Schwache oder kompromittierte Passwörter sind bekanntlich ein Einfallstor für Angreifer. Hat man herausgefunden, welche Benutzer im Active Directory dadurch bedroht sind, dann hilft PowerShell dabei, diesen Zustand abzustellen. Scripts können grundsätzliche AD-Defizite aber nicht aufheben, dazu braucht es professionelle Tools.
Microsoft Defender for Identity ist eine Cloud-Lösung, die Angriffe auf das Active Directory erkennen kann. Sie analysiert dazu den Datenverkehr und das Benutzerverhalten auf DCs und ADFS-Servern. Darüber hinaus deckt sie Schwachstellen auf und erkennt Pfade, die Angreifer für die seitliche Bewegung im Netz nutzen könnten.
Wenn IT-Systeme zum Ziel von Angriffen werden oder die Performance wichtiger Anwendungen einbricht, dann sollten Admins dies so schnell wie möglich erkennen. Lösungen für das Netzwerk-Monitoring warnen idealerweise vor solchen Ereignissen, ehe diese die Verfügbarkeit von IT-Services beeinträchtigen.
Herkömmliche Konzepte der IT-Sicherheit wollen den Schutz primär an den Grenzen zum eigenen Netzwerk gewährleisten. Innerhalb desselben gelten Dienste, Geräte und User als vertrauenswürdig. Dagegen betrachtet Zero Trust Insider und Geräte als eine potenzielle Bedrohung, die ständig beobachtet werden muss.
Microsoft veröffentlichte seine empfohlenen Einstellungen für eine sichere Konfiguration von Windows 10 21H2. Nachdem die Gruppenrichtlinien für dieses Release kaum Neuerungen brachten, ändert sich auch in der Security Baseline nur wenig. Eine der vorgeschlagenen Einstellungen lässt sich nicht per GPO konfigurieren.
VMware ist einer der Hersteller, dessen Produkte durch die kritische Sicherheitslücke in log4j besonders gefährdet sind. Dies trifft indes nicht auf das ganze Portfolio zu, ausgenommen ist beispielsweise der ESXi-Hypervisor. VMware arbeitet unter Hochdruck daran, Patches und Workarounds für anfällige Software bereitzustellen.
Das Verschlüsseln wichtiger Firmendaten und die anschließende Erpressung von Lösegeld für die Entschlüsselung gehört zu den häufigsten Cyber-Angriffen. Dafür arbeiten sich die Kriminellen oft durch mehrere Schwachstellen bis zu den kritischen Systemen vor. Das folgende Fallbeispiel zeigt, wie dies in der Praxis aussehen kann.
Die Security Baseline umfasst Einstellungen für Gruppenrichtlinien oder MDM, die Microsoft als Best Practice empfiehlt. Compliance-Richtlinien konfigurieren dagegen Regeln und Einstellungen, die Benutzer und Geräte erfüllen müssen. Mit Microsoft Intune können Firmen Compliance- und Sicherheitsrichtlinien auf ihren Endgeräten durchsetzen.
Restriktive Sicherheitseinstellungen für Endgeräte sind eine wesentliche Maßnahme im Schutz gegen Angriffe. Die unkontrollierte Installation von USB-Geräten öffnet Einfallstore für Malware und erhöht das Risiko für Datendiebstahl. Mit Microsoft Intune können Admins Endbenutzer daran hindern, USB-Peripherie auf ihren PCs zu installieren.
Windows Server 2022 und Azure Stack HCI setzen das Sicherheitskonzept Secured Core um, das nicht nur den Boot-Vorgang schützen, sondern auch Angriffe auf vitale Systemkomponenten vereiteln soll. Einige der dafür vorgesehenen Features wie HVCI oder DMA-Schutz müssen zumeist erst explizit aktiviert werden.