Das Azure Active Directory unterstützt mehrere Verfahren zur Anmeldung, die ohne Passwort auskommen. Eines davon ist die Certificate-based Authentication (CBA), die aktuell als Preview vorliegt. Vor ihrer finalen Freigabe beseitigte Microsoft noch einige Einschränkungen, darunter die fehlende Unterstützung für Smartcards.
Die Authentifizierung mittels Zertifikaten ist ein sicheres Verfahren, um die Identität eines Benutzers zu festzustellen. Bis vor kurzem musste man jedoch die Active Directory Federation Services (AD FS) einsetzen, um sich auf diese Weise an Azure AD zu authentifizieren. Dies ändert sich nun mit dem neuen Service Azure AD Certificate-based Authentication.
Schwache oder kompromittierte Passwörter sind bekanntlich ein Einfallstor für Angreifer. Hat man herausgefunden, welche Benutzer im Active Directory dadurch bedroht sind, dann hilft PowerShell dabei, diesen Zustand abzustellen. Scripts können grundsätzliche AD-Defizite aber nicht aufheben, dazu braucht es professionelle Tools.
Windows Hello kann die Benutzer mit biometrischen Verfahren wie Scannen des Gesichts oder eines Fingerabdrucks an einem einzelnen Gerät anmelden. Die Business-Version authentifiziert die Anwender hingegen im Hintergrund mittels Zertifikat gegen das (Azure) Active Directory und erfordert eine Multifaktor-Authentifizierung.
Wenn man einen Server mit der installierten Rolle der AD CS außer Betrieb nimmt, dann bleibt zum Schluss immer die Aufgabe, die betreffende Zertifizierungsstelle aus dem Active Directory zu entfernen. Andernfalls stört sie etwa beim Ausstellen neuer Zertifikate. Das Löschen erfolgt manuell in AD-Standorte und Dienste.
Virtuelle Smartcards sollen die Vorteile von physischen Smartcards ohne zusätzliche Hardware bieten. Sie basieren auf einem TPM und authentifizieren Benutzer wie eine physische Smartcard mit einem Zertifikat gegenüber dem Active Directory. Die User müssen bei der Anmeldung dann nur mehr eine PIN eingeben.
Einige Active Directory Certificate Services (AD CS) verwenden immer noch SHA-1 für das Signieren von Zertifikaten sowie den veralteten Cryptographic Service Provider (CSP). Für mehr Sicherheit sollte man den Hash-Algorithmus auf SHA-2 aktualisieren. Dafür benötigt man den CSP-Nachfolger Key Storage Provider (KSP).
Secure Hash Algorithm (SHA) ist ein häufig verwendetes kryptografischen Verfahren. Der ursprüngliche Standard (SHA-1) ist aber veraltet und bietet nur mehr geringen Schutz. Die meisten Web-Browser lehnen damit signierte Zertifikate ab. Daher ist es für Firmen an der Zeit, von SHA-1 auf SHA-2 umzustellen.
Die Entschlüsselung von BitLocker mit TPM + PIN erfordert physischen Zugriff auf das Gerät, wenn es hochfährt oder aus dem Ruhezustand aufwacht. Dies kann ein Hindernis für das Remote-Management sein, falls PCs dafür über Wake-on-LAN starten. Für diesen Fall hat Microsoft die BitLocker Netzwerkentsperrung entwickelt.
Wenn Firmen ältere Versionen von Windows Server ausmustern, dann steht oft der Umzug wichtiger Infrastrukturdienste an. Davon können die Active Directory Certificate Services (AD CS) betroffen sein. Der folgende Beitrag zeigt, wie man die Datenbank und die Einstellungen der AD CS auf Windows 2019 überträgt.
Ein virtuelles Netzwerk in Azure kann auf die Cloud beschränkt bleiben, muss also keine Route zum öffentlichen Internet haben. So können Sie Server in der Cloud platzieren, ohne dass diese aus dem Internet erreichbar sind. Um sich mit ihnen zu verbinden, bietet Azure den verwalteten Dienst Gateway für virtuelle Netzwerke.