MS-PEAP-EAP VPN/RAS SmartCard/Cert Autentifikacia

Všetko o serverovom operačnom systéme Microsoft Windows Server...
Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 12898
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

MS-PEAP-EAP VPN/RAS SmartCard/Cert Autentifikacia

Príspevok od užívateľa Snake » Pi 07. Okt, 2016, 15:37

Ahojte, riesil niekto z vas ako RAS a NPS nastavit aby akceptovala klientske certy/smart karty? Pouzivam SSTP, NPSka mam dve nastavene aj s accountingom (tie funguju). Dovod preco to riesim je ze prechadzame na W10ENT s DeviceGuardom a ten nevie passnut udaje o userovi/domene pri MSCHAPv2 autentifikacii.

Uzivatelia na W7P (bez DeviceGuardu) sa prihlasuju este cez MSCHAPv2 menom a heslom (a maju cez GPO nastavene podhodenie mena/domeny pri auth). RASko ma nastavene ze podporuje EAP, ale neviem ako nastavit NPS aby to brala.
#rollerman

Užívateľov profilový obrázok
Leon
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 4945
Dátum registrácie: St 05. Dec, 2007, 08:00
Bydlisko: Košice

Re: MS-PEAP-EAP VPN/RAS SmartCard/Cert Autentifikacia

Príspevok od užívateľa Leon » Pi 07. Okt, 2016, 15:43

Budem trochu ot, ale toto ma riadne rozosmialo :laugh: :laugh: :laugh: ,... ľudia mi tu nevedia poradiť ani s port forwardingom, a keď som si prečítal túto cudzokrajnú hatmatilku, tak to gl s radou :D
.

Užívateľov profilový obrázok
Chris
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 4208
Dátum registrácie: Pi 13. Jan, 2006, 02:00
Bydlisko: Bratislava
Kontaktovať užívateľa:

Re: MS-PEAP-EAP VPN/RAS SmartCard/Cert Autentifikacia

Príspevok od užívateľa Chris » So 08. Okt, 2016, 22:56

nestaci to len niekde nastavit v policy pre credential guard ?
Master of PaloAlto NGFWs, Cisco ASAs

Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 12898
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

Re: MS-PEAP-EAP VPN/RAS SmartCard/Cert Autentifikacia

Príspevok od užívateľa Snake » Ne 09. Okt, 2016, 01:32

For security reasons, the isolated LSA process doesn't host any device drivers. Instead, it only hosts a small subset of operating system binaries that are needed for security and nothing else. All of these binaries are signed with a certificate that is trusted by virtualization-based security and these signatures are validated before launching the file in the protected environment.

Credential Guard prevents NTLMv1, MS-CHAPv2, Digest, and CredSSP from using sign-on credentials. Thus, single sign-on does not work with these protocols. However, Credential guard allows these protocols to be used with prompted credentials or those saved in Credential Manager. It is strongly recommended that valuable credentials, such as the sign-on credentials, not be used with any of these protocols. If these protocols must be used by domain users, secondary credentials should be provisioned for these use cases.

Credential Guard does not allow unconstrained Kerberos delegation or Kerberos DES encryption at all. Neither sign-on nor prompted/saved credentials may be used.
neda sa to, su to dva rozne procesy ktore veria iba sebe na zaklade inputu od uzivatela
#rollerman

Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 12898
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

Re: MS-PEAP-EAP VPN/RAS SmartCard/Cert Autentifikacia

Príspevok od užívateľa Snake » Po 10. Okt, 2016, 10:32

Vyriesene, funguje, u mna bolo niekolko problemov

1) servre s NPSkom (cluster) boli ine nez server kde je RAS
2) server s RAS mal NPS nastavene taktiez
3) server s RAS mal nainstalovane RDG
4) tym ze je nainstalovane RDG musi byt nainstalovane NPS kde som mal stare politiky
5) RAS sa teda pokusalo kontaktovat lokalny server
6) riesenia boli dve, bud spravit redirekt CAPov na dva nove servre, alebo to nechat na lokalnom NPS, volil som druhu moznost lebo RAS mam iba na tom serveri
7) vytvoril som na lokalnej PKI dva templaty, pre server a pre userov
8) ostava mi este nakonfigurovat autoenrollment z podnikovej PKI
9) proces je krasne transparentny, kto ma povoleny VPN, server vyda certifikat, nainstaluje, politika nahodi VPN template ktora bola urobena cez CMAK
10) user sa connectne, ak nie je platny cert/nie je platny account, nic sa nepripoji, ak sa revokne cert, to iste
11) ovela bezpecnejsie nez MSCHAPv2
12) uzivatel neprichadza do styku so zadavanim mena / hesla (planujem tak nastavit celu firmu, aj aktualne prihlasovanie je robene cez PIN do virtualnej smart karty v ktorej je certifikat)
13) pre kritickejsich pouzivatelov je mozne VPN nastavit tak aby vyuzivala virtualnu smart kartu, co znamena ze pri pripojeni do VPN si este extra vypyta PIN ku karte ktora je aktualna iba pre to zariadenie (ktore je chranene Device Guardom, Credential Guardom a BitLockerom).
14) na prvotne vytvorenie tunela je potrebne volit verejny cert ktory ma verejne CRL (toto ide obist zapisom do registrov o overovani CRL)
15) po vytvoreni tunela je mozne pouzit vnutrofiremne PKI
16) vyzadovanie overenia identity servera funguje korektne a oznamuje uzivatelovi zmeny
17) cely setup je velmi velmi citlivy, v pripade MITM utoku cely tunel zlyha
18) SSL stripping nie je mozny
#rollerman

Napísať odpoveď

Návrat na "Windows Server"