Weblog von Wolfgang Sommergut

    Empfohlene Sicherheitseinstellungen und neue Gruppenrichtlinien für Microsoft Edge (ab 107)

    Logo von Microsoft Edge ChromiumMicrosoft aktualisierte seine Security Baseline für den Edge-Browser zuletzt für die Version 107, diese ist somit auch für die aktuellen Versionen noch gültig. Sie enthält Ein­stellungen für Gruppen­­richt­linien, die der Hersteller zur Erhöhung der Sicherheit empfiehlt. Von den neu hinzuge­kommenen Policies wurde keine in die Liste übernommen.

    AD-Konten mit DES- und RC4-Algorithmus für Kerberos-Verschlüsselung finden

    EncryptionNachdem DES schon lange als unsicher gilt, beschleunigt CVE-2022-37966 nun den Abschied von RC4 für die Ver­schlüsselung von Kerberos-Tickets. Wenn man Konten keinen Algorithmus zugewiesen hat, dann kommt künftig AES zum Einsatz. Welche Accounts durch eine schwache Ver­schlüsselung gefährdet sind, kann man mit PowerShell ermitteln.

    UserAccountControl: Sicherheitseinstellungen für AD-Konten prüfen und ändern

    Account LockoutDas Attribut User­Account­Control im Active Direc­tory enthält mehrere kritische Konto­­ein­­stellungen. Das be­trifft etwa das Ablauf­­datum von Pass­wörtern oder die Dele­gierung. Ein AD-Audit sollte dieses Attribut regel­mäßig prüfen. Das lässt sich mit Power­­Shell erle­digen, und für das Ändern der Flags gibt es ein eigenes Cmdlet.

    Überwachter Ordnerzugriff: Ransomware-Schutz mit Gruppenrichtlinien und PowerShell konfigurieren

    Microsoft Defender auf Windows ServerDer überwachte Ordnerzugriff (Controlled Folder Access) hindert verdächtige Programme am Ändern oder Anlegen von Dateien in geschützten Verzeichnissen wie Dokumente, Bilder, Favoriten oder Desktop. Das Feature lässt sich zentral über Gruppen­richt­linien konfigurieren, etwa um zusätzlichen Apps den Zugriff zu erlauben.