Active Directory

    Benutzer im Active Directory mit Power Automate for Desktop erstellen

    Power Automate for DesktopDie Bord­mittel für das AD-Management eignen sich schlecht, um Auf­gaben an tech­nisch weniger versierte User zu dele­gieren. Power Automate for Desktop bietet sich für diesen Zweck als Alter­native an. Es enthält vor­definierte Aktionen für die AD-Verwaltung. Die damit er­stellten Work­flows lassen sich weiter­geben, beispiels­­weise um User anzulegen.

    Inaktive Konten und User ohne Passwörter im AD deakivieren mit Freeware und PowerShell

    Windows-Logon mit Username und PasswortEine regel­mäßige Wartung ist von zen­traler Bedeutung für die Sicherheit des Active Directory. Dazu gehört das Aufspüren und Korrigieren von Konten, die kein Pass­wort benötigen bzw. das nie abläuft, oder von verwaisten Accounts. Eine ein­fache Möglich­keit dafür bietet die Kombi­nation aus Specops Password Auditor und PowerShell.

    Multifaktor-Authentifizierung (MFA) für Azure und Office 365 konfigurieren

    MFA mit Microsoft Authenticator AppVerwenden Nutzer zur Authentifizierung bei Azure oder Office 365 lediglich ein Passwort, dann stellt das in der Public-Cloud einen gefährlichen Angriffsvektor dar. Microsoft sieht daher für Azure AD eine sichere Anmeldung über mehrere Ver­fahren vor. Die simple und kostenlose MFA beschränkt sich auf die Authenticator App.

    KrbRelayUp: Domänen-Controller gegen Angriffe auf Resource-based constrained Delegation absichern

    LDAPMicrosoft warnt davor, dass Angreifer mit einem auf GitHub allgemein zugäng­lichen Hacking-Tool bekannte Schwächen von Active Directory aus­nutzen können. KrbRelayUp erlaubt ihnen bei einer erfolg­reichen Attacke, administrative Rechte zu erlangen und beliebigen Code auf kompromittierten Geräten als SYSTEM auszu­führen.

    Authentifizierung am Active Directory mittels Zertifikat scheitert nach Mai-Update

    Active DirectoryDie kumulativen Windows-Updates im Mai 2022 beseitigten mehrere Schwach­stellen im Active Directory. Nach ihrer Instal­lation auf einem Domänen-Controller kommt es aber vor, dass sich Benutzer nicht mehr mittels Zerti­fikat an­melden können. Microsoft bietet vorerst einen Work­around, bis das Problem behoben ist.

    Mit Zertifikaten an Azure Active Directory authentifizieren

    Mit Zertifikat anmeldenDie Authenti­fizierung mittels Zerti­fikaten ist ein sicheres Ver­fahren, um die Iden­tität eines Be­nutzers zu fest­zu­stellen. Bis vor kurzem musste man jedoch die Active Directory Feder­ation Services (AD FS) ein­setzen, um sich auf diese Weise an Azure AD zu authen­tifizieren. Dies ändert sich nun mit dem neuen Service Azure AD Certi­ficate-based Authenti­cation.

    Kennwörter in Azure AD zurücksetzen mit Self Service Passwort Reset (SSPR)

    Azure AD Self Service Passwort ResetDas Zurück­setzen von Pass­wörtern gehört zu den häufigsten Anfragen an den Helpdesk. Um diesen von solchen Aufgaben zu entlasten, kann man den Passwort-Reset via Self-Service an die User selbst delegieren. Wichtig sind dabei sichere Methoden zur Authenti­fizierung der Benutzer. Azure AD bietet mehrere solcher Verfahren.

    SSO zwischen Active Directory und der Microsoft-Cloud mit Pass-through-Authentifizierung (PTA) einrichten

    AAD Pass-through-AuthentifizierungDie Pass-through Authenti­fizierung (PTA) stellt eine Alter­native zu AD FS oder der Password-Hash-Synchro­nisation nach Azure AD dar. Ziel auch dieser Technik ist es, den Benutzern über die Authenti­fizierung am lokalen AD den Zugriff auf Cloud-Apps zu ermöglichen. Ihre Konfi­guration ist jedoch weniger auf­wändig als etwa für AD FS.