Ab und an liefert Microsoft Security-Updates aus, die zu unerwünschten Nebenwirkungen führen (Systemabstürze, instabile Anwendungen, etc.). Abhängig von den Regeln für die Synchronisierung und Genehmigung von Patches in WSUS und SCCM können Unternehmen aber dann die Korrekturen kurzfristig verpassen.
Mit dem Build 18305 von Windows 10 erweiterte Microsoft seine Virtualization based Security um ein neues Feature. Auf Application-, Credential- und Device-Guard folgt nun die Windows Sandbox. Dabei handelt es sich um eine leichtgewichtige und für Benutzer transparente VM, die beim Beenden alle Änderungen verwirft.
Die MMC-basierten Tools für das Active Directory sind primär dafür gedacht, einzelne Konten, Gruppen oder OUs interaktiv zu bearbeiten. Für Bulk-Operationen, wiederkehrende Aufgaben oder das Reporting sind sie jedoch schlecht geeignet. PowerShell ist daher das Bordmittel der Wahl, um das AD-Management zu automatisieren.
Kurz nach der erneuten Freigabe von Windows 10 1809 und Server 2019 ist nun die dazugehörige Security Baseline verfügbar. Sie enthält die von Microsoft empfohlene Sicherheitskonfiguration auf Basis von Gruppenrichtlinien. Neben den GPOs für den Import bietet sie eine umfangreiche Dokumentation.
ManageEngine veröffentlichte ein neues Tool, mit dem sich die wichtigsten Web-Browser unter Windows einheitlich verwalten und überwachen lassen. Es kann Richtlinien auf alle PCs verteilen und regeln, welche Plugins User installieren und welche URLs sie öffnen können. Eine Free Edition für bis zu 25 PCs ist kostenlos verfügbar.
Microsoft empfiehlt, die Kommunikation der Windows Server Update Services (WSUS) mit Clients und abhängigen WSUS-Servern über SSL abzusichern. Dafür müssen ein Zertifikat installiert, die IIS angepasst, die Clients via GPO auf die korrekte URL verwiesen und die MMC-Konsole konfiguriert werden.
Der DNS-Server ist mit einer der wichtigsten Bestandteile einer Active-Directory-Domain. Nur durch ihn können Computer den Domain Controller finden. Das versehentliche Löschen einer DNS-Zone hat daher unangenehme Konsequenzen. Ein solches Malheur lässt sich durch einen entsprechenden Schutz vermeiden.
Auch wenn es zahlreiche Regeln und Best Practices zur Absicherung des Active Directory gibt, so sind diese ohne ein geeignete Tools nur schwer einzuhalten und zu überwachen. Das kostenlose PingCastle übernimmt diese Aufgabe, indem es das AD auf zahlreiche Risikofaktoren prüft und detaillierte Reports erstellt.
Microsoft veröffentlicht für jedes Release von Windows 10 eine eigene Security Baseline. Es handelt sich dabei um empfohlene GPO-Einstellungen, die das OS weniger angreifbar machen. Ein ungeprüftes Ausrollen auf alle PCs ist nicht ratsam, aber die komplette Baseline empfiehlt sich zum Härten von Admin-PCs.
Im ersten Quartal 2018 veröffentlichte Microsoft einen Patch für den Credential Security Support Provider (CredSSP). Seitdem kann es beim Aufbau einer RDP-Verbindung zu einem Authentifizierungsfehler kommen. Abhilfe schafft neben dem Einspielen des Patches die CredSSP-Konfiguration via GPO.
VPNs sind immer noch die populärste Technik, um Mitarbeitern einen sicheren Remote-Zugriff auf das Firmennetzwerk zu gewähren. Sie stößt im Cloud-Zeitalter aber immer öfter an ihre Grenzen. ZPA dagegen erlaubt nicht den Zugriff auf das Netzwerk, sondern nur auf ausgewählte Anwendungen.*