Es ist nicht sonderlich praktisch, ständig ein privates und ein Firmen­telefon mit sich herum­zutragen. Daher bietet es sich an, dass Mitarbeiter mit ihren eigenen Smart­phones beispiels­weise ihre beruf­lichen E-Mails abrufen. Dies setzt jedoch eine strikte Trennung zwischen persön­lichen und Firmen­daten voraus.

Zu den Begleit­erscheinungen der Authen­tifi­zierung mit Pass­wörtern gehört, dass User diese ver­gessen. Um den Help­desk zu ent­lasten, kann man das Zurück­setzen der Kenn­wörter an die Benutzer delegieren. Specops uReset bietet einen solchen Self-Service und schützt dabei vor dem Diebstahl von Identitäten.

Phishing-Angriffe sind nach wie vor das Einfallstor Nummer 1 für Cyber­kriminelle. Der effektive Schutz dagegen erfor­dert den gezielten Abbau von Schwach­stellen, und diese sind im Regelfall: die eigenen Mitarbeiter. Sie ver­fügen zumeist über kein aus­reichend ent­wickeltes Sicherheits­bewusst­sein.*

Microsoft sieht für das Active Directory nur be­schränkte Mittel vor, um sichere Pass­wörter zu erzwingen. Der schwe­dische Her­steller Specops Software schließt diese Lücke mit Pass­word Policy, das ein Manage­ment der Benutzer­kenn­wörter über ein ausge­klügeltes Regel­werk und eine zentrale Blacklist erlaubt.

Für bestimmte Be­nutzer macht es sowohl im lokalen Active Directory als auch in Office 365 Sinn, dass sie ihr Kenn­wort nicht regel­mäßig er­neuern müssen. In der Cloud kann man aber die ent­sprechende Ein­stellung für einzelne User nicht auf der GUI ändern. Deshalb muss man auch dafür zu PowerShell greifen.

Zu den größten Ein­schränkungen von Office 365 Business gehört, dass sich Word, Excel & Co. nicht über GPOs konfi­gurieren lassen. Dadurch ent­fällt die Möglich­keit, Ein­stellungen für Makros zentral vorzu­geben. Als Behelfs­lösung kann man Group Policy Preferences nutzen, um die ent­sprechenden Registry-Schlüssel zu setzen.

Das SMB-Protokoll erweist sich immer wieder als Schwach­stelle, die Hacker für An­griffe aus­nutzen. CVE-2020-0796 ist das jüngste Bei­spiel dafür. Neben dem Ein­spielen von Patches, um akute Sicher­heits­lücken schließen, sollte man auf den Rech­nern nur die not­wen­digste SMB-Kommunikation zulassen.

Wenn ein Benutzer Probleme mit einer laufen­den Anwendung hat, dann muss der Helpdesk auf die Sitzung des Users zu­greifen können. Wenn dieser den Arbeits­platz ver­lassen hat und Sie sein Pass­wort nicht kennen, dann wird es knifflig. Diese An­leitung zeigt, wie ein Admin den Desktop trotz­dem ent­sperren kann.

MicroNova, der hiesige Distributor für die AD-Produkte von ManageEngine, veranstaltet auch in diesem Jahr wieder eine Vortrags­reihe zur Sicher­heit und effiz­ienten Verwaltung von Active Directory. Der Schwer­punkt liegt auf dem Erkennen und der Abwehr von An­griffen sowie dem Schutz privilegierter Konten.*

Schwache und leicht zu erratende Passwörter sind ein will­kommenes Ein­fallstor für Angreifer. Auch wenn Admini­stratoren über Richt­linien im Active Directory triviale Kenn­wörter aus­schließen, ist es ratsam, die Konten regel­mäßig auf Passwort­sicherheit zu prüfen. Dieser Aufgabe dient der kosten­lose Specops Password Auditor.