Datenschutz bei Windows 2000

Größe: px
Ab Seite anzeigen:

Download "Datenschutz bei Windows 2000"

Transkript

1 Datenschutz bei Windows 2000

2 Herausgegeben vom Hamburgischen Datenschutzbeauftragten Baumwall Hamburg Tel Fax Autoren: Ulrich Kühn, Dr. Sebastian Wirth 1. Auflage 2002: Exemplare Druck: Lütcke & Wulff, Hamburg

3 INHALTSVERZEICHNIS Seite Einleitung und Überblick Anforderungen an Betriebssysteme Active Directory Ansatz Domänen-Modell von Windows Abbildung von Organisationsstrukturen Gruppenrichtlinien Benutzergruppen Berechtigungen Empfehlungen Sichere Authentisierung durch Kerberos Funktionsprinzipien Besonderheiten der Kerberos-Implementation in Windows Konfiguration Empfehlungen Verschlüsselte Datenspeicherung mit EFS Funktionsweise Wiederherstellung Datensicherung Umgehungsmöglichkeiten Empfehlungen Gesicherte Datenübertragung mit IPSec Sicherstellung der Authentizität Sicherstellung der Integrität Sicherstellung der Vertraulichkeit Sicherheitsrichtlinien Empfehlungen Geschützter Zugriff auf interne Netzwerke Remote Access Service (RAS) Radius Empfehlungen... 25

4 7 Terminal-Dienste Einsatzmöglichkeiten Anmeldung an einem Terminal-Server Client-Server-Verbindung Remoteüberwachung Empfehlungen Administration Delegation administrativer Aufgaben Installation Kontenrichtlinien Systemprotokolle MMC und andere Administrationswerkzeuge Ausgewählte Einstellungen in den Gruppenrichtlinien Defragmentierung Windows XP Quellen... 34

5 Einleitung und Überblick Mit Windows 2000 hat Microsoft ein neues Betriebssystem für die Zielgruppe der Unternehmensanwendungen auf den Markt gebracht. Es ist damit Nachfolger für das weit verbreitete Betriebssystem Windows NT. Gleichzeitig bildet NT auch die technische Basis, auf der Windows 2000 aufsetzt. Windows 2000 steht sowohl für Server (Windows 2000 Server, Advanced Server und Datacenter Server) als auch für Clients (Windows 2000 Professional) zur Verfügung. Datenschutzrelevante Aspekte von Windows 2000 stehen in dieser Broschüre im Mittelpunkt der Betrachtung. In diesem Zusammenhang werden zentrale Fachbegriffe erläutert. Dies kann jedoch eine intensive Einarbeitung in das Betriebssystem nicht ersetzen, wenn das System eingeführt werden soll. Der Hamburgische Datenschutzbeauftragte befasst sich zum zweiten Mal mit einem Betriebssystem vom Microsoft. Grundlegende Aspekte von Betriebssystemen insgesamt und zu Windows NT wurden bereits in der Broschüre Datenschutz bei Windows NT behandelt. Aus diesem Grund wird häufig auf Windows NT Bezug genommen und auf Neuerungen gegenüber Windows NT hingewiesen. Die vorliegende Broschüre zeigt die zentralen sicherheitsrelevanten Aspekte des Betriebssystems sowohl für Administratoren als auch für IT-Verantwortliche auf. Dazu werden die wesentlichen Sicherheitsaspekte des Betriebssystems unter Einbindung technischer Details dargestellt, um eine intensive Befassung mit den jeweiligen Komponenten zu erleichtern und eine sicherheitsgerechte Konfiguration zu ermöglichen. Die jeweiligen Kapitel enden mit Empfehlungen aus Sicht des Datenschutzes in zusammengefasster Form. Im Kapitel 1 werden Anforderungen an Betriebssysteme, die Problematik komplexer Systeme sowie die Abgrenzung zu Open Source Software formuliert. Im Kapitel 2 wird das Active Directory vorgestellt, das alle Informationen z.b. über Domänen, Computer und Benutzer zusammenfasst. Dieses führt gerade für die Administration von größeren Netzwerken zu gravierenden Veränderungen. Dazu trägt auch das neue hierarchische Domänenkonzept von Windows 2000 bei. Es ist damit möglich, eine komplexe Organisationsstruktur durch Domänenbäume und durch eine Untergliederung innerhalb der Domänen über die Einrichtung von sog. Organisationseinheiten abzubilden. Bezogen auf die Sicherheit gibt es in Windows 2000 einige wesentliche funktionale Erweiterungen. Über Gruppenrichtlinien im Active Directory lassen sich Sicherheitsanforderungen für unterschiedliche Ebenen und Elemente im Netzwerk definieren. Die Authentisierung der Benutzer erfolgt in Windows 2000-Netzen durch das Protokoll Kerberos. Das Abhören und Entschlüsseln von Kennworten über das Netz ist dadurch wesentlich erschwert (s. Kap. 3). Im Bereich des Speichermanagements wurde die Möglichkeit einer benutzerbezogenen Verschlüsselung integriert (s. Kap. 4). 1

6 Für die Sicherung des Netzverkehrs durch Authentisierung der beteiligten Systeme und durch Verschlüsselung des Datenstroms bietet Windows 2000 durch die Integration des Protokolls IPSec bereits ohne Zusatzprodukte wesentlich bessere Möglichkeiten als NT (s. Kap 5). Im Kapitel 6 werden die Möglichkeiten zum Schutz eines Zugriffs dargestellt, der von außerhalb eines geschützten Netzwerkes erfolgt, z.b. bei Telearbeit. Der Windows-Terminal-Server ist ein integraler Bestandteil des Betriebssystems. Damit können Benutzersitzungen auf Windows 2000 Servern von anderen PC aus eröffnet werden, so dass auf dem Client die Inhalte nur graphisch angezeigt werden (s. Kap 7). Windows 2000 bietet eine Vielzahl von zentralen Einstellmöglichkeiten. Eine Reihe konkreter administrativer Hinweise sind im Kapitel 8 zusammengefasst. Einen Ausblick auf das Betriebssystem Windows XP bildet den Abschluss. Neben der gedruckten Fassung steht die vorliegende Broschüre auch unter zur Verfügung. Dort sind zudem weiterführende Hinweise und inhaltliche Ergänzungen zu finden. 1 Anforderungen an Betriebssysteme Als Software, die die Grundlage für eine Verarbeitung personenbezogener Daten bildet, sind an Betriebssysteme aus Datenschutzsicht grundlegende Anforderungen zu stellen. Defizite in diesem Bereich wirken sich in der Regel bis in die Anwendungsebene aus und führen daher immer wieder zu Datenschutzproblemen. Betriebssysteme müssen daher sowohl den Anforderungen eines Grundschutzes genügen als auch Möglichkeiten bieten, darüber hinausgehende Schutzmaßnahmen zu treffen, wenn sensible Daten verarbeitet werden. Insgesamt bestehen aus Sicht des Datenschutzes folgende Anforderungen an Betriebssysteme: Sie müssen geeignete Mittel zur Verfügung stellen, die eine sichere Identifizierung der Benutzer bewirken. Sie müssen eine Rechteverwaltung an diese Identifizierung knüpfen, die sowohl flexibel als auch robust gegen Überwindungsversuche ist. Sie müssen Sicherheitsmaßnahmen möglichst weitgehend integrieren, so dass auf Anwendungsebene bzw. durch den Benutzer davon einfach und einheitlich Gebrauch gemacht werden kann. Sie müssen eine abgestufte Administration zulassen, so dass sich eine Trennung verschiedener Aufgabenbereiche auch auf technischer Ebene niederschlägt. Administrative Grenzen insbesondere in Netzwerken müssen deutlich zu Tage treten. Sie müssen die Möglichkeit bieten, kritische Systemtätigkeiten revisionssicher zu protokollieren, um Angriffe, versuchte oder erfolgreiche Rechte- 2

7 überschreitungen feststellen zu können. Protokolle müssen gegen eine missbräuchliche Verwendung schützbar sein. Sie sollten möglichst einfach und transparent in der Bedienung und Verwaltung sein. Die implementierte Sicherheit sollte in einem geregelten Verfahren überprüft worden oder einer Überprüfung zugänglich sein. Windows 2000 bietet in Hinblick auf diese Anforderungen ein differenziertes Bild. Während die Authentisierung und die integrierten Sicherheitsmaßnahmen durch Kerberos und IPSec gegenüber Windows NT deutlich verbessert wurden, hat die Übersichtlichkeit durch die Vielzahl der Einstellmöglichkeiten des Active Directory eher gelitten. Insgesamt handelt es sich bei Windows 2000 um eine sehr mächtige, und daher auch sehr komplexe Software, deren verschiedenen Bestandteile kaum noch von einem einzelnen Administrator vollständig überblickt werden können. Während die Einbeziehung offener Standards in Windows 2000 die Möglichkeit verbessert, dessen Sicherheitsstandard einzuschätzen, stellt die Komplexität auch hierbei ein Hindernis dar. Das Betriebssystem wurde bisher hinsichtlich seiner Sicherheit nicht zertifiziert. Zudem handelt es sich um Software, deren Quellcode nicht bzw. nur sehr eingeschränkt im Rahmen des sog. Shared- Source-Modells offengelegt wird. Dieses Model ermöglicht es ausgewählten Institutionen, z. B. Universitäten, Unternehmen oder auch Behörden, Teile des Programms einzusehen und zu verwenden. Das Modell ist mit dem Open- Source-Ansatz, der eine Offenlegung des gesamten Quellcodes vorsieht, jedoch nicht vergleichbar. 2 Active Directory 2.1 Ansatz Mit dem Active Directory wird ein zentraler, d.h. domänenübergreifender Verzeichnisdienst in das Betriebssystem integriert, in dem umfassend Informationen über alle verwalteten Benutzerkonten und Ressourcen in einer Datenbank gespeichert werden können. Mit dem Verzeichnisdienst können diese Informationen unternehmensweit einheitlich zur Verfügung gestellt werden. Die Objekte müssen nur noch an einer Stelle gepflegt werden. Im Active Directory sind auch wesentliche Sicherheitsfunktionen implementiert und werden dort eingestellt. Mit diesem zentralen Verzeichnisdienst entsteht eine sehr umfangreiche Datenbank, die auch zahlreiche personenbezogene Informationen enthält. Viele von Microsoft vordefinierte Attribute sind optional und deren Nutzung systemseitig nicht zwingend erforderlich. Der Umfang der gespeicherten Attribute ist unter Beachtung des Gebots der Datensparsamkeit zu definieren, das u.a. im 3a des Bundesdatenschutzgesetzes und im 5 Abs. 4 des Hamburgischen Datenschutzgesetzes festgeschrieben ist. Die Zugriffsmöglichkeiten auf diesen Verzeichnisdienst sollten nach dem Erforderlichkeitsprinzip gestaltet werden. Das Active Directory ermöglicht dies in detaillierter Weise. 3

