Admin- und Service-Konten sind ein bevorzugtes Ziel für Angreifer und sollten entsprechend abgesichert werden. Dazu gehört das Durchsetzen starker Kennwörter oder das automatische Ändern von Passwörtern für Service-Accounts. Zudem sollte man privilegierte Konten sparsam einsetzen.
Statische und dynamische Verteilergruppen gehören zur Grundausstattung von Exchange. Mit ihnen lassen sich etwa Abteilungen oder Teams abbilden. Sie dienen der Bündelung von Kontakten und vereinfachen die Erreichbarkeit der Empfänger. Manchmal möchte man aber die Mitglieder einer Gruppe vor den Benutzern verbergen.
Bei Cyberangriffen per E-Mail denken die meisten an die vielen Phishing-Versuche, mit denen jeder Benutzer laufend konfrontiert ist. Im vorliegenden Fall hackten die Angreifer aber Outlook Web App (OWA) über eine Brute-Force-Attacke und nutzten ein kompromittiertes Mail-Konto, um eine größere Transaktion auf ihr Bankkonto umzuleiten.
Mit PowerShell lassen sich praktisch alle Produkte und Komponenten der Microsoft-Plattform verwalten. Kommt jedoch eine größere Sammlung an Scripts zusammen, dann geht die Übersicht schnell verloren. Das gilt erst recht, wenn die Scripts an Benutzer delegiert und deren Berechtigungen angepasst werden sollen.
Aus bekannten Gründen ist das Arbeiten vom Home-Office ein Megatrend der letzten eineinhalb Jahre. Entsprechend schossen auch die Nutzerzahlen von Microsoft 365 und Microsoft Teams in die Höhe. Diese Entwicklung hat jedoch in vielen Firmen eine Schattenseite, nämlich ein unkontrollierten Wachstum von Teams und Channels.
Bei der Einführung von Microsoft Teams stehen Unternehmen vor der Frage, wie sie den Wildwuchs bei Teams und Channels in den Griff bekommen. Entzieht man den Benutzern das Recht, Gruppen im Azure AD anzulegen, dann können sie keine Teams mehr erstellen. Das wirkt sich aber auch auf andere M365-Dienste aus.
Als Reaktion auf die schwerwiegende Sicherheitslücke im Print-Spooler von Windows (CVE-2021-1678) veröffentlichte Microsoft einen Patch, der im kumulativen Update für August enthalten ist. Dieser führte in vielen Firmen zu Problemen beim Drucken. Der Hersteller präsentierte dafür nun Behelfslösungen.
Wenn man die Zugriffsrechte auf Verzeichnisse für viele Rechner anpassen möchte, dann lässt sich auch diese Aufgabe über die Gruppenrichtlinien erledigen. Damit spart man sich nicht nur die interaktive Konfiguration, sondern stellt auch sicher, dass die Berechtigungen künftig nicht mehr von der Vorgabe abweichen.
Microsoft meldet eine weitere Schwachstelle in Windows 10 (ab 1809). Sie erlaubt es Angreifern, die Privilegien des SYSTEM-Kontos zu erlangen. Voraussetzung ist jedoch, dass sie berechtigt sind, Code auf dem Rechner auszuführen. Ursache sind zu großzügige Berechtigungen für Dateien wie SAM oder SYSTEM.
Administratoren sind gelegentlich gezwungen, Programmen im Kontext der Konten SYSTEM oder Trusted Installer auszuführen, wenn diese Owner von Dateien und Registry-Schlüsseln sind. Nachdem die Bordmittel dafür keine einfache Möglichkeit vorsehen, übernehmen kostenlose Utilities diese Aufgabe.
Fügt man Computer oder Benutzer zu einer Sicherheitsgruppe im Active Directory hinzu, dann wirkt sich dies nicht sofort aus. Damit verbundene Berechtigungen greifen erst nach dem erneuten Anmelden eines Users oder dem Reboot des Computers. Dies lässt sich durch Erneuern der Kerberos-Tickets vermeiden.