Das kumulative Update KB5019081 beseitigt drei Schwachstellen im Kerberos- und Netlogon-Protokoll. Die Patches können erhebliche Auswirkungen haben und erfordern daher eine Überprüfung oder Anpassung des Systems. Die Änderungen lassen sich teilweise noch aufschieben, werden aber im nächsten Jahr vollständig durchgesetzt.
Das regelmäßige Ändern von Passwörtern wird allgemein nicht mehr empfohlen, auch die Security Baseline für Windows ist davon abgekommen. Trotzdem kann es in bestimmten Situationen wichtig sein, zu wissen, wie alt die Kennwörter der Benutzer sind. Mit PowerShell kann man das einfach herausfinden.
Altaro Software brachte mit VM Backup v9 sein erstes Release nach der Übernahme durch die deutsche Hornetsecurity GmbH auf den Markt. Die Software schützt nun Backups gegen Veränderungen durch Ransomware, bringt ein leistungsfähigeres Backup-Repository und aktualisiert den Plattform-Support.
Die Authenticator App spielt eine zentrale Rolle bei der Multifaktor-Authentifizierung (MFA) sowie bei der passwortlosen Anmeldung am Azure AD. Microsoft ergänzte das Programm nun um Funktionen, die Nutzer gegen MFA-Angriffe schützen sollen. Diese Features lassen sich gezielt an bestimmte Gruppen zuweisen.
Die Benutzer- und Gruppenverwaltung in Microsofts Cloud ist die Angelegenheit von Azure AD. Das Verzeichnis kennt mehrere Arten von Gruppen. Dazu gehören die Pendants von Sicherheits- und Verteilergruppen aus dem on-prem AD DS. Darüber hinaus unterstützt AAD das Erstellen von dynamischen Gruppen über Abfragen.
Die Sicherung der Domänen-Controller ist eine wichtige Vorsorge für das Disaster Recovery. Dabei gibt es zwei Arten von Wiederherstellungen: autoritative und nicht-autoritative. Windows Server Backup unterstützt beide Varianten. Das Betriebssystem bietet für den Restore des Active Directory einen eigenen Modus (DSRM), in den man den DC dafür booten muss.
Über Rollen lassen sich mehrere Berechtigungen zusammenfassen und gebündelt an Konten oder Gruppen zuweisen. Azure kennt aus historischen Gründen gleich drei Rollenmodelle. Zum einen verfügt Azure Active Directory über rund 80 vordefinierte Rollen, hinzu kommen 70 für Azure-Ressourcen sowie klassische Rollen.
Admins können Anwender bei der nächsten Anmeldung zu einem Wechsel des Passworts anhalten. Während man den Status des entsprechenden Attributs in AD-Benutzer und -Computer leicht einsehen kann, ist das Vorgehen mit PowerShell etwas trickreich. Das Setzen dieser Vorgabe fällt dagegen ziemlich einfach.
Microsoft bietet mehrere Ausführungen von Azure Active Directory an, wovon zwei kostenlos sind. Mit welcher der beiden Sie starten, hängt vom Onboarding-Verfahren ab. Anschließend kann man jederzeit auf eine kostenpflichtige Version wechseln. Mit einem Tenant sind in der Regel Azure-Abonnements verbunden.
Wenn man Tools wie die Gruppenrichtlinienverwaltung oder AD-Benutzer und -Computer öffnet, dann kann es vorkommen, dass diese die Domäne nicht finden. Verantwortlich dafür sind fast immer Netzwerkprobleme im Allgemeinen und solche mit DNS im Besonderen. Eine spezielle Rolle spielt dabei die IPv6-Konfiguration.
Die Anbindung eines lokalen Active Directory an das Azure AD ermöglicht nicht nur ein Single-Sign-on für die Nutzung von lokalen und Cloud-Ressourcen. Die Synchronisierung der beiden Verzeichnisdienste kann zudem geänderte Passwörter abgleichen und die Kennwortrichtlinien aus dem Azure AD lokal durchsetzen.