Automatikus tanúsítvány kiállítás (GPO)

Az előző cikkben a PKI CA cert szervert telepítettük, amihez a jelen bejegyzésben aktiváljuk a GPO-t

Group Policy létrehozása az Automatikus Tanúsítvány Kiállításhoz:

Az alábbiakban megcsináljuk a GPO-t a számítógépek automatikus tanúsítvány kérelméhez és kiállításához a saját PKI szerverünket használva.

A Domain Controller-en Control Panel, Administrative Tools -> Group Policy Management-et indítsuk el:

Szerkeszthetjük a meglévő Default Domain Policy-t is, de új policy-t is létrehozhatunk meghatározott OU számára.

Nevezzük el a policy-t, majd Ok:

Jobb klikk a policy nevén, majd Edit:

Keressük meg a Public Key Policies-t. A jobb oldalon a Certificate Services Client-en jobb klikkProperties:

Engedélyezzük, Enabled majd Apply -> Ok:

Jobb klikk a  Certificate Services Client – Auto-Enrollment-en, majd Properties:

Engedélyezzük: Enabled, majd a sárgával jelölt boxokat pipáljuk be, Apply és Ok.

Jobb klinn a policy-n és Enforced az engedélyezéshez:

A szervereinken cmd és gpupdate /force után aktiválódik azonnal a policy, vagy várjuk meg míg automatikusan kikerül rájuk.

Térjünk vissza a GPO terítés/frissítés után a PKI szerverünkön a Certification Authority-be és nézzük meg a Issued Certificates-t, ahol a kért és kiállított tanúsítványainkat láthatjuk:

Windows 2016 PKI server

Windows 2016 PKI CA Cert Server

Hogyan telepítsük a Microsoft Active Directory Certificate Services-t (AD CS) Windows 2016 Serverre?

Miért is jó ez? Azért mert a saját domain környezetünkben CA-t (certification Authory, hitelesítésszolgáltató) használunk. Ezáltal a domainban használt szervereink, klienseink automatikusan (GPO) kérnek és kapnak is a saját CA-tól tanúsítványokat.

Első lépésként adjuk hozzá szerverünkhöz az AD CS szerepkört:

Nyissuk meg a Server Manager-t, majd Manage -> Add Roles and Features

Role-based or feature-based installation, Next

Válaszd ki azt a szervert amire telepíteni szeretnéd, majd Next

 

Válaszd ki az Active Directory Certificate Services-t majd Next:

A felugró ablakban jelöld be az Include management tools-t, majd Add Features:

Majd Next

Nem szükséges a következő ablakban semmit kijelölni, csak Next:

Csak Next:

Válaszd ki a szervizeket amiket telepíteni szeretnél. A Certificate Authority a minimum, majd Next:

Indítsa újra a szervert ha szükséges (nem lesz), majd Install:

Ha végzett a telepítéssel, Close:

AD CS Post-Deployment konfigurálás:

A Server Managerben az Értesítéseknél kattints a Configure the Active Directory Certificate Services on this server üzenetre:

Válasszuk ki azt a felhasználót, aminek a nevében konfiguráljuk a szerepkört, majd Next:

Válasszuk a  Certification Authority-t (mivel domaines a cert server), majd Next:

Mivel nincs más PKI szerver a hálózatban, így válasszuk a Root CA, majd Next:

Készítsünk új privát kulcsot, majd Next:

Adjuk meg a titkosítási algoritmust, majd Next:

Ne válaszd az  SHA1-et, mert  elavult, helyette válasszuk ki az SHA256-ot

 

A mezők már ki vannak töltve, de változtathatod a Common Name-t ha szeretnéd, majd Next:

Adjuk meg az érvényességi időt, majd Next:

Ezeket hagyjuk alapértelmezetten, majd Next:

Ha mindent rendben találunk az összegző oldalon, nyomjuk meg a Configure-t:

Készen is volnánk. Close:

Certificate Template készítése a Workstation és Client authentikációhoz:

Ebben a fejezetben beállítjuk a Certificate Templatet, hogy a domainben található számítógépek tudjanak kérni certet a fent beállított szerverünktől.

