Mails sicher versenden

Mails die mit einem Mailprogramm versendet werden sind für jeden lesbar, der sie empfängt. Inzwischen hat die Mehrheit aller Mail-Provider zwar auf verschlüsselte Verbindungen gewechselt, jedoch sind Mails dadurch noch immer nicht sicher.

mehr lesen

Windows 8 und 8.1 in Unternehmen

Windows 8 und 8.1 sind in vielen Unternehmen noch immer kein Thema.
Es ist sogar festzustellen, dass viele Unternehmen nun erstmal auf Windows 7 umstellen um Windows XP nun endlich abzulösen.

mehr lesen

Work Folders und Ordnerumleitung statt Roaming Profiles

In diesem Blog möchte ich nicht nur zwei Neuerungen des Windows Server 2012/2012 R2 vorstellen sondern auch demonstrieren wie mit den Technologien servergespeicherte Profile ganz wegfallen und die Profildaten zudem verschlüsselt gespeichert werden können.

mehr lesen

Windows 10 in Unternehmen

Windows 10 ist kaum auf dem Markt, da gibt es bereits die ersten Unternehmen die das Upgrade durchführen. Meist ist man sich über Probleme und Gefahren des neuen Betriebssystems gar nicht bewusst.

mehr lesen

Mehr Sicherheit mit HSTS und Public Key Pinning

Die vergangenen Monate zeigten deutlich, dass SSL nur ein begrenztes Maß an Sicherheit gewährleistet.

mehr lesen

Digitale Währungen

In diesem Beitrag erkläre ich kurz und bündig was digitale Währungen sind, welchen Zweck oder Nutzen sie haben und wie mit ihnen Geld verdient werden kann.

mehr lesen

DNSSEC und TLSA = noch mehr Sicherheit

Ein Plus an Sicherheit bieten DNSSEC und TLSA die sich leider nur schwer durchsetzen.

mehr lesen

Schlag gegen den Datenschutz

Ein neues USA-Urteil stellt den Datenschutz erneut auf den Prüfstand und ist eine Gefahr für viele Unternehmen.

mehr lesen

IT-Sicherheit ist überbewertet

Ein guter ITler zeichnet sich dadurch aus, dass er sich für seine Sicherheitslücken interessiert und Hinweise darauf wohlwollend entgegen nimmt.

mehr lesen

Bitcoin und Bitcoin Cash

Bereits in dem Beitrag "Digitale Währungen" hatte ich kurz über Währungen der Computerwelt berichtet.

mehr lesen

Work Folders und Ordnerumleitung statt Roaming Profiles

In diesem Blog möchte ich nicht nur zwei Neuerungen des Windows Server 2012/2012 R2 vorstellen sondern auch demonstrieren wie mit den Technologien servergespeicherte Profile ganz wegfallen und die Profildaten zudem verschlüsselt gespeichert werden können.

Zwei wesentliche Neuerungen im Windows Server 2012/2012 R2 sind die Workfolder (Arbeitsordner) und die Ordnerumleitung für das Verzeichnis AppData/Roaming.
Beide Technologien können Vorteile im Unternehmensbereich haben.

In der Vergangenheit wurden die Benutzerprofile als servergespeicherte Profile etabliert. Dies hatte zwar den Vorteil, dass die Benutzerdaten zentral gespeichert werden und entsprechende Backup-Strategien gestaltet werden konnten. Doch stellen sich nicht selten andere Probleme wie lange Ladezeiten und hohe Netzlast zu den Spitzenzeiten ein.

Mit der Einführung der Ordnerumleitung durch Microsoft wurden viele Anwenderordner darüber direkt auf dem Server gespeichert um die Profile zu entlasten und zu verkleinern. Doch auch dies ist nicht immer ganz problemlos.
So ist die Ordnerumleitung auf ein Netzlaufwerk wie SAN immer auch an die Synchronisation gebunden, die gerne für Ärger bei der Synchronisation der Dateien sorgt. Außerdem gab es bisher keine Möglichkeit das AppData/Roaming-Verzeichnis umzuleiten. So wurden verschiedene systemrelevante Benutzerdaten gar nicht durch die Ordnerumleitung erfasst.

So gingen die Ordnerumleitung und die servergespeicherten Profiele meistens Hand in Hand.

Neuerung bei der Ordnerumleitung:
Mit Einführung des Windows Server 2012/2012R2 werden nun nahezu alle wichtigen Ordner für eine Umleitung unterstützt. So auch das Verzeichnis AppData/Roaming.

