Eine interne Zertifizierungsstelle muss manchmal aus verschiedenen Gründen ausgemustert werden, zum Beispiel durch die Umstellung auf ein neueres Betriebssystem oder nach Fusionen und Übernahmen. Dabei möchte man normalerweise die alte CA außer Betrieb nehmen, ohne die zuvor ausgestellten Zertifikate zu beeinträchtigen.
Microsoft hat eine neue Version des Windows Admin Center (WAC) freigegeben. Zu den wesentlichen Neuerungen gehören die Konfiguration von WDAC, die Konvertierung von Azure-Stack-HCI-Volumes, ein modifiziertes Setup für die Verwendung selbstsignierter Zertifikate sowie die Unterstützung von Microsoft Graph.
Eine Collaboration-Lösung wie Microsoft Teams bietet den Benutzern normalerweise genügend Spielraum, um ihre Umgebung selbst zu organisieren. Dennoch bleiben der IT einige administrative Aufgaben. Viele davon betreffen Bulk-Operationen oder wiederkehrende Tätigkeiten, die sich am besten mit PowerShell erledigen lassen.
Das Azure Active Directory unterstützt mehrere Verfahren zur Anmeldung, die ohne Passwort auskommen. Eines davon ist die Certificate-based Authentication (CBA), die aktuell als Preview vorliegt. Vor ihrer finalen Freigabe beseitigte Microsoft noch einige Einschränkungen, darunter die fehlende Unterstützung für Smartcards.
Die Authentifizierung mittels Zertifikaten ist ein sicheres Verfahren, um die Identität eines Benutzers zu festzustellen. Bis vor kurzem musste man jedoch die Active Directory Federation Services (AD FS) einsetzen, um sich auf diese Weise an Azure AD zu authentifizieren. Dies ändert sich nun mit dem neuen Service Azure AD Certificate-based Authentication.
Windows Hello kann die Benutzer mit biometrischen Verfahren wie Scannen des Gesichts oder eines Fingerabdrucks an einem einzelnen Gerät anmelden. Die Business-Version authentifiziert die Anwender hingegen im Hintergrund mittels Zertifikat gegen das (Azure) Active Directory und erfordert eine Multifaktor-Authentifizierung.
Wenn man einen Server mit der installierten Rolle der AD CS außer Betrieb nimmt, dann bleibt zum Schluss immer die Aufgabe, die betreffende Zertifizierungsstelle aus dem Active Directory zu entfernen. Andernfalls stört sie etwa beim Ausstellen neuer Zertifikate. Das Löschen erfolgt manuell in AD-Standorte und Dienste.
Virtuelle Smartcards sollen die Vorteile von physischen Smartcards ohne zusätzliche Hardware bieten. Sie basieren auf einem TPM und authentifizieren Benutzer wie eine physische Smartcard mit einem Zertifikat gegenüber dem Active Directory. Die User müssen bei der Anmeldung dann nur mehr eine PIN eingeben.
Einige Active Directory Certificate Services (AD CS) verwenden immer noch SHA-1 für das Signieren von Zertifikaten sowie den veralteten Cryptographic Service Provider (CSP). Für mehr Sicherheit sollte man den Hash-Algorithmus auf SHA-2 aktualisieren. Dafür benötigt man den CSP-Nachfolger Key Storage Provider (KSP).
Secure Hash Algorithm (SHA) ist ein häufig verwendetes kryptografischen Verfahren. Der ursprüngliche Standard (SHA-1) ist aber veraltet und bietet nur mehr geringen Schutz. Die meisten Web-Browser lehnen damit signierte Zertifikate ab. Daher ist es für Firmen an der Zeit, von SHA-1 auf SHA-2 umzustellen.
Die Entschlüsselung von BitLocker mit TPM + PIN erfordert physischen Zugriff auf das Gerät, wenn es hochfährt oder aus dem Ruhezustand aufwacht. Dies kann ein Hindernis für das Remote-Management sein, falls PCs dafür über Wake-on-LAN starten. Für diesen Fall hat Microsoft die BitLocker Netzwerkentsperrung entwickelt.