Die primäre Funktion eines Load Balancers besteht darin, die Performance und Verfügbarkeit von Anwendungen zu erhöhen. Nach dem Aus für Microsofts Threat Management Gateway (TMG) bietet sich aber an, dessen Aufgaben an den Load Balancer zu übertragen. Dieses Webinar zeigt, wie man das Kemp Edge Security Pack dafür nutzt.
Die Pass-through Authentifizierung (PTA) stellt eine Alternative zu AD FS oder der Password-Hash-Synchronisation nach Azure AD dar. Ziel auch dieser Technik ist es, den Benutzern über die Authentifizierung am lokalen AD den Zugriff auf Cloud-Apps zu ermöglichen. Ihre Konfiguration ist jedoch weniger aufwändig als etwa für AD FS.
Die Kernfunktion eines Load Balancers besteht darin, die Performance und Verfügbarkeit von Anwendungen zu erhöhen. Nachdem er die erste Anlaufstelle für Client-Zugriffe ist, bietet es sich zudem an, ihn mit dem Schutz der Applikationen zu betrauen. Moderne Load Balancer bieten zu diesem Zweck mehrere Security-Features.
Azure AD dient als Cloud-basierter Identitätsspeicher, der dort vorhandenen Benutzern den Zugriff auf Cloud-Dienste von Microsoft erlaubt. Das betrifft etwa den Zugang zu Office 365 oder anderen im Azure AD registrierten SaaS-Anwendungen. Wenn man die Konten nicht doppelt pflegen möchte, dann kann man sie mit dem lokalen AD synchronisieren.
Credential Guard ist ein Feature von Microsofts Virtualization based Scurity (VBS). Es schirmt die im RAM zwischengespeicherten Hashes der Anmeldedaten mit Hilfe des Hypervisors gegen Angreifer ab. Es lässt sich recht einfach mittels Gruppenrichtlinien aktivieren, bringt aber Einschränkungen für einige Protokolle mit sich.
Das Primary Refresh Token dient dem Single Sign-on (SSO) auf modernen Rechnern mit Windows 10, Server 2016 oder 2019. Es hat damit eine ähnliche Aufgabe wie das Kerberos Ticket Granting Ticket (TGT) on-prem bei der Authentifizierung gegen die AD DS. Beim SSO in hybrider Struktur sieht Microsoft drei Verfahren vor.
Der Diebstahl von Identitäten ist für Angreifer der Königsweg zu den Daten eines Unternehmens. Daher sollte man über Policies starke Passwörter erzwingen. Aber auch sie können kompromittiert werden. Eine zusätzliche Absicherung erreicht man durch MFA, das zudem auch Remote-Zugriffe schützen soll.
Während der Internet Explorer per Voreinstellung die Anmeldedaten des lokalen Benutzers an interne IIS-Websites weiterreicht, muss man dieses Feature für Firefox unter Windows erst aktivieren. Dies lässt sich interaktiv über die Konfigurationsseite des Browsers oder über Gruppenrichtlinien erledigen.
Zu den Neuerungen von vSphere 6.7 zählt der Embedded Linked Mode, ein Bereitstellungsmodus für vCenter. Er ist auch in der Version 6.5 U2 verfügbar und verspricht Einsparungen bei der Anzahl von Knoten und vereinfacht Multi-Site-Setups. Dieser Beitrag erklärt die Optionen zur Verknüpfung von vCenter.
Einen sicheren Zugriff auf Cloud-Dienste von mobilen Apps aus ermöglicht eine Single-Sign-on-Funktion (SSO) von MobileIron. Nach Angaben des Herstellers handelt es sich um die erste SSO-Lösung für "native" mobile Anwendungen.
Der Administrator von Azure AD kann den Zugang zu Cloud-Applikationen wie Microsoft Dynamics pro User freischalten. Alle solcherart zugewiesenen Apps werden für die Benutzer dann über ein Web-Portal bereitgestellt. Nach der Konfiguration von Single Sign-on erfolgt die Anmeldung an der Anwendung automatisch.