– Jan's Cloud – online Gedankenstütze ;)

26. November 2018

Windows Zertifikatsspeicher unter Firefox nutzen Part II

Filed under: Gruppenrichtlinien,Sonstiges — Schlagwörter: , , , , , — Jan Mischo @ 17:54

Hier ein kleines Update zum Beitrag wie der Windows Zertifikatsspeicher im Firefox Browser genutzt werden kann.

Um es ganz kurz zu halten: Mozilla hat dem Firefox ab der Version 60 beigebracht mit Gruppenrichtlinien umzugehen. Yay! 🙂 Dazu einfach die ADMX Templates von github (https://github.com/mozilla/policy-templates/releases) laden und in den zentralen Richtlinienspeicher (PolicyDefinitions Ordner (\\<Domain DNS Name\SYSVOL\<Domain DNS Name>\Policies\PolicyDefinitions)) kopieren. Im Anschluss die Gruppenrichtlinienverwaltung (gpmc.msc) starten, in der Computer- und / oder Benutzerkonfiguration in die administrativen Vorlagen wechseln und Mozilla -> Firefox -> Zertifikate -> Windows Zertifikatsspeicher benutzern -> Aktivieren.

Wie man sehen kann lässt sich die Einstellung „security.enterprise_roots.enabled“ im about:config-Tab nicht mehr ändern und diese erhält durch die Richtlinie den Status „gesperrt“.

Neben der Aktivierung des Windows Zertifikatsspeichers im Firefox können die Richtlinien noch ein wenig mehr wie zum Beispiel die Ausführung von Flash nur auf bestimmten Seiten zulassen oder den Zugriff auf Kamera, Mikrofon und Standort steuern. Eine vollständige Liste gibt es ebenfalls auf github bzw. im ZIP File mit den GPO Templates: https://github.com/mozilla/policy-templates/blob/master/README.md

14. Dezember 2017

Windows Zertifikatsspeicher unter Firefox nutzen

Mit dem Firefox Browser der eigenen Enterprise CA bzw. den Zertifikaten im Windows Zertifikatsspeicher vertrauen

In einem Kundenprojekt gab es den Bedarf an einer zweistufigen Public Key Infrastruktur sowie der Nutzung des Firefox Browsers. Zum Einen gab es hier die Herausforderung dem Firefox beizubringen den Windows Zertifikatsspeicher zu nutzen sowie zum Anderen diese Einstellung nach Möglichkeit automatisiert auszurollen.

Update: Ab Version 60 versteht der Mozilla Firefox Gruppenrichtlinien – Juchuu!

Damit der Firefox Browser den per GPO verteilten Zertifikaten (Computer Konfiguration -> Windows Einstellungen -> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Vertrauenswürdige Stammzertifizierungsstellen bzw. Zwischenzertifizierungsstellen) vertraut muss im Firefox im about:config Tab die Nutzung der Enterprise Roots aktiviert werden.

Firefox Windows_Zertifikatsspeicher

Firefox Windows_Zertifikatsspeicher

Firefox Enable Enterprise Roots

Firefox Enable Enterprise Roots

 

Firefox Windows Zertifikatsspeicher

Firefox Windows Zertifikatsspeicher

 

 

 

 

 

 

 

 

Um die guten Schuhe zu schonen wird jetzt ein Weg benötitig, diese Einstellung zu verteilen. Dazu wird ein GPO oder ein Start-Up-Script benötigt welches eine js-Datei ins Firefox Programmverzeichniss (C:\Program Files (x86)\Mozilla Firefox\defaults\pref) kopiert. Als Beispiel die Verteilung per GPO:

Dazu eine Freigabe erstellen in der die Computerkonten bzw. die „Authentifizierten User“ Lesen dürfen sowie ebenfalls das NTFS Recht „Lesen“ besitzen.

Computer auf Freigabe berechtigen

Computer auf Freigabe berechtigen

 

 

 

 

 

 

 

Im Ordner eine „EnableRoot.js“-Datei anlegen

/* Windows Zertifikatsspeicher nutzen */
pref(„security.enterprise_roots.enabled“, true);

EnableRoot.js

EnableRoot.js

 

 

 

 

 

GPO erstellen welche mit der entsprechenden Computer-OU verlinkt ist und unter Computerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Dateien eine „neue Datei“ erstellen sowie eine Zielgruppenadressierung für x64 bzw. 64 Bit Systeme hinzufügen:

Quelldatei(en): \\<Server>\<Freigabe>\EnableRoot.js
Zieldatei: C:\Program Files (x86)\Mozilla Firefox\defaults\pref\EnableRoot.js
Select * from Win32_Processor where AddressWidth = ’64‘

Für die älteren x86 bzw. 32 Bit Clients folgende „neue Datei“ samt Zielgruppenadressierung erstellen:

