Verbindungen, die man über Enter-PSSession und Invoke-Command aufbaut, kommunizieren standardmäßig über HTTP. Allerdings verschlüsselt dabei WinRM die übertragenen Daten. Zusätzliche Sicherheit erlangt man speziell in Workgroups durch HTTPS, wobei ein selbstsignierten SSL-Zertifikat in der Regel reicht.
Während man früher Tools wie makecert.exe benötigte, um selbstsignierte Zertifikate auszustellen, kann PowerShell diese Aufgabe seit Windows 8 und Server 2012 mit New-SelfSignedCertificate übernehmen. Sie lassen sich etwa für die Client- und Server-Authentifizierung oder die Code-Signierung verwenden.
Um die Authentizität von Scripts zu gewährleisten, kann PowerShell sie mit einer Signatur versehen. Eine solche benötigen sie, wenn man Richtlinien vorgeben möchte, die nur das Ausführen vertrauenswürdiger Scripts erlauben. Das erforderliche Zertifikat kann man bei intern entwickelten Scripts über eine AD-basierte CA ausstellen.
Die Ausführung von PowerShell-Scripts lässt sich über Richtlinien einschränken, standardmäßig wird sie blockiert. Während die vom Admin interaktiv gesetzte Execution Policy von jedem User aufgehoben werden kann, ist die Konfiguration per GPO nachhaltiger. Sicherheit gegen böswillige User bietet sie aber trotzdem nicht.
Für öffentlich zugängliche Websites sind SSL-Verbindungen mittlerweile Standard, und Ähnliches sollte auch für Exchange gelten. Let's Encrypt betreibt eine freie CA, die Zertifikate nicht nur kostenlos, sondern auch weitgehend automatisiert ausstellt. Diese Anleitung zeigt das Vorgehen für IIS und Exchange.
Die Blockchain-Technologie erobert viele Anwendungen jenseits von Krypto-Währungen, durch die sie bekannt geworden ist. Ihr Einsatz bietet sich besonders in der Logistik und bei Lieferketten an, wo global verteilte Partner involviert sind. Blockchains helfen dort, Produkte zuverlässig bis zum Ursprung zurückzuverfolgen.
Zertifikate sind zweifellos eine kritische Komponente der IT-Infrastruktur. Laufen sie ab, dann kann dies zum Ausfall von Diensten führen. Wurden sie mit einem schwachen Hash-Algorithmus signiert, stellen sie ein Sicherheitsrisiko dar. Diese und andere Informationen lassen sich mit PowerShell effizient auslesen.
Microsoft empfiehlt, die Kommunikation der Windows Server Update Services (WSUS) mit Clients und abhängigen WSUS-Servern über SSL abzusichern. Dafür müssen ein Zertifikat installiert, die IIS angepasst, die Clients via GPO auf die korrekte URL verwiesen und die MMC-Konsole konfiguriert werden.
Das Übertragen von Kontakten aus dem globalen in das persönliche Adressbuch kann Sinn machen, wenn diese bei schlechter Verbindung zum Exchange-Server lokal in Outlook verfügbar sein sollen. Allerdings kann es dabei vorkommen, dass eben importierte Kontakte sofort wieder aus Outlook verschwinden.
Server Core ist mittlerweile die von Microsoft empfohlene Installationsvariante für Infrastrukturdienste wie AD, File Services, WSUS oder Web-Server. Benötigt man für Letztere ein Zertifikat, dann kann man es dort nicht über die GUI-Tools direkt installieren. Diese Anleitung zeigt ein Core-taugliches Verfahren.