8 Das Active Directory steht auf jedem Domänen-Controller zur Verfügung. Dabei arbeitet der Dienst nach dem Multimaster-Replikationsmodell, wobei jeder Controller über eine Kopie des Active Directory mit Schreib-/Lese-Rechten verfügt. Über interne Replikationsmechanismen wird sichergestellt, dass alle Domänen-Controller über einen einheitlichen Stand des Active Directory verfügen. Der Zugriff auf den Verzeichnisdienst erfolgt auf der Grundlage definierter Protokolle. Es werden zum einen das standardisierte LDAP (Lightweight Directory Access Protocol) unterstützt und somit auch die Replikation mit anderen Verzeichnisdiensten ermöglicht. Zum anderen werden auch proprietäre Protokolle etwa für den Windows 2000 internen Replikationsaustausch genutzt Schema Über das sogenannte Schema des Active Directory werden Objekte mit den dazugehörigen Attributen definiert. Die Objekte legen fest, über welche Dinge etwas gespeichert wird. Die Attribute geben an, welche Eigenschaften gespeichert werden. Somit wird im Schema das Datenmodell des Active Directory niedergelegt. Das Schema gilt einheitlich für das Active Directory und damit für alle eingebundenen Domänen. Dabei ist insbesondere zu berücksichtigen, dass das Schema durchaus erweitert werden kann, eine vollständige Eliminierung von Objekten und Attributen jedoch nicht möglich ist, sondern lediglich eine Deaktivierung. Veränderungen am Schema sollten daher auf einer konzeptionellen Basis nur nach ausführlichen Tests durchgeführt werden. Nur wenige, besonders ausgewählte Personen sollten die Berechtigung dazu haben Betriebsmodus Bei der Einführung von Windows 2000 wird häufig eine Migration von Windows NT durchgeführt werden. Für die Nutzung von Windows 2000 stehen zwei Betriebsmodi zur Verfügung der gemischte und der einheitliche Modus. Beim gemischten Modus kommen sowohl Windows 2000 Domänen-Controller als auch Windows NT-Sicherungs-Domänen-Controller (Backup Domain Controller, BDC) zum Einsatz. Beim einheitlichen Modus werden alle Domänen-Controller mit Windows 2000 betrieben. Beim einheitlichen Modus können jedoch auch Mitgliedsserver (File-Server) mit dem Betriebssystem Windows NT eingesetzt werden. Bei beiden Betriebsmodi können Clients mit unterschiedlichen Betriebssystemen betrieben werden. Der einheitliche Modus bedeutet also nicht, dass alle Server und alle Clients unter Windows 2000 laufen müssen. Für bestimmte Erweiterungen von Windows 2000 ist die Anwendung des einheitlichen Modus notwendig (vgl. 2.5). Verschiedene ergänzende Administrationstools können nur im einheitlichen Modus genutzt werden. Die Auswahl des Betriebsmodus muss nicht bereits beim Installieren einer Domäne erfolgen, sondern kann zu einem späteren Zeitpunkt stattfinden. Der Umstieg ist jedoch irreversibel. 4

9 Windows 2000 stellt verschiedene Standard-Gruppen bereit; dazu gehört auch die Gruppe Prä-Windows 2000 kompatibler Zugriff. Im gemischten Modus enthält diese Gruppe standardmäßig das Mitglied Jeder. Damit hat jeder Nutzer die Rechte der Gruppe. Im Standard wird z.b. das Leserecht auf die Eigenschaften aller Benutzerkonten der Domäne gewährt. Der Eintrag Jeder sollte in der Gruppe entfernt werden. 2.2 Domänen-Modell von Windows Domäne und Domänenbaum Die Domäne ist das grundlegende Strukturelement für das Active Directory. Ressourcen wie Computer und Benutzer werden einer Domäne zugeordnet. Die Anzahl der in einer Domäne verwalteten Objekte ist durch die Software nicht beschränkt. Die Domäne bildet grundsätzlich eine Grenze bezüglich der Sicherheit und Administration. Der jeweilige Domänen-Administrator hat das Recht, auf alle Objekte innerhalb einer Domäne zuzugreifen oder kann sich dieses Recht durch Besitzübernahme verschaffen. Bestimmte Einstellungen gelten domänenweit einheitlich. Dies trifft z.b. die Mindestanforderungen an die Passwörter, die in einzelnen Bereichen innerhalb einer Domäne nicht verändert werden können. Windows 2000 liegt ein hierarchisches Domänenmodell zugrunde. Ausgehend von der Stammdomäne (Root-Domäne) können mit dieser weitere Domänen verbunden werden. Da auch diese Domänen mit weiteren Domänen verbunden Forest (Wald bzw. Gesamtstruktur) Domäne A Domäne 1 Domäne B.A Domäne D.A Domäne 2.1 OU T OU S Externe Domäne Domäne C.B.A OU1.T OU2.T OU3.T Domäne 3.1 zweiseitige, transitive Beziehung einseitige, nicht transitive Beziehung Abb. 1: Domänenbaum 5

10 werden können, entsteht so eine Baumstruktur. Der Domänenbaum (Domänenstruktur) hat einen durchgängigen Namensraum. Es wird mit DNS-Namen (Domain Name System) gearbeitet. Da die Domäne standardmäßig die Grenze für die Administrationsrechte vorgibt, bestehen für den Domänen-Administrator keine Administrationsrechte für hierarchisch untergeordnete Domänen, wenn diese ihm nicht ausdrücklich vom Administrator der untergeordneten Domäne eingerichtet wurden. Die Organisations-Administratoren (siehe 2.3) haben als einzige Gruppe jedoch automatisch Zugriff auf alle Domänen-Controller. Zwischen den hierarchisch angeordneten Domänen bestehen transitive Beziehungen. Über Vertrauensstellungen können Benutzern, die nur in einer Domäne ein Benutzerkonto haben, Zugriffe auf andere Domänen ermöglicht werden. Bei dem Baum in Abb. 1 vertraut die Domäne A der Domäne B.A; die Domäne B.A vertraut der Domäne C.B.A. Aufgrund der Transitivität der Beziehungen vertraut die Domäne A auch der Domäne C.B.A. Dieses hierarchische Domänenkonzept ist eine wesentliche Veränderung gegenüber der flachen Vertrauensstruktur von Windows NT. Informationen, die über die Objekte im Active Directory gespeichert sind, werden auf alle Domänen-Controller eines Domänenbaumes repliziert und können genutzt werden, wenn entsprechende Zugriffsrechte bestehen. Wenn Informationen über die Grenze von Domänen hinweg in einem Domänenbaum ausgetauscht werden sollen,müssen die entsprechenden Attribute in den Globalen Katalog aufgenommen werden. Der Globale Katalog enthält alle Objekte des Schemas, jedoch nur ausgewählte Attribute Organisationseinheit Innerhalb einer Domäne kann eine Strukturierung durch Organisationseinheiten (Organizational Unit, OU) vorgenommen werden. OUs können ihrerseits wiederum untergliedert werden. Sie bilden die Grenzen für delegierte Administrationsrechte, und für OUs können explizit Sicherheitseinstellungen festgelegt werden. Daher können OUs dazu genutzt werden, funktionale oder organisatorische Einheiten von Unternehmen oder Behörden abzubilden Forest Mehrere Domänenbäume können zu einem Forest (Wald bzw. Gesamtstruktur) verbunden werden. Der Forest hat keinen durchgängigen Namensraum, sondern die einzelnen Bäume stehen nebeneinander. Bei der Einbindung einer neuen Domäne wird automatisch eine beidseitige Vertrauensbeziehung eingerichtet; in Abb. 1 z.b. zwischen Domäne A und Domäne 1. Auch in einem Forest bestehen transitive Beziehungen zwischen den Domänen, so dass z.b. die Domäne B.A der Domäne 2.1 vertraut. Innerhalb eines Forest gilt einheitlich ein Schema. Dies gewährleistet, dass Informationen auch zwischen den verschiedenen Domänenbäumen repliziert werden können. Es können auch Vertrauensbeziehungen zu Domänen aufgebaut werden, die nicht Mitglied eines Forest sind. Diese externen Vertrauensbeziehungen sind einseitig und nicht transitiv, d.h. wie von Windows NT bekannt. 6