Quelldatei(en): \\<Server>\<Freigabe>\EnableRoot.js
Zieldatei: C:\Program Files\Mozilla Firefox\defaults\pref\EnableRoot.js

 

Select * from Win32_Processor where AddressWidth = ’32‘

Gruppenrichtlinien-Einstellungen und Zielgruppenadressierung

Gruppenrichtlinien-Einstellungen und Zielgruppenadressierung

 

 

 

 

 

 

 

Im Worst-Case den Client einmal durchbooten, sofern es ein neues GPO ist oder per „gpupdate“ die Gruppenrichtlinien erneut anwenden

 

11. Oktober 2017

Terminalserver Zwischenablage per User

Filed under: Remotedesktopdienste,Windows Server — Schlagwörter: , , , , , , — Jan Mischo @ 08:27

Umleitung der Zwischenablage am Terminalserver pro Benutzer erlauben bzw. verbieten

Die Umleitung der Zwischenablage kann in den Eigenschaften der jeweiligen Sammlung nur für die gesamte Bereitstellung aktiviert oder deaktiviert werden. Möchte man allerdings verschiedenen Benutzern das Umleiten der Zwischenablage verbieten könnte man einfach zwei verschiedene RDS Farmen bereitstellen. Schaut man sich die Gruppenrichtlinien an, wird man vorerst auch nur unter der Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Remotedesktopdienste -> Remotedesktopsitzungs-Host -> Geräte- und Ressourcenumleitung fündig. Da wir uns hier allerdings wieder in der Computerkonfiguration befinden, greift diese Einstellung wieder für alle User die auf dem entsprechenden Host angemeldet sind.

Die Richtlinie „Zwischenablageumleitung nicht zulassen“ findet sich allerdings auch an entsprechender Stelle der Benutzerkonfiguration (Benutzerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Remotedesktopdienste -> Remotedesktopsitzungs-Host -> Geräte- und RessourcenumleitungAdministrative Vorlagen -> Windows-Komponenten -> Remotedesktopdienste -> Remotedesktopsitzungs-Host -> Geräte- und Ressourcenumleitung).

Jetzt muss nur noch ein GPO in der Gruppenrichtlinienverwaltung (gpmc.msc) erstellt und mit der entsprechenden Benutzer Organisationseinheit verknüpft werden. Ebenso muss die Sicherheitsfilterung angepasst werden, damit nur die gewünschten User diese Einstellung auf den gewünschten Terminalservern bekommen. Sollten die Terminalserver im Loopbackverarbeitungsmodus (Ersetzen) betrieben werden, bitte untenstehenden Hinweis beachten.

Zwischenablage per User

Zwischenablage per User

 

 

 

 

 

 

  1. GPO erstellen
  2. Registerkarte „Delegierung“ öffnen
  3. „Erweitert…“ klicken
  4. Die Gruppe „Authentifizierte Benutzer“ entfernen, da ansonsten jeder Benutzer an jedem Client diese Richtlinie übernimmt
    Gruppe hinzufügen (In meinem Fall „keine_Zwischenablage“), die die einzuschränkenden Benutzerobjekte enthält -> Lesen + Gruppenrichtlinie übernehmen: Zulassen
    Gruppe hinzufügen (In meinem Fall „RDS-Hosts“), die die Computerobjekte der Remotedesktopsession-Hosts enthält ->Lesen: Zulassen
Zwischenablage per User

Zwischenablage per User

 

 

 

 

 

Im nächsten Schritt sollte dann das GPO bearbeitet werden und die oben genannte Richtlinie in der Benutzerkonfiguration (http://gpsearch.azurewebsites.net/#10702) aktiviert werden.

Jetzt kann das Gruppenrichtlinien Objekt mit der entsprechende OU welche die Benutzerobjekte beinhaltet verknüpft werden.

Gegebenenfalls bietet es sich direkt an, ein weiteres GPO zu erstellen, in dem die Umleitung der Zwischenablage analog für die „restlichen“ Benutzer erlaubt wird.

Loopbackverarbeitungsmodus (Ersetzen):

In diesem Fall muss die Richtlinie natürlich mit der Organisationseinheit verknüpft werden, in der sich die RDS Hosts befinden. Des Weiteren sollte dann im Rahmen der Sicherheitsfilterung, sofern gewünscht, noch den Domänen-Admins sowie den Organisations-Admins die Berechtigung „Gruppenrichtlinie übernehmen“ verweigert werden.

3. Juni 2015

Local Administrator Password Solution (LAPS) – Verwalten der Built-In Administrator Passwörter

Da es bekanntlich keine gute Idee ist, die lokalen (Built-In) Administratoren alle mit dem gleichen Passwort zu versehen sowie auf ein regelmäßiges Ändern der Passwörter zu verzichten, gibt es mittlerweile von Microsoft die Local Administrator Password Solution (LAPS).

