Verschlüsselung

    Active Directory-Zertifikatsdienste zu SHA-2 und KSP migrieren

    Ursprüngliche Einstellungen der CAEinige Active Directory Certifi­cate Services (AD CS) ver­wenden immer noch SHA-1 für das Sig­nieren von Zerti­fikaten sowie den ver­alteten Cryp­to­graphic Service Pro­vider (CSP). Für mehr Sicher­heit sollte man den Hash-Algo­rithmus auf SHA-2 aktua­lisieren. Dafür benötigt man den CSP-Nach­folger Key Storage Provider (KSP).

    AD-Zertifikatsdienste (AD CS) von SHA-1 auf SHA-2 migrieren: Gründe und Hindernisse

    ZertifikateSecure Hash Algorithm (SHA) ist ein häufig ver­wen­detes kryp­to­grafischen Ver­fahren. Der ur­sprüng­liche Stan­dard (SHA-1) ist aber ver­altet und bietet nur mehr geringen Schutz. Die meisten Web-Browser lehnen damit sig­nierte Zerti­fikate ab. Daher ist es für Firmen an der Zeit, von SHA-1 auf SHA-2 umzu­stellen.

    BitLocker Network Unlock: PCs mit verschlüsselten Laufwerken remote verwalten

    BitLocker Recovery AgentDie Ent­schlüsselung von BitLocker mit TPM + PIN erfordert physi­schen Zugriff auf das Gerät, wenn es hoch­fährt oder aus dem Ruhe­zustand auf­wacht. Dies kann ein Hindernis für das Remote-Management sein, falls PCs dafür über Wake-on-LAN starten. Für diesen Fall hat Micro­soft die BitLocker Netz­werk­ent­sperrung ent­wickelt.

    Domain Controller mit LDAP Channel Binding und LDAP Signing absichern

    LDAPDie Ver­wendung von unver­schlüs­seltem LDAP stellt ein Risiko dar. Es ermög­licht Angreifern das Aus­nutzen einer Schwach­stelle, um erhöhte Privilegien zu erlangen. Diese lassen sich wiederum für Man-In-The-Middle-Angriffe nutzen. Admins können ihre Systeme über mehrere LDAP-Einstellungen davor schützen.

    DNS-Abfragen über HTTPS (DoH) absichern in Windows 10 / 11

    Domain Name ServiceDNS over HTTPS (DoH) ist ein Sicherheits-Feature, das die Authen­tizität des DNS-Servers gewähr­leistet und die An­fragen an diesen Dienst vor neu­gierigen Zeit­genossen ver­birgt. Microsoft hat den Support für DoH in Windows schon länger ange­kündigt, in den aktu­ellen Previews lässt es sich via GUI oder GPO konfi­gurieren.

    Sicherer Dateitransfer mit MOVEit 2021: MFA-Unterstützung, S3-Support, erweitertes REST-API

    Dateiübertragung anfordern in MOVEitProgress hat die Version von 2021 von MOVEit veröf­fentlicht. Dabei handelt es sich um eine Soft­ware für die automa­tisierte Datei­übertragung. Zu den Neuerungen gehören Multi­faktor-Authenti­fizierung im Desktop-Client, die Unter­stützung für S3-kompa­tible Speicher und der Ver­sand von HTML-Mails.

    WSUS 3.0 kann ab Oktober keine Updates mehr synchronisieren

    Windows Server Update Services (WSUS)Microsoft kündigte an, dass die Windows Server Update Services (WSUS) 3.0 SP2 ab dem 31. Oktober 2021 nicht mehr in der Lage sein werden, Patches von Micro­soft Update zu beziehen. Als Grund gibt der Her­steller an, dass die Kommu­nikation auf TLS 1.2 umge­stellt wird und WSUS 3.0 dieses Proto­koll nicht unterstütze.

    PowerShell SecretManagement: Passwörter in KeePass oder SecretStore verwalten

    Authentifizierung über Username und PasswortMicrosoft gab kürz­lich die Version 1.0 des PowerShell-Moduls Secret­Management frei. Es dient der Verwaltung von Anmelde­daten in Passwort-Managern und nutzt Konnek­toren zu diversen Vaults, darunter KeePass und Bit­Warden. Mit Secret­Store kommt ein eigener Passwort­speicher für PowerShell hinzu.

    Neu in VMware vSphere 7 Update 2: Integrierter KMS, ESXi Suspend-to-Memory, vSAN-Zugriff für normale vSphere-Cluster, Load-Balancer für Kubernetes

    VMware vSphere 7VMware wechselte mit vSphere 7 auf halb­jährliche Release-Zyklen. Die Updates be­schränken sich seitdem nicht mehr auf Bugfixes und kleinere Ver­bes­serungen, sondern bringen zahl­reiche Neuer­ungen. Das gilt auch für das aktuelle vSphere 7 U2, das wesent­liche Inno­vationen für die gesamte Platt­form enthält.

    Netlogon: Domänen-Controller verweigern Verbindung zu unsicheren Geräten

    Security-TeaserIm August 2020 wurde die Schwach­stelle CVE-2020-1472 im Netlogon Remote Protocol pub­liziert. Microsofts Patch er­zwingt ab dem 9. Februar die Kommu­nikation über einen Secure RPC. Inkom­patible Geräte können sich ab sofort nur mehr an einem DC authen­tifizieren, wenn man sie über ein GPO zulässt.

    Seiten