Die Ausführung von PowerShell-Scripts lässt sich über Richt­linien ein­schränken, standard­mäßig wird sie blockiert. Während die vom Admin interaktiv gesetzte Execution Policy von jedem User aufge­hoben werden kann, ist die Konfi­guration per GPO nach­haltiger. Sicher­heit gegen bös­willige User bietet sie aber trotz­dem nicht.

Für öffentlich zugäng­liche Web­sites sind SSL-Verbin­dungen mittler­weile Standard, und Ähnliches sollte auch für Exchange gelten. Let's Encrypt betreibt eine freie CA, die Zerti­fikate nicht nur kosten­los, sondern auch weit­gehend automa­tisiert ausstellt. Diese Anleitung zeigt das Vorgehen für IIS und Exchange.

Die Blockchain-Techno­logie erobert viele Anwen­dungen jen­seits von Krypto-Währungen, durch die sie bekannt ge­worden ist. Ihr Ein­satz bietet sich beson­ders in der Logis­tik und bei Liefer­ketten an, wo global ver­teilte Partner invol­viert sind. Block­chains helfen dort, Produkte zuver­lässig bis zum Ur­sprung zurück­zu­ver­folgen.

Zertif­ikate sind zweifel­los eine kri­tische Kompo­nente der IT-Infra­struktur. Laufen sie ab, dann kann dies zum Aus­fall von Diensten führen. Wurden sie mit einem schwachen Hash-Algo­rithmus signiert, stellen sie ein Sicher­heits­risiko dar. Diese und andere Infor­ma­tionen lassen sich mit PowerShell effizient aus­lesen.

Microsoft em­pfiehlt, die Kommu­nikation der Windows Server Update Services (WSUS) mit Clients und ab­hängigen WSUS-Servern über SSL abzu­sichern. Dafür müssen ein Zerti­fikat installiert, die IIS angepasst, die Clients via GPO auf die korrekte URL verwiesen und die MMC-Konsole konfiguriert werden.

Das Über­tragen von Kon­takten aus dem glo­balen in das per­sön­liche Adress­buch kann Sinn machen, wenn diese bei schlechter Ver­bindung zum Exchange-Server lokal in Outlook ver­fügbar sein sollen. Aller­dings kann es dabei vor­kommen, dass eben impor­tierte Kon­takte sofort wieder aus Outlook ver­schwinden.

Server Core ist mittler­weile die von Micro­soft em­pfohlene Instal­lations­variante für Infra­struktur­dienste wie AD, File Services, WSUS oder Web-Server. Benötigt man für Letztere ein Zerti­fikat, dann kann man es dort nicht über die GUI-Tools direkt installieren. Diese An­leitung zeigt ein Core-taug­liches Ver­fahren.

Sämtliche vCenter-Dienste verwenden SSL für die Kommunikation miteinander und mit ESXi. Außer­dem nutzen Kompo­nenten wie der vSphere Web Client Zertifikate zur Authen­tifizierung bei vCenter SSO. Ihr Manage­ment war in der Vergan­gen­heit recht umständ­lich. VMware hat in Version 6.5 diese Kom­plexität ver­ringert.

Seit der Ein­führung von Single Sign On (SSO) mit vSphere 5.1 ver­bessert VMware diese Kompo­nente laufend, was auch dem Zertifikats-Manage­ment zugute kommt. Seit dem Umbau der vCenter-Archi­tektur in vSphere 6.0 sind SSO, Zerti­fikats- und Lizenz­verwaltung in den Platform Services Controller ausge­lagert.

Mit Key Manager Plus von ManageEngine lassen sich SSH-Schlüssel und SSL-Zertifikate zentral verwal­ten. Die Lösung wird über das Web bereit­gestellt. Dadurch lassen sich Sicher­heits­probleme und Verstöße gegen Compliance-Vorgaben vermeiden.