Weblog von Wolfgang Sommergut

    PIN für BitLocker einrichten

    BitLocker mit PIN entsperrenAuf modernen Rechnern ist BitLocker standardmäßig so konfiguriert, dass das TPM alleine den Volume Master Key (VMK) freigibt. Fällt ein Notebook jedoch in die falschen Hände, dann ist der VMK damit nicht ausreichend geschützt. Daher empfiehlt Microsoft eine Zwei-Faktor-Authenti­fizierung durch eine zusätzliche PIN oder einen Startup-Key.

    Passwort-Manager in Chrome, Edge und Firefox über Gruppenrichtlinien konfigurieren

    Google Chrome, Microsoft Edge, LogosAlle modernen Web-Browser bieten die Möglich­­keit, die Zugangs­daten zu Websites zu speichern und bei der erneuten Anmeldung auto­matisch einzufügen. Dies kann aus Sicher­­heits­­gründen jedoch uner­­wünscht sein. Bei Chrome, Edge und Firefox kann man dieses Feature mit Gruppen­­richt­­linien ent­schärfen oder deaktivieren.

    Security- und Health-Checks für Active Directory mit PowerShell-Scripts

    Active Directory PowerShellDa es sich beim Active Directory um eine kritische Kompo­nente der IT-Infrastruktur handelt, ist es geboten, dieses laufend auf Abwei­chungen von einer wünschens­werten Konfi­guration und auf Schwach­stellen zu prüfen. Wenn man dafür keine kommer­zielle Lösung an­schaffen will, kann man auch bewährte PowerShell-Scripts zurück­greifen.

    Willkommen-Seite in Chrome, Edge und Firefox mit Gruppenrichtlinien blockieren

    Google Chrome, Microsoft Edge, LogosWenn ein Benutzer einen Web-Browser zum ersten Mal auf einem Rechner startet, dann wird er mit einer Will­kommens­­seite konfrontiert. Je nach Hersteller fragt diese ver­schiedene Ein­stellungen ab, die in ver­wal­teten Umgebungen meist zentral gesetzt werden. In Chrome, Edge und Firefox kann man dies über Gruppen­­richt­linien unterbinden.

    IPv6 in Windows deaktivieren

    IPv6In allen neueren Versionen von Windows ist IPv6 per Vor­einstellung installiert und für alle Netzwerk­­adapter aktiviert. Gerade in kleineren Umgebungen fehlt oft die Expertise, um die IPv6-Infra­struktur sachgerecht zu konfigurieren. In solchen Fällen liegt es meist nahe, das Proto­koll zu deaktivieren. Alternativ stuft man seine Priorität gegenüber IPv4 herunter.

    BitLocker Recovery Mode durch Anpassen des Validierungsprofils vermeiden

    Bitlocker LaufwerksverschlüsselungBitLocker stellt im Zusammen­­spiel mit einem Trusted Platform Module (TPM) sicher, dass die Konfiguration eines PCs seit dem Start der Ver­schlüsselung nicht verändert wurde. Für diesen Zweck speichert es mehrere System­­parameter in den PCR des TPM. Diese Konfiguration ist ausschlag­gebend dafür, wie leicht BitLocker den Recovery Mode auslöst.