11 2.2.4 Sites Das Domänenmodell wird ergänzt durch die Bildung von Sites (Standorte), die vor allem die räumlichen und netztechnischen Gegebenheiten für den Replikationsverkehr berücksichtigen. Sites werden für einen Forest definiert, wobei es keine Abhängigkeit zwischen Domänen und Sites gibt. Eine Site kann mehrere Domänen enthalten und eine Domäne kann andererseits auf mehrere Sites verteilt sein. Innerhalb einer Site wird die Replikation automatisch konfiguriert, während die standortübergreifende Replikation manuell konfiguriert werden muss. Damit ist die Möglichkeit gegeben, eine Konfiguration entsprechend der Bandbreiten eines LAN bzw. WAN vorzunehmen. Um die Netzlast im WAN zu verringern, erfolgt der standortübergreifende Austausch komprimiert. Bestimmte sicherheitsrelevante Änderungen, wie z.b. das Sperren eines Kontos werden auch dann unmittelbar repliziert, wenn ansonsten größere Zeitabstände vorgegeben sind. 2.3 Abbildung von Organisationsstrukturen Mit den in Windows 2000 zur Verfügung gestellten Strukturelementen Domäne, Domänenbaum, Organisationseinheit und Forest können auf der logischen Ebene komplexe Organisationsstrukturen abgebildet werden. Für die spezifische Planung einer Domänenstruktur sind die organisatorischen, räumlichen und technischen Gegebenheiten heranzuziehen. Dabei gilt es auch die Frage zu klären, ob die unterschiedlichen Organisationsbereiche durch Domänen oder durch Organisationseinheiten im Active Directory abgebildet werden sollen. Hierbei müssen datenschutzrechtliche Anforderungen berücksichtigt werden. Als grundsätzliche Alternativen stehen zur Verfügung: a) Es gibt eine Domäne, die die Gesamtorganisation abbildet. Die unterschiedlichen Ämter und Abteilungen werden OUs und untergeordneten OUs innerhalb dieser Dömäne zugeordnet. b) Die Gesamtorganisation wird durch einen Baum oder einen Forest wiedergegeben. Die unterschiedlichen Ämter und Abteilungen werden durch separate Domänen abgebildet. Ggf. werden OUs zur weiteren Untergliederung genutzt. Vorteile der Gliederung durch OUs in einer Domäne (Alternative a): Sicherheitseinstellungen können innerhalb einer Domäne an die darunter liegenden OUs vererbt werden. Es stehen in allen OUs aufgrund der Replikation des Active Directory alle Informationen zur Verfügung. Der Mindeststandard für bestimmte Einstellungen (z.b. für die Passwortanforderungen) kann zentral und einheitlich implementiert werden. Damit kann dieser Mindeststandard unternehmensweit einfach erzwungen werden. Organisatorische Veränderungen können durch Verlagerung von Objekten auch über die Grenzen von OUs hinaus einfacher durchgeführt werden. Globale Gruppen (s. 2.5) müssen nur einmal pro Domäne definiert werden. 7

12 Vorteile der Gliederung durch verschiedene Domänen (Alternative b): Domänen bilden standardmäßig administrative Grenzen, die nur durch Mitwirkung der anderen Domäne durchbrochen werden können. Damit können Domänen fast vollständig voneinander abgegrenzt werden: lediglich Mitglieder der Gruppe Organisations-Administratoren können sich Rechte durch Besitzübernahme verschaffen. Für einzelne Bereiche (Domänen) können unterschiedliche Mindestanforderungen für Passworte vorgegeben werden. Der Datenverkehr über das Netz zwischen den Domänen ist geringer, da nur der Teil der Informationen aus dem Active Directory repliziert wird, der im Globalen Katalog definiert ist. Die jeweiligen Vor- und Nachteile sind auf den Einzelfall bezogen zu bewerten. Eine wichtige Rolle spielt dabei die Bildung abgeschotteter Bereiche. Folgende Gruppen mit administrativen Rechten sind dabei zu unterscheiden: Organisations-Administratoren Diese Gruppe existiert nur in der Stammdomäne, der ersten Domäne, die im Forest installiert wurde. Organisations-Administratoren haben Zugriff auf alle Domänen-Controller des Forest und können Besitz über alle Elemente des Forest übernehmen. Die Gruppe hat auch das Recht, neue Domänen hinzuzufügen. Diese Kennungen sind daher besonders abzusichern. Zum einen sollte die Nutzung einer Kennung mit solchen Rechten auf wenige Personen beschränkt werden. Zum anderen ist dafür ein Vier-Augen-Prinzip vorzusehen, wonach die Rechte nur von zwei Personen gemeinsam genutzt werden können. Dies sollte über ein geteiltes Kennwort abgesichert werden, auch wenn Windows 2000 dies technisch nicht unterstützt. Domänen-Administratoren Diese Gruppe hat das Recht, die jeweilige Domäne zu verwalten. Alle Objekte, die ein einzelner Domänen-Administrator eingerichtet hat, haben als Besitzer die gesamte Gruppe. Die Mitgliedschaft in dieser Gruppe muss daher besonders sorgfältig geplant und den realen Aufgaben angepasst werden. Domänen-Administratoren können sich Rechte zu allen Objekten einer Domäne verschaffen. Wenn eine Domäne in weitere OUs gegliedert ist, können sich die Domänen-Administratoren auch den Zugriff auf alle Objekte der OUs einrichten. Die Gruppe der Domänen-Administratoren ist auf jedem Computer der Domäne standardmäßig Mitglied in der Gruppe der lokalen Administratoren und hat somit z.b. auch administrative Rechte auf einem File-Server. Die damit verbundenen Zugriffsrechte auf gespeicherte Daten sind unter Umständen äußerst problematisch. Administratoren Administratoren haben Vollzugriff auf die Ressourcen, die sie verwalten. Standardmäßig ist die Gruppe der Domänen-Administratoren Mitglied der Gruppe der Administratoren; diese Mitgliedschaft kann jedoch entfernt wer- 8

13 den. Die administrativen Rechte können beispielsweise so delegiert werden, dass eine Gruppe nur die Administration einer OU wahrnehmen kann. Vollständig abgeschottete Bereiche können somit nur durch die Bildung verschiedener Forests bzw. durch Domänen, die nicht in einen Baum eingebunden sind, gebildet werden. Weitestgehend abgeschottete Bereiche können durch die Bildung einer leeren Stammdomäne geschaffen werden, die alleinig die Aufgabe hat, eine Klammer für die darunter liegenden Domänen zu bilden, während die administrativen Aufgaben und Einstellungen in den weiteren Domänen realisiert werden. Aus Sicht des Datenschutzes sind mit beiden Gliederungsprinzipien Vorund Nachteile verbunden, und die spezifischen Nachteile müssen durch flankierende technisch-organisatorische Maßnahmen reduziert werden: Bei einer Gliederung nach OUs innerhalb einer Domäne müssen verbindliche Vorgaben für die Besitzübernahme von OUs durch die Domänen- Administratoren in Form von schriftlichen Anforderungen und eine Überwachung der vorgenommenen administrativen Tätigkeiten gewährleistet werden. Da potenziell Zugriff auf alle Attribute aller Objekte der OUs besteht, müssen datenschutzrechtliche Anforderungen bei den Zugriffsberechtigungen besondere Beachtung finden. Bei der Gliederung durch Domänen müssen unternehmensweit geltende Mindeststandards für Sicherheitseinstellungen organisatorisch festgelegt werden und in jeder Domäne eingestellt sowie überwacht werden. 2.4 Gruppenrichtlinien Gruppenrichtlinien dienen dazu, die System- und Anwendungseinstellungen für Gruppen von Benutzern oder Rechnern aus zu definieren. Die Gruppenrichtlinien ersetzen die von Windows NT bekannten System- und Sicherheitsrichtlinien und erweitern diese um zahlreiche Einstellmöglichkeiten. Gruppenrichtlinien können Sites, Domänen und Organisationseinheiten zugewiesen werden. Über die Zugriffsrechte kann die Anwendung für bestimmte Gruppen und Benutzer weiter differenziert werden. Neben den Gruppenrichtlinien im Active Directory können einzelnen Computern lokale Computerrichtlinien zugewiesen werden. Welcher Wert für ein bestimmtes Element, etwa eine OU, zur Anwendung gelangt, wenn mehrere Gruppenrichtlinien auf unterschiedlichen Ebenen konfiguriert werden, hängt von folgenden Verarbeitungsweisen ab: Kumulation Die Einstellungen in der Gruppenrichtlinien für die jeweilige Site, die Domäne und die Organisationseinheiten wirken sich kumulativ aus, wenn es sich nicht um widersprechende Einstellungen handelt. Die Einstellungen werden also nach unten weiter vererbt. Auf diese Weise können schrittweise weitere Einstellungen z.b. in hierarchisch angeordneten OUs vorgenommen werden. Eine domänenübergreifende Vererbung von Gruppenrichtlinien etwa an eine im Domänenbaum darunter liegende Domäne ist nicht möglich. 9

