StefanWe

Ich habe nun noch mal einen neuen Versuchsaufbau gemacht. Das Client Zertifikat spielt keine Rolle bei der Verschlüsselung. Traffic lässt sich sauber entschlüsseln.

Warum ich aber in meinem Trace nicht an die Daten komme, versuch ich gerade herauszufinden. DH und ECC ist "eigentlich" deaktiviert. Als Cipher wird TLS_RSA verwendet. Session Reuse habe ich auch versucht zu deaktivieren.

"ServerCacheTime" in der Registry auf 0 gesetzt und neugestartet. 

Frage ist, warum lassen sich die Daten nicht entschlüsseln...

Du brauchst auch das Serverzertifikat samt Private Key. Das Client Zertifikat dient wohl eher der Authentifizierung.

Das ist es ja, was mich wundert. Ich habe den private key. Es wird TLS—RSA als cipher verwendet, also kein DH oder ECC.

Trotzdem kann ich den Traffic nicht einsehen. Den Traffic ohne Client cert, übrigens mit gleichem Server Zertifikat, kann ich entschlüsseln..

Nein, das kann nur de NSA (vielleicht).

Ok danke. Wie befürchtet. Allerdings interessant warum das so ist.

Nein, das kann nur de NSA (vielleicht).

Sorry, muss noch mal nachfragen.

https://community.developer.visa.com/t5/Developer-Tools/What-is-Mutual-Authentication/ba-p/5757

Der Artikel erklärt eigentlich ganz gut wie der handshake funktioniert. Wenn ich das richtig sehe, wird doch das Client Zertifikat nur zum authentifizieren verwendet. Der Session key zum Verschlüsseln wird doch ein Stück wie gewohnt oben schon ausgehandelt.

Daher dürfte doch das Client Zertifikat keinen Einfluss auf die Verschlüsselung haben.

Was habe ich übersehen?

Also ich mag mich täuschen, aber: https://www.fiddlerbook.com/fiddler/help/httpsclientcerts.asp

Klar mit fiddler. Weil er selbst den Traffic intercepted und dadurch mitschneiden kann.

Ich meinte aber nachträglich decrypted mit zum Beispiel Wireshark.

Warum denn nicht? Steht doch oben auch.

Oben steht eine Vermutung, nicht eine Lösung. Vlt. habe ich etwas falsch gemacht. Hinterlege ich in wireshark das Client Zertifikat (privater Schlüssel) dann wird der Traffic trotzdem nicht entschlüsselt.

Auch das www scheint hier keine Dokumentation bereitzuhalten.

Wer will denn Http mit Wireshark debuggen? Mit Fiddler ist das wirklich absolut  einfach. Die Anwendung muss nur einen Proxy-Zugriff ermöglichen.

Richtig. Ich werd es mir ansehen.

Dennoch die Frage, ist es überhaupt möglich, Traffic zu entschlüsseln, welcher durch Client certificate geschützt ist?

Ja, Fiddler kann auch mit Client Zertifikaten.

Der  sagt dann, wo er es haben will...

ok schau ich mir an.

Also Wireshark scheint es dann nicht zu können ? 

Hallo,

ich muss eine Web Applikation debuggen, welche zwingend den Traffic mittels Client Zertifikat verschlüsselt.

Ich habe sowohl das Client Zertifikat, als auch den gesamten Traffic bereits mit Wireshark aufgezeichnet. Habe auch den privaten Schlüssel, das pfx File unter den RSA Keys hinterlegt. Aber scheinbar scheint das nicht zu reichen.

Der Traffic vom Webserver zum Client, welcher vor dem Client Zertifikat läuft, konnte ich erfolgreich entschlüsseln. 

Ist Traffic mit Client Zertifikat überhaupt möglich zu entschlüsseln? 

Hallo,

ich arbeite zur Zeit mit der Smartcard Management Lösung Gemalto SafeNet Authentication Manager. Allerdings nutzen wir die Software ausschließlich, um USB Token auszurollen.

