Seppe

Jetzt gerade läuft kein Zertifikat ab, aber irgendwann mal :) Beipielsweise Computer-, Benutzer oder Druckerzertifikate.

Hallo Bin gerade am überlegen, ob die Gruppenrichtlinie genutzt werden kann, um kurz vor dem Ablauf der Zertifikate ein automatisch ein neues angefordert werden kann? Kann im Root CA eingestellt werden, dass Zertifikate automatisch verlängert werden? Dieser Post auf das Zertifikats-Renew hinaus. Seppe

Hallo Hallo Das Problem klingt sehr banal. Für den Windows Update Server wird WSUS genommen. Ich kann im Network Policy Server eine Wartungsgruppe anlegen und diese wird auch angenommen. Aber wenn ich dann im Health Agent (Integritätsrichtlinie) Clients sollen Updates von WSUS bekommen anklicke, dann sagt er mir, dass ein WSUS Server dafür installiert sein muss. Habe die Rolle aus Testgründen gleich auf dem Radius installiert. Daher ist die Rolle direkt vor Ort. Was ist da faul dran? Seppe

OK. Das wäre natürlich besser, wenn man einen Proxy dafür einsetzt, als den ganzen Server gleich einzubinden. Danke für die Information.

Hatte ich schon gelesen :) Vielen Danke für Hilfe.

Das das immer so kompliziert sein muss :D Gibt es für McAfee dazu eine Anleitung oder Hilfestellung, um das ganze erstmal besser zu verstehen?

OK. Und der Server wo die Manegement Software drauf läuft wird im Network Access Protection als Remediation-Group eingebunden?

Ist ja immer Ansichtssache :D Geht ja auch erstmal nur um das Printzip. Ob es dann wirklich McAfee ist, muss noch abgestimmt werden. Darf es zwar aussuchen, aber bezahlen werde ich das nicht :) Es handelt sich nur um einen Standort mit ca. 100 Mitarbeitern.

Privat nutze ich es. Das ganze soll eine Neuimplementierung für eine kleine Firma werden. Diese nutzen derzeit nur lokale Antivieren Software. Soll aber durch einen Server alles zentral geprüft werden, bevor der Netzzugang hergestellt wird. Kann mir die AV Software aussuchen. Daher McAfee.

Würde McAfee nehmen, da ich es schon jahrelang nutze und bis her gute Erfahrung damit gemacht habe.

Was bedeutet zentrale Verwaltunskonsole? Kann diese mit dem Network Access Protection Feature gekoppelt werden?

Halli Hallo Bin gerade dabei einen Remediation-Server einzurichten. Der WSUS von MS ist schonmal sehr gut für Windows Updates. Aber was kann man nutzen, um Virensignaturen zu überprüfen, ob die aktuell und ggf. geupdatet werden auf einem client? Danke :)

Hallo Habe ein Critical Authentication VLAN auf dem Switch eingerichtet und der Switch packt den Client auch hinein. Leider dauert es ca. 20 Minuten bis er da wieder heraus kommt, wenn der RADIUS schon längst wieder erreichbar ist. Hat jemand eine Lösung für das Problem? Global: dot1x critical eapol dot1x critical recovery delay 1000 und beim Interface dot1x critical recovery action reinitialize wurden verwendet, um den Client sofort nach wieder Erreichbarkeit in sein VLAN zu packen. Kann jemand helfen?

Hallo Hallo Weis jemand wie ich im Network Policy Server das AVP Attribut 27 (Session-Timeout) für die Re-Authentication für einen Cisco Switch konfigurieren kann? Der RADIUS soll dem Switch die Re-Authentication Time beim Authentifizieren übertragen. Danke für Hilfe :) Seppe

Also Webregistrierung ist drauf. Kann aber nur für mein persönlichen Benutzer ausstellen. Das mit MMC und benutzerdefiniert habe ich auch schon gesehen. Aebr da kann ich keine Information über das Gerät eingeben für welches es ausgestellt wird?

Hallo Möchte ein Zertifikat für ein mobiles Endgerät erstellen, welches allerdings nicht selber Zertifikate anfordern kann. Wie kann ich auf meinem Zertifizierungserver ein Zertifikat für andere Geräte erstellen? Über MMC kann ich nur für das eigene Konto erstellen, oder? Danke für hilfreiche Informationen Seppe

Die Pfade sind schonmal gut :) Bei mir werden Systemdateien angezeigt. Nehme an, dass diese nicht ohne weiteres als Zertifikat einsetzbar sind durch kopieren? Mir geht es bei diesem Tread um die allgemeiner Sicherheit von Zertifikaten.

Hallo Zusammen Gibt es eine Möglichkeit in Win7 direkt auf den Zertifikatsspeicher zuzugreifen, also nicht über IE oder MMC? Und wie sicher ist eigentlich die Anwendung von Zertifikaten. Wäre es nicht möglich Zertifikate zu exportieren und zu nutzen? Danke für Antworten. Seppe

OK. Das wollte ich nur wissen :) Danke

Die zwei Authentifizierungen laufen über EAP-TLS ab. Gibt es eine Möglichkeit für computerauthentication z.B. EAP-TLS und Nutzerauthentication PEAP-TLS zu nutzen. Also für die zwei Authentifizierungen unterschiedliche Methoden?

Das mit dem VLAN Switchin ist richtig. Und das mit dem speziellen VLAN ist auch umgesetzt. Mir geht es aber darum, dass (ist natürlich sehr weit ausgeholt) ich ein OS clonen könnte und auf ein anderes System spielen könnte (z.b fremdes ASUS Notebook). Da die Anmeldedaten noch lokal gespeichert sind kann ich mich anmelden (lokal). Wenn ich nun ein NW Kabel nehme und anstecke, dann werde ich ja in ein USER VLAN gepackt, obwohl der Laptop nicht authentifiziert wurde. Es soll ja so sein, dass erst die Computerauthemtication durchgeführt werden sollte.

OK. Kann man da irgendwie mehr Sicherheit reinbeommen? Es soll ja so sein, dass in einem NW nur bekannte Geräte angeschlossen werden sollen. Man könnte zwar eine reine Computerauthentifikation machen, aber da ist die statik der Netze von Nachteil. Denn pro Gerät kann nur ein VLAN zurückgegeben werden per Policy.

Hallo Zusammen :) Habe in einer Testumgebung eine gestufte Authentifizierung umgesetzt. Nun ist es so, dass sich der PC nicht authentifizieren kann (Zertifikat fehlt) und der Benutzer dadurch auch nicht. Da das Nutzerkonto lokal noch gepeichert ist kann sich der Nutzer anmelden. Ein VLAN wird ihm nicht zugewiesen. Bis hierher ist alles so gewollt. Nun das Problem/Frage: Zieht man das NW-Kabel, so wird er in sein Nutzer-VLAN gesteckt, obwohl der PC vorher nicht authetifiziert wurde. Kann man irgendwo einstellen, dass sich immer erst der PC erfolgreich authentifizieren muss, bevor der Nutzer das kann? Danke für Hilfe. Seppe

Da bedanke ich mich erstmal für die Antworten.

Das Dokument habe ich als Anleitung benutzt. Zu 3. noch eine Frage. Das Namen nicht viel Wert sind stimmt, aber wie bekomme ich eine VLAN-Zuweisung hin, welche ortsübergreifend ist? Z.B. im H1 ist Marketing = VLAN1, im H2 ist Controlling = VLAN1. Wie kann ich das ganze realisieren? Für die restlichen Antworten erstmal vielen Dank. Werde ich gleich mal ausprobieren :)