Lektion 2: Verwalten der Netzwerkauthentifizierung 155
Zusammenfassung der Lektion
■ Mit Kennwortrichtlinien können Sie die Sicherheit von Kennwörtern beeinflussen und
festlegen, wie oft Benutzer ihre Kennwörter ändern müssen.
■ Abgestimmte Kennwortrichtlinien ermöglichen es Ihnen, Kennwortrichtlinien auf der
Basis von Benutzern oder Gruppen festzulegen.
■ Mit Kontosperrungsrichtlinien können Sie festlegen, wie lange das Konto eines Benut-
zers gesperrt wird, falls der Benutzer eine bestimmte Anzahl ungültiger Versuche mit
dem falschen Kennwort durchführt.
■ Kerberos v5 ist das Standard-LAN-Authentifizierungsprotokoll von Windows Server
2008. NTLMv2 dient als Ausweichprotokoll, falls Kerberos v5 nicht unterstützt wird.
■ Die 802.1x-LAN-Authentifizierung ermöglicht es Ihnen, Switches so zu konfigurieren,
dass sie Clients mit der Hilfe eines RADIUS-Server authentifizieren, bevor sie den
Clients Zugang zum Netzwerk gewähren.
■ PEAP-MS-CHAPv2 ermöglicht 802.1x-LAN-Authentifizierungsclients eine Authenti-
fizierung mit einem Kennwort. EAP-TLS und PEAP-TLS ermöglichen 802.1x-LAN-
Authentifizierungsclients eine Authentifizierung mit einem Computerzertifikat.
■ 802.1x-Clients führen standardmäßig eine Authentifizierung mit der Methode Com-
puter oder Benutzer durch. Vor der Anmeldung erfolgt eine Authentifizierung mit dem
Computerkonto beim Switch und nach der Anmeldung mit dem Benutzerkonto.
Lernzielkontrolle
Mit den folgenden Fragen können Sie Ihr Wissen über den Stoff aus Lektion 2, „Verwalten
der Netzwerkauthentifizierung“, überprüfen. Die Fragen finden Sie (in englischer Sprache)
auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen eines
Übungstests beantworten.
Hinweis Die Antworten
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglich-
keiten richtig oder falsch sind, finden Sie im Abschnitt „Antworten“ am Ende dieses Buchs.
1. Sie möchten sicherstellen, dass alle Computer, die an die 802.1x-konformen Switches
Ihrer Organisation angeschlossen sind, authentifiziert werden, bevor sie Zugang zum
Netzwerk erhalten. Was müssen Sie auf Ihrem Netzwerkrichtlinienserver tun, um das
sicherzustellen?
A. Sie konfigurieren alle 802.1x-konformen Switches als RADIUS-Clients.
B. Sie konfigurieren alle 802.1x-konformen Switches als RADIUS-Server.
C. Sie konfigurieren alle 802.1x-konformen Switches als RADIUS-Proxys.
D. Sie konfigurieren alle Clientcomputer als RADIUS-Clients.
156 Kapitel 3: Konfiguration des Netzwerkzugriffs
2. Welche der folgenden 802.1x-Authentifizierungsmethoden für verkabelte Netzwerke
kommt ohne Bereitstellung von Zertifikaten an Clients aus?
A. EAP-TLS
B. PEAP-MS-CHAPv2
C. PEAP-TLS
D. NTLMv2
3. Sie planen eine 802.1x-Authentifizierungsstrategie für verkabelte Netzwerke. Sie
verwenden PEAP-MS-CHAPv2 als Authentifizierungsmethode und einen Windows
Server 2008-Netzwerkrichtlinienserver. Alle Clientcomputer, die eine Verbindung auf-
nehmen dürfen, sind Mitglieder der Active Directory-Domäne. Welche der folgenden
Zertifikate müssen Sie von der Unternehmens-Stammzertifizierungsstelle Ihrer Orga-
nisation anfordern, um diese Konfiguration zu unterstützen?
A. Ein Computerzertifikat für den Netzwerkrichtlinienserver
B. Computerzertifikate für jeden authentifizierenden Switch
C. Computerzertifikate für jeden Clientcomputer
D. Es sind keine Computerzertifikate erforderlich.
4. Sie möchten sicherstellen, dass Ihr 802.1x-Netzwerkprofil für verkabelte Netzwerke so
konfiguriert ist, dass eine Authentifizierung beim Switch erfolgt, bevor sich ein Benut-
zer auf dem betreffenden Computer anmeldet. Das soll auch dann geschehen, wenn
sich der Benutzer noch nie angemeldet hat. Welcher der folgenden Befehle erstellt ein
Profil, das diese Anforderungen erfüllt?
A.
netsh lan set profileparameter authmode=useronly ssomode=preLogon
B.
netsh lan set profileparameter authmode=machineonly ssomode=postLogon
C.
netsh lan set profileparameter authmode=MachineorUser ssomode=postLogon
D.
netsh lan set profileparameter authmode=machineonly ssomode=preLogon
5. Welche der folgenden Gruppenrichtlinieneinstellungen können Sie konfigurieren, da-
mit sich Computer, die Mitglieder einer Active Directory-Domäne sind, automatisch
bei 802.1x-kompatiblen Switches authentifizieren können?
A. Richtlinien für verkabelte Netzwerke (IEEE 802.3)
B. Drahtlosnetzwerkrichtlinien (IEEE 802.11)
C. IPSec-Richtlinien
D. Netzwerkzugriffsschutz-Richtlinien
6. Mit welchem der folgenden Tools können Sie ein Kennworteinstellungsobjekt erstel-
len, um abgestimmte Kennwortrichtlinien zu implementieren?
A. Gruppenrichtlinienverwaltung-Konsole
B. Ntdsutil
C. ADSI-Editor
D. Active Directory-Benutzer und Computer
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