Neuerung Work Folders:
Die "Work Folders" können in einer Windows Server 2012 Domäne direkt über die Server verwaltet werden. Dabei handelt es sich um eine besondere Freigabe die nach Benutzern und Benutzergruppen bereitgestellt werden kann.
Bei entsprechender Bereitstellung werden alle Dateien und Verzeichnisse in den "Work Folders" direkt, transparent verschlüsselt. Die Verschlüsselung ist Benutzergebunden und stellt sicher, dass kein Dritter die Dateien öffnen kann.
Werden die Dateien auf ein Wechselmedium kopiert ohne die Verschlüsselung zu entfernen, kann nur der Eigentümer die Dateien auch tatsächlich öffnen.
Allerdings wird die Verschlüsselung nur für NTFS unterstützt, so das bei einem Kopieren auf ein Medium ohne NTFS eine entsprechende Meldung erscheint und die Verschlüsselung während des Kopiervorgangs entfernt wird.
Auch die "Work Folders" können wie die alt bekannten Offlinedateien verwendet werden. Allerdings hat Microsoft auf die Verwendung des bisherigen Synchronisationscenter verzichtet.
Die neue Art der Synchronisation erfolgt über das RDP im Hintergrund.
Der Anwender arbeitet zunächst immer auf seiner Festplatte während die Synchronisation sobald wie möglich im Hintergrund erfolgt.
Probleme wie beim bisherigen Synchronisationscenter bleiben daher aus. Denn den Wechsel zwischen Online- und Offlineversion einer Datei gibt es nicht mehr.
Dateien die sich aktuell im Zugriff befinden werden für eine Synchronisation gesperrt.

Neue Strategie:
Das neue Konzept, das von mir auch vor geraumer Zeit mehrfach erfolgreich implementiert werden konnte, kommt nun ganz ohne servergespeicherte Profile aus.
Stattdessen werden die Profildaten im Verzeichnis der WorkFolders gespeichert wodurch diese verschlüsselt sind und im Hintergrund synchronisiert werden. Die Anmeldezeiten am lokalen System sind dadurch entsprechend kurz.
Außerdem ist es den Benutzern (z.B. Administratoren) möglich an mehreren Systemen gleichzeitig angemeldet zu sein ohne das ein servergespeichertes Profil dabei zerstört wird.
Es ist zudem möglich die "Work Folders" am Server in einem DFS zu speichern.

Voraussetzung:
Die vorliegende Erklärung geht davon aus, dass es eine Windows Server 2012/2012 R2 Domäne gibt. Die Domain-Controller heißen "DC1" und "DC2".
Unsere Domäne verügt hier über eine PKI so dass alle Benutzer ein Benutzerzertifikat und alle Computer ein Computerzertifikat als automatische Verteilung erhalten.
Alle Laufwerke wurden mit NTFS eingerichtet.
Unsere Clients sind mit Windows 8/8.1 Enterprise ausgestattet.
Die Freigaben und damit auch die "Work Folders" werden über einen separaten Server ("SRV2") verwaltet und bereitgestellt.

Die Einrichtung:

1. Vorbereitung der "Work Folders"
Vor der Änderung der Profile richten wir die "Work Folders" ein, damit kein Client ins Leere läuft wenn die neuen GPOs greifen.
Wer die "Work Folders" auf ein "DFS" leiten möchte muss dieses natürlich zu Anfang bereitstellen.
In userem Fall verwenden wir ein einfaches lokales Laufwerk auf dem "SRV2".

Zunächst installieren wir im ServerManager die Serverrollen "Work Folders" oder "Arbeitsordner" unterhalb der Einträge "Datei-/Speicherdienste"->"Datei- und iSCSI-Dienste" wie im Screenshot gezeigt.

Aktivieren der Serverrolle Work Folders

Wurde diese Installation erfolgreich abgeschlossen, findet sich im Servermanager unter "Datei- und Speicherdienste" auch ein Eintrag für die "Arbeitsordner" bzw. "Work Folders".

Mit einem "Rechtsklick" und der Auswahl "Neue Synchronisierungsfreigabe" kann nun eine "Work Folder" oder "Arbeitsordner"- Freigabe eingerichtet werden.

Arbeitsordner Context-Menü

Es erscheint anschließend ein Asisistent um eine Freigabe einzurichten und zu konfigurieren.

Es kann hier zunächst der Server ausgewählt werden auf welchem die Freigabe bereitgestellt werden soll. Zudem kann gewählt werden ob eine bestehende Freigabe im Netz oder ein lokaler Pfad das Ziel sein soll.