14 Reihenfolge der Abarbeitung Bei sich widersprechenden Einstellungen von Gruppenrichtlinien, die zur Anwendung kommen, greift die Einstellung der Richtlinie, die zuletzt angewandt wird. Generell gilt dabei die Abarbeitungsreihenfolge: 1. Lokale Richtlinie des Computers 2. Richtlinie der Site 3. Richtlinie der Domäne 4. Richtlinien der Organisationseinheiten; bei hierarchisch angeordneten OUs wird die Gruppenrichtlinie der untersten OU zum Schluss angewendet und setzt sich bei widersprechenden Einstellungen damit durch. Wenn für ein Element, z.b. eine OU, gleichzeitig mehrere Richtlinien eingestellt sind, kann die Reihenfolge der Abarbeitung vom Administrator festgelegt werden. Durchsetzen einer Gruppenrichtlinie Es besteht die Möglichkeit, eine Gruppenrichtlinie zwingend durchzusetzen, so dass sie von den Einstellungen der später zur Anwendung gelangenden Richtlinie nicht überschrieben werden kann. Dies geschieht unter den Optionen der Gruppenrichtlinie mit der Einstellung Kein Vorrang: andere Gruppenrichtlinienobjekte können die festgelegte Richtlinie nicht überschreiben. Wenn mehrere Gruppenrichtlinien durchgesetzt werden sollen, die sich widersprechende Einstellungen aufweisen, kommt die hierarchisch höher stehende zum Tragen. Domänen-Administratoren können sich damit gegenüber OU-Administratoren durchsetzen. Vererbung ausschalten Die Vererbung kann auf der unteren Ebene explizit deaktiviert werden. Damit entscheidet die untere Ebene, ob von höheren Ebenen geerbt werden soll oder nicht. Dies erschwert die Gewährleistung von Mindeststandards, soweit nicht die oben beschriebene Durchsetzung einer Gruppenrichtlinie aktiviert ist. Durch die Kombination mehrerer Gruppenrichtlinien und durch die Vererbung von Richtlinien können auf der einen Seite spezifische Anforderungen abgebildet werden. Auf der anderen Seite erschweren es die komplexen Konfigurationsmöglichkeiten nachzuvollziehen, welche Einstellung an einem konkreten Arbeitsplatz zum Tragen kommt. Es wird keine Warnung ausgegeben, dass z.b. eine bestimmte Richtlinie nicht überschrieben werden kann. Neben einer genauen Planung der Gruppenrichtlinien sollte deren Zahl möglichst gering gehalten werden. Zusätzlich besteht an den lokalen Arbeitsplätzen die Möglichkeit, zu prüfen, welche Einstellungen wirken. Dazu kann in der lokale Sicherheitsrichtlinie unter Programme Verwaltung die effektive Einstellung eingesehen werden. Weitere Hinweise liefert das Programm Sicherheitskonfiguration und -analyse unter der Management-Console MMC, mit dem die Konfiguration unter Nutzung von Sicherheitsvorlagen, die in einer Datenbank gespeichert sind, analysiert und verändert werden kann. 10

15 2.5 Benutzergruppen Jede Person, die auf Ressourcen einer Domäne zugreifen möchte, benötigt ein Benutzerkonto in der Domäne. Jedes Konto gehört einer oder mehrerer Gruppen an, mit denen gleichartige Benutzer zusammengefasst werden können. Zur Gewährleitung des datenschutzrechtlichen Grundsatzes der Beschränkung des Zugriffs auf die jeweils berechtigten Personen sollte der Administrator Benutzergruppen für solche Benutzer einrichten, die Anwendungsprogramme gemeinsam benutzen, ähnliche Aufgaben ausführen oder dieselben Informationen benötigen. Die Rechte für die einzelnen Benutzer, die Mitglied in der Gruppe sind, müssen dann nur einmal pro Gruppe vergeben und gepflegt werden. Windows 2000 unterscheidet zwischen lokalen, globalen und universellen Gruppen: Gruppe Verwendung Mögliche Mitglieder Anzeige Lokal Zuweisung von Rechten Globale Gruppe jeder Nur innerhalb der Domäne eigenen Domäne Universelle Gruppe Benutzer der eigenen Domäne Benutzer anderer Domänen Global Gruppierung von Nutzern Benutzer der eigenen In der eigenen für die gleiche Domäne und allen vertrauten Anforderungen gelten Domänen Universell Forestweite Benutzer jeder Domäne In allen Bereitstellung einer Globale Gruppen jeder Domänen des Gruppe Domäne Forest Die Mitgliedschaft in einer universellen Gruppe ist Bestandteil des Globalen Katalogs. Es ist zu beachten, dass damit Veränderungen im gesamten Forest repliziert werden. Im einheitlichen Modus von Windows 2000 können die Gruppen ineinander verschachtelt sein. So kann z.b. eine globale Gruppe Mitglied in einer anderen globalen Gruppe sein kann, was unter Windows NT und im gemischten Modus von Windows 2000 nicht möglich ist. Die Strukturierung und anforderungsgerechte Zuordnung der Rechte wird erleichtert. In der Regel wird man so vorgehen, dass ein Benutzerkonto einer globalen Gruppe zugeordnet wird. Diese globale Gruppe wird gegebenenfalls Mitglied in einer weiteren globalen Gruppe. Diese globale Gruppe wird einer lokalen Gruppe zugeordnet, der dann bestimmte Berechtigungen zugewiesen werden. 2.6 Berechtigungen Für Objekte (Benutzer, OU etc.) können im Active Directory Berechtigungen in differenzierter Form zugewiesen werden. 11

16 Abb. 2: Beispiel für Zugriffsberechtigungen Die einzelnen Berechtigungen werden unter Eigenschaften in der Registerkarte Sicherheitseinstellung des jeweiligen Objektes angezeigt und verändert werden. Default-Einstellungen können unter Erweitert differenziert den Anforderungen entsprechend angepasst werden. Berechtigungen können vererbt werden. Dabei werden vererbte Berechtigungen in der Darstellung blasser dargestellt (Abb. 2), so dass sie sich von explizit zugewiesenen Berechtigungen deutlich unterscheiden. Bei der Zusammenfassung von Berechtigungen gilt, dass speziell zugewiesene Verweigerungen immer zum Tragen kommen. Ansonsten gilt die Summe der zugelassenen Rechte. Wenn kein Recht angegeben ist, gilt implizit die Verweigerung. Administrative Berechtigungen können in einer Domäne vererbt werden. Auf diese Weise können Administratorengruppen mit unterschiedlichen Aufgaben betraut werden und nur die für ihre Aufgaben notwendigen spezifischen Rechte erhalten. 12

17 2.7 Empfehlungen Wenn vollständig abgeschottete Bereiche gebildet werden sollen, müssen getrennte Forests bzw. Domänen eingerichtet werden, die nicht in einen Baum eingebunden sind. Eine Gliederung nach Domänen sollte immer dann vorgenommen werden, wenn dezentrale und selbstständige Einheiten verwaltet und weitgehend voneinander abgeschottete Bereiche gebildet werden sollen. Mit der Bildung von Organisationseinheiten kann die Struktur der Organisation mit ihren Funktionseinheiten und Verwaltungsbereichen abgebildet werden. Die Rechte und Pflichten insbesondere der Organisations- und Domänen- Administratoren sind schriftlich festzulegen und so weit wie möglich technisch zu kontrollieren. Dazu gehören geteilte Passworte. Der administrative Zugriff auf File-Server sollte auf die Administratoren des jeweiligen Bereichs beschränkt werden und nicht standardmäßig allen Domänen-Administratoren erlaubt werden. Die Zahl der Gruppenrichtlinien, die zur Anwendung kommen, sollte möglichst gering sein, da andernfalls die Gefahr besteht, dass aufgrund der Komplexität eine fehlerhafte Konfiguration entsteht. Aus diesem Grund sollte auch das Durchsetzen einer Gruppenrichtlinie und das Ausschalten der Vererbung nur sehr sparsam genutzt werden. Die Festlegung der einzelnen Sicherheitseinstellungen sollte möglichst nur in einer Richtlinie vorgenommen werden und nicht redundant in mehreren, um eine gute Übersichtlichkeit zu erhalten. Da der einheitliche Betriebsmodus u.a. Vorteile für die Gruppenstrukturierung bietet, sollte dieser nach Möglichkeit genutzt werden. Im gemischten Modus sollte der Eintrag Jeder in der voreingestellten Gruppe Prä-Windows 2000 kompatibler Zugriff gelöscht werden. 3 Sichere Authentisierung durch Kerberos Windows 2000 verwendet für die Authentisierung im Netzwerk das Kerberos- Protokoll. Das von Windows NT bekannte Protokoll NTLM (NT LAN-Manager) wird damit weitgehend abgelöst. Dieser Schritt bedeutet einen wesentlichen Sicherheitsgewinn, da NTLM für eine Reihe von Sicherheitsdefiziten bekannt ist. Aus Kompatibilitätsgründen wird NTLM jedoch auch von Windows 2000 unterstützt und in Netzwerken, in denen auch Stationen mit anderen Windows- Betriebssystemen vorhanden sind sowie für die rein lokale Anmeldung verwendet. Bei Kerberos handelt es sich um einen Standard, der nicht von Microsoft selbst, sondern am MIT (Massachusetts Institute of Technology) entwickelt worden ist. Dies garantiert prinzipiell eine Kompatibilität der Authentisierung in Windows 2000 mit anderen Kerberos-basierten Systemen, etwa im UNIX- 13

