OpenVPN Delegationen
Hallo,
in dieser Anleitung möchte ich nur kurz erklären, wie man OpenVPN (unter Windows) am besten für
Natürlich könnte man den Benutzern Administrative Rechte geben, aber der sinn dieser Anleitung besteht darin, die Berechtigungen so klein wie möglich zu halten.
2. Installieren, benötigte Features sind: OpenVPN selbst, OpenVPN Service, TAP Device und die Dependencies
3. Powershell als Administrator öffnen
4. Service auf Autostart setzen
5. Die .ovpn Konfiguration bearbeiten, folgende Werte sollten gesetzt sein (Pfade zu z. B. dem Zertifikat nicht vergessen anzupassen):
6. Alle Dateien in das Verzeichnis "%ProgramFiles%\OpenVPN\config" verschieben.
7. Eine Lokale Gruppe "OpenVPN Administratoren" anlegen.
8. NTFS-Berechtigungen dieses Ordners setzen:
10. NTFS-Berechtigungen, so setzen, dass nur "System" und "OpenVPN Administratoren" Vollzugriff haben und alle anderen keine Berechtigungen.
Ich hoffe ihr konntet mit dieser Anleitung die Verwendung von lokalen Administratoren etwas weiter einschränken bzw. verhindern.
Mit freundlichen Grüßen,
agowa338
in dieser Anleitung möchte ich nur kurz erklären, wie man OpenVPN (unter Windows) am besten für
- Außendienst Mitarbeiter (Client-To-Site) und
- Supporter, die häufig die Verbindungen wechseln müssen (Client-To-Site) konfiguriert.
Natürlich könnte man den Benutzern Administrative Rechte geben, aber der sinn dieser Anleitung besteht darin, die Berechtigungen so klein wie möglich zu halten.
1. Außendienst Mitarbeiter
1. OpenVPN herunterladen link2. Installieren, benötigte Features sind: OpenVPN selbst, OpenVPN Service, TAP Device und die Dependencies
openvpn-install-2.3.11-I601-i686.exe /S /SELECT_SHORTCUTS=0 /SELECT_OPENVPN=1 /SELECT_SERVICE=1 /SELECT_TAP=1 /SELECT_OPENVPNGUI=0 /SELECT_ASSOCIATIONS=0 /SELECT_OPENSSL_UTILITIES=0 /SELECT_EASYRSA=0 /SELECT_PATH=0 /SELECT_OPENSSLDLLS=1 /SELECT_LZODLLS=1 /SELECT_PKCS11DLLS=1
4. Service auf Autostart setzen
Get-Service OpenVPNService | Set-Service -StartupType Automatic
# The keepalive directive causes ping-like
# messages to be sent back and forth over
# the link so that each side knows when
# the other side has gone down.
# Ping every 10 seconds, assume that remote
# peer is down if no ping received during
# a 60 second time period.
keepalive 10 60
# Retry authentication on failure without
# querrying for username and password
auth-retry nointeract
# If an additional username and password is
# required:
auth-user-pass authentication.txt
7. Eine Lokale Gruppe "OpenVPN Administratoren" anlegen.
8. NTFS-Berechtigungen dieses Ordners setzen:
- Nicht von Übergeordneten Element erben
- System: Vollzugriff
- Aktueller Benutzer: Vollzugriff
- Untergeordnete Berechtigungen ersetzen
10. NTFS-Berechtigungen, so setzen, dass nur "System" und "OpenVPN Administratoren" Vollzugriff haben und alle anderen keine Berechtigungen.
2. Supporter, die häufig die Verbindungen wechseln müssen
Hier ist die Berechtigungsvergabe etwas anders, weil nicht Administratoren ja die Konfiguration ändern und den Dienst neustarten können sollen.- Bitte die Schritte aus 1. bis zum Kopieren der Dateien in das "config" Verzeichnis befolgen.
- Lokal eine Gruppe mit dem Namen "OpenVPN-Verwaltungsbenutzer" mit der Beschreibung "Erlaubt das Starten und Stoppen des OpenVPN-Dienstes sowie die Bearbeitung der Konfigurationsdateien" anlegen.
- Je nach eurem Berechtigungskonzept könnt ihr z. B. in diese Gruppe eine Domänen Lokale Gruppe aufnehmen, welche eine Globale Gruppe mit den Benutzer enthält, dies ist für die Funktion nicht erforderlich, jedoch in manchen Anwendungsfällen ratsam.
- Die Berechtigungen des OpenVPN-Dienstes bearbeiten, dies geht am einfachsten entweder per GPO (Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen, Systemdienste, OpenVPNService) oder mittels "Process Hacker" (Tab Services, OpenVPNService, Sicherheit)
- Gruppe "OpenVPN-Verwaltungsbenutzer" hinzufügen und die Berechtigungen "Query status", "Start", "Stop" zuweisen.
- Die Berechtigungen des "config" Verzeichnisses bearbeiten
- Nicht von Übergeordneten Element erben
- System: Vollzugriff
- OpenVPN-Verwaltungsbenutzer: Ändern
- Aktueller Benutzer: Vollzugriff
- NTFS-Besitzer ändern auf "System"
- NTFS-Berechtigungen, den Vollzugriff für den aktuellen Benutzer entfernen.
Ich hoffe ihr konntet mit dieser Anleitung die Verwendung von lokalen Administratoren etwas weiter einschränken bzw. verhindern.
Mit freundlichen Grüßen,
agowa338
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 315793
Url: https://administrator.de/contentid/315793
Ausgedruckt am: 24.11.2024 um 02:11 Uhr