Active Directory

    KrbRelayUp: Domänen-Controller gegen Angriffe auf Resource-based constrained Delegation absichern

    LDAPMicrosoft warnt davor, dass Angreifer mit einem auf GitHub allgemein zugäng­lichen Hacking-Tool bekannte Schwächen von Active Directory aus­nutzen können. KrbRelayUp erlaubt ihnen bei einer erfolg­reichen Attacke, administrative Rechte zu erlangen und beliebigen Code auf kompromittierten Geräten als SYSTEM auszu­führen.

    Authentifizierung am Active Directory mittels Zertifikat scheitert nach Mai-Update

    Active DirectoryDie kumulativen Windows-Updates im Mai 2022 beseitigten mehrere Schwach­stellen im Active Directory. Nach ihrer Instal­lation auf einem Domänen-Controller kommt es aber vor, dass sich Benutzer nicht mehr mittels Zerti­fikat an­melden können. Microsoft bietet vorerst einen Work­around, bis das Problem behoben ist.

    Mit Zertifikaten an Azure Active Directory authentifizieren

    Mit Zertifikat anmeldenDie Authenti­fizierung mittels Zerti­fikaten ist ein sicheres Ver­fahren, um die Iden­tität eines Be­nutzers zu fest­zu­stellen. Bis vor kurzem mussten man jedoch die Active Directory Feder­ation Services (AD FS) ein­setzen, um sich auf diese Weise an Azure AD zu authen­tifizieren. Dies ändert sich nun mit dem neuen Service Azure AD Certi­ficate-based Authenti­cation.

    Kennwörter in Azure AD zurücksetzen mit Self Service Passwort Reset (SSPR)

    Azure AD Self Service Passwort ResetDas Zurück­setzen von Pass­wörtern gehört zu den häufigsten Anfragen an den Helpdesk. Um diesen von solchen Aufgaben zu entlasten, kann man den Passwort-Reset via Self-Service an die User selbst delegieren. Wichtig sind dabei sichere Methoden zur Authenti­fizierung der Benutzer. Azure AD bietet mehrere solcher Verfahren.

    SSO zwischen Active Directory und der Microsoft-Cloud mit Pass-through-Authentifizierung (PTA) einrichten

    AAD Pass-through-AuthentifizierungDie Pass-through Authenti­fizierung (PTA) stellt eine Alter­native zu AD FS oder der Password-Hash-Synchro­nisation nach Azure AD dar. Ziel auch dieser Technik ist es, den Benutzern über die Authenti­fizierung am lokalen AD den Zugriff auf Cloud-Apps zu ermöglichen. Ihre Konfi­guration ist jedoch weniger auf­wändig als etwa für AD FS.

    Azure AD Connect einrichten

    AD DS und Azure AD synchronisieren mit AAD ConnectIst ein benutzerdefinierter Domänenname für die lokale Domäne im Azure AD eingetragen, können Sie Azure AD Connect in Ihrer lokalen Domäne installieren. Das Tool bietet mehrere Optionen zum Synchronisieren lokaler Konten. Dieser Beitrag demonstriert das Verfahren, bei dem auch die Passwort-Hashes übertragen werden.

    SSO für lokale Active Directory-Konten beim Zugriff auf die Microsoft-Cloud konfigurieren

    Azure AD ConnectAzure AD dient als Cloud-basierter Identitäts­speicher, der dort vorhandenen Benutzern den Zugriff auf Cloud-Dienste von Microsoft erlaubt. Das betrifft etwa den Zugang zu Office 365 oder anderen im Azure AD registrierten SaaS-Anwendungen. Wenn man die Konten nicht doppelt pflegen möchte, dann kann man sie mit dem lokalen AD synchronisieren.