Nyissuk meg a Control Panel -> Administrative Tools -> Certification Authority:

Jobb klikk a Certificate Templates-en, majd Manage:

Keressük meg a Workstation Authentication-t, jobb klikk, majd Duplicate Template:

A General Tab-on adjunk a Template-nek nevet és érvényességi időt. Jelöljük be a 2 boxot (Publish… Do not…):

A Security fülön a Domain Computers-nek  Read és Autoenroll jogot kell adni:

Az Extensions fülön klikk az Application Policies majd Edit:

Klikk Add -> Server Authentication majd Ok:

A Server Authentication a listánkba kerül, klikk Ok:

A Subject Name fülön jelöljük be a ‘DNS name‘ és az ‘UPN‘-t., majd Apply és Ok:

Ezzel létre is hoztuk a saját Template-ünket. Ezt az ablakot be is zárhatjuk, készen vagyunk.

A következő bejegyzésben az imént elkészített template-el a domainben található összes (vagy amelyik OU-ra húzzuk a GPO-t) computers objektumra érvényesítjük a GPO-t, ezáltal az objektumok megkapják a cert serverünktől az érvényes,  kiállított certeket. A certek felhasználhatóak pl IIS vagy RDP használatra. Domainen belül a kliensek nem fognak cert errort dobni, mivel a cert serverünk  CA tanúsítványával lettek aláírva. A domainben található szerverek is a CA által kiállított certeket használják.

A következő cikkben pedig GPO-t hozunk létre a tanúsítványok automatikus kéréséhez és kiállításához

Hyper-V VM Sysprep

A sysprep-el tudjuk a már telepített gépünket (vm) olyan állapotba hozni, hogy azt egy másik vm alatt használni tudjuk. A sysprep eltávolítja a PC specifikus információkat a Windows telepítésből, így a telepítőt “általánosítja”, így az különböző vm-eken felhasználható.

Na de nézzük lépésenként. 

  1. Windows server install, frissítések letöltése
  2. a vhd(x) lemásolása
  3. a lemásolt vhd(x) becsatolása egy új vm-be
  4. Az új vm-en sysprep futtatása
  5. Az új vm testreszabása igényeinknek megfelelően

A sysprep futtatásához a következőket tegyük:

cmd:
cd c:\Windows\System32\Sysprep

sysprep.exe /oobe /generalize /shutdown /mode:vm

A sysprep a folyamat végén leállítja a vm-et. A vm indítása után egy feltelepített, de nem konfigurált Windows-t kapunk. Ezzel az image másolós módszerrel pillanatok alatt tudunk létrehozni a virtuális környezetünkben vm-eket, nem kell egyenként installálgatni őket. 

 

Hyper-V alatti server VM-ek licencelése (AVMA)

Windows server 2012-től fölfelé, lehetőségünk van a Hyper-V role-al rendelkező Datacenter szerverekben futó Windows server vm-ek automatikus aktiválására. Kliens oprendszerre ez a megoldás nem járható.
A Windows Standard verziónkat fel kellett upgradelni Datacenter-re, melyet a következőképpen tehetünk meg:

Admin powershell:

dism /online /Get-CurrentEdition

dism /online /Get-TargetEditions

dism /online /Set-Edition:ServerDatacenter /productkey: datacenter-kód-11111-22222 /accepteula

Legyünk türelmesek, a folyamat hosszabb ideig is eltarthat!

A folyamat végén indítsuk újra a szervert.

A telepített vm-eknél a fenti eljárás és az AVMA kulcsok verziófüggő kódjával aktiválható.
Az AVMA egy HOST-ra szól, tehát ha olyan hostra migráljuk a vm-et ami nem Datacenter, az ott futó vm-ek ismét nem lesznek aktiváltak!

AVMA kulcsok itt

Linux hálózati kártya kifagyás Hyper-V alatt

Penteszt tesztkörnyezet kialakítása közben futottam bele az alábbi problémába. Hyper-V alá felhúzott OWASP vm-ben a hálózat pár másodperc után elhalálozott, csomagok se ki, se be.
DHCP és statikus IP beállításnál is tapasztalható volt a probléma.
A syslogban ilyen bejegyzések voltak:

Jan 9 07:04:22 owaspbwa kernel: [ 2061.993866] eth0: 21140 transmit timed out, status fc6981c7, SIA fffffe00 00000068 00000070 fffffec8, resetting...

Az IRQ Balance kikapcsolásához editáljuk meg a: /etc/default/irqbalance -t:

sudo vi /etc/default/irqbalance

Majd változtassuk meg az ENABLED vértékét 0-ra:

ENABLED=0

mentsük el a filet, majd sudo reboot