Windows Virtual PC ist die in Windows 7 enthaltene Ausführung von Virtual PC und der Nachfolger der Version 2007. Sie bringt eine Reihe neuer Funktionen, die gemessen an Produkten anderer Hersteller nicht gerade sensationell sind, aber im Vergleich zu VPC 2007 einen erheblichen Fortschritt bedeuten. Zu den Neuerungen gehört auch die engere Integration in das Betriebssystem, die allerdings verschleiert, welche Dateien an welchem Ort für eine VM zuständig sind.

Sobald man die Rolle Zertifikatdienste auf einem Windows-Server installiert hat, stehen vorinstallierte Standard-Zertifikatvorlagen zur Verfügung, auf denen basierend die Clients Zertifikate anfordern können. Diese decken typische Szenarien ab, Administratoren haben jedoch oft differenziertere Anforderungen an die Vorlagen. Dann modifiziert man die Vorlagen oder erstellt auf ihrer Basis neue für die Organisation.

Die Unterstützung für Da­ten­aus­füh­rungs­ver­hin­de­rung (Data Execution Prevention, DEP) hat Microsoft mit Windows XP SP2 beziehungsweise Windows Server 2003 SP1 eingeführt. Seitdem ist sie bei allen Windows-Versionen dabei. Es handelt sich um eine Technik zur Vermeidung schädlicher Auswirkungen von Buffer Overflows, bei denen Daten als Code ausgeführt und auf diese Weise potentiell Schadcode gestartet werden könnte.

Die Arbeit mit einer gut gestalteten GUI in Kommandozeilenwerkzeugen abzubilden ist nicht einfach, das Ergebnis wird oft trotzdem als unkomfortabel empfunden. Anders ist es bei immer wiederkehrenden Aufgaben, wie etwa der Erstellung und Verteilung von Computer-Zertifikaten innerhalb einer Arbeitsgruppe. Hier muss man ersteres ohnehin per Kommandozeile erledigen – da spart es Zeit und Nerven, auch die Verwaltung der Zertifikate per certutil.exe zu regeln.

In einer Domäne ist IPSec – dank der zentralen Verwaltung und Anwendung der dazu gehörenden Richtlinien per Gruppenrichtlinien – schnell und vergleichsweise unkompliziert implementiert.

Es gibt Fälle, bei denen sich der Arbeits-PC und sein Benutzerkonto nicht innerhalb einer PKI befinden, man aber dennoch gültige Zertifikate einer anerkannten Zertifizierungsstelle benötigt. Beispiele dafür sind etwa freiberufliche Entwickler, die zum Zwecke der Codesignatur oder des Testbetriebs von Web-Servern weder eine Domäne aufsetzen noch Zertifikate teuer erwerben wollen.

Die Klartext-Übertragung sensibler Daten will man im lokalen Netzwerk nicht haben, da ein beliebiger Netzwerk-Sniffer ausreicht, um die mitzulesen. Eine Strategie dagegen kann sein, auf sichere Protokolle umzusteigen, etwa im Intranet nur noch HTTPS statt HTTP zu verwenden. Wenn das mit den vorhandenen Anwendungen nicht möglich ist, bietet sich an, den gesamten Datenverkehr mit IPSec auf der Vermittlungsschicht (internet layer) des TCP/IP-Protokollstapels zu verschlüsseln.

Nach der Ein­richtung einer Zertifi­zierungs­stelle ohne weitere Konfi­guration stehen zunächst alle Zertifikat­typen allen dafür geeigneten Benutzern und Computern der dafür konfigurierten OU zur Verfügung und werden auf Anfor­derung auto­matisch ausge­stellt. Für bestimmte Zertifikat­typen wie etwa Basis-EFS ist das auch sinnvoll, jedoch will man für die meisten anderen Zertifikat­typen diese Berechtigungen feiner abstufen.