agowa338
Goto Top

OpenVPN Delegationen

Hallo,

in dieser Anleitung möchte ich nur kurz erklären, wie man OpenVPN (unter Windows) am besten für
  1. Außendienst Mitarbeiter (Client-To-Site) und
  2. Supporter, die häufig die Verbindungen wechseln müssen (Client-To-Site) konfiguriert.
Alle schritte wurden mit Windows 7 getestet, es sollte aber prinzipiell mindestens ab Windows Vista wenn nicht sogar XP Pro funktionieren, aber hey XP hat sowieso genug andere Lücken, hier ist das Nachfolgende wohl eher vernachlässigbar. Da hat man andere Probleme face-wink .

Natürlich könnte man den Benutzern Administrative Rechte geben, aber der sinn dieser Anleitung besteht darin, die Berechtigungen so klein wie möglich zu halten.

back-to-top1. Außendienst Mitarbeiter

1. OpenVPN herunterladen link
2. Installieren, benötigte Features sind: OpenVPN selbst, OpenVPN Service, TAP Device und die Dependencies
openvpn-install-2.3.11-I601-i686.exe /S /SELECT_SHORTCUTS=0 /SELECT_OPENVPN=1 /SELECT_SERVICE=1 /SELECT_TAP=1 /SELECT_OPENVPNGUI=0 /SELECT_ASSOCIATIONS=0 /SELECT_OPENSSL_UTILITIES=0 /SELECT_EASYRSA=0 /SELECT_PATH=0 /SELECT_OPENSSLDLLS=1 /SELECT_LZODLLS=1 /SELECT_PKCS11DLLS=1
3. Powershell als Administrator öffnen
4. Service auf Autostart setzen
Get-Service OpenVPNService | Set-Service -StartupType Automatic
5. Die .ovpn Konfiguration bearbeiten, folgende Werte sollten gesetzt sein (Pfade zu z. B. dem Zertifikat nicht vergessen anzupassen):
# The keepalive directive causes ping-like
# messages to be sent back and forth over
# the link so that each side knows when
# the other side has gone down.
# Ping every 10 seconds, assume that remote
# peer is down if no ping received during
# a 60 second time period.
keepalive 10 60
# Retry authentication on failure without
# querrying for username and password
auth-retry nointeract

# If an additional username and password is
# required:
auth-user-pass authentication.txt
6. Alle Dateien in das Verzeichnis "%ProgramFiles%\OpenVPN\config" verschieben.
7. Eine Lokale Gruppe "OpenVPN Administratoren" anlegen.
8. NTFS-Berechtigungen dieses Ordners setzen:
    • Nicht von Übergeordneten Element erben
    • System: Vollzugriff
    • Aktueller Benutzer: Vollzugriff
    • Untergeordnete Berechtigungen ersetzen
9. NTFS-Besitzer ändern auf "System"
10. NTFS-Berechtigungen, so setzen, dass nur "System" und "OpenVPN Administratoren" Vollzugriff haben und alle anderen keine Berechtigungen.

back-to-top2. Supporter, die häufig die Verbindungen wechseln müssen

Hier ist die Berechtigungsvergabe etwas anders, weil nicht Administratoren ja die Konfiguration ändern und den Dienst neustarten können sollen.
  1. Bitte die Schritte aus 1. bis zum Kopieren der Dateien in das "config" Verzeichnis befolgen.
  2. Lokal eine Gruppe mit dem Namen "OpenVPN-Verwaltungsbenutzer" mit der Beschreibung "Erlaubt das Starten und Stoppen des OpenVPN-Dienstes sowie die Bearbeitung der Konfigurationsdateien" anlegen.
  3. Je nach eurem Berechtigungskonzept könnt ihr z. B. in diese Gruppe eine Domänen Lokale Gruppe aufnehmen, welche eine Globale Gruppe mit den Benutzer enthält, dies ist für die Funktion nicht erforderlich, jedoch in manchen Anwendungsfällen ratsam.
  4. Die Berechtigungen des OpenVPN-Dienstes bearbeiten, dies geht am einfachsten entweder per GPO (Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen, Systemdienste, OpenVPNService) oder mittels "Process Hacker" (Tab Services, OpenVPNService, Sicherheit)
    • Gruppe "OpenVPN-Verwaltungsbenutzer" hinzufügen und die Berechtigungen "Query status", "Start", "Stop" zuweisen.
  5. Die Berechtigungen des "config" Verzeichnisses bearbeiten
    • Nicht von Übergeordneten Element erben
    • System: Vollzugriff
    • OpenVPN-Verwaltungsbenutzer: Ändern
    • Aktueller Benutzer: Vollzugriff
  6. NTFS-Besitzer ändern auf "System"
  7. NTFS-Berechtigungen, den Vollzugriff für den aktuellen Benutzer entfernen.

Ich hoffe ihr konntet mit dieser Anleitung die Verwendung von lokalen Administratoren etwas weiter einschränken bzw. verhindern.

Mit freundlichen Grüßen,
agowa338

Content-ID: 315793

Url: https://administrator.de/contentid/315793

Ausgedruckt am: 24.11.2024 um 02:11 Uhr