Der LAPS Download befindet sich hier: https://www.microsoft.com/en-us/download/details.aspx?id=46899

Das Tool bringt eine Client Side Extension mit, die auf den zu verwaltenden Clients installiert werden muss. Sprich auf den Domänen Computern der User / den Member Servern. Zur Installation der CSE empfiehlt es sich das MSI Paket per WSUS und WPP an die entsprechenden Computer / Server zu verteilen. Alternativ lässt sich die CSE auch per GPO oder Script im Silent-Modus (LAPS.x64.msi /quiet) auf die Clients bringen.

LAPS Client Side Extension

LAPS Client Side Extension

 

 

 

 

 

 

 

 

Auf dem Management-Host werden dann die entsprechenden LAPS Management Tools installiert.

LAPS Management Tools

LAPS Management Tools

 

 

 

 

 

 

 

 

Damit die Computer-Objekte im AD das neue lokale Administrator Passwort sowie das Ablaufdatum speichern können, muss das Active Directory Schema erweitert werden. Die Erweiterung des Schemas erfolgt über das eben installierte PowerShell Module (AdmPwd.PS).

AdmPwd PS PowerShell Modul

AdmPwd PS PowerShell Modul

 

 

 

 

 

Update-AdmPwdADSchema

Update-AdmPwdADSchema

 

 

 

# Modul importieren
Import-Module AdmPwd.PS

# Eine Übersicht der neuen Commands
Get-Command -Module AdmPwd.PS

# Update des Active Directory Schema starten
Update-AdmPwdADSchema

Da im Active Directory per Default „Jeder“ das Recht hat sich sehr viele Eigenschaften der AD-Objekte anzusehen, muss den nicht administrativen Gruppen ggfs. das Recht entzogen werden, sich das neu erstellte Feld ms-Mcs-AdmPwd anzusehen.

Dazu das Snap-In Active Directory-Benutzer- und -Computer (dsa.msc) starten und untern „Ansicht“ -> „Erweiterte Features“ aktivieren. Als nächstes muss auf der entsprechenden OU in den „Eigenschaften“ unter „Sicherheit“ -> „Erweitert“ den entsprechenden Gruppen (falls es welche mit dem Recht „Alle erweiterten Rechte“ gibt) die Berechtigung entziehen.

AD Berechtigungen anpassen

AD Berechtigungen anpassen

 

 

 

 

 

 

 

 

Im nächsten Schritt muss den Computern mittels PowerShell Script erlaubt werden, die Passwörter zu ändern.

Set-AdmPwdComputerSelfPermission

Set-AdmPwdComputerSelfPermission

 

 

 

Set-AdmPwdComputerSelfPermission -OrgUnit "OU=<OU mit den Computern>,DC=<Domain>,DC=<tld>"

Des Weiteren muss noch bestimmt werden, wer alles Zugriff auf die generierten Passwörter bekommen soll.

Set-AdmPwdReadPasswordPermission

Set-AdmPwdReadPasswordPermission

 

 

 

Set-AdmPwdReadPasswordPermission -OrgUnit "OU=<OU mit den Computern>,DC=<Domain>,DC=<tld>" -AllowedPrincipals "<Gruppe>"

Um zu guter letzt alles scharf zu schalten muss noch eine neue Gruppenrichtlinie erstellt / eine vorhandene Gruppenrichtlinie bearbeitet werden. Dazu von einem PC / Server mit der Gruppenrichtlinienverwaltungskonsole (gpmc.msc) starten und unter „Computerkonfiguration“ -> „Richtlinien“ -> „Administrative Vorlagen“ -> „LAPS

LAPS GPO

LAPS GPO

 

 

 

Password Settings:

  • Password Complexity: Large letters + small letters + numbers + specials
  • Password Length: 14
  • Password Age (Days): 30

Name of Administrator Account to manage: Nicht konfiguriert

Do not allow Password expiration Time longer than required by policy: Aktiviert

Enable local Admin Password Management: Aktiviert

Um sich die automatisch generierten Passwörter anzusehen gibt es jetzt zwei Möglichkeiten. Zum Einen kann man im Active Directory im Attribut-Editor das Feld „ms-Mcs-AdmPwd“ suchen und dort das Passwort ablesen oder man benutzt den LAPS (Local Administrator Password Solution) Fat Client „LAPS UI“. Zum Anderen kann man sich natürlich auch der PowerShell bedienen und das entsprechende Feld mithilfe von „Get-ADComputer“ auslesen.

Passwort auslesen

Passwort auslesen

 

 

 

 

 

 

 

Get-ADComputer <Computer> -Properties ms-Mcs-AdmPwd | Select Name, ms-Mcs-AdmPwd
Older Posts »

Powered by WordPress