Neben schwachen und kompromittierten Passwörtern bilden inaktive Accounts beliebte Angriffspunkte, um Netzwerke zu infiltrieren. Wird ein solches Konto gehackt, können Angreifer in aller Ruhe ihr Unwesen treiben. Admins sollten daher das Active Directory regelmäßig mit geeigneten Tools auf solche Schwachpunkte prüfen.*
Fügt man Computer oder Benutzer zu einer Sicherheitsgruppe im Active Directory hinzu, dann wirkt sich dies nicht sofort aus. Damit verbundene Berechtigungen greifen erst nach dem erneuten Anmelden eines Users oder dem Reboot des Computers. Dies lässt sich durch Erneuern der Kerberos-Tickets vermeiden.
Zu den wiederkehrenden Tätigkeiten eines vSphere-Administrators gehören das Erstellen, Starten und Stoppen von virtuellen Maschinen, das Erzeugen von Snapshots, das Ändern der VM-Einstellungen oder das Management von ESXi-Hosts. All diese Aufgaben lassen sich mit den Cmdlets von PowerCLI automatisieren.
Failover-Cluster spricht man normalerweise nicht über seine Knoten an, sondern über das CNO im Active Directory. Es verfügt auch über einen DNS-Eintrag, der stets dem Owner-Node zugeordnet ist. Das CNO kann man bereits vor dem Cluster erstellen, die DNS-Konfiguration ist oft Ursache für Verbindungsprobleme.
Auch wenn Microsoft regelmäßig das Ende der Passwörter ausruft, so bleiben diese trotz ihrer Schwächen das populärste Verfahren zur Authentifizierung. Unternehmen sollten daher nur starke Kennwörter zulassen. Passphrasen bilden einen guten Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit.*
Microsoft 365 nutzt Azure Active Directory (AAD) zur Verwaltung der Benutzerkonten, die Zugriff auf die Cloud-Dienste erhalten sollen. Wenn Unternehmen bereits ein AD on-prem betreiben, dann können sie die Accounts zwischen den Verzeichnissen getrennt halten oder einheitliche Identitäten einrichten.
Wenn Administratoren zu spät oder gar nicht erkennen, dass Systeme kompromittiert wurden, dann können sie den Schaden nicht rechtzeitig begrenzen. Große Firmen bauen dafür oft eigene Security Operations Center auf. Kleinere Unternehmen können zu diesem Zweck Managed Services oder lokale Tools nutzen.
Der Diebstahl von Identitäten ist für Angreifer der Königsweg zu den Daten eines Unternehmens. Daher sollte man über Policies starke Passwörter erzwingen. Aber auch sie können kompromittiert werden. Eine zusätzliche Absicherung erreicht man durch MFA, das zudem auch Remote-Zugriffe schützen soll.
Im August 2020 wurde die Schwachstelle CVE-2020-1472 im Netlogon Remote Protocol publiziert. Microsofts Patch erzwingt ab dem 9. Februar die Kommunikation über einen Secure RPC. Inkompatible Geräte können sich ab sofort nur mehr an einem DC authentifizieren, wenn man sie über ein GPO zulässt.
Die grafischen Bordmittel von Windows sind primär für das Verwalten von AD-Objekten ausgelegt und nur sehr eingeschränkt geeignet, um das Active Directory abzufragen. Diese Lücke füllt eine ganze Reihe von Drittanbietern. Ein Klassiker ist AD Info, der schon in der Free Edition sehr nützlich ist.
Wenn im Active Directory der Wert für bestimmte Attribute bei einer größeren Zahl von Objekten geändert werden soll, dann kann man diesen Vorgang mit PowerShell automatisieren. Während dies für einfache Werte ziemlich unkompliziert ist, muss man bei Multi-valued-Attributen mehr Aufwand betreiben.