Mit Hilfe der Gruppenrichtlinien kann man für BitLocker zwar verschiedene Einstellungen vorgeben, aber die Verschlüsselung startet man damit nicht. Ebenso wenig erstellt man damit Protectors, ohne die BitLocker nicht aktiviert werden kann. Für diese Aufgabe bieten sich manage-bde, PowerShell oder die WMI-Klasse Win32_EncryptableVolume an.
Microsoft kündigte zwei Security-bezogene Neuerungen für Exchange an. Zum einen soll das Update H2 2023 die Extended Protection automatisch aktivieren. Dies kann je nach Umgebung zu unerwünschten Effekten führen. Zum anderen unterstützen Exchange 2016 und 2019 nun den HSTS-Standard, um die Kommunikation mit Web-Clients abzusichern.
ManageEngine hat Endpoint Central (ehemals Desktop Central) um ein Security-Modul erweitert. Dieses deckt ein weites Spektrum an sicherheitskritischen Aufgaben ab. Dieses reicht von einer zentralen Browser- und BitLocker-Verwaltung über ein Device- und Schwachstellen-Management bis zum App-Whitelisting.
Die Laufwerksverschlüsselung mit BitLocker gehört zu den unverzichtbaren Maßnahmen, um Firmen-Notebooks zu schützen. Das Feature lässt sich nicht nur über Bordmittel wie Gruppenrichtlinien oder PowerShell verwalten, sondern auch mit Intune via Cloud. Damit kann man zudem die Wiederherstellungsschlüssel im Azure AD hinterlegen.
Nachdem Microsoft die veralteten und unsicheren Versionen von Transport Layer Security (TLS) schon in anderen Produkten deaktiviert hat, kommt nun das Betriebssystem an die Reihe. Ab der nächsten Windows 11 Preview blockieren alle künftigen Releases TLS 1.0 und TLS 1.1. Wenn notwendig, kann man diese Versionen vorerst noch reaktivieren.
VMware gab die Tech Preview 2023 von VMware Workstation frei. Zu den wesentlichen Neuerungen gehört eine bessere Verschlüsselung von virtuellen Maschinen, der vereinfachte Transfer von vTPM-Daten bei der Migration von VMs sowie der programmatische Zugriff mittels vmrun.exe und REST-API auf verschlüsselte VMs.
Azure Virtual Desktop (AVD) schützt Confidential Virtual Machines (CVMs) durch die Verschlüsselung des virtuellen Laufwerks, einen abgesicherten Boot-Vorgang (Trusted Launch) und Hardware-basierte Verschlüsselung des Arbeitsspeichers. Zudem können Benutzer nun mittels Private Link über Microsofts Backbone-Netzwerk auf virtuelle Desktops zugreifen.
Beim Aufbau einer Verbindung über eine .rdp-Datei zeigt der Remotedesktop-Client in vielen Fällen eine Meldung an, welche vor der fehlenden Vertrauenswürdigkeit des Herausgebers warnt. Um diese zu vermeiden, muss man die RDP-Datei mit einem gültigen Zertifikat signieren. Zum Lieferumfang von Windows gehört das dafür nötige Tool.
BitLocker stellt im Zusammenspiel mit einem Trusted Platform Module (TPM) sicher, dass die Konfiguration eines PCs seit dem Start der Verschlüsselung nicht verändert wurde. Für diesen Zweck speichert es mehrere Systemparameter in den PCR des TPM. Diese Konfiguration ist ausschlaggebend dafür, wie leicht BitLocker den Recovery Mode auslöst.
Ab der Insider Preview Build 25381 verlangt Windows 11 standardmäßig bei allen Verbindungen zu anderen Geräten eine SMB-Signierung. Microsoft will mit dieser Voreinstellung das Sicherheitsniveau von SMB erhöhen. Vorerst betrifft dieser Default nur die Enterprise Edition, aber andere Editionen und Windows Server sollen demnächst folgen.
Wenn ein Script unter einem bestimmten User ausgeführt werden soll, dann ist es oft nicht praktikabel, die dafür benötigten Anmeldedaten interaktiv einzugeben. Daher bietet PowerShell die Möglichkeit, Passwörter in einer Datei zu speichern und bei Bedarf in ein PSCredential-Objekt zu importieren. Als Speicher bietet sich alternativ ein Secret Store an.