Authentifizierung

    Kontosperrung über Gruppenrichtlinien konfigurieren

    Account LockoutDie Kontosperrung ist eine etablierte Methode, um das (automatisierte) Erraten von Passwörtern zu verhindern. In zentral verwalteten Windows-Umgebungen lassen sich die insgesamt drei Einstellungen für dieses Feature mit Hilfe von GPOs steuern.

    Best Practices für die Kontosperrung (Account Lockout)

    Lokal oder an einer Domäne anmelden unter Windows 7Um das Erraten von Passwörtern zu erschweren, sieht Windows die Sperrung von Konten nach einer gewissen Zahl von ungültigen Anmelde­versuchen vor. Dieser Schutz lässt sich indes für DoS-Attacken missbrauchen. Wie sehen also die idealen Einstellungen für die Kontosperrung aus, um Kennwörter zu schützen und gleichzeitig die DoS-Gefahr zu minimieren?

    Mail-Passwörter wiederherstellen mit Mail Password Decryptor

    Praktisch alle modernen Mail-Clients erlauben das Speichern von Passwörtern, um das erneute Eintippen bei jedem Start zu vermeiden. Der Preis für diesen Komfort besteht allerdings oft darin, dass man die Kennwörter leicht vergisst. Braucht man sie für ein anderes Programm oder auf einem neuen Rechner, dann kann der kostenlose Mail Password Decryptor sie wiederherstellen.

    Passwort ändern über Remotedesktop und RD Web Access

    Kennwort ändern in RemotedesktopWenn das Kennwort für Remotedesktop-Benutzer abgelaufen ist und sie dieses nicht über den lokalen Rechner ändern können, dann bietet ihnen der Terminal-Server standardmäßig dafür keine Möglichkeit. Eine solche lässt sich am besten über RD Web Access einrichten, eine entsprechende Konfiguration von RDP verlangt dagegen Abstriche bei der Sicherheit.

    root-Passwort für vCenter Server Appliance 5.5 zurücksetzen

    vCenter Server ApplianceGrundsätzlich kann man ein Passwort für jedes System vergessen und sich auf diese Weise aussperren. Beim vCenter Server Appliance (vCSA) liegt es aber meist nicht am schlechten Gedächtnis, wenn man sich als root nicht mehr anmelden kann. Standardmäßig läuft das Passwort nämlich nach 90 Tagen ab und damit ist das Konto blockiert.

    Lock Screen und Anmeldebildschirm mit GPOs deaktivieren

    Sperrbildschirm von Windows 8.xNach dem Booten oder dem Aufwachen aus dem Standby zeigt Windows 8.x den neuen Sperr­bildschirm an. Wenn man diesen geöffnet hat, dann kann man sich anmelden oder den PC ent­sperren. Wem das zu umständlich ist oder wer keine Sperre durch den Anmelde­bildschirm möch­te, der kann dies über GPOs ändern.

    Zwei-Faktor-Authentifizierung für ein Microsoft-Konto einrichten

    Zwei-Faktor-AuthentifizierungSeit rund einem Jahr kann man sich am Microsoft-Konto nicht nur über Benutzername und Passwort, sondern zusätzlich über eine PIN anmelden. Die Zwei-Faktor-Authentifizierung ("Prüfung in zwei Schritten") unterstützt mehrere Wege, um den benötigten Code zuzustellen, und bietet auch eine Lösung für Programme, die dieses Verfahren nicht beherrschen.

    Single-Sign-on (SSO) für Terminal-Server 2012 (R2) konfigurieren

    Sign-Sign-on über den RDP-ClientAuch wenn man von einem PC, der Mitglied in einer Windows-Domäne ist, auf einen RD Session Host zugreifen möchte, dann muss man stan­dard­mäßig seine Anmeldedaten erneut eingeben. Dieses Verhalten lässt sich mit RDP-8-Clients und Windows Server 2012 (R2) wesentlich einfacher ändern als in der Vergangenheit.

    Terminal-Server-Farmen: Zertifikate an Session Hosts zuweisen

    Zertifikatsproblem: Name stimmt nicht übereinWenn man mehrere Terminal-Server zu einer Sammlung (auch "Collection" oder "Farm") zusammenfasst, dann erwartet der RDP-Client, dass man eine Verbindung mit der Farm und nicht mit einzelnen Session Hosts aufbaut. Dies führt jedoch zu Problemen mit dem Zertifikat, wenn es den Namen des Servers und nicht der Sammlung enthält. Daher sollte man auf jedem Session Host ein Zertifikat installieren, das auf die Farm ausgestellt ist. Alternativ kann man ein SAN- oder Wildcard-Zertifikat verwenden.

    Ersatz für Forefront TMG: KEMP bringt Edge Security Pack

    KEMP Technologies, ein Hersteller von Load-Balancing-Lösungen mit Schwer­punkt auf Microsoft-Server, erweitert seine LoadMaster-Systeme um Security-Funktionen. Diese sollen Forefront Threat Management Gateway, das Microsoft im letzten Jahr vom Markt nahm, als Reverse Proxy ersetzen.

    Seiten