Mit Hilfe von GPOs kann der Zugriff auf Wechselmedien eingeschränkt bzw. unterbunden werden. Auch Speicherkarten und Smartphones werden als Wechselmedien eingestuft.

In der Gruppenrichtlinienverwaltung eine vorhandene Richtlinie aufrufen oder eine neue Richtlinie erstellen.

Soll die Einschränkung für Computer gelten:

Unter Computerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff die Einstellung Alle Wechselmedienklassen: Jeglichen Zugriff verweigern aufrufen.

Soll die Einschränkung für Benutzer gelten:

Unter Benutzerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff die Einstellung Alle Wechselmedienklassen: Jeglichen Zugriff verweigern aufrufen.

Mit einer Enterprise CA lassen sich auch SAN (Subject Alernative Name) Zertifikate erstellen.

Damit SAN Zertifikate auch über die Webschnittstelle angefordert werden können, muss in der CA folgender Eintrag hinzugefügt werden.

Administrative Kommandozeile auf der CA öffnen

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

CA neu starten

net stop certsvc

net start certsvc

Nun erfolgt die Webregistrieung fast gleich wie bei einem Wildcard Zertifikat. Folgenden Änderungen bzw. Ergänzungen müssen gemacht werden.

Bei Name kann ein beliebiger Wert eingetragen werden.

Bei Attribute werden die DNS Namen eingetragen:

san:dns=mydomain.com&dns=mydomain.org&dns=mydomain.net

Nach der Installation des Zertifikates kann man sich die Eigenschaften anzeigen lassen. Dort sieht man die alternativen Antragsstellernamen.

Windows und Unix/Linux sind auch in Sachen Zertifikate sehr unterschiedlich. Folgende Schritte sind notwendig um ein Windows Zertifikat auf einem PfSense Server zu nutzen.

Voraussetzungen: exportiertes Windows Zertifkat mit inkludiertem privatem Schlüssel. Das Zertifikat muss mit der Option erzeugt worden sein, dass der private Schlüssel exportiert werden darf.

Alle Schritte sind in diesem Artikel perfekt erklärt, sodass ich mir eine weitere Erklärung spare.

Windows Zertifikate lassen sich auch online in PfSense taugliche Zertifikate konvertieren.

Ein Wildcard Zertifikat ermöglichen Ihnen die Verwaltung mehrerer Subdomains einer Domain mit einem einzigen Zertifikat.

In kleineren Umgebungen oder für Testumgebungen kann man sich über die Unternehmenseigene CA selber solche Wildcard Zertifikate ausstellen.

Die Verwendung von Wildcards empfiehlt sich immer dann, wenn ein Zertifikat für Server ausgestellt werden soll, die der gleichen Domäne oder Subdomäne angehören. Dagegen sind SAN-Zertifikate in der Lage, die Identität von Hosts in verschiedenen Domänen zu belegen.

Voraussetzungen: Enterprise CA, Webenrollment, Duplizierte Vorlage eines Webserver Zertifikats (da wir den privaten Schlüssel brauchen)

Im Browser die Zertifizierungsstelle des Unternehmens aufrufen und ein Zertifikat anfordern

erweiterte Zertifikatanforderung wählen