Active Directory

    Active Directory auf inaktive Konten und schwache Passwörter prüfen mit dem kostenlosen Specops Password Auditor

    Specops Password AuditorNeben schwachen und kompro­mittierten Pass­wörtern bilden inak­tive Accounts beliebte An­griffs­punkte, um Netz­werke zu infil­trieren. Wird ein solches Konto gehackt, können An­greifer in aller Ruhe ihr Un­wesen treiben. Admins sollten daher das Active Direc­tory regel­mäßig mit geeig­neten Tools auf solche Schwach­punkte prüfen.*

    Mitgliedschaften in AD-Gruppen ohne Neustart oder Abmelden aktualisieren

    Kerberos-TicketsFügt man Computer oder Benutzer zu einer Sicherheits­gruppe im Active Directory hinzu, dann wirkt sich dies nicht sofort aus. Damit verbun­dene Berech­tigungen greifen erst nach dem erneuten An­melden eines Users oder dem Reboot des Com­puters. Dies lässt sich durch Erneuern der Kerberos-Tickets ver­meiden.

    Cluster Name Object (CNO) erstellen, Verbindungsprobleme beheben

    Server-ClusterFailover-Cluster spricht man normaler­weise nicht über seine Knoten an, sondern über das CNO im Active Directory. Es verfügt auch über einen DNS-Eintrag, der stets dem Owner-Node zugeordnet ist. Das CNO kann man bereits vor dem Cluster erstellen, die DNS-Konfi­guration ist oft Ursache für Ver­bindungs­probleme.

    Passphrasen statt Kennwörter: Mehr Sicherheit und bessere User-Akzeptanz

    Windows-Logon mit Username und PasswortAuch wenn Microsoft regel­mäßig das Ende der Passwörter ausruft, so bleiben diese trotz ihrer Schwächen das populärste Verfahren zur Authen­tifizierung. Unter­nehmen sollten daher nur starke Kenn­wörter zulassen. Passphrasen bilden einen guten Kompromiss zwischen Sicherheit und Benutzer­freundlichkeit.*

    Identitäten für Microsoft 365: nur Cloud, synchronisiert oder föderiert

    Hybride Identitäten für Microsoft 365Microsoft 365 nutzt Azure Active Directory (AAD) zur Verwaltung der Benutzer­konten, die Zugriff auf die Cloud-Dienste erhalten sollen. Wenn Unter­nehmen bereits ein AD on-prem betreiben, dann können sie die Accounts zwischen den Ver­zeichnissen getrennt halten oder einheitliche Iden­titäten ein­richten.

    Technisches Webinar: Angriffe auf das Netzwerk und AD schnell bemerken, Gegenmaßnahmen ergreifen

    Log360 von ManageEngineWenn Admini­stratoren zu spät oder gar nicht erkennen, dass Systeme kompro­mittiert wurden, dann können sie den Schaden nicht recht­zeitig begrenzen. Große Firmen bauen dafür oft eigene Security Operations Center auf. Kleinere Unter­nehmen können zu diesem Zweck Managed Services oder lokale Tools nutzen.

    Technisches Webinar: User im Active Directory und VPNs mit Multifaktor-Authentifizierung (MFA) absichern

    ADSelfService PlusDer Diebstahl von Iden­titäten ist für Angreifer der Königsweg zu den Daten eines Unter­nehmens. Daher sollte man über Policies starke Pass­wörter erzwingen. Aber auch sie können kompro­mittiert werden. Eine zusätz­liche Absicherung erreicht man durch MFA, das zudem auch Remote-Zugriffe schützen soll.

    Netlogon: Domänen-Controller verweigern Verbindung zu unsicheren Geräten

    Security-TeaserIm August 2020 wurde die Schwach­stelle CVE-2020-1472 im Netlogon Remote Protocol pub­liziert. Microsofts Patch er­zwingt ab dem 9. Februar die Kommu­nikation über einen Secure RPC. Inkom­patible Geräte können sich ab sofort nur mehr an einem DC authen­tifizieren, wenn man sie über ein GPO zulässt.

    Reports zum Active Directory erzeugen mit dem kostenlosen AD Info

    AD InfoDie grafischen Bord­mittel von Windows sind primär für das Ver­walten von AD-Objekten aus­gelegt und nur sehr einge­schränkt geeig­net, um das Active Directory abzu­fragen. Diese Lücke füllt eine ganze Reihe von Dritt­anbietern. Ein Klassiker ist AD Info, der schon in der Free Edition sehr nützlich ist.

    Attribute (single- und multi-valued) im Active Directory ändern oder kopieren mit PowerShell

    Active Directory PowerShellWenn im Active Directory der Wert für bestimmte Attri­bute bei einer größeren Zahl von Objekten geän­dert werden soll, dann kann man diesen Vor­gang mit Power­Shell auto­matisieren. Während dies für ein­fache Werte ziem­lich unkom­pliziert ist, muss man bei Multi-valued-Attributen mehr Auf­wand be­treiben.

    Seiten