Authentifizierung

    Technisches Webinar: User im Active Directory und VPNs mit Multifaktor-Authentifizierung (MFA) absichern

    ADSelfService PlusDer Diebstahl von Iden­titäten ist für Angreifer der Königsweg zu den Daten eines Unter­nehmens. Daher sollte man über Policies starke Pass­wörter erzwingen. Aber auch sie können kompro­mittiert werden. Eine zusätz­liche Absicherung erreicht man durch MFA, das zudem auch Remote-Zugriffe schützen soll.

    Netlogon: Domänen-Controller verweigern Verbindung zu unsicheren Geräten

    Security-TeaserIm August 2020 wurde die Schwach­stelle CVE-2020-1472 im Netlogon Remote Protocol pub­liziert. Microsofts Patch er­zwingt ab dem 9. Februar die Kommu­nikation über einen Secure RPC. Inkom­patible Geräte können sich ab sofort nur mehr an einem DC authen­tifizieren, wenn man sie über ein GPO zulässt.

    BitLocker-Laufwerke automatisch entsperren über Auto-Unlock oder SID-Protector

    Bitlocker LaufwerksverschlüsselungWenn ein Rechner neben dem System-Volume über Daten­lauf­werke verfügt, die mit BitLocker ver­schlüsselt sind, dann ist es angenehm, wenn man sie nicht immer sepa­rat ent­sperren muss. Das gilt erst recht für Wechsel­daten­träger. BitLocker bietet mit Auto-Unlock und SID-Protector dafür zwei Ver­fahren.

    DKIM-Schlüssel mit OpenSSL unter WSL generieren und in DNS eintragen

    Sicherer Versand von E-MailsDomain Keys Identified Mail (DKIM) ist eine Methode zur E-Mail-Authen­tifizierung. Die für die Signierung und Über­prüfung von Nach­richten erfor­der­lichen Schlüssel lassen sich mit OpenSSL im Sub­system für Linux erzeugen. Der Public Key muss dann mittels eines TXT-Records in das DNS einge­tragen werden.

    Microsoft Authenticator erhält Funktion als Passwort-Manager

    Microsoft AuthenticatorMicrosoft erweitert seine Authen­ticator App um die Fähigkeit, Kenn­wörter für Websites und mobile Apps zu speichern. Dies soll Anwender zu kom­plexeren Pass­wörtern ermutigen, da sie sich diese dank des Passwort-Managers nicht mehr merken müssen. Vorerst setzt diese Funktion ein Microsoft-Konto vor­aus.

    Passwort-Hashes mit Azure Active Directory Connect synchronisieren

    Azure AD ConnectWenn Unter­nehmen bei einer hybriden Konfi­guration bestehend aus einem lokalem AD und Azure AD die Passwort-Hashes nicht in die Cloud über­tragen möchten, dann können sie für die Authenti­fizierung ADFS dazwischen­schalten. Ein Kompromiss wäre, nur die Kenn­wörter be­stimmter User mit AAD Connect abzu­gleichen.

    Sicherheitsstandards verwalten: Microsoft 365 erzwingt unerwünschte MFA-Registrierung

    Microsoft 365 MFADie Multifaktor-Authentifizierung (MFA) ist grund­sätzlich eine wichtige Sicherheits­funktion des Azure AD. Aller­dings kann es vorkommen, dass Benutzer vom System gedrängt werden, sich für MFA zu regi­strieren, selbst wenn dieses Feature nicht aktiviert ist. Das liegt dann meist an der Ein­stellung für Sicherheits­standards.

    Technisches Webinar: Passwort im Active Directory zurücksetzen, Konto entsperren, AD-Infos ändern als Self Service

    Passwort zurücksetzen als Self ServiceBenutzer sind von Online-Diensten gewohnt, dass sie Kenn­wörter bei Ver­gessen einfach zurück­setzen können. ADSelfService Plus sorgt für eine ähnliche Erfahrung in der Firmen-IT, wobei Benutzern auch andere AD-Attribute selbst ändern können. Funktionen für Admins erhöhen zudem die Sicher­heit.

    Specops Password Notification: Benutzer über das Ablaufen ihrer Active Directory-Passwörter via E-Mail benachrichtigen

    Change Windows passwordDie meisten Firmen defi­nieren eine Richt­linie, die User dazu zwingt, ihre Pass­wörter nach einer be­stimmten Zeit zu ändern. Um zu ver­hindern, dass sie damit bis zur letzten Minute warten und dann wo­möglich den Helpdesk benötigen, kann man sie recht­zeitig mit Specops Password Notifi­cation daran erinnern.

    Minimale Passwortlänge: Default Domain Policy versus Set-ADDefaultDomainPasswordPolicy

    Authentifizierung über Username und PasswortWindows 10 2004 bringt eine neue Ein­stellung für die Gruppen­richtlinien, die erlaubt, die minimale Länge von Kenn­wörtern auf einen größeren Wert als 14 zu konfi­gurieren. Dies war auch bisher schon über PowerShell möglich. Die ebenfalls neue Audit-Richtlinie meldet aber Konflikte zwischen den beiden Mecha­nismen.

    Seiten