Was bedeutet Directory-Authentifizierung? - Security Center 5.10

Security Center – Administratorhandbuch 5.10

Applies to
Security Center 5.10
Last updated
2021-03-19
Content type
Handbücher
Handbücher > Administrator-Handbücher
Language
Deutsch (Deutschland)
Product line
Security Center unified platform > Security Center
Version
5.10

Directory-Authentifizierung ist eine Security Center-Option, die alle Client- und Serveranwendungen auf einem gegebenen Rechner dazu zwingt, das Identitätszertifikat des Directory zu überprüfen, ehe die Verbindung hergestellt wird. Diese Maßnahme verhindert Man-In-The-Middle-Angriffe.

Wann brauche ich die Directory-Authentifizierung?

Zweck der Directory-Authentifizierung ist der Schutz vor Man-in-the-Middle (MITM)-Angriffen. Wenn Sie keine Anwendungen haben, die sich mit Ihrem System über das Internet (oder ein anderes nicht vertrauenswürdiges Netzwerk) verbinden, ist die Gefahr für derartige Angriffe sehr gering. In diesem Fall können Sie es wahrscheinlich riskieren, diese Option nicht zu aktivieren.

Was ist ein Identitätszertifikat?

Ein Identitätszertifikat, auch bekannt als digitales Zertifikat oder öffentliches Schlüsselzertifikat, ist ein elektronisch signiertes Dokument, das es einem Computer oder einer Organisation ermöglicht, Informationen sicher über das Internet auszutauschen. Das Zertifikat enthält Informationen über die Identität seines Inhabers, den für die Verschlüsselung künftiger Mitteilungen verwendeten öffentlichen Schlüssel und die digitale Signatur der Zertifizierungsinstanz.

Funktionsweise

Bei der Installation der Server-Komponenten von Security Center, wird automatisch ein so genanntes GenetecServer-{MachineName} Selbstsigniertes Zertifikat im Certificate Store des lokalen Computers installiert. Sie können das aktuelle Zertifikat unter Server Admin, auf Ihrer Serverseite, im Abschnitt Sichere Kommunikation einsehen.

Die selbstsignierten Zertifikate dienen zur Identifikation der Zusatzserver gegenüber dem Hauptserver. So muss das für die Verbindung zum Hauptserver verwendete Passwort nicht lokal auf den Zusatzservern gespeichert werden.

Die Directory-Authentifizierung wird bei der Security Center-Installation aktiviert, wenn Sie die empfohlenen Sicherheitseinstellungen auswählen, oder indem Sie bei der Auswahl der benutzerdefinierten Sicherheitseinstellungen das Kontrollkästchen Directory-Zertifikat immer validieren auswählen.

BEST-PRACTICE: Empfehlung: Wenn Sie sich für die Aktivierung der Directory-Authentifizierung entscheiden, ersetzen Sie das selbstsignierte Zertifikat auf dem Hauptserver durch das einer vertrauenswürdigen Zertifizierungsinstanz. Die Zertifizierungsinstanz kann intern oder extern sein. Dies erlaubt Ihnen die Einrichtung eines stark gesicherten Systems, ohne dass Ihre Benutzer gezwungen sind, den zugrundeliegenden Mechanismus zu beachten.

Wenn Sie das selbstsignierte Zertifikat auf dem Hauptserver belassen, wird der Benutzer beim erstmaligen Aufbau der Verbindung einer Workstation mit dem Directory aufgefordert, zu bestätigen, dass der Directory-Server vertrauenswürdig ist.

Bestätigt der Benutzer die Vertrauenswürdigkeit des Hauptservers, gelangt das Zertifikat auf die Positivliste und das Dialogfeld erscheint nicht wieder.

Die gleiche Bestätigung ist auch für Zusatzserver erforderlich. Wenn Sie sich zum ersten Mal mit Server Admin auf dem Erweiterungsserver anmelden, erscheint diese Meldung auf dem Dashboard.

Klicken Sie auf Hauptserververbindung und dann im angezeigten Dialogfeld auf Zertifikat annehmen.

Sobald der Hauptserver bestätigt ist, können Sie das Passwort oder das Zertifikat entweder auf dem Hauptserver oder dem Zusatzserver ändern und müssen die Vertrauenswürdigkeit nicht wieder bestätigen, solange die beiden Server verbunden bleiben, während Sie die Änderung vornehmen.

Voraussetzungen

Damit die Directory-Authentifizierung funktioniert, müssen folgende Voraussetzungen erfüllt sein:
  • Im Netzwerk muss das DNS konfiguriert sein. Server und Client-Arbeitsstationen müssen den Namen des Hauptservers auflösen können.
  • Der Name des Hauptservers muss vom DNS zum gemeinsamen Namen im Directory-Zertifikat aufgelöst werden.
  • Client-Arbeitsstationen und Zusatzserver müssen das vom Hauptserver bereitgestellte Zertifikat als vertrauenswürdig betrachten. Andernfalls ist immer der Eingriff eines Benutzers erforderlich, um das Zertifikat zu akzeptieren, wenn eine Maschine erstmals dazu verwendet wird, die Verbindung zum Hauptserver herzustellen.

Wie ändere ich diese Einstellung nach der Installation?

Um die Einstellung Directory-Authentifizierung nach Installation der Software zu ändern, müssen Sie die Datei GeneralSettings.gconfig auf jedem Computer bearbeiten, bei dem Sie die Einstellung ändern wollen.