Nachdem bereits Windows Server 2019 keine eigene Funktions­ebene für Domänen und Forests brachte, stagniert die Ent­wicklung des Active Directory auch in Windows Server 2022. Die erneute Bei­be­haltung des Functional Level reflek­tiert die Tat­sache, dass Microsoft dem AD keine wesent­lichen Neuerungen gönnt.

Organi­sationen aller Branchen und Größen werden Opfer von Cyber­angriffen. Eine be­liebte Masche ist das Ver­schlüsseln von Firmen­daten und das Erpressen von Löse­geldern für das Ent­schlüsseln. Mit den richtigen Tools kann man starke Pass­wörter für das Active Directory erzwingen und sich gegen Angriffe schützen.*

Wenn ein neuer DC installiert wird, dann kann die anfängliche Repli­kation zahlreiche AD-Objekte umfassen. Externe Stand­orte sind aber oft nur über lang­same Netz­werke ange­bunden. Für solche Szenarien reduziert "Install from Media" (IFM) die Menge der replizierten Daten auf den neuen DC erheblich.

Wenn man einen Server mit der instal­lierten Rolle der AD CS außer Betrieb nimmt, dann bleibt zum Schluss immer die Auf­gabe, die betref­fende Zertifi­zierungs­stelle aus dem Active Directory zu ent­fernen. Andern­falls stört sie etwa beim Aus­stellen neuer Zertifikate. Das Löschen erfolgt manuell in AD-Stand­orte und Dienste.

Zwar enthält jeder Windows-PC einen eigenen Satz an admini­stra­tiven Vor­lagen für die Gruppen­richt­linien, diese lassen sich aber in einer zen­tralen Ablage besser ver­walten. Dies gilt umso mehr, wenn ADMX für ver­schiedene Anwen­dungen hinzu­kommen. Als trick­reich kann sich aber dann das Update gestalten.

Secure Hash Algorithm (SHA) ist ein häufig ver­wen­detes kryp­to­grafischen Ver­fahren. Der ur­sprüng­liche Stan­dard (SHA-1) ist aber ver­altet und bietet nur mehr geringen Schutz. Die meisten Web-Browser lehnen damit sig­nierte Zerti­fikate ab. Daher ist es für Firmen an der Zeit, von SHA-1 auf SHA-2 umzu­stellen.

Die Ver­wendung von unver­schlüs­seltem LDAP stellt ein Risiko dar. Es ermög­licht Angreifern das Aus­nutzen einer Schwach­stelle, um erhöhte Privilegien zu erlangen. Diese lassen sich wiederum für Man-In-The-Middle-Angriffe nutzen. Admins können ihre Systeme über mehrere LDAP-Einstellungen davor schützen.

Wenn Firmen ältere Versionen von Windows Server aus­mustern, dann steht oft der Umzug wichtiger Infra­struktur­dienste an. Davon können die Active Directory Certificate Services (AD CS) betroffen sein. Der folgende Beitrag zeigt, wie man die Daten­bank und die Einstellungen der AD CS auf Windows 2019 überträgt.

Das Active Directory bietet nur wenige Optionen zur Authen­tifizierung. In den meisten Unter­nehmen kommt daher bloß die Kombi­nation aus Benutzer­name und Pass­wort zum Einsatz. Die Ham­burger Systola GmbH ergänzt das AD um moderne Ver­fahren, ohne dass Anwender dafür einen Cloud-Service nutzen müssen.

Azure Active Directory (AAD) ist ein Identity-as-a-Service-Provider. Seine zen­trale Aufgabe besteht darin, Iden­titäten (Identities) und Zugriffe (Access) zu (managen) - daher die Abkürzung IAM. Es setzt zu­dem das Kon­zept des rollen­basierten Zugriffs (RBAC) um. Microsoft bietet den Service in mehreren Editionen an.