Auch wenn Microsoft regel­mäßig das Ende der Passwörter ausruft, so bleiben diese trotz ihrer Schwächen das populärste Verfahren zur Authen­tifizierung. Unter­nehmen sollten daher nur starke Kenn­wörter zulassen. Passphrasen bilden einen guten Kompromiss zwischen Sicherheit und Benutzer­freundlichkeit.*

Microsoft 365 nutzt Azure Active Directory (AAD) zur Verwaltung der Benutzer­konten, die Zugriff auf die Cloud-Dienste erhalten sollen. Wenn Unter­nehmen bereits ein AD on-prem betreiben, dann können sie die Accounts zwischen den Ver­zeichnissen getrennt halten oder einheitliche Iden­titäten ein­richten.

Wenn Admini­stratoren zu spät oder gar nicht erkennen, dass Systeme kompro­mittiert wurden, dann können sie den Schaden nicht recht­zeitig begrenzen. Große Firmen bauen dafür oft eigene Security Operations Center auf. Kleinere Unter­nehmen können zu diesem Zweck Managed Services oder lokale Tools nutzen.

Der Diebstahl von Iden­titäten ist für Angreifer der Königsweg zu den Daten eines Unter­nehmens. Daher sollte man über Policies starke Pass­wörter erzwingen. Aber auch sie können kompro­mittiert werden. Eine zusätz­liche Absicherung erreicht man durch MFA, das zudem auch Remote-Zugriffe schützen soll.

Im August 2020 wurde die Schwach­stelle CVE-2020-1472 im Netlogon Remote Protocol pub­liziert. Microsofts Patch er­zwingt ab dem 9. Februar die Kommu­nikation über einen Secure RPC. Inkom­patible Geräte können sich ab sofort nur mehr an einem DC authen­tifizieren, wenn man sie über ein GPO zulässt.

Die grafischen Bord­mittel von Windows sind primär für das Ver­walten von AD-Objekten aus­gelegt und nur sehr einge­schränkt geeig­net, um das Active Directory abzu­fragen. Diese Lücke füllt eine ganze Reihe von Dritt­anbietern. Ein Klassiker ist AD Info, der schon in der Free Edition sehr nützlich ist.

Wenn im Active Directory der Wert für bestimmte Attri­bute bei einer größeren Zahl von Objekten geän­dert werden soll, dann kann man diesen Vor­gang mit Power­Shell auto­matisieren. Während dies für ein­fache Werte ziem­lich unkom­pliziert ist, muss man bei Multi-valued-Attributen mehr Auf­wand be­treiben.

Von Exchange-Benutzern kommt immer wieder einmal die Anfor­derung, dass sie E-Mails an externe Em­pfänger unter einem anderen Anzeige­namen ver­schicken möchten als an solche inner­halb der Orga­nisation. Dies lässt sich on-prem und in der Microsoft-Cloud über das AD-Attribut Simple­Display­Name erreichen.

Mit Server 2008 R2 führte Microsoft den AD-Papierkorb ein, um das Wieder­herstellen von gelöschten Objekten zu verein­fachen. Standard­mäßig bleibt dieses Feature den Domänen-Admins vorbehalten. Wenn man diese Auf­gabe etwa an den Help­desk delegieren will, muss man die Berech­tigungen anpassen.

Das Manage­ment des Active Direc­tory besteht primär aus Routine­tätig­keiten. Sie ver­schlingen viel Zeit, wenn man mit den Bord­mitteln ar­beitet. Zudem führen manuelle Ein­gaben leicht zu Fehlern. Das rich­tige Tool unter­stützt die IT durch Automa­tisierung sowie Dele­gierung von Auf­gaben und ver­bessert die AD-Daten­qualität.