Per Vorein­stellung können sich alle AD-User an jedem Rechner der Domäne einloggen. Dieser Zustand dürfte in einigen Umge­bungen uner­wünscht sein, weil sich durch die Beschränkung der Anmel­dung Risiken ver­meiden lassen. Entsprechende Restrik­tionen können Admins über Gruppen­richtlinien durchsetzen.

Nach wie vor ist E-Mail das wichtigste Trans­port­mittel für schäd­liche Inhalte und Pro­gramme. Daher ist es wichtig, den uner­laubten Zugriff auf Messaging-Systeme zu unter­binden, so dass sich niemand fremder Konten bemäch­tigen kann. Außer­dem müssen die Gefahren durch aktive Inhalte einge­dämmt werden.*

Seit der Ein­führung von Single Sign On (SSO) mit vSphere 5.1 ver­bessert VMware diese Kompo­nente laufend, was auch dem Zertifikats-Manage­ment zugute kommt. Seit dem Umbau der vCenter-Archi­tektur in vSphere 6.0 sind SSO, Zerti­fikats- und Lizenz­verwaltung in den Platform Services Controller ausge­lagert.

Vergessene Kennwörter sind nach wie vor der häufigste Grund für Anrufe beim Helpdesk. Mit dem richtigen Tool lassen sich aber ein Password-Reset, das Entsperren von Konten oder Aktualisieren der persönlichen AD-Informationen an Benutzer delegieren. Gute Produkte erhöhen dabei noch die Passwort-Sicherheit.

Möchte man den unbe­fugten Zugriff auf PCs ver­hindern, wenn Benutzer ihren Arbeits­platz ver­lassen, dann hilft die zeitge­steuerte Sperre des Bild­schirms. Windows 7 benö­tigte dafür noch 4 Einstel­lungen in den Gruppen­richt­linien, ab der Version 8 ist es nur mehr eine. Unter Windows 10 1703 kommt eine weitere Option hinzu.

Benutzer­konten mit erhöhten Rechten sind ein bevorzugtes Ziel für Angreifer. Solche Accounts existieren in den meisten Firmen nicht nur für das Active Directory, sondern auch für Linux, vSphere oder kritische Anwen­dungen. Tools für das automa­tisierte Passwort-Manage­ment helfen, diese gegen Missbrauch zu schützen.

Seit Windows 8.1 hat der Task-Manager die Ange­wohn­heit, nach dem Start die Ein­gabe des Passworts oder alter­nativer Anmelde­daten zu verlangen. Dies gilt auch dann, wenn man ihn gar nicht mit erhöhten Rechten aus­führen will. Während es dafür unter Windows 8.1 eine pass­genaue Lösung gibt, muss man in Windows 10 Abstriche machen.

Es ist eine aner­kannte Best Practice, End­benutzer auf ihren PCs nicht mit admini­strativen Privi­legien auszu­statten. Wenn ein­zelne Pro­gramme oder Aktionen erhöhte Rechte erfor­dern, dann würde es aus­reichen, diese nur dafür zu gewähren. ASAP dient genau diesem Zweck und erfüllt ihn besser als runas.

Benutzer­konten mit erhöh­ten Rech­ten sind ein bevor­zugtes Ziel für Angreifer. Die meisten Firmen nutzen solche Accounts nicht nur für das Active Directory, sondern auch für Linux, vSphere oder Anwendungen. Tools für das automa­tisierte Manage­ment von privi­legierten Kon­ten helfen, ihre Zugangs­daten zu schützen.

Schreib­geschützte DCs sind pri­mär für den Ein­satz in Zweig­stellen gedacht, die über ein WAN ange­bunden sind. Sie beschleu­nigen das Logon der lokalen Benutzer und kön­nen Rep­liken der DNS-Daten­bank sowie des Global Catalog vor­halten. RODC unter­liegen aber auch einigen Eins­chrän­kungen.