Ich denke, dafür ist die Lösung eigentlich zu "groß". Uns reichen die klassischen Smartcards. Reader sind im Notebook oder ThinClient verbaut.

Die Frage an euch, welche Software habt ihr, um die Zertifikate auf die Smartcards auszurollen, bzw. zu erneuern und wo beschafft ihr die Karten, bzw. von welchem Hersteller ?

Vielen Dank.

Moin,

 

[Welcher Name ist der beste für eine AD-Domäne? | faq-o-matic.net]

https://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/

 

[Wie nenne ich mein Active Directory? | faq-o-matic.net]

https://www.faq-o-matic.net/2013/06/24/wie-nenne-ich-mein-active-directory/

 

Meine Empfehlung:

• abstrakter Name, der nicht mit dem Firmennamen zusammenhängt
• auf diesen Namen eine Domain mit "einigermaßen" passender TLD registrieren, aber öffentlich nicht nutzen

Damit hat man getran, was man vorsorgend gegen Namenskonflikte und Probleme aus einer Umfirmierung tun kann.

 

Gruß, Nils

Hi Nils,

vielen Dank. Du schreibst, "aber öffentlich nicht nutzen". Meinst du damit, Services wie Exchange und Sharepoint nicht über diesen Namen veröffentlichen?

UPN dann gleich der Abstrakte Name, oder wie idr. empfohlen, die E-Mail Adresse ?

Hallo,

ich würde gerne einmal mit euch über Vor und Nachteile von AD Namen diskutieren. 

Aus der Historie kenne ich, dass AD Namen wie zum Beispiel corp.local gerne genommen wurden. Also ein AD Name, welcher öffentlich nicht auflösbar ist und auch nichts mit dem Namen des Unternehmens zu tun hat.

Eine Zeit lang hörte man an jeder Ecke, den AD Namen als Sub Domain der öffentlich bekannten Domäne des Unternehmens zu wählen. Bsp: ad.meinefirma.de

Und aktuell meine ich aufgeschnappt zu haben, dass Microsoft empfiehlt, den AD Namen = der öffentlichen Domäne zu wählen, also meinefirma.de.

Ich persönlich favorisiere eigentlich corp.local mit Split DNS und UPN = meinefirma.de. Bin da allerdings bei manchen Kerberos Szenarien schon an Herausforderungen gestoßen.

Nehme ich allerdings den offiziellen DNS Namen, sehe ich als Herausforderung, wenn die Firma verkauft wird, steht idr. gleich eine AD Migration mit an.

Wie seht ihr das? Welche Erfahrungen habt ihr. Welche Pro und Kontra würdet ihr zu den Szenarien nennen ?

Ist es wichtig, dass in dem Script die Umgebungsvariable wieder gelesen werden muss?

Du kannst doch einfach mit normalen Variablen im Script weiter arbeiten.

ich würde es bevorzugen ;)

Hallo,

Mir ist aufgefallen, dass wenn ich in einem Powershell Script mit SetEnvironmentVariable(Name,value,“Machine“) diese nicht anschließend per $env:Name abrufen kann.

Erst mit dem nächsten Script.

Habt ihr eine Idee dazu wie ich die variable sofort nutzen kann?

Schau mal ob das bios vom Notebook diese Logik nicht umsetzen kann. Bei Dell und hp können es einige Modelle.

Hallo,

weiß jemand von euch, wie ich eine beständige Umgebungsvariable während einer Tasksequence setze? Die Variable steht in der customsettings.ini. Ich möchte diese Variable später auf der Maschine in den Umgebungsvariablen persistent haben.

Nur wie bekomme ich das hin ?

ok - habs mir schon fast gedacht. 

Hallo,

Habt bzw. nutzt ihr irgendwelche Optimierungen wenn ihr Server 2016 virtuell als Server betreibt? Egal ob dc, Print, file, App oder sonstwas.

