4
NPS Radius Frage
Hallo zusammen,
hab ne frage zum NPS Radius Server 2008.
Wir haben diverse Geräte die bei uns ins Netz (WLAN) müssen zb. Iphones, Laptops mit Win7 etc. Es soll gewährleistet sein, dass nur
Firmen-Notebooks ins Netz kommen und keine fremden Geräte.
Ich habe nun folgendes gemacht: 2 Richtlinien auf dem NPS- Eine die bestimmte Benutzer Authentifiziert und eine 2. die Computergruppen authentifiziert.
Da nur bestimmte Notebooks ins WLAN sollen, hab ich diese in eine AD Gruppe (WLAN_NOTEBOOKS) gepackt.
Die paar User die mit Iphone und co reinwollen, können sich anhand der User-Richtlinie mit ihrer Windows Anmeldung anmelden.
Authentifizierung ist EAP-MS_CHAPv2.
Frage: Wie sicher ist die Computerauthentifizierung anhand einer AD Computergruppe? Was hält ihr von den 2 Richtlininen, eine für USER und eine für COMPUTER?
Würdet ihr das ähnlich machen?
Vielleicht habt ihr ja irgendwelche Verbesserungsvorschläge.
Gruß
hab ne frage zum NPS Radius Server 2008.
Wir haben diverse Geräte die bei uns ins Netz (WLAN) müssen zb. Iphones, Laptops mit Win7 etc. Es soll gewährleistet sein, dass nur
Firmen-Notebooks ins Netz kommen und keine fremden Geräte.
Ich habe nun folgendes gemacht: 2 Richtlinien auf dem NPS- Eine die bestimmte Benutzer Authentifiziert und eine 2. die Computergruppen authentifiziert.
Da nur bestimmte Notebooks ins WLAN sollen, hab ich diese in eine AD Gruppe (WLAN_NOTEBOOKS) gepackt.
Die paar User die mit Iphone und co reinwollen, können sich anhand der User-Richtlinie mit ihrer Windows Anmeldung anmelden.
Authentifizierung ist EAP-MS_CHAPv2.
Frage: Wie sicher ist die Computerauthentifizierung anhand einer AD Computergruppe? Was hält ihr von den 2 Richtlininen, eine für USER und eine für COMPUTER?
Würdet ihr das ähnlich machen?
Vielleicht habt ihr ja irgendwelche Verbesserungsvorschläge.
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 208564
Url: https://administrator.de/contentid/208564
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
4 Kommentare
Neuester Kommentar
Du kannst entweder einen User oder einen Computer authentifizieren, aber nicht beides gleichzeitig!
Wenn du User zulässt können die sich auch beliebig von jedem Gerät aus anmelden.
Die einzige Möglichkeit das zu unterbinden ist:
a) Bitlocker verwenden
b) Den Usern keine Admin-Rechte geben
c) Zertifikate benutzen
d) Sicherstellen, dass der private Schlüssel im Windows Certstore als "Nicht exportierbar" markiert ist.
Das funktioniert natürlich nicht mit "Iphone und co".
Vielleicht ließe sich über Microsofts properitäres NAP-Gedängel noch was machen, aber auch dann gilt: Wenn sich der Benutzer mit einem iPhone einloggen kann, wie willst du dann verhindern, dass er es mit einem beliebigen PC tut?
Wenn du User zulässt können die sich auch beliebig von jedem Gerät aus anmelden.
Die einzige Möglichkeit das zu unterbinden ist:
a) Bitlocker verwenden
b) Den Usern keine Admin-Rechte geben
c) Zertifikate benutzen
d) Sicherstellen, dass der private Schlüssel im Windows Certstore als "Nicht exportierbar" markiert ist.
Das funktioniert natürlich nicht mit "Iphone und co".
Vielleicht ließe sich über Microsofts properitäres NAP-Gedängel noch was machen, aber auch dann gilt: Wenn sich der Benutzer mit einem iPhone einloggen kann, wie willst du dann verhindern, dass er es mit einem beliebigen PC tut?
Du kannst entweder einen User oder einen Computer authentifizieren, aber nicht beides gleichzeitig!
Missverständnis... Ich drück es mal so aus: Es gibt paar User die werden als Vertrauenswürdig eingestuft z.B Geschäftsführung und die IT. Diese bekommen die User Authentifizierung.
Wenn du User zulässt können die sich auch beliebig von jedem Gerät aus anmelden.
Das ist korrekt. Ist auch der Sinn dahinter, denn ich habe keine große Lust für alle Iphones, Androids und co. private Certs zu installieren...
Dann gibt es noch Laptops die von mehreren Leuten benutzt werden. Für diese Laptops ist die Computerauthentifizierung gedacht. Da diese Firmenlaptops sind und Schutzsoftware haben und in der Domäne sind, gelten diese dann auch als Vertrauenswürdig.
Die einzige Möglichkeit das zu unterbinden ist:
a) Bitlocker verwenden
a) Bitlocker verwenden
entfällt
b) Den Usern keine Admin-Rechte geben
haben Sie nicht.
c) Zertifikate benutzen
Denk ich gerad drüber nach, via GPO Computerzertifikate für die besagten Laptops zu verteilen.
d) Sicherstellen, dass der private Schlüssel im Windows Certstore als "Nicht exportierbar" markiert ist.
Danke für den Hinweis... gilt das auch für Computercerts oder nur für Usercerts?Das funktioniert natürlich nicht mit "Iphone und co".
Vielleicht ließe sich über Microsofts properitäres NAP-Gedängel noch was machen, aber auch dann gilt: Wenn
sich der Benutzer mit einem iPhone einloggen kann, wie willst du dann verhindern, dass er es mit einem beliebigen PC tut?#
Vielleicht ließe sich über Microsofts properitäres NAP-Gedängel noch was machen, aber auch dann gilt: Wenn
sich der Benutzer mit einem iPhone einloggen kann, wie willst du dann verhindern, dass er es mit einem beliebigen PC tut?#
Was machen denn all die Leute die Radius-User-Authentifizierung via MSCHAPv2 machen? Ich meine wie unterbinden die, das sich die User nicht mit fremden Laptops sich einwählen????
Gruß
entfällt
Ohne Festplattenverschlüsselung sind Zertifikatverfahren wertlos!
Dann kann jeder den PC mit den den entsprechenden Live-CDs starten bzw. die Festplatte ausbauen und offline die Zertifikate entnehmen.
Ich meine wie unterbinden die, das sich die User nicht mit fremden Laptops sich einwählen????
Garnicht.
Zitat von @dog:
> entfällt
Ohne Festplattenverschlüsselung sind Zertifikatverfahren wertlos!
Dann kann jeder den PC mit den den entsprechenden Live-CDs starten bzw. die Festplatte ausbauen und offline die Zertifikate
entnehmen.
> entfällt
Ohne Festplattenverschlüsselung sind Zertifikatverfahren wertlos!
Dann kann jeder den PC mit den den entsprechenden Live-CDs starten bzw. die Festplatte ausbauen und offline die Zertifikate
entnehmen.
Aber nicht wenn der private Key als "nicht exportierbar" markiert ist oder?
Ich meine, man kann sich auch zu Tode sichern...
> Ich meine wie unterbinden die, das sich die User nicht mit fremden Laptops sich einwählen????
Garnicht.
Garnicht.
ist auch doof
Wie siehts eigentlich mit Computerauthentifizierung ohne Zertifikate aus? Also AD-Gruppe.. Sicher genug??
Gruß
