Auf modernen Rechnern ist BitLocker standardmäßig so konfiguriert, dass das TPM alleine den Volume Master Key (VMK) freigibt. Fällt ein Notebook jedoch in die falschen Hände, dann ist der VMK damit nicht ausreichend geschützt. Daher empfiehlt Microsoft eine Zwei-Faktor-Authenti­fizierung durch eine zusätzliche PIN oder einen Startup-Key.

Alle modernen Web-Browser bieten die Möglich­­keit, die Zugangs­daten zu Websites zu speichern und bei der erneuten Anmeldung auto­matisch einzufügen. Dies kann aus Sicher­­heits­­gründen jedoch uner­­wünscht sein. Bei Chrome, Edge und Firefox kann man dieses Feature mit Gruppen­­richt­­linien ent­schärfen oder deaktivieren.

Da es sich beim Active Directory um eine kritische Kompo­nente der IT-Infrastruktur handelt, ist es geboten, dieses laufend auf Abwei­chungen von einer wünschens­werten Konfi­guration und auf Schwach­stellen zu prüfen. Wenn man dafür keine kommer­zielle Lösung an­schaffen will, kann man auch bewährte PowerShell-Scripts zurück­greifen.

Die Verschlüsselung von Laufwerken ist besonders bei Notebooks ein wesentlicher Sicherheitsfaktor. Wenn man BitLocker über die Bordmittel aktiviert, dann liefern diese keinen Report über den Ver­schlüs­selungs­­status der ganzen Umgebung. Inaktiven BitLocker-Schutz kann man mit dem Dienst­programm manage-bcd und PowerShell erkennen.

User, die einen Computer zu einer AD-Domäne hinzufügen, sind automatisch Besitzer des ent­sprechenden AD-Objekts. Wenn Standard­benutzer das Recht zum Domain Join besitzen, dann ist aus Sicherheits­gründen geboten, die Besitzer der Computer-Objekte nachträglich zu ändern. Das geht über die ADUC-GUI oder per PowerShell.

Microsofts neuester Paket-Manager ist in den aktuellen Versionen von Windows 10 und 11 bereits enthalten. Wenn man winget jedoch unter Windows Server nutzen oder eine Preview-Version ausprobieren möchte, dann muss man es manuell installieren. Bei Vorab-Versionen kann man dann die experimentellen Features aktivieren.

Wenn ein Benutzer einen Web-Browser zum ersten Mal auf einem Rechner startet, dann wird er mit einer Will­kommens­­seite konfrontiert. Je nach Hersteller fragt diese ver­schiedene Ein­stellungen ab, die in ver­wal­teten Umgebungen meist zentral gesetzt werden. In Chrome, Edge und Firefox kann man dies über Gruppen­­richt­linien unterbinden.

In allen neueren Versionen von Windows ist IPv6 per Vor­einstellung installiert und für alle Netzwerk­­adapter aktiviert. Gerade in kleineren Umgebungen fehlt oft die Expertise, um die IPv6-Infra­struktur sachgerecht zu konfigurieren. In solchen Fällen liegt es meist nahe, das Proto­koll zu deaktivieren. Alternativ stuft man seine Priorität gegenüber IPv4 herunter.

BitLocker stellt im Zusammen­­spiel mit einem Trusted Platform Module (TPM) sicher, dass die Konfiguration eines PCs seit dem Start der Ver­schlüsselung nicht verändert wurde. Für diesen Zweck speichert es mehrere System­­parameter in den PCR des TPM. Diese Konfiguration ist ausschlag­gebend dafür, wie leicht BitLocker den Recovery Mode auslöst.

Windows kennt drei Typen von Netzwerk­pro­filen, nämlich Domäne, privat und öffent­lich. Ersteres erhalten automatisch alle Rechner, die Mitglied im Active Directory sind, und dies lässt sich auch nicht ändern. Hingegen kann man zwischen privat und öffent­lich wechseln, um die damit verbun­denen Sicherheits­ein­stellungen zu aktivieren.