Virtuelle Smartcards sollen die Vor­teile von physischen Smart­cards ohne zu­sätzliche Hard­ware bieten. Sie basieren auf einem TPM und authenti­fizieren Benutzer wie eine physische Smart­card mit einem Zertifikat gegen­über dem Active Directory. Die User müssen bei der An­meldung dann nur mehr eine PIN ein­geben.

Einige Active Directory Certifi­cate Services (AD CS) ver­wenden immer noch SHA-1 für das Sig­nieren von Zerti­fikaten sowie den ver­alteten Cryp­to­graphic Service Pro­vider (CSP). Für mehr Sicher­heit sollte man den Hash-Algo­rithmus auf SHA-2 aktua­lisieren. Dafür benötigt man den CSP-Nach­folger Key Storage Provider (KSP).

Windows AutoPilot ist ein Cloud-Dienst von Microsoft, mit dem Firmen ihre Windows-PCs bereit­stellen können. End­benutzer können so ihre Rechner weit­gehend selb­ständig in Be­trieb nehmen. Neben dem OS kann man auch gleich Anwen­dungen wie MS Office in­stal­lieren. Diese An­leitung zeigt, wie man den Ser­vice nutzt.

Secure Hash Algorithm (SHA) ist ein häufig ver­wen­detes kryp­to­grafischen Ver­fahren. Der ur­sprüng­liche Stan­dard (SHA-1) ist aber ver­altet und bietet nur mehr geringen Schutz. Die meisten Web-Browser lehnen damit sig­nierte Zerti­fikate ab. Daher ist es für Firmen an der Zeit, von SHA-1 auf SHA-2 umzu­stellen.

Admini­stratoren sind gelegent­lich gezwungen, Pro­grammen im Kon­text der Konten SYSTEM oder Trusted Installer auszu­führen, wenn diese Owner von Dateien und Registry-Schlüsseln sind. Nach­dem die Bord­mittel dafür keine ein­fache Möglich­keit vor­sehen, über­nehmen kosten­lose Utilities diese Auf­gabe.

Die Ent­schlüsselung von BitLocker mit TPM + PIN erfordert physi­schen Zugriff auf das Gerät, wenn es hoch­fährt oder aus dem Ruhe­zustand auf­wacht. Dies kann ein Hindernis für das Remote-Management sein, falls PCs dafür über Wake-on-LAN starten. Für diesen Fall hat Micro­soft die BitLocker Netz­werk­ent­sperrung ent­wickelt.

Es ist gängige Praxis, für risiko­reiche Aktivi­täten eine separate Desktop-Umgebung zu ver­wenden. In den meisten Fällen kommen dafür virtuelle Maschinen zum Einsatz, die aber für Endbenutzer meist zu um­ständlich sind. Hysolate ist eine Lösung, die den Einsatz einer separaten VM-Umgebung für riskante Aktivitäten auto­matisiert.

Wenn Firmen ältere Versionen von Windows Server aus­mustern, dann steht oft der Umzug wichtiger Infra­struktur­dienste an. Davon können die Active Directory Certificate Services (AD CS) betroffen sein. Der folgende Beitrag zeigt, wie man die Daten­bank und die Einstellungen der AD CS auf Windows 2019 überträgt.

Die manu­elle Instal­lation von Windows Server eig­net sich für ein­zelne Maschinen. Für die Bereit­stel­lung mehrerer In­stan­zen em­phiehlt sich ein auto­mati­siertes Vor­gehen. Einer der ältes­ten Mecha­nis­men dafür sind Ant­wort­dateien. Dieser Artikel zeigt, wie man sie mit dem Windows System Image Manager für Server 2022 er­stellt.

Bei der zentralen Ver­waltung von Microsoft Office spielen die Gruppen­richt­linien eine zentrale Rolle, besonders für die Sicher­heits­konfi­guration. Der Cloud Policy Service erlaubt es Admins, die Office-Apps über einen M365-Service anzu­passen, und zwar auch dann, wenn die PCs nicht Mitglied in einer Domäne sind.