Active Directory

    UserAccountControl: Sicherheitseinstellungen für AD-Konten prüfen und ändern

    Account LockoutDas Attribut User­Account­Control im Active Direc­tory enthält mehrere kritische Konto­­ein­­stellungen. Das be­trifft etwa das Ablauf­­datum von Pass­wörtern oder die Dele­gierung. Ein AD-Audit sollte dieses Attribut regel­mäßig prüfen. Das lässt sich mit Power­­Shell erle­digen, und für das Ändern der Flags gibt es ein eigenes Cmdlet.

    Im Test: BitLocker, Web-Browser, USB-Geräte, Schwachstellen und App-Whitelists mit ​Endpoint Central verwalten

    Desktop Central Security Add-onManageEngine hat ​Endpoint Central (ehemals Desktop Central) um ein Security-Modul erweitert. Dieses deckt ein weites Spektrum an sicher­heits­kritischen Aufgaben ab. Dieses reicht von einer zent­ralen Browser- und BitLocker-Verwaltung über ein Device- und Schwach­stellen-Manage­ment bis zum App-Whitelisting.

    November-Update bringt 3 Patches für Domain-Controller (CVE-2022-37966, CVE-2022-37967, CVE-2022-38023)

    KerberosDas kumulative Update KB5019081 beseitigt drei Schwach­stellen im Kerberos- und Netlogon-Protokoll. Die Patches können erheb­liche Aus­wirkungen haben und erfordern daher eine Über­­prüfung oder Anpassung des Systems. Die Änderungen lassen sich teil­weise noch aufschieben, werden aber im nächsten Jahr vollständig durchgesetzt.

    Active Directory mit nicht-autoritativem Restore wiederherstellen

    Active Directory LogoDie Sicherung der Domänen-Controller ist eine wich­tige Vor­sorge für das Disaster Recovery. Dabei gibt es zwei Arten von Wieder­­her­stellungen: auto­ritative und nicht-auto­ritative. Windows Server Backup unter­stützt beide Varianten. Das Betriebssystem bietet für den Restore des Active Directory einen eigenen Modus (DSRM), in den man den DC dafür booten muss.

    AD-Konten mit ChangePasswordAtLogon in PowerShell finden, Wechsel des Passworts erzwingen

    Active Directory PowerShellAdmins können Anwender bei der nächsten Anmeldung zu einem Wechsel des Passworts anhalten. Während man den Status des ent­sprechenden Attributs in AD-Benutzer und -Computer leicht ein­sehen kann, ist das Vorgehen mit PowerShell etwas trick­reich. Das Setzen dieser Vorgabe fällt dagegen ziemlich einfach.