Wer mit der Rechtevergabe bei Dateien und Verzeichnissen nicht sicher ist sollte hier unter dem Eintrag "Geben Sie einen lokalen Pfad ein:" einen neuen Windowspfad eintippen, welcher noch nicht existiert.
Wird hier ein Pfad eingetippt welcher nicht existiert, wird dieser neu angelegt und mit den erforderlichen Rechten versehen.

Pfad Angabe der Work Folders

Im nächsten Schritt wird nach der Struktur gefragt.

Haben Sie nur eine Domäne reicht die Auswahl "Benutzeralias".
Dies führt dazu, dass für jeden Benutzer ein eigener Ordner in der Freigabe angelegt wird, der nur von ihm selbst verwendet werden kann.

Besteht das Netzwerk aus mehreren Domänen in denen Benutzernamen mehrfach vorkommen können, sollte die Einstellung "Benutzeralias@Domäne" verwendet werden.

So werden die Unterverzeichnise für jeden Benutzer auch in diesem Format angelegt und das mehrfache Vorkommen eines Benutzernamens ist kein Problem mehr.

Eine Einschränkung der Synchronisierung durch Angabe der Ordner die synchronisiert werden sollen entfällt in unserem Beispiel.

Netzwerkname der Work Folders Freigabe

Nun gilt es anzugeben welche Benutzer und/oder Gruppen diese Freigabe verwenden dürfen. So ist eine Aufteilung möglich die es erlaubt verschiedene Benutzer oder Gruppen auf unterschiedliche Laufwerke oder Server zu verteilen.
Wichtig ist hier die Einstellung zur Deaktivierung der Berechtigungen. So ist gewährleistet, dass jeder Benutzer nur auf seine eigene Freigabe zugreifen kann.

Zugriffssteuerung der Work Folders

Nun wird noch angegeben ob die Verschlüsselung erfolgen soll und die Richtlinie zur Bildschirmsperre erzwungen werden soll.
Werden diese Optionen aktiviert muss der Benutzer erst deren Anwendung zustimmen damit die Work Folders genutzt werden.

Richtlinien der Work Folders

Abschließend werden diese Einstellungen kontrolliert, bestätigt und eingerichtet. Damit ist dieser Schritt dann abgeschlossen und die Workfolders können genutzt werden.

Die Verwendung der "Work Folders" muss entweder vom Benutzer in der Systemsteuerung manuell oder über die GPOs aktiviert werden.

Damit ist dieser Teil der Konfiguration abgeschlossen.

2. Vorbereitung der Ordnerumleitung:
Zu Beginn muss ich hier anmerken, dass wir uns eines Tricks bedienen.

Erfolgt eine Ordnerumleitung auf einen Server, wird automatisch das Synchronisationscenter aktiviert, was wir nicht wollen.

Der Pfad zu den Workfolders ist "C:\Users\benutzername\Work Folders\" was allerdings auch zu einem Problem führt.
Denn bei der Ordnerumleitung wird der Benutzername in dem Pfad durch das System gesetzt und erlaubt nicht die Angabe eines weiteren Verzeichniseintrags. Wir können also nach dem Benutzernamen nicht "Work Folders" angeben. Selbst wenn dies ohne weiteres möglich wäre, bestände noch immer ein Problem bei mehrfach vorkommenden Benutzernamen. Das heißt wenn ein Benutzername sowohl in der Domäne als auch lokal besteht.

Denn in diesem Fall legt Windows das lokale Benutzerverzeichnis einmal mit und einmal ohne Computernamen bzw. Domainnamen nach dem Benutzernamen an.

Gehen wir also davon aus, dass es den Benutzer "defaultadmin" einmal lokal und einmal in der Domäne gibt, würde ein Benutzerverzeichnis unter c:\users\defaultadmin und das andere unter c:\users\defaultadmin.domaene liegen. Nach der Anmeldung wäre in der Variable %username% aber jedesmal nur der Benutzername eingetragen. Der "defaultadmin" der Domaene würde also versuchen auf die Verzeichnisse vom lokalen Benutzer zuzugreifen.

Damit wäre der generierte Pfad unbrauchbar und die Verwendung von %username% nicht sinnvoll.

Der Wert in %USERPROFILE% stimmt jedoch auf jeden Fall, wird allerdings nicht umgesetzt. Dies liegt daran, dass uns bei der Anmeldung diese Variable nicht zur Verfügung steht.

Um diesem Problem aus dem Weg zu gehen verteilen wir über die Gruppenrichtlinien eine neue Variable mit dem Namen "newuserpath" die den Wert von %USERPROFILE% beinhaltet.
Diese Variable setzen wir in den GPOs unter "Benutzerkonfiguration"->"Einstellungen"->"Windows-Einstellungen"->"Umgebung".

