Privileged Access Management

    User Account Control (UAC): Mit PIN anmelden, Einstellungen per GPO konfigurieren

    User Account Control (Benutzerkontensteuerung)Die Benutzer­­konten­­steuerung (UAC) hilft bei der Zu­weisung von Privi­legien für admini­­strative Auf­gaben. Sie ermöglicht es Benutzern, einzelne Anwen­dungen mit dem Token eines Admini­­strators auszu­führen. Dabei erlaubt Windows auch die Wahl zwischen mehreren Methoden der Authen­tifi­zierung. Das UAC-Verhalten lässt sich mit Gruppen­richt­linien steuern.

    Neue lokale Gruppenrichtlinie für die Sperrung des Administrators-Kontos

    Account LockoutMicrosoft führte mit dem Oktober-Update eine lokale Gruppenrichtlinie ein, die das eingebaute Admini­strator-Konto gegen Brute-Force-Angriffe schützen soll. Sie ist per Default deaktiviert, aber wenn man künftig einen neuen PC instal­liert, dann wird sie auto­matisch aktiviert. Zusätzlich setzt Microsoft auch für diesen Account die Pass­­wort­­regeln durch.

    LAPS in Windows 11: Verschlüsselung von Passwörtern, Management von DSRM-Konten

    Local Administrator Password Solution (LAPS)Die Local Administrator Password Solution (LAPS) soll verhindern, dass Unter­nehmen auf allen Rechnern das gleiche Kennwort für lokale Admin-Konten verwenden. Microsoft erweitert LAPS in Windows 11 auf DSRM-Konten von DCs, erlaubt die Ver­schlüsselung von Pass­wörtern und bietet eigene Kenn­wort­richtlinien für LAPS.

    Best Practice: Sichere Rechner für Administratoren einrichten

    Privileged Admini­strative WorkstationMicrosoft verfolgt seit einiger Zeit das Kon­zept der Privileged Admini­strative Workstation (PAW). Es han­delt sich dabei um eine dedi­zierte (virtu­elle) Maschine, die aus­schließ­lich der System­verwaltung dient und die durch zahl­reiche strikte Vor­kehrungen gegen An­griffe ge­schützt ist. Neue Features wie Device und Credential Guard können eine PAW nur ergänzen.

    Just-In-Time Administration (JIT) in Windows Server 2016

    Just-In-Time Administration (JIT)Wenn ein admini­stratives Kon­to in die falschen Hände gerät, dann stehen bös­willigen Zeit­genossen Tür und Tor für destruktive Akti­vitäten offen. Privileged Account Manage­ment (PAM) redu­ziert diese Gefahr, indem es etwa Berech­tigungen nur tempo­rär einräumt. Microsoft bietet in Server 2016 mit Just-In-Time Admini­stration (JIT) eine eigene Lösung an.

    Admin-Aufgaben delegieren mit Just Enough Administration (JEA)

    Just Enough AdministrationGerade genug Admini­stration (Just enough Administration) ist ein Feature in Windows 10 und Server 2016, mit der sich die System­ver­waltung mittels Power­Shell fein granular dele­gieren lässt. Unab­hängig von der Gruppen­mit­glied­schaft eines Benutzers kann seine Remote-Session mit JEA auf bestimmte Cmdlets oder gar einzelne ihrer Para­meter einge­schränkt werden.

    Runas, UAC, Fast User Switching: Als Administrator mit Standardrechten arbeiten

    An Windows 8 anmeldenEs gehört zu den goldenen Regeln der Sys­tem­verwaltung, dass Admini­stratoren nicht perma­nent mit vollen Privi­legien arbeiten sollen. Für nor­male Tätigkeiten (Mail, Web, Office) reicht die Anmeldung als Standardnutzer. Die erhöhten Rech­te bleiben Situationen vorbehalten, in denen sie erforderlich sind. Windows bietet dafür mehrere Optionen.

    Verzicht auf Administrator-Rechte entschärft Sicherheitslücken

    An die 97 Prozent der kritischen Sicherheitslücken, die 2014 in Software von Microsoft auftraten, wären ungefährlich gewesen, wenn Anwender nicht mit Administrator-Rechten gearbeitet hätten. Das ergab eine Untersuchung der britischen IT-Sicherheitsfirma Avecto. Sie wertete dazu die Dokumente aus, die Microsoft jeweils an den monatlichen "Patch Tuesdays" veröffentlichte. Der Microsoft Vulnerabilities Report 2014 kann nach Angaben von Adressdaten von dieser Web-Seite von Avecto heruntergeladen werden.