Eine interne Zertifizierungsstelle muss manchmal aus verschiedenen Gründen ausgemustert werden, zum Beispiel durch die Umstellung auf ein neueres Betriebssystem oder nach Fusionen und Übernahmen. Dabei möchte man normalerweise die alte CA außer Betrieb nehmen, ohne die zuvor ausgestellten Zertifikate zu beeinträchtigen.
Wenn sich im Active Dirctory die Mitglieder von privilegierten Gruppen ändern, dann sollte gewährleistet sein, dass es sich dabei um eine legitime Aktion handelt. Ähnliches gilt beim Zugriff auf Verzeichnisse eines File-Servers, der sensible Informationen enthält. Die Windows-Bordmittel bieten dafür einige Basisfunktionen.
ManageEngine hat Endpoint Central (ehemals Desktop Central) um ein Security-Modul erweitert. Dieses deckt ein weites Spektrum an sicherheitskritischen Aufgaben ab. Dieses reicht von einer zentralen Browser- und BitLocker-Verwaltung über ein Device- und Schwachstellen-Management bis zum App-Whitelisting.
Ein Hybrid Join in einem lokalen Active Directory und Azure AD ist die Voraussetzung, um Geräte im M365 Endpoint Management (Intune) zu verwalten. Die Registrierung in Intune lässt sich dann für eine Richtlinie von Conditional Access nutzen, um nur solchen Clients den Zugriff auf M365-Dienste zu erlauben, die über das Online-Tool verwaltet werden.
Viele Unternehmen stellen Websites und andere Ressourcen für externe und interne Clients bereit. In der Vergangenheit haben sie dafür oft getrennte DNS-Server aufgesetzt. Microsofts Split-Brain-DNS-Deployment von Active Directory-integrierten Zonen vermeidet solche Redundanzen. Die Einrichtung der DNS-Richtlinien erfolgt mittels PowerShell.
Nachdem DES schon lange als unsicher gilt, beschleunigt CVE-2022-37966 nun den Abschied von RC4 für die Verschlüsselung von Kerberos-Tickets. Wenn man Konten keinen Algorithmus zugewiesen hat, dann kommt künftig AES zum Einsatz. Welche Accounts durch eine schwache Verschlüsselung gefährdet sind, kann man mit PowerShell ermitteln.
Das Attribut UserAccountControl im Active Directory enthält mehrere kritische Kontoeinstellungen. Das betrifft etwa das Ablaufdatum von Passwörtern oder die Delegierung. Ein AD-Audit sollte dieses Attribut regelmäßig prüfen. Das lässt sich mit PowerShell erledigen, und für das Ändern der Flags gibt es ein eigenes Cmdlet.
Wie beim Management des lokalen Active Directory sind die GUI-Tools zwar komfortabel, aber beispielsweise für Bulk-Operationen ineffizient. Die Alternative unter den Bordmitteln ist auch hier PowerShell. Microsoft bietet dafür ein Modul an, das alle Anforderungen beim Management von Gruppen und Benutzern erfüllt.
Als Reaktion auf CVE-2022-37966 änderte Microsoft mit KB5019081 das Kerberos-Protokoll, so dass es standardmäßig die Session-Tickets nicht mehr mit RC4, sondern mit AES verschlüsselt. Dies kann ausgerechnet in Umgebungen, die RC4_HMAC_MD5 bereits zentral deaktiviert haben, zu Problemen bei der Anmeldung führen.
Das kumulative Update KB5019081 beseitigt drei Schwachstellen im Kerberos- und Netlogon-Protokoll. Die Patches können erhebliche Auswirkungen haben und erfordern daher eine Überprüfung oder Anpassung des Systems. Die Änderungen lassen sich teilweise noch aufschieben, werden aber im nächsten Jahr vollständig durchgesetzt.
Das regelmäßige Ändern von Passwörtern wird allgemein nicht mehr empfohlen, auch die Security Baseline für Windows ist davon abgekommen. Trotzdem kann es in bestimmten Situationen wichtig sein, zu wissen, wie alt die Kennwörter der Benutzer sind. Mit PowerShell kann man das einfach herausfinden.