Hacker versuchen häufig, Netze über Angriffe auf die Benutzerauthentifizierung zu kompromittieren. Dazu gehören der Diebstahl von Passwörtern, Phishing oder das Ausnutzen schwacher Protokolle. NTLM v1 und v2 sind seit Jahren im Einsatz und heutigen Bedrohungen nicht mehr gewachsen. Admins können mit Gruppenrichtlinien seine Nutzung überwachen und blockieren.
Der Windows-Anmeldebildschirm zeigt standardmäßig einige Informationen zum aktuellen Benutzer sowie zu Konten an, deren User sich zuvor in das System eingeloggt haben. Diese kann man gezielt über mehrere Gruppenrichtlinien ausblenden. In einigen Fällen ist allerdings nicht auf Anhieb klar, was diese bewirken und wie sie mit anderen zusammenspielen.
Netzwerkexperten starren nicht den ganzen Tag auf ein Dashboard und warten, bis etwas passiert. Warnungen und Benachrichtigungen sind daher ein wichtiges Feature einer Monitoring-Lösung. Richtig eingesetzt informieren sie nicht nur präzise über Ereignisse, sondern können sogar eine Fehlerbehebung auslösen.
Windows Extended Protection erhöht die Sicherheit der Windows-Authentifizierung. Die schon länger verfügbare Erweiterung erschwert Credential Relay oder "Man in the Middle"-Angriffe auf die IIS und somit auf Exchange Server. Es verwendet dazu Channel- und Service-Binding, um zu überprüfen, ob eine Anmeldesitzung für eine bestimmte Ressource bestimmt ist.
Die Benutzerkontensteuerung (UAC) hilft bei der Zuweisung von Privilegien für administrative Aufgaben. Sie ermöglicht es Benutzern, einzelne Anwendungen mit dem Token eines Administrators auszuführen. Dabei erlaubt Windows auch die Wahl zwischen mehreren Methoden der Authentifizierung. Das UAC-Verhalten lässt sich mit Gruppenrichtlinien steuern.
Microsoft deaktiviert im nächsten Jahr zwei Technologien in Exchange Online. Dazu gehört die Basic Authentication für mehrere Protokolle, für die es bis dato noch eine Gnadenfrist gab. Hinzu kommt Remote PowerShell, das einer HTTPS-basierten Kommunikation mit einem REST-API weichen soll. Diese ist im Exchange-Modul v3 bereits umgesetzt.
Load Balancer leisten mittlerweile weit mehr als nur eine simple Lastverteilung für Applikations-Server. Zu den heute üblichen Funktionen gehören eine Web Application Firewall, Pre-Authentifizierung oder SSL-Offloading. Doch für eine Kaufentscheidung stellt sich die Frage, ob man jedes Feature braucht und dafür auch bezahlen will.
Microsoft kündigte an, das nächste Cumulative Update für Exchange 2019 nicht wie vorgesehen im zweiten Halbjahr 2022, sondern erst in der ersten Hälfte 2023 auszuliefern. Die Versionen 2013 und 2016 erhalten keine CUs mehr. Darüber hinaus deaktiviert der Hersteller Basic Authentication für ein weiteres Protokoll.
Als Reaktion auf CVE-2022-37966 änderte Microsoft mit KB5019081 das Kerberos-Protokoll, so dass es standardmäßig die Session-Tickets nicht mehr mit RC4, sondern mit AES verschlüsselt. Dies kann ausgerechnet in Umgebungen, die RC4_HMAC_MD5 bereits zentral deaktiviert haben, zu Problemen bei der Anmeldung führen.
Das kumulative Update KB5019081 beseitigt drei Schwachstellen im Kerberos- und Netlogon-Protokoll. Die Patches können erhebliche Auswirkungen haben und erfordern daher eine Überprüfung oder Anpassung des Systems. Die Änderungen lassen sich teilweise noch aufschieben, werden aber im nächsten Jahr vollständig durchgesetzt.
Die Authenticator App spielt eine zentrale Rolle bei der Multifaktor-Authentifizierung (MFA) sowie bei der passwortlosen Anmeldung am Azure AD. Microsoft ergänzte das Programm nun um Funktionen, die Nutzer gegen MFA-Angriffe schützen sollen. Diese Features lassen sich gezielt an bestimmte Gruppen zuweisen.