18 Bereich. Grundlage für die Implementation in Windows 2000 ist Version 5 des Kerberos-Protokolls. 3.1 Funktionsprinzipien Ohne auf die Details des Kerberos-Systems eingehen zu können, soll hier eine kurze Übersicht über die Funktionsweise gegeben werden. Wesentliches Prinzip der Kerberos-Authentisierung ist die Verlagerung der Identitätsprüfung von der zu nutzenden Ressource selbst (z.b. einem Datenserver) auf einen zentralen Dienst. Dieser gibt sogenannte Tickets an die Benutzer aus, mit denen sie sich dann gegenüber den Netzwerkressourcen ausweisen können. Die Tickets können im Rahmen einer festgelegten Gültigkeitsdauer wiederverwendet werden; danach ist eine erneute Anforderung beim Kerberos- Server erforderlich. Mit Hilfe geschützter Zeitstempel wird sichergestellt, dass Tickets nicht durch Dritte wiedereingespielt werden können. Ein wichtiges Leistungsmerkmal ist dabei die Möglichkeit der gegenseitigen Authentisierung, d.h. auch der Client kann sich der korrekten Identität des Servers versichern. Dies ist vor allem in offenen Netzen von Bedeutung, bei denen es nicht ausgeschlossen werden kann, dass ein Server durch einen anderen, manipulierten ersetzt wird. Das Kerberos-Protokoll stellt sicher, dass zu keinem Zeitpunkt Kennwörter, weder offen noch verschlüsselt übertragen werden. Die Authentisierung basiert vielmehr auf dem gegenseitigen Nachweis, ein geteiltes Geheimnis zu kennen. 3.2 Besonderheiten der Kerberos-Implementation in Windows 2000 Obwohl es sich bei Kerberos um einen offenen Standard handelt, sind in der in Windows 2000 implementierten Variante einige Besonderheiten vorhanden: Kerberos unter Windows 2000 basiert auf dem DNS-Dienst (Domain Name System). Auf diesem Weg wird die Information über die IP-Adresse des Kerberos-Servers bereitgestellt. Sollen andere Kerberos-Server eingebunden werden, die nicht über diese DNS-basierte Identifikation verfügen, müssen deren Adressen statisch in die Clients eingetragen werden. Neben der Funktion der Authentisierung wird Windows-2000-Kerberos auch zur Rechteverwaltung eingesetzt. Dazu werden den Tickets SIDs (Security Identifier) aus dem Active Directory mitgegeben, die Auskunft über die Rechte des Clients bzw. Benutzers geben. Diese Daten werden signiert, um eine Manipulation durch einen Benutzer zu verhindern, der auf diese Weise seine Rechte erweitern möchte. Windows 2000 Clients verwenden standardmäßig eine Präauthentisierung gegenüber dem Kerberos-Authentisierungs-Service in Form einer mit dem Client-Schlüssel verschlüsselten Zeitmarke. Auf diese Weise wird sichergestellt, dass nur berechtigte Clients Tickets anfordern können. Dieses Feature kann für ein einzelnes Benutzerkonto abgestellt werden (Benutzereigenschaften Konto Kontooptionen Keine Kerberos-Präauthentifizierung erforderlich). Dies sollte nur erfolgen, wenn es aus Kompatibilitätsgründen mit anderen Kerberos-Versionen erforderlich ist. 14

19 Neben der Passwort-basierten Benutzerauthentisierung erlaubt Windows 2000 auch eine Chipkarten-basierte Lösung auf Basis von X.509-Zertifikaten. Zusätzlich zum UDP-Port 88 wird auch TCP-Port 88 verwendet, um größere Datenmengen in Kerberos-Tickets transportieren zu können. 3.3 Konfiguration In der Sicherheitsrichtlinie für Domänen des Domänen-Controllers können verschiedene operative Parameter des Kerberos-Systems eingestellt werden (siehe Abb. 3). Im Einzelnen: Benutzeranmeldeeinschränkungen erzwingen: Legt fest, dass der Kerberos- Server bereits vor Ausstellen eines Diensttickets (Service-Ticket) überprüft, ob der Client entsprechende Rechte (lokale Anmeldung bzw. Zugriff aus dem Netzwerk) auf dem Zielserver besitzt. Abb. 3: Kerberos-Einstellungen (Default-Werte) Max. Gültigkeitsdauer des Benutzer- bzw. Diensttickets: spätestens nach dieser Zeit verfallen die jeweiligen Tickets (Benutzer- bzw. Session-Ticket), und sie müssen erneuert werden bzw. es müssen neue angefordert werden. Die Werte können auf Null gesetzt werden, um einen Verfall zu verhindern; davon ist jedoch aus Sicherheitsgründen abzuraten. Die Standardeinstellungen (10 Stunden) sind im Allgemeinen sinnvolle Werte; in besonders sensiblen Bereichen bzw. bei Verwendung stark abhörgefährdeter Kanäle sollten die Werte reduziert werden. Max. Toleranz für die Synchronisation des Computertakts: Höchstwert für die Differenz der Systemzeiten von Kerberos-Endgeräten. Gehen die Uhren stärker auseinander, scheitert die Kommunikation. Die Voreinstellung 5 Minuten sollte in den meisten Fällen ausreichen. Max. Zeitraum, in dem ein Benutzerticket erneuert werden kann: spätestens nach dieser Zeit muss ein neues Benutzerticket (Ticket Granting Ticket, TGT) angefordert werden, d.h. ein Erneuern des bestehenden Tickets ist dann nicht mehr möglich. 3.4 Empfehlungen Um die erhöhte Sicherheit des Kerberos-Protokolls gegenüber NTLM vollständig ausnutzen zu können, sollten ausschließlich Windows 2000 Geräte 15

20 zum Einsatz kommen. Zumindest sollten eventuell vorhandene Geräte mit anderen Windows-Versionen nicht zur Anmeldung für kritische Konten (Administratoren, Benutzer mit Zugang zu sensiblen Daten etc.) benutzt werden. Die Windows 2000 Server sollten mit hoher Verschlüsselungsstärke ( High Encryption Pack ) ausgestattet sein, um Kerberos mit Schlüssellängen von 128 Bit betreiben zu können. Der Kerberos-Server sollte so konfiguriert werden, dass die vergebenen Tickets nach angemessener Zeit verfallen und durch neue ersetzt werden müssen. Es sollte beachtet werden, dass sich das Kerberos-System von Windows 2000 auf die Domänenanmeldung sowie einge andere Dienste (z.b. IPSec, Vertrauensstellungen) erstreckt, nicht jedoch auf Programme wie telnet oder ftp. 4 Verschlüsselte Datenspeicherung mit EFS Mit dem Encrypting File System (EFS) verfügt Windows 2000 über die Möglichkeit, Dateien für den Benutzer transparent zu verschlüsseln. Die datenschutzrechtliche Forderung nach Vertraulichkeit von gespeicherten Daten auch bei direktem Zugriff auf die Festplatte (z.b. bei Diebstahl eines Laptops oder im Rahmen der Wartung) kann daher in einem gewissen Umfang ohne Zusatzprodukte umgesetzt werden. Die EFS-Verschlüsselung wirkt nur auf Ebene der Speicherung, nicht jedoch bei der Übertragung im Netz (siehe dazu Kapitel 5). Da sich für den Benutzer die Bedienung des EFS darauf beschränkt, für Ordner oder einzelne Dateien einmalig festzulegen, ob eine Verschlüsselung erfolgen soll, kann die damit verbundene Sicherheit auch von weniger versierten Benutzern genutzt werden. Die Schlüssel werden automatisch mit der Anmeldung unter Windows 2000 zur Verfügung gestellt, so dass die zusätzliche Eingabe eines Kennworts nicht erforderlich ist. 4.1 Funktionsweise Durch das EFS erfolgt eine Verschlüsselung stets auf Dateiebene. Ob eine Verschlüsselung erfolgen soll, kann bei jeder Datei individuell eingestellt werden (Eigenschaften Allgemein Erweitert Inhalt verschlüsseln, um Daten zu schützen). Auch für Dateiordner existiert ein entsprechendes Attribut. Dies führt jedoch nicht dazu, dass die Ordner selbst verschlüsselt werden, sondern gibt lediglich vor, dass neue Dateien in diesem Ordner verschlüsselt werden sollen. Die Möglichkeit, die Verschlüsselung auf Dateiebene einzustellen, bleibt davon unberührt, so dass in verschlüsselten und in unverschlüsselten Ordnern sowohl verschlüsselte als auch unverschlüsselte Dateien existieren können. Als Algorithmus für die Datenverschlüsselung dient DESX (expanded Data Encryption Standard), wobei standardmäßig 56 Bit Schlüssellänge und als Erweiterung ( High Encryption Pack ) 128 Bit verwendet werden. Für jede Datei wird ein entsprechender Dateischlüssel erzeugt; dieser wird mit dem öffentlichen Schlüssel des berechtigten Nutzers verschlüsselt und zusammen mit den verschlüsselten Daten gespeichert. Nur bei Kenntnis des zugehörigen privaten Schlüssels kann das Betriebssystem dann zunächst auf den Datei- 16

TKI-0397 - Verschlüsselung der Festplattendaten unter Windows XP

TKI-0397 - Verschlüsselung der Festplattendaten unter Windows XP Zentralinstitut für Angewandte Mathematik D-52425 Jülich, Tel.(02461) 61-6402 Informationszentrum, Tel. (02461) 61-6400 Verschlüsselung der Festplattendaten unter Windows XP Technische Kurzinformation

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte.

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. 4 Domänenkonzepte Ziele des Kapitels: Sie verstehen den Begriff Domäne. Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. Sie verstehen die Besonderheiten der Vertrauensstellungen

Mehr

Step by Step Active Directory unter Windows Server 2003. von Christian Bartl

Step by Step Active Directory unter Windows Server 2003. von Christian Bartl Step by Step Active Directory unter Windows Server 2003 von Active Directory unter Windows Server 2003 Um Active Directory zu installieren muss der Server eine fixe IP-Adresse besitzen. Außerdem wird die

Mehr

Schreibberechtigungen auf Dateien oder Ordner zuweisen

Schreibberechtigungen auf Dateien oder Ordner zuweisen Musterlösung für Schulen in Baden-Württemberg Windows 200x Lehrerfortbildung Schreibberechtigungen auf Dateien oder Ordner zuweisen Andreas Mayer. Auflage, 7.06.2008 Inhalt. Schreibberechtigungen auf Dateien

Mehr

Kompaktes Netzwerk-Wissen rund um die Konfiguration eines Windows Domain-Controllers

Kompaktes Netzwerk-Wissen rund um die Konfiguration eines Windows Domain-Controllers Computer Netzwerk-Technik Teil 2: Windows-Server - Installation Arbeitsweisen Domänen Active Directory Benutzer-Verwaltung DFS RAID-Systeme Server-Cluster Autor: Rainer Egewardt Copyright Kompaktes Netzwerk-Wissen

