Privileged Access Management

    Neue lokale Gruppenrichtlinie für die Sperrung des Administrators-Kontos

    Account LockoutMicrosoft führte mit dem Oktober-Update eine lokale Gruppenrichtlinie ein, die das eingebaute Admini­strator-Konto gegen Brute-Force-Angriffe schützen soll. Sie ist per Default deaktiviert, aber wenn man künftig einen neuen PC instal­liert, dann wird sie auto­matisch aktiviert. Zusätzlich setzt Microsoft auch für diesen Account die Pass­­wort­­regeln durch.

    LAPS in Windows 11: Verschlüsselung von Passwörtern, Management von DSRM-Konten

    Local Administrator Password Solution (LAPS)Die Local Administrator Password Solution (LAPS) soll verhindern, dass Unter­nehmen auf allen Rechnern das gleiche Kennwort für lokale Admin-Konten verwenden. Microsoft erweitert LAPS in Windows 11 auf DSRM-Konten von DCs, erlaubt die Ver­schlüsselung von Pass­wörtern und bietet eigene Kenn­wort­richtlinien für LAPS.

    Technisches Webinar: Die 8 größten Herausforderungen beim Netzwerk-Monitoring

    Monitoring von Datei- und OrdnerzugriffenNetzwerke werden zunehmend komplexer und somit auch anfälliger für Angriffe. Das Monitoring muss daher immer mehr Auf­gaben übernehmen. Neben der Prüfung der Verfüg­barkeit und der Perfor­mance kommt etwa auch die Analyse unge­wöhnlicher Ereignisse hinzu. Moderne Tools sollten diesen Anfor­derungen genügen.

    Best Practice: Sichere Rechner für Administratoren einrichten

    Privileged Admini­strative WorkstationMicrosoft verfolgt seit einiger Zeit das Kon­zept der Privileged Admini­strative Workstation (PAW). Es han­delt sich dabei um eine dedi­zierte (virtu­elle) Maschine, die aus­schließ­lich der System­verwaltung dient und die durch zahl­reiche strikte Vor­kehrungen gegen An­griffe ge­schützt ist. Neue Features wie Device und Credential Guard können eine PAW nur ergänzen.

    Just-In-Time Administration (JIT) in Windows Server 2016

    Just-In-Time Administration (JIT)Wenn ein admini­stratives Kon­to in die falschen Hände gerät, dann stehen bös­willigen Zeit­genossen Tür und Tor für destruktive Akti­vitäten offen. Privileged Account Manage­ment (PAM) redu­ziert diese Gefahr, indem es etwa Berech­tigungen nur tempo­rär einräumt. Microsoft bietet in Server 2016 mit Just-In-Time Admini­stration (JIT) eine eigene Lösung an.

    Admin-Aufgaben delegieren mit Just Enough Administration (JEA)

    Just Enough AdministrationGerade genug Admini­stration (Just enough Administration) ist ein Feature in Windows 10 und Server 2016, mit der sich die System­ver­waltung mittels Power­Shell fein granular dele­gieren lässt. Unab­hängig von der Gruppen­mit­glied­schaft eines Benutzers kann seine Remote-Session mit JEA auf bestimmte Cmdlets oder gar einzelne ihrer Para­meter einge­schränkt werden.

    Runas, UAC, Fast User Switching: Als Administrator mit Standardrechten arbeiten

    An Windows 8 anmeldenEs gehört zu den goldenen Regeln der Sys­tem­verwaltung, dass Admini­stratoren nicht perma­nent mit vollen Privi­legien arbeiten sollen. Für nor­male Tätigkeiten (Mail, Web, Office) reicht die Anmeldung als Standardnutzer. Die erhöhten Rech­te bleiben Situationen vorbehalten, in denen sie erforderlich sind. Windows bietet dafür mehrere Optionen.

    Verzicht auf Administrator-Rechte entschärft Sicherheitslücken

    An die 97 Prozent der kritischen Sicherheitslücken, die 2014 in Software von Microsoft auftraten, wären ungefährlich gewesen, wenn Anwender nicht mit Administrator-Rechten gearbeitet hätten. Das ergab eine Untersuchung der britischen IT-Sicherheitsfirma Avecto. Sie wertete dazu die Dokumente aus, die Microsoft jeweils an den monatlichen "Patch Tuesdays" veröffentlichte. Der Microsoft Vulnerabilities Report 2014 kann nach Angaben von Adressdaten von dieser Web-Seite von Avecto heruntergeladen werden.

    UAC-Prompt über GPO für Administratoren und User konfigurieren

    UAC PromptDie Benutzerkontensteuerung (User Account Control, UAC) irritierte bei ihrer Einführung mit Vista viele Admins, weil sie die ausdrückliche Genehmigung von allen möglichen Aktionen erzwang. Windows 7 reduzierte die Zahl der als störend empfundenen Prompts und bot feinere Einstellungsmöglichkeiten. Noch genauer als über die Systemsteuerung lässt sich die UAC über Gruppenrichtlinien konfigurieren.