Frisch gebraut mit Microsoft Azure und Microsoft 365

Schlagwort: PowerShell

Suchst Du nach Informationen über PowerShell in Microsoft Azure und Microsoft 365? In diesem Archiv findest Du alle unsere Beiträge über PowerShell.

Windows LAPS in Microsoft Intune

Windows LAPS (Local Administrator Password Solution) bietet die zentrale, einfache und sichere Verwaltung von lokalen Administratorkennwörtern in Microsoft Intune. Jedes Gerät erhält ein eigenes, zeitlich befristetes Administratorkennwort. Windows LAPS verwaltet die Administratorkennwörter in Bezug auf Ablauf und Rotation selbständig. Die Administratorkennwörter werden entweder in Azure Active Directory oder lokalem Active Directory gespeichert.

Windows LAPS bietet damit höheren Schutz z.B. gegen Pass-the-Hash und Lateral Traversal-Angriffen.

Kerberos Entschlüsselungsschlüssel manuell erneuern

Benutzer können mit nahtlosem Anmelden (Seamless SSO) die gleichen Anmeldedaten für lokale und Cloud basierte Dienste nutzen. Die wiederkehrende Aufforderung für die Eingabe der Anmeldedaten zwischen den Diensten entfällt. Die notwendigen Daten werden zwischen Active Directory und Azure Active Directory automatisch ausgetauscht.

Bei der Konfiguration von nahtlosem Anmelden (Seamless SSO) wird das Computerkonto «AZUREADSSOACC» erstellt. Diesem Computerkonto soll aus Gründen der Sicherheit der Kerberos Entschlüsselungsschlüssel (Kerberos decryption key) alle 30 Tage geändert werden.

In dieser Anleitung wird beschrieben, wie der Kerberos Entschlüsselungsschlüssel manuell alle 30 Tage geändert wird.

Analyse der Multi-Faktor Authentifizierungsmethode

Für ein Sicherheitsaudit kann es notwendig sein zu prüfen, welche Multi-Faktor Authentifizierungsmethode bei jedem einzelnen Benutzer im Microsoft Tenant aktiviert ist.

Die Auswertung kann auch dazu verwendet werden, die Benutzer auf eine vielleicht für sie komfortablere Multi-Faktor Authentifizierungsmethode aufmerksam zu machen, als diese gerade aktiviert haben.

Als mögliche Multi-Faktor Authentifizierungsmethode gelten folgende:

  • Mobile App (Microsoft Authenticator)
  • SMS
  • Telefonanruf

Azure AD Connect: Erzwingen von TLS 1.2

Azure AD Connect unterstützt die nachfolgenden Protokolle nicht mehr, da diese seit einiger Zeit als unsicher gelten.

  • TLS 1.0
  • TLS 1.1
  • 3DES (TLS_RSA_WITH_3DES_EDE_CBC_SHA)

Von der Deaktivierung der Protokolle können unter anderem die folgenden Services betroffen sein:

  • Azure AD Connect
  • Azure AD-PowerShell
  • Passthrough Authentication Agents (PTA)
  • Anwendungen mit Azure AD-Integration

Mit TLS 1.2 bleibt Azure AD Connect weiterhin lauffähig.

Präsentiert von WordPress & Theme erstellt von Anders Norén