Mehr

1 Die Active Directory

1 Die Active Directory 1 Die Active Directory Infrastruktur Prüfungsanforderungen von Microsoft: Configuring the Active Directory Infrastructure o Configure a forest or a domain o Configure trusts o Configure sites o Configure

Mehr

2 Verwalten einer Active Directory

2 Verwalten einer Active Directory Einführung 2 Verwalten einer Active Directory Infrastruktur Lernziele Active Directory und DNS Besonderheiten beim Anmeldevorgang Vertrauensstellungen Sichern von Active Directory Wiederherstellen von

Mehr

Active Directory REGIONALES RECHENZENTRUM ERLANGEN [RRZE]

Active Directory REGIONALES RECHENZENTRUM ERLANGEN [RRZE] REGIONALES RECHENZENTRUM ERLANGEN [RRZE] Active Directory Systemausbildung Grundlagen und Aspekte von Betriebssystemen und systemnahen Diensten Sebastian Schmitt, 27.05.2015 Agenda Einführung Hauptkomponenten

Mehr

WINDOWS ÜBERWACHEN MIT NETCRUNCH 7 S E I T E 1

WINDOWS ÜBERWACHEN MIT NETCRUNCH 7 S E I T E 1 WINDOWS ÜBERWACHEN MIT NETCRUNCH 7 S E I T E 1 NetCrunch 7 kann Systeme mit Microsoft Windows ohne die Installation von Agenten überwachen. Aufgrund von weitreichenden Sicherheitsvorkehrungen ist es jedoch

Mehr

Unterrichtseinheit 9

Unterrichtseinheit 9 Unterrichtseinheit 9 Sicherheitsrichtlinien werden verwendet, um die Sicherheit im Netzwerk zu verstärken. Die effizienteste Möglichkeit zum Implementieren dieser, stellt die Verwendung von Sicherheitsvorlagen

Mehr

MS Active Directory Services & MS Group Policy Object. ITTK A09 Laßnig-Walder Karl Surtmann Klaus

MS Active Directory Services & MS Group Policy Object. ITTK A09 Laßnig-Walder Karl Surtmann Klaus MS Active Directory Services & MS Group Policy Object ITTK A09 Laßnig-Walder Karl Surtmann Klaus Inhaltsverzeichnis Was ist MS Active Directory? Aufbau Struktur DC, GC, Replikation, FSMO Hauptkomponenten

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal 1. HANDLUNGSSCHRITT Aufgabe 13 Betriebssystem Prozessortakt RAM empfohlen RAM maximal Installationsgröße SMP Anzahl Prozessoren Windows 7 Ultimate 2008 Web 2008 Standard 2008 Enterprise 2008 Datacenter

Mehr

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Ein Großteil der heutigen Kommunikation geschieht per email. Kaum ein anderes Medium ist schneller und effizienter. Allerdings

Mehr

5 Benutzer und Gruppen in ADDS-Domänen

5 Benutzer und Gruppen in ADDS-Domänen 5 Benutzer und Gruppen in ADDS-Domänen 5.1 Verwaltung von Benutzern Im Snap-In Active Directory Benutzer und Computer findet sich ein Container Users, in welchem Benutzerkonten angelegt werden können.

Mehr

Windows-Domänenverwaltung

Windows-Domänenverwaltung Windows-Domänenverwaltung Gliederung Grundlagen Domänen Planung einer Domäne Wartung und Verwaltung einer Domäne Vorführung Windows - Domänen Eine Domäne stellt einen logischen Verbund von Computern dar,

Mehr

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Unterrichtseinheit 5: Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Verschlüsselung mit öffentlichen Schlüsseln ist eine bedeutende Technologie für E- Commerce, Intranets,

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration Active Directory Integration Mac OS X René Meusel Betriebssystemadministration Sommersemester 2009 Gliederung 2 Motivation Was ist Active Directory? Allgemeine Definition Funktionsweise Unterstützung in

Mehr

Musterlösung für Schulen in Baden-Württemberg. Windows 2003. Basiskurs Windows-Musterlösung. Version 3. Stand: 19.12.06

Musterlösung für Schulen in Baden-Württemberg. Windows 2003. Basiskurs Windows-Musterlösung. Version 3. Stand: 19.12.06 Musterlösung für Schulen in Baden-Württemberg Windows 2003 Basiskurs Windows-Musterlösung Version 3 Stand: 19.12.06 Impressum Herausgeber Zentrale Planungsgruppe Netze (ZPN) am Kultusministerium Baden-Württemberg

Mehr

Inhaltsverzeichnis Vorwort Konzepte des Active Directory

Inhaltsverzeichnis Vorwort Konzepte des Active Directory Vorwort.................................................................. XI Warum dieses Buch.................................................... XI Kapitelübersicht.......................................................

Mehr

Active Directory. Agenda. Michael Flachsel. TU-Windows Konzept Vorhandene Umgebung. Allgemeiner Aufbau & Struktur an der TUB

Active Directory. Agenda. Michael Flachsel. TU-Windows Konzept Vorhandene Umgebung. Allgemeiner Aufbau & Struktur an der TUB Michael Flachsel Active Directory Allgemeiner Aufbau & Struktur an der TUB 6. Juni 2007 Agenda TU-Windows Vorhandene 2 (c) 2007 Michael Flachsel Active Directory" 1 Warum Active Directory Ca. 2000 Ca.

Mehr

Name: lokale Beschreibung: Eine Gruppe, die alle Benutzer enthält, die lokal angemeldet haben.

Name: lokale Beschreibung: Eine Gruppe, die alle Benutzer enthält, die lokal angemeldet haben. Eine Sicherheits-ID (SID) ist ein eindeutiger Wert variabler Länge, der verwendet wird, um einen Sicherheitsprinzipal oder eine Sicherheitsgruppe in Windows-Betriebssystemen zu identifizieren. Bekannte

Mehr

Aktive Schnittstellenkontrolle

Aktive Schnittstellenkontrolle Aktive Schnittstellenkontrolle Version 1.0 Ausgabedatum 05.03.2013 Status in Bearbeitung in Abstimmung Freigegeben Ansprechpartner Angelika Martin 0431/988-1280 uld34@datenschutzzentrum.de Inhalt 1 Problematik...2

Mehr

Samba4 / Active Directory Seminar Betriebsystemadministration

Samba4 / Active Directory Seminar Betriebsystemadministration Samba4 / Active Directory Seminar Betriebsystemadministration Martin Faust Hasso-Plattner-Institut Potsdam Mai 2008 1 Themen 2 Samba SMB Protokoll Aktueller Entwicklungsstand, Ziele Active Directory Funktionsweise

Mehr

Konfiguration von EFS über Registry Keys sowie weiteren mitgelieferten Tools

Konfiguration von EFS über Registry Keys sowie weiteren mitgelieferten Tools Konfiguration von EFS über Registry Keys sowie weiteren mitgelieferten Tools Knowlegde Guide Wien, März 2004 INHALT Festlegung des Verschlüsselungsalgorithmus...3 Verschlüsselungsoption im Kontextmenü

Mehr

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX)

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sommerakademie 2008 Internet 2008 - Alles möglich, nichts privat? Die Situation Multifunktionsgeräte (Drucker,

Mehr

ZMI Produkthandbuch Gruppenrichtlinien. Windows-Gruppenrichtlinien

ZMI Produkthandbuch Gruppenrichtlinien. Windows-Gruppenrichtlinien ZMI Produkthandbuch Gruppenrichtlinien Windows-Gruppenrichtlinien Version: 1.4 10.11.2007 Herausgeber Zentrum für Medien und IT ANSCHRIFT: HAUS-/ZUSTELLADRESSE: TELEFON: E-MAIL-ADRESSE: Zentrum für Medien

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

(1) Grundlagen W2K Server

(1) Grundlagen W2K Server (1) Grundlagen W2K Server 1. Versionen von W2K Server: W2K Server kleine und große Unternehmen W2K Advanced Server große Unternehmen W2K DataCenter Server stärkster Server 2. Verzeichnisdienste in W2K

Mehr

Server Installation 1/6 20.10.04

Server Installation 1/6 20.10.04 Server Installation Netzwerkeinrichtung Nach der Installation müssen die Netzwerkeinstellungen vorgenommen werden. Hierzu wird eine feste IP- Adresse sowie der Servername eingetragen. Beispiel: IP-Adresse:

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

Bereitstellen von Windows 2000 Professional mit Hilfe von RIS

Bereitstellen von Windows 2000 Professional mit Hilfe von RIS Unterrichtseinheit 13: Bereitstellen von Windows 2000 Professional mit Hilfe von RIS Die Remoteinstallationsdienste (Remote Installation Services, RIS) bilden die Grundlage der Windows2000-Remote-Betriebssysteminstallation.

Mehr

Inhaltsverzeichnis Vorwort Workshop: Testumgebung Microsoft-Netzwerk

Inhaltsverzeichnis Vorwort Workshop: Testumgebung Microsoft-Netzwerk Vorwort 11 1 Workshop: Testumgebung Microsoft-Netzwerk 17 1.1 Vorbereitungen für die Testumgebung 18 1.2 Microsoft Virtual Server 2005 R2 20 1.2.1 Installation Microsoft Virtual Server 2005 R2 21 1.2.2

Mehr

NCP Secure Enterprise Management (Windows) Neue Features von Version 2.02 bis 1.03

NCP Secure Enterprise Management (Windows) Neue Features von Version 2.02 bis 1.03 NCP Secure Enterprise Management (Windows) Neue Features von Version 2.02 bis 1.03 What s New Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

09.01.2014. Dokumentation zur Einrichtung des Active-Directory für die Bank am Waldrand. Übung: Active-Directory Daniel Pasch FiSi_FQ_32_33_34

09.01.2014. Dokumentation zur Einrichtung des Active-Directory für die Bank am Waldrand. Übung: Active-Directory Daniel Pasch FiSi_FQ_32_33_34 09.01.2014 Dokumentation zur Einrichtung des Active-Directory für die Bank am Waldrand Übung: Active-Directory Daniel Pasch FiSi_FQ_32_33_34 Inhaltsverzeichnis 1 Der Auftrag... 3 2 Ist-Zustand... 3 3 Soll-Zustand...

