das Kennwort des Benutzers nicht.
Moin,
Unabhängig davon wie erstellst bzw. rufst du das jeweilige Zertifikat für die Nutzer ab, wenn du kein VPN o.ä. hast?
Gruß,
Dani
Ich würde es aber gerne per RMM und Powershell hinmzufügen
was hast du denn da für ein RMM im Einsatz? Bei ACMP kann man den Job jeweils in Benutzerkontext laufen. Meistens in Verbindung mit der Anmeldung.Unabhängig davon wie erstellst bzw. rufst du das jeweilige Zertifikat für die Nutzer ab, wenn du kein VPN o.ä. hast?
Gruß,
Dani
Zitat von @Dani:
Moin,
N-Able.Moin,
Ich würde es aber gerne per RMM und Powershell hinmzufügen
was hast du denn da für ein RMM im Einsatz? Bei ACMP kann man den Job jeweils in Benutzerkontext laufen. Meistens in Verbindung mit der Anmeldung.Das Skript läuft ja im Computer-Kontext.
Ich kann hier ohne Probleme auf "Alles" zugreifen. Auch die Registry der Benutzer.
Also müsste es ja auch irgendwie mit den Zertifikatsstores gehen.
Unabhängig davon wie erstellst bzw. rufst du das jeweilige Zertifikat für die Nutzer ab, wenn du kein VPN o.ä. hast?
Das weiß ich noch nicht genau. Eine Brücke zur Zeit Das Skripte könnte das Zertifikat und das Kennwort dafür mitbringen.
Das Skript wird nicht dauerhaft gespeichert auf dem Client.
Stefan
Zitat von @StefanKittel:
Oder wie kann ich mittels PS das Zertifikat zu einem bestimmten Benutzer hinzuzügen?
Als Administrator und ich kenne das Kennwort des Benutzers nicht.
Oder wie kann ich mittels PS das Zertifikat zu einem bestimmten Benutzer hinzuzügen?
Als Administrator und ich kenne das Kennwort des Benutzers nicht.
Mittels Impersonation kann sich ein Skript das mit System-Rechten läuft das Token eines angemeldeten Users holen und Skripte in seinem Kontext ausführen:
Powershell: Aufgabe im Hintergrund MsgBox in Vordergrund
Alternativ per RMM ein Login-Skript anlegen lassen was den Import beim User erledigt.
Für beide kann man das hier in der PS für den Import nutzen
$store = [System.Security.Cryptography.X509Certificates.X509Store]::new('My','CurrentUser')
$store.Open('ReadWrite')
$store.Add([X509Certificate]::new('C:\temp\test.p12','Passwort'))
$store.Close()Hatte vorhin auch erst gesehen das die aktuellen Browser keine Computer-Zertifikate zur Auswahl für die Auth an Webseiten anbieten. Dann wirst du den Export der private Keys wohl nicht verhindern können.
2Aber egal wo ich es beim PC installieren kann der Client es nicht auswählen.
Egal ist das natürlich nicht! Es geht nur im Store des jeweiligen Users."Zertifikat" im Suchfeld eingeben und auf "Client bzw. User Zertifikate verwalten" klicken!
1