Auch wenn es zahlreiche Regeln und Best Practices zur Absicherung des Active Directory gibt, so sind diese ohne ein geeignete Tools nur schwer einzuhalten und zu überwachen. Das kostenlose PingCastle übernimmt diese Aufgabe, indem es das AD auf zahlreiche Risikofaktoren prüft und detaillierte Reports erstellt.
Microsoft veröffentlicht für jedes Release von Windows 10 eine eigene Security Baseline. Es handelt sich dabei um empfohlene GPO-Einstellungen, die das OS weniger angreifbar machen. Ein ungeprüftes Ausrollen auf alle PCs ist nicht ratsam, aber die komplette Baseline empfiehlt sich zum Härten von Admin-PCs.
Im ersten Quartal 2018 veröffentlichte Microsoft einen Patch für den Credential Security Support Provider (CredSSP). Seitdem kann es beim Aufbau einer RDP-Verbindung zu einem Authentifizierungsfehler kommen. Abhilfe schafft neben dem Einspielen des Patches die CredSSP-Konfiguration via GPO.
VPNs sind immer noch die populärste Technik, um Mitarbeitern einen sicheren Remote-Zugriff auf das Firmennetzwerk zu gewähren. Sie stößt im Cloud-Zeitalter aber immer öfter an ihre Grenzen. ZPA dagegen erlaubt nicht den Zugriff auf das Netzwerk, sondern nur auf ausgewählte Anwendungen.*
Wie nach dem Erscheinen eines Windows-Updates üblich, veröffentlichte Microsoft nun die dazu gehörigen administrativen Vorlagen für die Gruppenrichtlinien. Mit ihnen kann man GPOs für Windows 10 1803 von PCs aus verwalten, auf denen noch ein älteres OS läuft. Verfügbar ist nun auch das neue Security Compliance Toolkit.
Hat man WSUS auf einem Server installiert und ihm die Clients per GPO oder Registry-Eintrag zugeordnet, dann empfängt er zwar schon Updates von Microsoft, aber diese gibt er nicht an die Endgeräte weiter. Dazu muss man die Updates nämlich erst freigeben. Das kann man explizit oder automatisch über Regeln tun.
Im Rahmen des Long Term Servicing Channel (LTSC) steht nach Windows Server 2016 nun mit der Version 2019 das nächste Release an. Es soll im zweiten Halbjahr 2018 erscheinen und weiter dem gleichen Lizenzmodell folgen. Neuerungen gibt es vor allem beim Management via Browser, bei Storage Spaces Direct und Containern.
Exchange 2016 nimmt standardmäßig jede Mail an akzeptierte Domains an und stellt sie an die (internen) Empfänger zu. Gibt es für einen Rezipienten keine Mailbox mit der Empfängeradresse, dann verschickt Exchange eine Unzustellbarkeitsnachricht (NDR). Dieses Verhalten kann unerwünscht sein und lässt sich ändern.
Als Reaktion auf notorische Sicherheitsprobleme hat Oracle die Ausführung von Java-Anwendungen so eingeschränkt, dass diese ohne gültiges Zertifikat nicht starten können. Wenn nötig, lassen sich jedoch Ausnahmen in einer Site-List definieren. Dieser Beitrag zeigt, wie man diese URLs zentral verwalten kann.
Microsoft Exchange erlaubt wie die meisten Mail-Systeme, dass Benutzer ihre Nachrichten mit Hilfe einer Regel automatisch an externe Adressen weiterleiten. Meistens ist es aber unerwünscht, wenn geschäftliche Informationen unkontrolliert nach außen gelangen. Daher können Admins die automatische Weiterleitung beschränken.