Mehr

Sichere PCs und Laptops

Sichere PCs und Laptops Sichere PCs und Laptops Sicherheitstools mit der Bürgerkarte A-SIT Zentrum für Sichere Informationstechnologie Dipl.-Ing. Martin Centner SFG, 9. Februar 2006 A-SIT Zentrum für Sichere Informationstechnologie

Mehr

Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware

Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware Das E-Mail-Programm Outlook 98 von Microsoft bietet Ihnen durch die Standard- Integration des E-Mail-Protokolls S/MIME (Secure/MIME) die Möglichkeit,

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

Benutzerkonto unter Windows 2000

Benutzerkonto unter Windows 2000 Jeder Benutzer, der an einem Windows 2000 PC arbeiten möchte, braucht dazu ein Benutzerkonto. Je nach Organisation des Netzwerkes, existiert dieses Benutzerkonto auf der lokalen Workstation oder im Active

Mehr

Step by Step Gruppenrichtlinien unter Windows Server 2003. von Christian Bartl

Step by Step Gruppenrichtlinien unter Windows Server 2003. von Christian Bartl Step by Step Gruppenrichtlinien unter Windows Server 2003 von Gruppenrichtlinien unter Windows Server 2003 Grundlagen Um Gruppenrichtlinien hinzuzufügen oder zu verwalten Gehen Sie in die Active Directory

Mehr

3. Was müssen Sie tun, um von einem Windows 7 Client die Benutzereinstellungen und die Einstellungen einer bestimmten Anwendung zu exportieren?

3. Was müssen Sie tun, um von einem Windows 7 Client die Benutzereinstellungen und die Einstellungen einer bestimmten Anwendung zu exportieren? Arbeitsblätter Der Windows 7 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 680 Aufgaben Kapitel 1 1. Sie möchten auf einem Computer, auf dem Windows Vista installiert ist, Windows 7 zusätzlich installieren,

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

Net at Work Mail Gateway 9.2 Outlook Add-In Gruppenrichtlinien. NoSpamProxy enqsig enqsig CS Large File Transfer

Net at Work Mail Gateway 9.2 Outlook Add-In Gruppenrichtlinien. NoSpamProxy enqsig enqsig CS Large File Transfer Net at Work Mail Gateway 9.2 Outlook Add-In Gruppenrichtlinien NoSpamProxy enqsig enqsig CS Large File Transfer Impressum Alle Rechte vorbehalten. Dieses Handbuch und die darin beschriebenen Programme

Mehr

reditiotlrfs Inhaltsverzeichnis Mag. Christian Zahler, August 2011 1 Windows Server 2008 R2: Active Directory

reditiotlrfs Inhaltsverzeichnis Mag. Christian Zahler, August 2011 1 Windows Server 2008 R2: Active Directory Tree Domain reditiotlrfs Inhaltsverzeichnis 1 Das Active Directory-Domänenkonzept von Windows Server 2008 R2 13 1.1 Bestandteile der Active Directory Domain Services 13 1.2 Forest - - 14 1.3 Entstehung

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

-Echte und Originale Prüfungsfragen und Antworten aus Testcenter -Machen Sie sich fit für Ihre berufliche Zukunft!

-Echte und Originale Prüfungsfragen und Antworten aus Testcenter -Machen Sie sich fit für Ihre berufliche Zukunft! -Echte und Originale Prüfungsfragen und Antworten aus Testcenter -Machen Sie sich fit für Ihre berufliche Zukunft! http://www.it-pruefungen.de/ Prüfungsnummer: 70-640 Prüfungsname: Windows Server 2008

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Einrichten Active Directory ver 1.0

Einrichten Active Directory ver 1.0 Einrichten Active Directory ver 1.0 Active Directory Windows 2003 Autor: Mag Georg Steingruber Veröffentlicht: August 2003 Feedback oder Anregungen:i-georgs@microsoft.com Abstract Dieses Dokument beschreibt

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

3 Entwerfen von Identitäts- und

3 Entwerfen von Identitäts- und 3 Entwerfen von Identitäts- und Zugriffsmanagementkomponenten Prüfungsanforderungen von Microsoft: Designing Support Identity and Access Management Components o Plan for domain or forest migration, upgrade,

Mehr

Installationsanleitung Microsoft Windows SBS 2011. MSDS Praxis + 2.1

Installationsanleitung Microsoft Windows SBS 2011. MSDS Praxis + 2.1 Installationsanleitung Microsoft Windows SBS 2011 MSDS Praxis + 2.1 Inhaltsverzeichnis Einleitung 2 Windows SBS 2011... 2 Hinweise zum Vorgehen... 2 Versionen... 2 Installation 3 Installation SQL Server

Mehr

Inhaltsverzeichnis XIII XIII XIV XIV XIV XIV XV XV XV XV XV XV XV XVI XVI

Inhaltsverzeichnis XIII XIII XIV XIV XIV XIV XV XV XV XV XV XV XV XVI XVI Vorwort.................................................................................. Warum dieses Buch?................................................................... Kapitelübersicht........................................................................

Mehr

Microsoft Office SharePoint Server

Microsoft Office SharePoint Server Microsoft Office SharePoint Server von Dipl.-Ing. Thomas Simon Dipl.-Ing. Lars Kuhl Dipl.-Des. Alexandra Meyer Dominik Zöller Microsoft Office SharePoint Server 2007 Seite 4-83 4 Planungsaspekte 4.1 Architektur

Mehr

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub 1 Praktikum Protokolle SS2007 Fachhochschule OOW VPN Dokumentation 1 2 Praktikum Protokolle SS2007 Fachhochschule OOW Inhaltsverzeichnis Thema Seite 1. Einleitung 3 2. Unsere Aufbaustruktur 3 3. Installation

Mehr

IKONIZER II Installation im Netzwerk

IKONIZER II Installation im Netzwerk Der IKONIZER II ist netzwerkfähig in allen bekannten Netzwerken. Da jedoch etwa 95% der Installationen lokal betrieben werden, erfolgt diese grundsätzlich sowohl für das Programm wie auch für den lizenzfreien

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

Windows 2008 Server R2. Peter Unger

Windows 2008 Server R2. Peter Unger Windows 2008 Server R2 Peter Unger Grundlagen und Begriffe Installation Organisationseinheiten Benutzer Computer Gruppen Benutzerprofile 2 Überblick Verzeichnisdienst Das AD baut auf einer Datenbank auf

Mehr

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt Inhaltsverzeichnis Aufgabe... 1 Allgemein... 1 Active Directory... 1 Konfiguration... 2 Benutzer erstellen... 3 Eigenes Verzeichnis erstellen... 3 Benutzerkonto erstellen... 3 Profil einrichten... 5 Berechtigungen

Mehr

SECURE DATA DRIVE CLIENTSEITIGE VERSCHLÜSSELUNG Technical Insight, Oktober 2014 Version 1.0

SECURE DATA DRIVE CLIENTSEITIGE VERSCHLÜSSELUNG Technical Insight, Oktober 2014 Version 1.0 SECURE DATA DRIVE CLIENTSEITIGE VERSCHLÜSSELUNG Technical Insight, Oktober 2014 Version 1.0 mit den eingetragenen Materialnummern Inhalt Inhalt... 2 1 Vorwort... 3 2 Allgemeines zur Verschlüsselung...

Mehr

Konfiguration von Clients zur Kommunikation mit einem SUS-Server

Konfiguration von Clients zur Kommunikation mit einem SUS-Server Konfiguration von Clients zur Kommunikation mit einem SUS-Server Allgemeine Informationen Damit sich der Autoupdate-Client die Updates vom lokalen SUS-Server abholt, muss in seiner Registry die korrekten

Mehr

ProCall 5 Enterprise

ProCall 5 Enterprise ProCall 5 Enterprise Installationsanleitung Upgradeverfahren von ProCall 4+ Enterprise auf ProCall 5 Enterprise ProCall 5 Enterprise Upgrade Seite 1 von 10 Rechtliche Hinweise / Impressum Die Angaben in

Mehr

3 Active Directory installieren

3 Active Directory installieren 3 Active Directory installieren In diesem Kapitel gehe ich auf die neuen Active Directory-Funktionen im Einsatz mit Windows Server 2008 ein. Die Funktion eines Domänen-Controllers wird in Windows Server

Mehr

TriNotar. Administrationshandbuch. Copyright Wolters Kluwer Deutschland GmbH Build 013.100.0028 vom 18.03.2013

TriNotar. Administrationshandbuch. Copyright Wolters Kluwer Deutschland GmbH Build 013.100.0028 vom 18.03.2013 Copyright Wolters Kluwer Deutschland GmbH Build 013.100.0028 vom 18.03.2013 TriNotar Administrationshandbuch (Version mit Schwerpunkt auf Neuerungen Build 013.100.0028) Wolters Kluwer Deutschland GmbH

Mehr

VirusBuster CMS zentrale Verwaltung

VirusBuster CMS zentrale Verwaltung Einleitung: Die VirusBuster Central Management Solution bietet eine bewährte und umfassende zentrale Steuerungs- und Überwachungsfunktion auf Windows- Netzwerken. CMS bietet Firmennetzwerken einen geeigneten

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Skyfillers Online Backup. Kundenhandbuch

Skyfillers Online Backup. Kundenhandbuch Skyfillers Online Backup Kundenhandbuch Kundenhandbuch Inhalt Einrichtung... 2 Installation... 2 Software herunterladen... 2 Installation unter Windows... 2 Installation unter Mac OS X... 3 Anmelden...