Neue Variable über die Gruppenrichtlinie verteilen

Damit ist die Vorbereitung der Einrichtung der Gruppenrichtlinien im Wesentlichen abgeschlossen.

3. Einrichten der Ordnerumleitung:
Im nächsten Schritt können wir die Ordnerumleitung einrichten.
Dazu wählen wir in der GPO die "Benutzerkonfiguration"->"Richtlinien"->Windows-Einstellungen"->"Ordnerumleitung"
Darunter befinden sich alle umleitbaren Ordner die wir mit einem Rechtsklick jeweils konfigurieren können.

Unter dem Register "Ziel" konfigurieren wir, wie die Speicherung erfolgen soll. Wir wollen für alle Benutzer den gleichen Pfad angeben, nämlich den Eintrag aus unserer neuen Variable mit dem angehangenen "Work Folders".

Eigenschaften der Ordnerumleitung

Im Register "Einstellungen" konfigurieren wir noch wie Clients mit den Richtlinien umgehen sollen.

Mit den hier geziegten Einstellungen werden alle Daten von den bestehenden Pfaden auf den neuen Pfad kopiert und anschließend gelöscht. Der Benutzer bekommt davon normalerweise nichts mit.
Sollte die Richtlinie einmal wieder entfernt werden, werden alle Daten wieder an den lokalen Ort verschoben.

Eigenschaften der OrdnerumleitungNun können die Gruppenrichtlinien zum Beispiel mit "invoke-gpupdate" auf die Systeme verteilt werden und, wenn nicht bereits über die GPOs geschehen, die "Arbeitsordner" bzw. "Work Folders" manuell aktiviert werden.

Wurde alles erfolgreich verteilt finden sich im Exporer unter "Arbeitsordner" alle Profilordner wieder. Dabei fällt dann auf, dass die Verzeichnis- und Dateinamen in "grün" dargestellt werden.
Alle grünen Datei- und Verzeichnisnamen sind verschlüsselt.

Auf die Dateien und Verzeichnisse kann aber dennoch direkt zugegriffen werden, da sie transparent ver- und entschlüsselt werden.
Soll eine Datei ohne Verschlüsselung verfügbar gemacht werden, kann diese mit einem Rechtsklick und Auswahl "Enterprise Steuerelement entfernen" entfernt werden.

 

 

Blog

DNSSEC und TLSA = noch mehr Sicherheit

DNSSEC und TLSA = noch mehr Sicherheit

Ein Plus an Sicherheit bieten DNSSEC und TLSA die sich leider nur schwer durchsetzen.

weiterlesen

Logfiles und Datenschutz

Logfiles und Datenschutz

In den vergangenen Tagen haben mich viele Anfragen zum Thema Logfiles und Datenschutz erreicht. Dabei geht es um die Frage nach der Aufbewahrungsdauer, aber auch Umfang der gespeicherten Daten. Zu...

weiterlesen

Digitale Währungen

Digitale Währungen

In diesem Beitrag erkläre ich kurz und bündig was digitale Währungen sind, welchen Zweck oder Nutzen sie haben und wie mit ihnen Geld verdient werden kann.

weiterlesen

Schlag gegen den Datenschutz

Schlag gegen den Datenschutz

Ein neues USA-Urteil stellt den Datenschutz erneut auf den Prüfstand und ist eine Gefahr für viele Unternehmen.

weiterlesen

Bitcoin und Bitcoin Cash

Bitcoin und Bitcoin Cash

Bereits in dem Beitrag "Digitale Währungen" hatte ich kurz über Währungen der Computerwelt berichtet.

weiterlesen

Neue Zahlungsweisen Bitcoin Classic, Bit…

Neue Zahlungsmethoden

Digitale Währungen halten immer weiter Einzug in die Geschäftswelt und so kann auch ich mich vor ihnen nicht verschließen.

weiterlesen

IT-Sicherheit ist überbewertet

Nachricht eines Administrators

Ein guter ITler zeichnet sich dadurch aus, dass er sich für seine Sicherheitslücken interessiert und Hinweise darauf wohlwollend entgegen nimmt.

weiterlesen

Mehr Sicherheit mit HSTS und Public Key …

Die vergangenen Monate zeigten deutlich, dass SSL nur ein begrenztes Maß an Sicherheit gewährleistet.

weiterlesen

Windows 10 in Unternehmen

Windows 10 ist kaum auf dem Markt, da gibt es bereits die ersten Unternehmen die das Upgrade durchführen. Meist ist man sich über Probleme und Gefahren des neuen Betriebssystems gar...

weiterlesen
Top