Was bedeutet Directory-Authentifizierung? - Security Center 5.11

Security Center – Administratorhandbuch 5.11

Applies to
Security Center 5.11
Last updated
2022-11-18
Content type
Handbücher > Administrator-Handbücher
Language
Deutsch
Product
Security Center
Version
5.11

Directory-Authentifizierung ist eine Security Center-Option, die alle Client- und Serveranwendungen auf einem gegebenen Rechner dazu zwingt, das Identitätszertifikat des Directory zu überprüfen, ehe die Verbindung hergestellt wird. Diese Maßnahme verhindert Man-In-The-Middle-Angriffe.

Wann brauche ich die Directory-Authentifizierung?

Zweck der Directory-Authentifizierung ist der Schutz vor Man-in-the-Middle (MITM)-Angriffen. Wenn Sie keine Anwendungen haben, die sich mit Ihrem System über das Internet (oder ein anderes nicht vertrauenswürdiges Netzwerk) verbinden, ist die Gefahr für derartige Angriffe sehr gering. In diesem Fall können Sie es wahrscheinlich riskieren, diese Option nicht zu aktivieren.

Was ist ein Identitätszertifikat?

Ein Identitätszertifikat ist ein digitales Zertifikat, das zur Authentifizierung einer Partei gegenüber einer anderen in einer sicheren Kommunikation über ein öffentliches Netzwerk verwendet wird. Identitätszertifikate werden in der Regel von einer Stelle ausgestellt, der beide Parteien vertrauen, einer so genannten Zertifizierungsstelle.

BEMERKUNG: Alle in Security Center verwendeten Identitätszertifikate sind Serverzertifikate. Ein Serverzertifikat ist ein Identitätszertifikat, das zur Authentifizierung der Identität des Servers gegenüber dem Client verwendet wird. Serverzertifikate werden auch zur Verschlüsselung von Daten während der Übertragung verwendet, um die Vertraulichkeit dieser Daten zu gewährleisten. Im Kontext der Kommunikationssicherheit ist die Partei, die die Verbindung initiiert, der Client, und die Partei, die die Verbindung akzeptiert, der Server.

Funktionsweise

Bei der Installation der Server-Komponenten von Security Center, wird automatisch ein so genanntes GenetecServer-{MachineName} Selbstsigniertes Zertifikat im Certificate Store des lokalen Computers installiert. Sie können das aktuelle Zertifikat unter Server Admin, auf Ihrer Serverseite, im Abschnitt Sichere Kommunikation einsehen.

Die selbstsignierten Zertifikate dienen zur Identifikation der Zusatzserver gegenüber dem Hauptserver. So muss das für die Verbindung zum Hauptserver verwendete Passwort nicht lokal auf den Zusatzservern gespeichert werden.

Die Directory-Authentifizierung wird bei der Security Center-Installation aktiviert, wenn Sie die empfohlenen Sicherheitseinstellungen auswählen, oder indem Sie bei der Auswahl der benutzerdefinierten Sicherheitseinstellungen das Kontrollkästchen Directory-Zertifikat immer validieren auswählen.

BEST-PRACTICE: Empfehlung: Wenn Sie sich für die Aktivierung der Directory-Authentifizierung entscheiden, ersetzen Sie das selbstsignierte Zertifikat auf dem Hauptserver durch das einer vertrauenswürdigen Zertifizierungsinstanz. Die Zertifizierungsinstanz kann intern oder extern sein. Dies erlaubt Ihnen die Einrichtung eines stark gesicherten Systems, ohne dass Ihre Benutzer gezwungen sind, den zugrundeliegenden Mechanismus zu beachten.

Wenn Sie das selbstsignierte Zertifikat auf dem Hauptserver belassen, wird der Benutzer beim erstmaligen Aufbau der Verbindung einer Workstation mit dem Directory aufgefordert, zu bestätigen, dass der Directory-Server vertrauenswürdig ist.

Bestätigt der Benutzer die Vertrauenswürdigkeit des Hauptservers, gelangt das Zertifikat auf die Positivliste und das Dialogfeld erscheint nicht wieder.

Die gleiche Bestätigung ist auch für Zusatzserver erforderlich. Wenn Sie sich zum ersten Mal mit Server Admin auf dem Erweiterungsserver anmelden, erscheint diese Meldung auf dem Dashboard.

Klicken Sie auf Hauptserververbindung und dann im angezeigten Dialogfeld auf Zertifikat annehmen.

Sobald der Hauptserver bestätigt ist, können Sie das Passwort oder das Zertifikat entweder auf dem Hauptserver oder dem Zusatzserver ändern und müssen die Vertrauenswürdigkeit nicht wieder bestätigen, solange die beiden Server verbunden bleiben, während Sie die Änderung vornehmen.

Voraussetzungen

Damit die Directory-Authentifizierung funktioniert, müssen folgende Voraussetzungen erfüllt sein:
  • Im Netzwerk muss das DNS konfiguriert sein. Server und Client-Arbeitsstationen müssen den Namen des Hauptservers auflösen können.
  • Der Name des Hauptservers muss vom DNS zum gemeinsamen Namen im Directory-Zertifikat aufgelöst werden.
  • Client-Arbeitsstationen und Zusatzserver müssen das vom Hauptserver bereitgestellte Zertifikat als vertrauenswürdig betrachten. Andernfalls ist immer der Eingriff eines Benutzers erforderlich, um das Zertifikat zu akzeptieren, wenn eine Maschine erstmals dazu verwendet wird, die Verbindung zum Hauptserver herzustellen.

Wie ändere ich diese Einstellung nach der Installation?

Um die Einstellung Directory-Authentifizierung nach Installation der Software zu ändern, müssen Sie die Datei GeneralSettings.gconfig auf jedem Computer bearbeiten, bei dem Sie die Einstellung ändern wollen.