Verbindungen, die man über Enter-PSSession und Invoke-Command aufbaut, kommu­nizieren stan­dard­mäßig über HTTP. Aller­dings ver­schlüsselt dabei WinRM die über­tragenen Daten. Zusätz­liche Sicher­heit erlangt man speziell in Work­groups durch HTTPS, wobei ein selbst­sig­nierten SSL-Zertifikat in der Regel reicht.

Während man früher Tools wie makecert.exe benö­tigte, um selbst­signierte Zerti­fikate aus­zustellen, kann Power­Shell diese Auf­gabe seit Windows 8 und Server 2012 mit New-SelfSignedCertificate über­nehmen. Sie lassen sich etwa für die Client- und Server-Authenti­fizierung oder die Code-Signierung ver­wenden.

Um die Authen­tizität von Scripts zu gewähr­leisten, kann sie PowerShell mit einer Signatur versehen. Dies ist eine Voraus­setzung dafür, um stren­gere Richt­linien für die Aus­führung von PowerShell-Code vorzu­geben. Das erfor­derliche Zerti­fikat kann man bei intern ent­wickel­ten Scripts über eine AD-basierte CA aus­stellen.

Die Ausführung von PowerShell-Scripts lässt sich über Richt­linien ein­schränken, standard­mäßig wird sie blockiert. Während die vom Admin interaktiv gesetzte Execution Policy von jedem User aufge­hoben werden kann, ist die Konfi­guration per GPO nach­haltiger. Sicher­heit gegen bös­willige User bietet sie aber trotz­dem nicht.

Für öffentlich zugäng­liche Web­sites sind SSL-Verbin­dungen mittler­weile Standard, und Ähnliches sollte auch für Exchange gelten. Let's Encrypt betreibt eine freie CA, die Zerti­fikate nicht nur kosten­los, sondern auch weit­gehend automa­tisiert ausstellt. Diese Anleitung zeigt das Vorgehen für IIS und Exchange.

Die Blockchain-Techno­logie erobert viele Anwen­dungen jen­seits von Krypto-Währungen, durch die sie bekannt ge­worden ist. Ihr Ein­satz bietet sich beson­ders in der Logis­tik und bei Liefer­ketten an, wo global ver­teilte Partner invol­viert sind. Block­chains helfen dort, Produkte zuver­lässig bis zum Ur­sprung zurück­zu­ver­folgen.

Zertif­ikate sind zweifel­los eine kri­tische Kompo­nente der IT-Infra­struktur. Laufen sie ab, dann kann dies zum Aus­fall von Diensten führen. Wurden sie mit einem schwachen Hash-Algo­rithmus signiert, stellen sie ein Sicher­heits­risiko dar. Diese und andere Infor­ma­tionen lassen sich mit PowerShell effizient aus­lesen.

Microsoft em­pfiehlt, die Kommu­nikation der Windows Server Update Services (WSUS) mit Clients und ab­hängigen WSUS-Servern über SSL abzu­sichern. Dafür müssen ein Zerti­fikat installiert, die IIS angepasst, die Clients via GPO auf die korrekte URL verwiesen und die MMC-Konsole konfiguriert werden.

Das Über­tragen von Kon­takten aus dem glo­balen in das per­sön­liche Adress­buch kann Sinn machen, wenn diese bei schlechter Ver­bindung zum Exchange-Server lokal in Outlook ver­fügbar sein sollen. Aller­dings kann es dabei vor­kommen, dass eben impor­tierte Kon­takte sofort wieder aus Outlook ver­schwinden.

Server Core ist mittler­weile die von Micro­soft em­pfohlene Instal­lations­variante für Infra­struktur­dienste wie AD, File Services, WSUS oder Web-Server. Benötigt man für Letztere ein Zerti­fikat, dann kann man es dort nicht über die GUI-Tools direkt installieren. Diese An­leitung zeigt ein Core-taug­liches Ver­fahren.