Microsoft warnt davor, dass Angreifer mit einem auf GitHub allgemein zugänglichen Hacking-Tool bekannte Schwächen von Active Directory ausnutzen können. KrbRelayUp erlaubt ihnen bei einer erfolgreichen Attacke, administrative Rechte zu erlangen und beliebigen Code auf kompromittierten Geräten als SYSTEM auszuführen.
Viele Unternehmen überlegen, wie sie auf die Authentifizierung mittels Kennwort verzichten können. Wenn sie Azure Active Directory (Azure AD) nutzen, dann haben sie einige alternative Methoden für eine passwortlose Anmeldung. Dazu gehören etwa die zertifikatbasierte Authentifizierung oder die Verwendung eines FIDO2-Security-Schlüssels.
Das Client-Management umfasst immer mehr und zunehmend komplexere Aufgaben. Zusätzlich erhöht die Bedrohungslage den Zeitdruck. Der ACMP Competence Day widmet sich in diesem Jahr daher der Frage, wie IT-Abteilungen ihre Endgeräte effizient verwalten und deren Sicherheit gewährleisten können.
Die kumulativen Windows-Updates im Mai 2022 beseitigten mehrere Schwachstellen im Active Directory. Nach ihrer Installation auf einem Domänen-Controller kommt es aber vor, dass sich Benutzer nicht mehr mittels Zertifikat anmelden können. Microsoft bietet vorerst einen Workaround, bis das Problem behoben ist.
Die Authentifizierung mittels Zertifikaten ist ein sicheres Verfahren, um die Identität eines Benutzers zu festzustellen. Bis vor kurzem mussten man jedoch die Active Directory Federation Services (AD FS) einsetzen, um sich auf diese Weise an Azure AD zu authentifizieren. Dies ändert sich nun mit dem neuen Service Azure AD Certificate-based Authentication.
Bei Update Compliance handelt es sich um einen kostenlosen Cloud-Service, mit dem Admins einen Überblick über den Update-Status ihrer Windows-PCs erhalten. Bis dato konnte man damit auch Rechner überwachen, die nur Mitglied in einem lokalen AD sind. Ab Oktober setzt der Service aber Azure AD voraus.
Das Zurücksetzen von Passwörtern gehört zu den häufigsten Anfragen an den Helpdesk. Um diesen von solchen Aufgaben zu entlasten, kann man den Passwort-Reset via Self-Service an die User selbst delegieren. Wichtig sind dabei sichere Methoden zur Authentifizierung der Benutzer. Azure AD bietet mehrere solcher Verfahren.
Die Pass-through Authentifizierung (PTA) stellt eine Alternative zu AD FS oder der Password-Hash-Synchronisation nach Azure AD dar. Ziel auch dieser Technik ist es, den Benutzern über die Authentifizierung am lokalen AD den Zugriff auf Cloud-Apps zu ermöglichen. Ihre Konfiguration ist jedoch weniger aufwändig als etwa für AD FS.
Ist ein benutzerdefinierter Domänenname für die lokale Domäne im Azure AD eingetragen, können Sie Azure AD Connect in Ihrer lokalen Domäne installieren. Das Tool bietet mehrere Optionen zum Synchronisieren lokaler Konten. Dieser Beitrag demonstriert das Verfahren, bei dem auch die Passwort-Hashes übertragen werden.
Die meisten Organisationen beginnen ihren Weg in die Cloud mit dem Hybridmodus. Dabei synchronisiert Azure AD Connect die lokalen Benutzer nach Microsoft 365. Möchte eine Firma dann von der hybriden auf eine reine Cloud-Umgebung umsteigen, dann lassen sich die synchronisierten Benutzer zu Cloud-Accounts konvertieren.
Azure AD dient als Cloud-basierter Identitätsspeicher, der dort vorhandenen Benutzern den Zugriff auf Cloud-Dienste von Microsoft erlaubt. Das betrifft etwa den Zugang zu Office 365 oder anderen im Azure AD registrierten SaaS-Anwendungen. Wenn man die Konten nicht doppelt pflegen möchte, dann kann man sie mit dem lokalen AD synchronisieren.