Zu den kritischen Enti­täten im Active Directory gehören admini­strative Gruppen. Wenn sich deren Mit­glied­schaften oder die Pass­wörter von enthaltenen Konten ändern, dann sollte die System­verwaltung davon erfahren. Daher empfiehlt es sich, für diesen Zweck die Überwachungs­funktionen für den Verzeichnis­dienst zu aktivieren.

Zu den SysInternals gehört Sysmon, das zahl­reiche Aktivi­täten des Betriebs­systems über­wacht. Daraus können sich Hin­weise auf Schad­code oder Angriffe ergeben. Die Heraus­forderung besteht darin, die rele­vanten Daten aus der Viel­zahl von Log-Einträgen zu filtern.

Windows 10 und Server 2016 enthalten neue Sicherheits­funktionen, die isolierte Umgebungen auf Basis des Hypervisors nutzen (Virtualization Based Security). Es handelt sich dabei um Application Guard, Device Guard und Credential Guard. Für die beiden letzten bietet Microsoft ein Tool, um die System­voraus­setzungen zu prüfen.

Neben E-Mail ist der Besuch von manipu­lierten oder schäd­lichen Websites das bevor­zugte Einfalls­tor für Malware. Micro­soft möchte die Angriffs­fläche für Attacken aus dem Web ver­ringern, indem es den Browser in einer iso­lierten Umgebung aus­führt. Diesem Zweck dient der mit 1709 einge­führte Application Guard.

Eine neue Sicherheit­funktion im Fall Creators Update ist der über­wachte Ordner­zugriff (Con­trolled Folder Access). Er hin­dert ver­dächtige Pro­gramme am Ändern oder An­legen von Dateien in ge­schützten Verzeich­nissen. Das Feature lässt sich zen­tral über GPO konfi­gurieren, etwa um zusätz­liche Apps zuzulassen.

Microsoft begann am 17. Oktober mit der Aus­lieferung von Windows 10 1703. Wie der Name und die von Micro­soft besonders bewor­benen Features ver­muten lassen, spricht das Update vor allem Consumer an. Aber auch für Unter­nehmen finden sich einige interes­sante Neuerungen, besonders bei Security.

Microsoft kündigte für das Fall Creators Update (Version 1709) eine weitere Änderung zum Schutz der Privat­sphäre an. Apps soll es dann per Vorein­stellung nicht mehr erlaubt sein, auf be­stimmte Geräte und Daten des Systems zuzu­greifen. Dies kann man aber schon heute per GPO zentral durch­setzen.

Um uner­wünschte Anwen­dungen zu blockieren, gibt es für das Black- und Whitelisting die Bord­mittel der Enter­prise Edition oder Tools von Dritt­anbietern. Wenn beide nicht zur Ver­fügung stehen, dann reicht es oft, einem Pro­gramm mit Fir­ewall-Regeln den Netz­zugriff zu verwehren.

Microsoft verfolgt seit einiger Zeit das Kon­zept der Privileged Admini­strative Workstation (PAW). Es han­delt sich dabei um eine dedi­zierte (virtu­elle) Maschine, die aus­schließ­lich der System­verwaltung dient und die durch zahl­reiche strikte Vor­kehrungen gegen An­griffe ge­schützt ist. Neue Features wie Device und Credential Guard können eine PAW nur ergänzen.

Desired State Configuration (DSC) ist nicht nur ein Mecha­nismus, mit dem sich eine ge­wünschte System­konfiguration auf Rechnern her­stellen lässt. Die Tech­nik kann man auch ein­setzen, um fest­zu­stellen, ob PCs von einem gewün­schten Stan­dard abweichen. Neben den Bord­mitteln ist das Modul DSCEA dabei behilf­lich.