Sicherheit

    PowerShell-ExecutionPolicy setzen, Scripts signieren und ausführen

    Unsignierte Scripts werden von PowerShell nicht ausgeführtIn der Vorein­stellung ist Power­Shell kompr­omiss­los auf Sicher­heit getrimmt: Man kann generell keine Scripts ausführen, nur die Shell interaktiv benutzen. Damit soll ver­hindert werden, dass Schad­code ausge­führt und ein Computer oder Benutzer­konto dadurch kompro­mittiert wird.

    Microsoft Attack Surface Analyzer

    Ein neues Microsoft-Tool mit dem Namen Microsoft Attack Surface Analyzer soll Administratoren, Entwicklern und IT-Sicherheitsbeauftragten helfen, Systemveränderungen sichtbar zu machen, die durch die Installation von Software verursacht werden.

    Zertifikat-Richtlinien für Benutzer und Gruppen

    ZertifizierungsstelleNach der Ein­richtung einer Zertifi­zierungs­stelle ohne weitere Konfi­guration stehen zunächst alle Zertifikat­typen allen dafür geeigneten Benutzern und Computern der dafür konfigurierten OU zur Verfügung und werden auf Anfor­derung auto­matisch ausge­stellt. Für bestimmte Zertifikat­typen wie etwa Basis-EFS ist das auch sinnvoll, jedoch will man für die meisten anderen Zertifikat­typen diese Berechtigungen feiner abstufen.

    EFS-Verschlüsselung in einer Domäne verwalten

    Die ausgestellten Zertifikate lassen sich an der Konsole der Zertifizierungsstelle nachverfolgenIn einer Organisation möchte man EFS-Verschlüsselung zentral verwalten statt, wie an Stand-Alone- oder Workgroup-Rechnern, jedem Benutzer selbst die Erzeugung und Sicherung seiner Schlüssel und Zertifikate zu überlassen. So ist gewährleistet, dass auch nach einem Password-Reset, der Restaurierung des Gerätes per Image oder ähnlichen administrativen Eingriffen der Benutzer Zugriff auf seine verschlüsselten Dateien hat: Schlüssel, Zertifikate und Wie­der­her­stellungs­agenten verwaltet das Active Directory. Voraussetzung dazu ist die Einrichtung einer PKI.

    Windows Server 2008 (R2) Zertifizierungsstelle einrichten

    Active-Directory-Zertifikatdienste sind installiertWährend private oder Workgroup-Rechner für viele Zwecke, wie etwa die EFS-Verschlüsselung von Dateien, selbstgenerierte Schlüssel und selbstsignierte Zertifikate einsetzen, will man diese in einer Organisation in Form einer PKI zentral verwalten. Der erste Schritt in diese Richtung ist der Aufbau einer Zertifizierungs­stelle. Dieser beginnt mit der Installation der Active-Directory-Zertifikatdienste, einer Rolle des Windows Server 2008 R2.

    EFS-Schlüssel (Recovery Agent) sichern und wiederherstellen

    Assistent zum Speichern des EFS-Schlüssels (teaser)Wenn man seine Dateien mit dem Encrypting File System (EFS) verschlüsselt, reicht eine Kennwortrücksetzdiskette im Falle eines vergessenen Passwortes nicht aus. Vielmehr muss man auch das Zertifikat des EFS Recovery Agent sichern, um nach dem Passwort-Reset wieder an seine Daten zu gelangen.

    Windows-Passwort zurücksetzen per USB-Stick

    Erstellung einer „Kennwortrücksetzdiskette“Gegen ein vergessenes lokales Passwort hilft unter Windows 7 ein Wechseldatenträger zur Passwort-Wiederherstellung, die Kennwort­rück­setz­diskette oder „Password Reset Disk“. Die Möglichkeit gab es bereits unter Windows XP. Windows ist es bei der Erstellung dieser Disk egal, was für eine Art von Wechseldatenträger es vorfindet – Floppy-Disks, USB-Sticks, SD-Karten, alles ist recht. Die „Password Reset Disk“ wirkt auch nach einem Wechsel des Passwortes durch den Benutzer, muss danach also nicht neu erstellt werden.

    Verwendung drahtloser Netzwerke (WLAN) beschränken

    Wartung der WLAN-SicherheitsrichtlinieSich mit dem Notebook versehentlich in ein falsches WLAN einzubuchen, ist potentiell ein großes Sicherheitsrisiko.

    BitLocker To Go Reader für Windows XP und Vista

    Mit dem unter Windows 7 neuen BitLocker To Go verschlüsselte mobile Datenträger kann man auch unter den Vorgänger-Versionen von Windows verwenden. Microsoft stellt den „BitLocker To Go Reader“ zur Verfügung, um deren Inhalt auch unter Windows XP und Vista anzuzeigen und gegebenenfalls auf die Festplatte zu kopieren.

    Forefront Endpoint Protection 2010: Sicherheit als Teil des SCCM 2007

    Forefront Endpoint Protection 2010Mit Forefront Endpoint Protection 2010, dem Nachfolger von Client Security, beschreitet Microsoft neue Wege: Die Security-Software ist keine Standalone-Lösung mehr, sondern setzt auf den System Center Configuration Manager 2007 auf.

    Seiten