Das Attribut UserAccountControl im Active Directory enthält mehrere kritische Kontoeinstellungen. Das betrifft etwa das Ablaufdatum von Passwörtern oder die Delegierung. Ein AD-Audit sollte dieses Attribut regelmäßig prüfen. Das lässt sich mit PowerShell erledigen, und für das Ändern der Flags gibt es ein eigenes Cmdlet.
Wie beim Management des lokalen Active Directory sind die GUI-Tools zwar komfortabel, aber beispielsweise für Bulk-Operationen ineffizient. Die Alternative unter den Bordmitteln ist auch hier PowerShell. Microsoft bietet dafür ein Modul an, das alle Anforderungen beim Management von Gruppen und Benutzern erfüllt.
ManageEngine hat Endpoint Central (ehemals Desktop Central) um ein Security-Modul erweitert. Dieses deckt ein weites Spektrum an sicherheitskritischen Aufgaben ab. Dieses reicht von einer zentralen Browser- und BitLocker-Verwaltung über ein Device- und Schwachstellen-Management bis zum App-Whitelisting.
Als Reaktion auf CVE-2022-37966 änderte Microsoft mit KB5019081 das Kerberos-Protokoll, so dass es standardmäßig die Session-Tickets nicht mehr mit RC4, sondern mit AES verschlüsselt. Dies kann ausgerechnet in Umgebungen, die RC4_HMAC_MD5 bereits zentral deaktiviert haben, zu Problemen bei der Anmeldung führen.
Das kumulative Update KB5019081 beseitigt drei Schwachstellen im Kerberos- und Netlogon-Protokoll. Die Patches können erhebliche Auswirkungen haben und erfordern daher eine Überprüfung oder Anpassung des Systems. Die Änderungen lassen sich teilweise noch aufschieben, werden aber im nächsten Jahr vollständig durchgesetzt.
Das regelmäßige Ändern von Passwörtern wird allgemein nicht mehr empfohlen, auch die Security Baseline für Windows ist davon abgekommen. Trotzdem kann es in bestimmten Situationen wichtig sein, zu wissen, wie alt die Kennwörter der Benutzer sind. Mit PowerShell kann man das einfach herausfinden.
Die Authenticator App spielt eine zentrale Rolle bei der Multifaktor-Authentifizierung (MFA) sowie bei der passwortlosen Anmeldung am Azure AD. Microsoft ergänzte das Programm nun um Funktionen, die Nutzer gegen MFA-Angriffe schützen sollen. Diese Features lassen sich gezielt an bestimmte Gruppen zuweisen.
Die Benutzer- und Gruppenverwaltung in Microsofts Cloud ist die Angelegenheit von Azure AD. Das Verzeichnis kennt mehrere Arten von Gruppen. Dazu gehören die Pendants von Sicherheits- und Verteilergruppen aus dem on-prem AD DS. Darüber hinaus unterstützt AAD das Erstellen von dynamischen Gruppen über Abfragen.
Die Sicherung der Domänen-Controller ist eine wichtige Vorsorge für das Disaster Recovery. Dabei gibt es zwei Arten von Wiederherstellungen: autoritative und nicht-autoritative. Windows Server Backup unterstützt beide Varianten. Das Betriebssystem bietet für den Restore des Active Directory einen eigenen Modus (DSRM), in den man den DC dafür booten muss.
Über Rollen lassen sich mehrere Berechtigungen zusammenfassen und gebündelt an Konten oder Gruppen zuweisen. Azure kennt aus historischen Gründen gleich drei Rollenmodelle. Zum einen verfügt Azure Active Directory über rund 80 vordefinierte Rollen, hinzu kommen 70 für Azure-Ressourcen sowie klassische Rollen.
Admins können Anwender bei der nächsten Anmeldung zu einem Wechsel des Passworts anhalten. Während man den Status des entsprechenden Attributs in AD-Benutzer und -Computer leicht einsehen kann, ist das Vorgehen mit PowerShell etwas trickreich. Das Setzen dieser Vorgabe fällt dagegen ziemlich einfach.