Auch bei der Automa­tisierung von Micro­softs Cloud-Diensten spielt Power­Shell eine zen­trale Rolle. Diesem Zweck dienen 2 Module mit ins­ge­samt ca. 3000 Cmdlets. Eines ist für das Mana­gement von Azure AD vorge­sehen, das andere für diverse Cloud-Ressourcen. Parallel dazu gibt es noch die je­weiligen Vor­gänger­module.

Das Windows Prein­stallation Environ­ment (WinPE) ist ein abge­specktes Betriebs­system, das beim Deploy­ment von Windows 10 oder für das Recovery Environ­ment benötigt wird. Micro­soft stellt es nicht als ISO-Download zur Ver­fügung, vielmehr muss man erst selbst einen boot-fähigen Daten­träger dafür erstellen.

Schwache und leicht zu erratende Passwörter sind ein will­kommenes Ein­fallstor für Angreifer. Auch wenn Admini­stratoren über Richt­linien im Active Directory triviale Kenn­wörter aus­schließen, ist es ratsam, die Konten regel­mäßig auf Passwort­sicherheit zu prüfen. Dieser Aufgabe dient der kosten­lose Specops Password Auditor.

Microsoft doku­mentierte mit jedem neuen Release von Windows 10 alle Ein­stellungen für die Gruppen­richt­linien in einer Excel-Tabelle. Eine solche ist aber seit der Version 1809 nicht mehr er­schienen. Mit etwas PowerShell und Studium der ADMX-Datei­struktur habe ich eine solche nun selbst erstellt.

Spielt man ein neues Release von Windows 10 über Windows Update oder WSUS ein, dann startet die auto­matische Instal­lation, sobald das Update für den PC ver­fügbar ist. Man muss aber nicht ein­fach die Standard­prozedur durch­laufen lassen, sondern kann das Setup über eine Konfigu­rations­datei beein­flussen.

Microsoft empfiehlt die schlanke Instal­lations­variante von Windows Server für die meisten Infra­struktur­dienste und mittler­weile auch für Anwen­dungen wie Exchange 2019. Auch SQL Server lässt sich auf Server Core betreiben. Die Instal­lation erfor­dert dort aber einige Schritte auf der Kom­mando­zeile.

Microsoft gab auf Basis von Chromium 79 die erste stabile Ver­sion seines neuen Browsers frei. Während private An­wender ihn über Windows Update er­halten, haben Unter­nehmen ver­schiedene Deployment-Optionen. Dem zen­tralen Management von Edge dienen zahl­reiche Einstellungen für die Gruppen­richtlinien.

Power­Shell Core fehlte bis dato die Möglich­keit, Einstellungen zentral über Gruppen­richt­linien zu konfi­gurieren. Die Preview von PowerShell 7 behebt diese Ein­schränkung mit einer eigenen ADMX-Vorlage. Sie ent­hält alle von Windows PowerShell be­kannten Ein­stellungen sowie eine neue Sicher­heits­option.

PowerShell ist ein mäch­tiges Tool für die System­verwaltung und als solches auch ein per­fektes Instru­ment für Angreifer. Auf­grund der tiefen Veran­kerung im System sorgt ein generelles Blockieren nur für schein­bare Sicherheit. Den besten Schutz versprechen letztlich die Schutz­mechanismen von PowerShell selbst.

Ein Auditing von kritischen Ressourcen hilft dabei, uner­wünschte und ver­dächtige Aktivi­täten aufzu­decken. Eine solche Über­wachung bietet sich etwa für Dateien mit sen­siblen Infor­mationen oder die Regi­strierung an. Die globale Über­wachung verein­facht die Konfi­guration, produziert aber mehr Daten in der Log-Datei.