Hallo,

nebenbei beschäftige ich mich ein wenig mit Azure. Habe aktuell ein VPN Gateway erstellt, welches zu meinem Netzwerk einen IPSec Tunnel aufbaut. 

Meine virtuelle Maschine auf Azure nutzt dieses Gateway um damit mit Systemen in meinem Netz zu kommunizieren. Soweit gut.

Allerdings läuft nun sämtlicher Traffic in mein lokales Netz. Ich würde gerne den externen Internet Traffic aus Azure ableiten. 

Habt ihr eine Idee, wie das umsetzbar ist ?

----- EDIT ----- Sehr seltsam. Man sollte erst prüfen, dann schreiben. Der Traffic geht lokal raus. Fragt mich nicht, warum ich drauf kam, dass es nicht so sei. Sorry - kann gelöscht werden.

Ok. Ihr legt Informationen an verschiedenen Stellen ab. Aber findet sie auch wieder? Das ist nämlich mein Problem. Ich finde seldten meine eigenen onenote Notizen, oder dass ich mal ein PDF zu dem Thema hatte.

Die Windows suche ist so schlecht geworden. Es werden weder onenote noch Outlook Mails durchsucht.

Copernic sah auf den ersten Blick zu umständlich aus. Irgendwie nicht zufriedenstellend...

Es geht um einen neuen Arbeitgeber. Die Stelle ist intern ausgeschrieben. Es ist eigentlich sicher, dass ich die Stelle bekomme. Allerdings muss eben noch über das Gehalt gesprochen werden. Dies steht noch offen. Sie kennen meine Gehaltsvorstellung. Möchte mich für das Gespräch entsprechend vorbereiten, was für Fragen / Argumente gegen ein etwas höheres Gehalt kommen könnten.

Korrekt.

Auf welche Argumente stößt ihr denn bei Gehaltsverhandlungen?

Ja Privatwirtschaft. Nein ist ein Außer Tarifvertrag.

Mir geht es vornehmlich um die Argumente die vom Geschäftsführer angeführt werden könnten.

Müsste da bis jetzt zum Glück nie groß Argumentieren.

(Kann hier auch passieren, allerdings möchte ich mich schon vorbereiten)

Hallo,

Ich bin nun seit 11 Jahren Consultant und habe demnächst ein Gespräch für eine neue Position als IT Leiter. Da ich bis auf Projektleiter keine Führungsposition eingenommen habe, eine ganz neue Herausforderung für mich.

Nun, meine Gehaltsvorstellung ist bekannt. Trotzdem gehe ich davon aus, dass sie versuchen werden , mein Gehalt zu drücken.

Wichtig wäre mir weiterhin einen Firmenwagen zu fahren.

Als eines der möglichen Argumente welche kommen könnten:

die niedrigere Reisebereitschaft.

Habt ihr Ideen oder Erfahrungen, welche Argumente noch kommen könnten?

Ich hatte noch nie eine Gehaltsverhandlung daher die offene Frage hier im Forum.

Bis jetzt bin ich mit meinem Wunsch immer ohne zu verhandeln durchgekommen. ;)

Hallo,

Mittlerweile liegen Informationen verstreut. Favoriten in Chrome, Dokumente auf dem pc, Dokumente im OneDrive, Informationen in OneNote und Suchergebnisse bei Google, oder Mails/Kontakte in Outlook

Dabei hab ich SharePoint Webseiten und fileserver noch nicht mal erwähnt.

Leider, wenn man etwas sucht, muss man gleich drei oder mehr Suchen betätigen. Windows Suche, oneNote, outlook und Google.

Das nervt.

Wie handhabt ihr eure „Suche“?

Da bin ich mit meiner Meinung ja gar nicht alleine.

Die überladene GUI, nervige „Firewall“ und zig Warnungen womit der einfache Benutzer eh nichts anfangen kann, tun ihr übriges.

Immer vorausgesetzt, Browser und Windows werden aktuell gepatscht.