Nade, aki kitalálta, hogy:
- az Automatic Update-en felbuzdulva, kapsz egy félig üres certificate tárolót még naprakészre frissített Windows-on is, mondván, elég azt szállítani out-of-box, ami a Windows működéséhez kell, a többiért pedig majd elmegy a boltba, amikor épp szükség lesz rá,
- és a felhasználódnak persze a tanúsítvány arra kelljen, hogy netet csiholjon magának, és fölmásszon a RADIUS-os WiFi-re, és innentől rókafogta csuka az egész,
- és aki b*szott a "Nincs/Ismeretlen CA" hibához legalább valami popup üzenetet csinálni, hogy a júzer tudja, hogy mi van, ehelyett csak "csendben" nem sikerül a csatlakozás,
- és aki kitalálta, hogy egy olyan CA-t, amit a korábbiakban MINDEN feladatra megbízhatónak minősítettél, az WiFi csatlakozás esetén még mindig nem megbízható, és külön kell engedélyezni MINDEN kib*szott SSID-re,
... na annak dugnék most fel egy 14dBi-s yagi antennát, az árbócával együtt!
- mauzi blogja
- A hozzászóláshoz be kell jelentkezni
- 1086 megtekintés
Hozzászólások
Hello,
látom rendesen felhúztad magad, pedig elég részletesen le van írva: https://msdn.microsoft.com/en-us/library/dd759219.aspx
Egyébként elég indokoltnak tűnik nekem, miért így megy. Azzal együtt is, hogy értem a kényelmetlenséget, amit okoz Neked!
-A Windows Update folyamatba nem egyszerű beavatkozni, mivel ellenőrzi a hotfixek digitális aláírását.
-nyilván azért van minimalizálva out-of-the-box a Trusted Root CA-k száma, hogy a közben esetlegesen kompromittálódottak tanusítványait ne fogadja el egy szűztelepített rendszer.
-Ha jól értem, beállítható, hogy legyen-e figyelmeztetés:
34.To prevent users from being prompted to trust a server certificate if that certificate is incorrectly configured, is not already trusted, or both, select Do not prompt user to authorize new servers or trusted certification authorities . (Recommended)
Sejtésem szerint biztonsági megfontolások állnak a háttérben.
-Ha jól értem, alapból nem kell külön engedélyezni minden SSID-re:
21.In Trusted Root Certification Authorities , select the trusted root certification authority (CA) that issued the server certificate to your server running Network Policy Server (NPS). This setting limits the trusted root CAs that clients trust to the selected CAs. If no trusted root CAs are selected, then clients trust all root CAs listed in their trusted root certification authority store.
... és mivel rákerestem a nevezett yagi antennára, fontosnak tartom megjegyezni, hogy egyik sem én voltam! :)
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
Ez a móka csak domain környezetben működik. A BYOD arról szól, hogy a júzer hozza a saját fucking divájszát, ami úgy van konfigurálva, ahogy. A legelső lépés az, hogy fizikailag csatlakozni akar a hálózathoz. Itt máris elakad a megfelelő Root CA hiányában.
Gyakorlatilag egy dolgot várhatok el a felhasználótól: legyen a rendszere naprakészre frissítve.
- A hozzászóláshoz be kell jelentkezni
Csak domain környezetben működik? Miért is? A RADIUS - tudtommal - nem domain függő, sőt, nem Microsoft függő.
Az igaz, hogy az NPS AD DS-t használ az authentikációhoz, de miért kéne ettől még a kliensnek domainben lennie?
Az viszont igaz, hogy a csatlakozáshoz a kliensnek kell a megfelelő Root CA-t ismernie.
Amúgy igen: "legyen a rendszere naprakészre frissítve"
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
nem mintha lenne az egész ca faszságnak bármi értelme
- A hozzászóláshoz be kell jelentkezni
Már hogy ne lenne?
- A hozzászóláshoz be kell jelentkezni
Ha egyre gondolunk, akkor én sem értem hogy a gyökér tanúsítvány miért jár le. Inkább vonják vissza adott esetben - de a folyamatos frissítésének a kényszere talán több biztonsági kiskaput vihet a rendszerbe - ha jól gondolom.
- A hozzászóláshoz be kell jelentkezni
inkább az a kérdés hogy miért böngészőfüggő a globalszemet ca expiration date
- A hozzászóláshoz be kell jelentkezni