Ein nach­haltiges Patch-Management ver­langt mehr als nur das regel­mäßige Ein­spielen von Updates für Windows und Office. Es muss auch Betriebs­systeme und Anwen­dungen berück­sichtigen, die nicht von Micro­soft stammen. Außer­dem sollte es in der Lage sein, dringenden Patches eine höhere Priorität einzu­räumen.

Kurz nach der erneuten Frei­gabe von Windows 10 1809 und Server 2019 ist nun die dazu­gehörige Security Baseline ver­fügbar. Sie ent­hält die von Micro­soft empfoh­lene Sicher­heits­konfi­guration auf Basis von Grup­pen­richt­linien. Neben den GPOs für den Import bietet sie eine umfang­reiche Doku­mentation.

ManageEngine veröffent­lichte ein neues Tool, mit dem sich die wichtig­sten Web-Browser unter Windows ein­heitlich ver­walten und über­wachen lassen. Es kann Richt­linien auf alle PCs ver­teilen und regeln, welche Plugins User instal­lieren und welche URLs sie öffnen können. Eine Free Edition für bis zu 25 PCs ist kosten­los verfügbar.

Unter dem Titel Bringing IT together richten Manage­Engine und die Micro­Nova AG eine ganz­tägige Veran­staltung aus, die sich um die Admini­stration des Active Directory und von hetero­genen Clients sowie um ITSM dreht. Neben mehreren Vor­trägen er­warten die Teil­nehmer auch praxis­nahe Work­shops.

Microsoft em­pfiehlt, die Kommu­nikation der Windows Server Update Services (WSUS) mit Clients und ab­hängigen WSUS-Servern über SSL abzu­sichern. Dafür müssen ein Zerti­fikat installiert, die IIS angepasst, die Clients via GPO auf die korrekte URL verwiesen und die MMC-Konsole konfiguriert werden.

Der DNS-Server ist mit einer der wichtigsten Bestand­teile einer Active-Directory-Domain. Nur durch ihn können Computer den Domain Controller finden. Das ver­sehent­liche Löschen einer DNS-Zone hat daher unange­nehme Konse­quenzen. Ein solches Malheur lässt sich durch einen ent­sprechen­den Schutz vermeiden.

Auch wenn es zahl­reiche Regeln und Best Practices zur Absicherung des Active Directory gibt, so sind diese ohne ein geeig­nete Tools nur schwer einzu­halten und zu über­wachen. Das kosten­lose PingCastle über­nimmt diese Aufgabe, in­dem es das AD auf zahl­reiche Risiko­faktoren prüft und detail­lierte Reports erstellt.

Microsoft veröffent­licht für jedes Release von Windows 10 eine eigene Security Baseline. Es handelt sich dabei um empfoh­lene GPO-Einstellungen, die das OS weniger angreif­bar machen. Ein unge­prüftes Aus­rollen auf alle PCs ist nicht ratsam, aber die komplette Baseline empfiehlt sich zum Härten von Admin-PCs.

Im ersten Quartal 2018 ver­öffent­lichte Micro­soft einen Patch für den Credential Security Support Provider (CredSSP). Seit­dem kann es beim Aufbau einer RDP-Ver­bindung zu einem Authen­tifizierungs­fehler kommen. Abhilfe schafft neben dem Ein­spielen des Patches die CredSSP-Konfigu­ration via GPO.

VPNs sind immer noch die popu­lärste Technik, um Mitar­beitern einen sicheren Remote-Zugriff auf das Firmen­netzwerk zu ge­währen. Sie stößt im Cloud-Zeitalter aber immer öfter an ihre Grenzen. ZPA dagegen erlaubt nicht den Zugriff auf das Netzwerk, sondern nur auf aus­gewählte Anwen­dungen.*