Die Authentifizierung mittels Zertifikaten ist ein sicheres Verfahren, um die Identität eines Benutzers zu festzustellen. Bis vor kurzem mussten man jedoch die Active Directory Federation Services (AD FS) einsetzen, um sich auf diese Weise an Azure AD zu authentifizieren. Dies ändert sich nun mit dem neuen Service Azure AD Certificate-based Authentication.
Windows Hello kann die Benutzer mit biometrischen Verfahren wie Scannen des Gesichts oder eines Fingerabdrucks an einem einzelnen Gerät anmelden. Die Business-Version authentifiziert die Anwender hingegen im Hintergrund mittels Zertifikat gegen das (Azure) Active Directory und erfordert eine Multifaktor-Authentifizierung.
Allein in Deutschland sind derzeit noch ca. 60.000 Windows Server 2008/2008 R2 im Einsatz. Diese veralteten Systeme sind gefährlich und stellen für Ihr Unternehmen und Ihre Daten ein großes Sicherheitsrisiko dar. Am 10. Oktober 2023 endet der Support für Windows Server 2012 und Windows Server 2012 R2. Sie sollten diese oder noch ältere Software auf Ihrem Server verwenden, wird es Zeit, sich jetzt um einen geeigneten und verfügbaren IT-Partner für ein Upgrade auf Windows Server 2022 kümmern.
Wenn man einen Server mit der installierten Rolle der AD CS außer Betrieb nimmt, dann bleibt zum Schluss immer die Aufgabe, die betreffende Zertifizierungsstelle aus dem Active Directory zu entfernen. Andernfalls stört sie etwa beim Ausstellen neuer Zertifikate. Das Löschen erfolgt manuell in AD-Standorte und Dienste.
Virtuelle Smartcards sollen die Vorteile von physischen Smartcards ohne zusätzliche Hardware bieten. Sie basieren auf einem TPM und authentifizieren Benutzer wie eine physische Smartcard mit einem Zertifikat gegenüber dem Active Directory. Die User müssen bei der Anmeldung dann nur mehr eine PIN eingeben.
Einige Active Directory Certificate Services (AD CS) verwenden immer noch SHA-1 für das Signieren von Zertifikaten sowie den veralteten Cryptographic Service Provider (CSP). Für mehr Sicherheit sollte man den Hash-Algorithmus auf SHA-2 aktualisieren. Dafür benötigt man den CSP-Nachfolger Key Storage Provider (KSP).
Secure Hash Algorithm (SHA) ist ein häufig verwendetes kryptografischen Verfahren. Der ursprüngliche Standard (SHA-1) ist aber veraltet und bietet nur mehr geringen Schutz. Die meisten Web-Browser lehnen damit signierte Zertifikate ab. Daher ist es für Firmen an der Zeit, von SHA-1 auf SHA-2 umzustellen.
Die Entschlüsselung von BitLocker mit TPM + PIN erfordert physischen Zugriff auf das Gerät, wenn es hochfährt oder aus dem Ruhezustand aufwacht. Dies kann ein Hindernis für das Remote-Management sein, falls PCs dafür über Wake-on-LAN starten. Für diesen Fall hat Microsoft die BitLocker Netzwerkentsperrung entwickelt.
Wenn Firmen ältere Versionen von Windows Server ausmustern, dann steht oft der Umzug wichtiger Infrastrukturdienste an. Davon können die Active Directory Certificate Services (AD CS) betroffen sein. Der folgende Beitrag zeigt, wie man die Datenbank und die Einstellungen der AD CS auf Windows 2019 überträgt.
Ein virtuelles Netzwerk in Azure kann auf die Cloud beschränkt bleiben, muss also keine Route zum öffentlichen Internet haben. So können Sie Server in der Cloud platzieren, ohne dass diese aus dem Internet erreichbar sind. Um sich mit ihnen zu verbinden, bietet Azure den verwalteten Dienst Gateway für virtuelle Netzwerke.
Wenn Benutzer auf verschlüsselte Laufwerke nicht mehr zugreifen können, etwa weil sie das Passwort vergessen haben, dann muss man den betreffenden Datenträger über andere Mechanismen entsperren. Dazu zählen Wiederherstellungsagenten, die das Laufwerk mittels Zertifikat freischalten können.