Mit VBA-Makros lassen sich schnell und ein­fach Anwen­dungen auf Basis von Office ent­wickeln. Aller­dings werden sie oft auch zur Program­mierung von Mal­ware miss­braucht. Da­gegen kann man sich mit Hilfe von GPOs schützen. Dafür gibt es gleich mehrere Ein­stellungen für alle oder einzelne Anwendungen.

Microsoft veröffent­lichte die für März ge­planten kumu­lativen Updates für Exchange 2012 bis 2019 bereits jetzt, um damit zwei Sicher­heits­probleme (CVE-2019-0686 und CVE-2019-0724) zu beheben. Es geht dabei um Push-Benach­richtigungen und AD-Berech­tigungen für Exchange-Server, wenn Shared Permissions verwendet werden.

Windows 7 befindet sich im letzten Jahr seines offiz­iellen Lebens­zyklus. Anwender, die den Um­stieg auf Windows 10 bis Januar 2020 nicht schaffen, können noch für drei Jahre Extended Security Updates (ESU) be­ziehen. Die dafür fälligen Kosten wur­den nun bekannt. Sie be­rechnen sich nach Gerät und Edition.

Ab und an liefert Microsoft Security-Updates aus, die zu uner­wünschten Neben­wirkungen führen (System­abstürze, insta­bile Anwen­dungen, etc.). Ab­hängig von den Regeln für die Synchro­nisierung und Geneh­migung von Patches in WSUS und SCCM können Unter­nehmen aber dann die Korrek­turen kurz­fristig ver­passen.

Mit dem Build 18305 von Windows 10 erwei­terte Micro­soft seine Virtualization based Security um ein neues Feature. Auf Application-, Credential- und Device-Guard folgt nun die Windows Sandbox. Dabei han­delt es sich um eine leicht­gewichtige und für Benutzer trans­parente VM, die beim Beenden alle Änderungen ver­wirft.

Kurz nach der erneuten Frei­gabe von Windows 10 1809 und Server 2019 ist nun die dazu­gehörige Security Baseline ver­fügbar. Sie ent­hält die von Micro­soft empfoh­lene Sicher­heits­konfi­guration auf Basis von Grup­pen­richt­linien. Neben den GPOs für den Import bietet sie eine umfang­reiche Doku­mentation.

ManageEngine veröffent­lichte ein neues Tool, mit dem sich die wichtig­sten Web-Browser unter Windows ein­heitlich ver­walten und über­wachen lassen. Es kann Richt­linien auf alle PCs ver­teilen und regeln, welche Plugins User instal­lieren und welche URLs sie öffnen können. Eine Free Edition für bis zu 25 PCs ist kosten­los verfügbar.

Microsoft em­pfiehlt, die Kommu­nikation der Windows Server Update Services (WSUS) mit Clients und ab­hängigen WSUS-Servern über SSL abzu­sichern. Dafür müssen ein Zerti­fikat installiert, die IIS angepasst, die Clients via GPO auf die korrekte URL verwiesen und die MMC-Konsole konfiguriert werden.

Der DNS-Server ist mit einer der wichtigsten Bestand­teile einer Active-Directory-Domain. Nur durch ihn können Computer den Domain Controller finden. Das ver­sehent­liche Löschen einer DNS-Zone hat daher unange­nehme Konse­quenzen. Ein solches Malheur lässt sich durch einen ent­sprechen­den Schutz vermeiden.

Auch wenn es zahl­reiche Regeln und Best Practices zur Absicherung des Active Directory gibt, so sind diese ohne ein geeig­nete Tools nur schwer einzu­halten und zu über­wachen. Das kosten­lose PingCastle über­nimmt diese Aufgabe, in­dem es das AD auf zahl­reiche Risiko­faktoren prüft und detail­lierte Reports erstellt.