Neben schwachen und kompro­mittierten Pass­wörtern bilden inak­tive Accounts beliebte An­griffs­punkte, um Netz­werke zu infil­trieren. Wird ein solches Konto gehackt, können An­greifer in aller Ruhe ihr Un­wesen treiben.

Microsoft gab kürz­lich die Version 1.0 des PowerShell-Moduls Secret­Management frei. Es dient der Verwaltung von Anmelde­daten in Passwort-Managern und nutzt Konnek­toren zu diversen Vaults, darunter KeePass und Bit­Warden. Mit Secret­Store kommt ein eigener Passwort­speicher für PowerShell hinzu.

Auch wenn Microsoft regel­mäßig das Ende der Passwörter ausruft, so bleiben diese trotz ihrer Schwächen das populärste Verfahren zur Authen­tifizierung. Unter­nehmen sollten daher nur starke Kenn­wörter zulassen. Passphrasen bilden einen guten Kompromiss zwischen Sicherheit und Benutzer­freundlichkeit.*

Admin- und Service-Konten sind auf­grund ihrer beson­deren Zugriffs­rechte ein bevor­zugtes Ziel für Angreifer und sollten ent­sprechend abge­sichert werden. Dazu gehört das Durch­setzen starker Kenn­wörter, das auto­matische Ändern von Pass­wörtern für Service-Accounts oder das Er­neuern von SSH-Schlüsseln.

Der Diebstahl von Iden­titäten ist für Angreifer der Königsweg zu den Daten eines Unter­nehmens. Daher sollte man über Policies starke Pass­wörter erzwingen. Aber auch sie können kompro­mittiert werden. Eine zusätz­liche Absicherung erreicht man durch MFA, das zudem auch Remote-Zugriffe schützen soll.

Im August 2020 wurde die Schwach­stelle CVE-2020-1472 im Netlogon Remote Protocol pub­liziert. Microsofts Patch er­zwingt ab dem 9. Februar die Kommu­nikation über einen Secure RPC. Inkom­patible Geräte können sich ab sofort nur mehr an einem DC authen­tifizieren, wenn man sie über ein GPO zulässt.

Wenn ein Rechner neben dem System-Volume über Daten­lauf­werke verfügt, die mit BitLocker ver­schlüsselt sind, dann ist es angenehm, wenn man sie nicht immer sepa­rat ent­sperren muss. Das gilt erst recht für Wechsel­daten­träger. BitLocker bietet mit Auto-Unlock und SID-Protector dafür zwei Ver­fahren.

Domain Keys Identified Mail (DKIM) ist eine Methode zur E-Mail-Authen­tifizierung. Die für die Signierung und Über­prüfung von Nach­richten erfor­der­lichen Schlüssel lassen sich mit OpenSSL im Sub­system für Linux erzeugen. Der Public Key muss dann mittels eines TXT-Records in das DNS einge­tragen werden.

Microsoft erweitert seine Authen­ticator App um die Fähigkeit, Kenn­wörter für Websites und mobile Apps zu speichern. Dies soll Anwender zu kom­plexeren Pass­wörtern ermutigen, da sie sich diese dank des Passwort-Managers nicht mehr merken müssen. Vorerst setzt diese Funktion ein Microsoft-Konto vor­aus.

Wenn Unter­nehmen bei einer hybriden Konfi­guration bestehend aus einem lokalem AD und Azure AD die Passwort-Hashes nicht in die Cloud über­tragen möchten, dann können sie für die Authenti­fizierung ADFS dazwischen­schalten. Ein Kompromiss wäre, nur die Kenn­wörter be­stimmter User mit AAD Connect abzu­gleichen.