Die aktuelle Insider-Preview im Dev-Channel enthält die Unterstützung für DNS over TLS (DoT). Bei diesem handelt es sich um ein alternatives verschlüsseltes DNS-Protokoll zu DNS over HTTPS (DoH). Es läuft ohne HTTP-Schicht direkt über einen TLS-Tunnel und fällt daher schlanker aus. Die Konfiguration erfolgt aktuell nur mit netsh.
Proton for Business ist eine SaaS-Lösung aus der Schweiz, die vier durchgängig verschlüsselte Anwendungen umfasst: E-Mail, Team-Kalender, Cloud-Speicher und VPN. Sie sollen Geschäftsdaten schützen und helfen, Compliance-Anforderungen einzuhalten. Unternehmen können auch ihre eigene Domäne nutzen und Daten von anderen Providern importieren.
Eine regelmäßige Wartung ist von zentraler Bedeutung für die Sicherheit des Active Directory. Dazu gehört das Aufspüren und Korrigieren von Konten, die kein Passwort benötigen bzw. das nie abläuft, oder von verwaisten Accounts. Eine einfache Möglichkeit dafür bietet die Kombination aus Specops Password Auditor und PowerShell.
E-Mail ist wohl das wichtigste digitale Kommunikationsmittel für Unternehmen. Es fällt daher unter diverse Compliance-Anforderungen. Anwender von Exchange Online können die Verschlüsselung von Nachrichten als Online-Dienst nutzen. Dieser ist in Azure Rights Management (Azure RMS) integriert und schützt neben Nachrichten auch die Anhänge.
Bei IT-Sicherheit denken die Wenigsten gleich an Drucker. Tatsache ist aber, dass in den meisten Unternehmen sensible Informationen an diese Geräte gelangen. Gefahr droht diesen aber nicht nur durch den Diebstahl von gedruckten Dokumenten, vielmehr sind Drucker letztlich nur Computer und somit auch Ziel für Hacker.
Eine Neuerung in Windows Server 2022 ist die Unterstützung für Quick UDP Internet Connections (QUIC). Über dieses Protokoll, das auf UDP basiert, kann etwa DNS- oder SMB-Traffic laufen. In Server 2022 und Windows 10/11 beschleunigt es Zugriffe auf File-Shares über das Internet und ersetzt zudem ein VPN.
Einige Active Directory Certificate Services (AD CS) verwenden immer noch SHA-1 für das Signieren von Zertifikaten sowie den veralteten Cryptographic Service Provider (CSP). Für mehr Sicherheit sollte man den Hash-Algorithmus auf SHA-2 aktualisieren. Dafür benötigt man den CSP-Nachfolger Key Storage Provider (KSP).
Secure Hash Algorithm (SHA) ist ein häufig verwendetes kryptografischen Verfahren. Der ursprüngliche Standard (SHA-1) ist aber veraltet und bietet nur mehr geringen Schutz. Die meisten Web-Browser lehnen damit signierte Zertifikate ab. Daher ist es für Firmen an der Zeit, von SHA-1 auf SHA-2 umzustellen.
Die Entschlüsselung von BitLocker mit TPM + PIN erfordert physischen Zugriff auf das Gerät, wenn es hochfährt oder aus dem Ruhezustand aufwacht. Dies kann ein Hindernis für das Remote-Management sein, falls PCs dafür über Wake-on-LAN starten. Für diesen Fall hat Microsoft die BitLocker Netzwerkentsperrung entwickelt.
Die Verwendung von unverschlüsseltem LDAP stellt ein Risiko dar. Es ermöglicht Angreifern das Ausnutzen einer Schwachstelle, um erhöhte Privilegien zu erlangen. Diese lassen sich wiederum für Man-In-The-Middle-Angriffe nutzen. Admins können ihre Systeme über mehrere LDAP-Einstellungen davor schützen.
DNS over HTTPS (DoH) ist ein Sicherheits-Feature, das die Authentizität des DNS-Servers gewährleistet und die Anfragen an diesen Dienst vor neugierigen Zeitgenossen verbirgt. Microsoft hat den Support für DoH in Windows schon länger angekündigt, in den aktuellen Previews lässt es sich via GUI oder GPO konfigurieren.