Authentifizierung

    Active Directory auf inaktive Konten und schwache Passwörter prüfen mit dem kostenlosen Specops Password Auditor

    Specops Password AuditorNeben schwachen und kompro­mittierten Pass­wörtern bilden inak­tive Accounts beliebte An­griffs­punkte, um Netz­werke zu infil­trieren. Wird ein solches Konto gehackt, können An­greifer in aller Ruhe ihr Un­wesen treiben.

    PowerShell SecretManagement: Passwörter in KeePass oder SecretStore verwalten

    Authentifizierung über Username und PasswortMicrosoft gab kürz­lich die Version 1.0 des PowerShell-Moduls Secret­Management frei. Es dient der Verwaltung von Anmelde­daten in Passwort-Managern und nutzt Konnek­toren zu diversen Vaults, darunter KeePass und Bit­Warden. Mit Secret­Store kommt ein eigener Passwort­speicher für PowerShell hinzu.

    Passphrasen statt Kennwörter: Mehr Sicherheit und bessere User-Akzeptanz

    Windows-Logon mit Username und PasswortAuch wenn Microsoft regel­mäßig das Ende der Passwörter ausruft, so bleiben diese trotz ihrer Schwächen das populärste Verfahren zur Authen­tifizierung. Unter­nehmen sollten daher nur starke Kenn­wörter zulassen. Passphrasen bilden einen guten Kompromiss zwischen Sicherheit und Benutzer­freundlichkeit.*

    Technisches Webinar: Privilegierte Konten durch sichere Passwörter schützen, Kennwörter automatisch zurücksetzen, SSH-Keys regelmäßig erneuern

    Password Manager ProAdmin- und Service-Konten sind auf­grund ihrer beson­deren Zugriffs­rechte ein bevor­zugtes Ziel für Angreifer und sollten ent­sprechend abge­sichert werden. Dazu gehört das Durch­setzen starker Kenn­wörter, das auto­matische Ändern von Pass­wörtern für Service-Accounts oder das Er­neuern von SSH-Schlüsseln.

    Technisches Webinar: User im Active Directory und VPNs mit Multifaktor-Authentifizierung (MFA) absichern

    ADSelfService PlusDer Diebstahl von Iden­titäten ist für Angreifer der Königsweg zu den Daten eines Unter­nehmens. Daher sollte man über Policies starke Pass­wörter erzwingen. Aber auch sie können kompro­mittiert werden. Eine zusätz­liche Absicherung erreicht man durch MFA, das zudem auch Remote-Zugriffe schützen soll.

    Netlogon: Domänen-Controller verweigern Verbindung zu unsicheren Geräten

    Security-TeaserIm August 2020 wurde die Schwach­stelle CVE-2020-1472 im Netlogon Remote Protocol pub­liziert. Microsofts Patch er­zwingt ab dem 9. Februar die Kommu­nikation über einen Secure RPC. Inkom­patible Geräte können sich ab sofort nur mehr an einem DC authen­tifizieren, wenn man sie über ein GPO zulässt.

    BitLocker-Laufwerke automatisch entsperren über Auto-Unlock oder SID-Protector

    Bitlocker LaufwerksverschlüsselungWenn ein Rechner neben dem System-Volume über Daten­lauf­werke verfügt, die mit BitLocker ver­schlüsselt sind, dann ist es angenehm, wenn man sie nicht immer sepa­rat ent­sperren muss. Das gilt erst recht für Wechsel­daten­träger. BitLocker bietet mit Auto-Unlock und SID-Protector dafür zwei Ver­fahren.

    DKIM-Schlüssel mit OpenSSL unter WSL generieren und in DNS eintragen

    Sicherer Versand von E-MailsDomain Keys Identified Mail (DKIM) ist eine Methode zur E-Mail-Authen­tifizierung. Die für die Signierung und Über­prüfung von Nach­richten erfor­der­lichen Schlüssel lassen sich mit OpenSSL im Sub­system für Linux erzeugen. Der Public Key muss dann mittels eines TXT-Records in das DNS einge­tragen werden.

    Microsoft Authenticator erhält Funktion als Passwort-Manager

    Microsoft AuthenticatorMicrosoft erweitert seine Authen­ticator App um die Fähigkeit, Kenn­wörter für Websites und mobile Apps zu speichern. Dies soll Anwender zu kom­plexeren Pass­wörtern ermutigen, da sie sich diese dank des Passwort-Managers nicht mehr merken müssen. Vorerst setzt diese Funktion ein Microsoft-Konto vor­aus.

    Passwort-Hashes mit Azure Active Directory Connect synchronisieren

    Azure AD ConnectWenn Unter­nehmen bei einer hybriden Konfi­guration bestehend aus einem lokalem AD und Azure AD die Passwort-Hashes nicht in die Cloud über­tragen möchten, dann können sie für die Authenti­fizierung ADFS dazwischen­schalten. Ein Kompromiss wäre, nur die Kenn­wörter be­stimmter User mit AAD Connect abzu­gleichen.

    Seiten