Mehr

ISSS Security Lunch - Cloud Computing

ISSS Security Lunch - Cloud Computing ISSS Security Lunch - Cloud Computing Technische Lösungsansätze Insert Andreas Your Kröhnert Name Insert Technical Your Account Title Manager Insert 6. Dezember Date 2010 The Cloud Unternehmensgrenzen

Mehr

Handbuch Version 1.02 (August 2010)

Handbuch Version 1.02 (August 2010) Handbuch Version 1.02 (August 2010) Seite 1/27 Inhaltsverzeichnis 1. Einleitung 1.1. Begrüßung 03 1.2. Was ist PixelX Backup FREE / PRO 03 1.3. Warum sollten Backups mittels einer Software erstellt werden?

Mehr

Import des persönlichen Zertifikats in Outlook2007

Import des persönlichen Zertifikats in Outlook2007 Import des persönlichen Zertifikats in Outlook2007 1. Installation des persönlichen Zertifikats 1.1 Voraussetzungen Damit Sie das persönliche Zertifikat auf Ihren PC installieren können, benötigen Sie:

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

Der Austausch von Informationen erfolgt zunehmend über elektronische Medien.

Der Austausch von Informationen erfolgt zunehmend über elektronische Medien. Vorwort Der Austausch von Informationen erfolgt zunehmend über elektronische Medien. Neben den großen Vorteilen, welche uns diese Medien bieten, bergen Sie aber auch zunehmend Gefahren. Vorgetäuschte E-Mail-Identitäten,

Mehr

Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe. Dokumentversion: 1.0.2

Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe. Dokumentversion: 1.0.2 Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe Dokumentversion: 1.0.2 Inhaltsverzeichnis 1. System Überblick 4 2. Windows Firewall Konfiguration 5 2.1. Erlauben von DCOM Kommunikation

Mehr

1 Verwalten einer Serverumgebung

1 Verwalten einer Serverumgebung Einführung 1 Verwalten einer Serverumgebung Lernziele: Verstehen der Voraussetzungen für die Serververwaltung Erlernen der Remoteverwaltung mit Hilfe der Computerverwaltungskonsole Remoteadministration

Mehr

Samsung Drive Manager-FAQs

Samsung Drive Manager-FAQs Samsung Drive Manager-FAQs Installation F: Meine externe Samsung-Festplatte ist angeschlossen, aber nichts passiert. A: Ü berprüfen Sie die USB-Kabelverbindung. Wenn Ihre externe Samsung-Festplatte richtig

Mehr

Lösungen zu 978-3-8045-5382-8 Informations- und Telekommunikationstechnik - IT-Buchreihe Band 2

Lösungen zu 978-3-8045-5382-8 Informations- und Telekommunikationstechnik - IT-Buchreihe Band 2 Seite 344 4.3.3 4.3.3.1 1. Authentifizierung. Die Subjekte (Benutzer oder Dienste) müssen ein Konto innerhalb des Betriebssystems besitzen. Das Konto enthält Anmeldename, Kennwort und weitere Charakteristiken.

Mehr

FTP-Leitfaden RZ. Benutzerleitfaden

FTP-Leitfaden RZ. Benutzerleitfaden FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...

Mehr

2 Datei- und Druckdienste

2 Datei- und Druckdienste Datei- und Druckdienste 2 Datei- und Druckdienste Lernziele: Verteiltes Dateisystem (DFS) Dateiserver Ressourcen Manager (FSRM) Verschlüsseln Erweiterte Überwachung Prüfungsanforderungen von Microsoft:

Mehr

FAQs zur Nutzung des E-Mail Zertifikats zur sicheren E-Mail-Kommunikation. Das E-Mail Zertifikat von S-TRUST

FAQs zur Nutzung des E-Mail Zertifikats zur sicheren E-Mail-Kommunikation. Das E-Mail Zertifikat von S-TRUST FAQs zur Nutzung des E-Mail Zertifikats zur sicheren E-Mail-Kommunikation. Das E-Mail Zertifikat von S-TRUST S - t r u s t Z e r t i f i z i e r u n g s d i e n s t l e i s t u n g e n d e s D e u t s

Mehr

1 Verwalten von Benutzern,

1 Verwalten von Benutzern, Einführung 1 Verwalten von Benutzern, Gruppen und Computern Lernziele: Die Windows Server 2003 Familie Anmeldearten Administrative Hilfsmittel Bearbeiten von Benutzerkonten Bearbeiten von Gruppen Bearbeiten

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client

DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client 1. Einleitung Für die rechnerübergreifende Kommunikation zwischen OPC Client und OPC Server wird bei OPC DA

Mehr

PARAGON Encrypted Disk

PARAGON Encrypted Disk PARAGON Encrypted Disk Anwenderhandbuch Paragon Technologie, Systemprogrammierung GmbH Copyright Paragon Technologie GmbH Herausgegeben von Paragon Technologie GmbH, Systemprogrammierung Pearl-Str. 1 D-79426

Mehr

6.1.2 Beispiel 118: Kennwort eines Benutzers ändern

6.1.2 Beispiel 118: Kennwort eines Benutzers ändern Herzlich willkommen zum Kurs "Windows XP Home & Professional" 6 Windows XP und die Sicherheit Sicherheit beim Arbeiten am Computer ist einer der wichtigsten Themen. Windows XP wurde von Microsoft mit zahlreichen

Mehr

DIRECTINFO ANBINDUNG AN VERZEICHNISDIENSTE WIE ACTIVE DIRECTORY

DIRECTINFO ANBINDUNG AN VERZEICHNISDIENSTE WIE ACTIVE DIRECTORY DIRECTINFO ANBINDUNG AN VERZEICHNISDIENSTE WIE ACTIVE DIRECTORY Armin Singer Version 1.0, Mai 2007 Inhaltverzeichnis ZIELSETZUNG...3 VORAUSSETZUNGEN...3 ANMELDEN MIT ADMINISTRATIONSRECHTEN...3 INTERNE

Mehr

Kurse & Workshops rund um Windows Server 2012. mit Active Directory, Gruppenrichtlinienverwaltung und IT-Sicherheit

Kurse & Workshops rund um Windows Server 2012. mit Active Directory, Gruppenrichtlinienverwaltung und IT-Sicherheit Kurse & Workshops rund um Windows Server 2012 mit Active Directory, Gruppenrichtlinienverwaltung und IT-Sicherheit Wissen für den beruflichen Erfolg! IT-Sicherheit: Hacking für Administratoren Schwachstellen

Mehr

MSXFORUM - Exchange Server 2003 > Installationsanleitung Exchange 2003

MSXFORUM - Exchange Server 2003 > Installationsanleitung Exchange 2003 Page 1 of 12 Installationsanleitung Exchange 2003 Kategorie : Exchange Server 2003 Veröffentlicht von webmaster am 18.02.2005 Diese Anleitung ist eine "step by step" Leitfaden zur Installation eines Exchange

Mehr

VPN mit Windows Server 2003

VPN mit Windows Server 2003 VPN mit Windows Server 2003 Virtuelle private Netzwerke einzurichten, kann eine sehr aufwendige Prozedur werden. Mit ein wenig Hintergrundwissen und dem Server- Konfigurationsassistenten von Windows Server

Mehr

Installationshinweise zur lokalen Installation des KPP Auswahltools 7.6

Installationshinweise zur lokalen Installation des KPP Auswahltools 7.6 Installationshinweise zur lokalen Installation des KPP Auswahltools 7.6 Installationsvoraussetzungen: Die Setup-Routine benötigt das DotNet-Framework 4.0 Client Profile, das normalerweise über Microsoft

Mehr

Step by Step Active Directory mit Novell Directory Service unter Windows Server 2003. von Christian Bartl

Step by Step Active Directory mit Novell Directory Service unter Windows Server 2003. von Christian Bartl Step by Step Active Directory mit Novell Directory Service unter Windows Server 2003 von Active Directory mit Novell Directory Service unter Windows Server 2003 1. ADS mit NDS installieren Ändern der IP-Adresse

Mehr

Administrative Tätigkeiten

Administrative Tätigkeiten Administrative Tätigkeiten Benutzer verwalten Mit der Benutzerverwaltung sind Sie in der Lage, Zuständigkeiten innerhalb eines Unternehmens gezielt abzubilden und den Zugang zu sensiblen Daten auf wenige

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

Projektthema. Windows NT Domain-Verwaltung

Projektthema. Windows NT Domain-Verwaltung Projektthema Windows NT Domain-Verwaltung Inhalt Grundlagen einer Domain Planung Installation Wartung und Verwaltung Domain Als Domain bezeichnet man eine logische Ansammlung von Computer In einer Domain

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

CaseWare Monitor. ProduktNEWS CaseWare Monitor. Version 4.3. Mehr Informationen zu CaseWare Monitor und unseren anderen Produkten & Dienstleistungen

CaseWare Monitor. ProduktNEWS CaseWare Monitor. Version 4.3. Mehr Informationen zu CaseWare Monitor und unseren anderen Produkten & Dienstleistungen Mit der aktuellen Version hält eine komplett neu konzipierte webbasierte Anwendung Einzug, die sich neben innovativer Technik auch durch ein modernes Design und eine intuitive Bedienung auszeichnet. Angefangen

Mehr

1 Änderungen bei Windows Server 2008 R2

1 Änderungen bei Windows Server 2008 R2 1 Änderungen bei Windows Server 2008 R2 1.1 Die Neuerungen im Überblick Zeitgleich mit Windows 7 erschien auch das Serverbetriebssystem Windows Server 2008 R2. Diese beiden Betriebssysteme haben den gleichen

Mehr