https://safelink-it.com/ Benjamin Iheukumere: Active Directory Security, Microsoft Security und Security Advisory de-DE Fri, 22 May 2026 00:00:00 GMT https://safelink-it.com/blog/ad-hardening-krbtgt-passwort-rotieren/ https://safelink-it.com/blog/ad-hardening-krbtgt-passwort-rotieren/ Das krbtgt-Konto ist der Schlüssel zur Ticket-Integrität in AD. Eine Rotation ist kein „Passwort ändern“, sondern eine kontrollierte Operation mit Timing, Replikation und Abhängigkeiten. So planst und setzt du die Rotation sauber um – inklusive Grenzen, Stolperfallen und Projekt-Checkliste. Blog Wed, 20 May 2026 00:00:00 GMT https://safelink-it.com/en/blog/ad-hardening-rotate-krbtgt-password/ https://safelink-it.com/en/blog/ad-hardening-rotate-krbtgt-password/ The krbtgt account is the foundation of Kerberos ticket integrity in an AD domain. Rotating it is not a casual “password change” — it’s a controlled operation with replication, ticket lifetimes, and dependencies. This is a practical, low-drama rollout approach, including limits and a project checklist. Blog Wed, 20 May 2026 00:00:00 GMT https://safelink-it.com/blog/ad-hardening-ad-recycle-bin-aktivieren/ https://safelink-it.com/blog/ad-hardening-ad-recycle-bin-aktivieren/ Gelöschte Benutzer, Gruppen oder OUs sind kein seltenes Problem – und klassische Backups sind dafür oft zu schwerfällig. Mit dem AD Recycle Bin bekommst du eine pragmatische, auditierbare Restore-Option, wenn du sie sauber einführst. Blog Mon, 18 May 2026 00:00:00 GMT https://safelink-it.com/en/blog/ad-hardening-enable-ad-recycle-bin/ https://safelink-it.com/en/blog/ad-hardening-enable-ad-recycle-bin/ Deleted users, groups, or OUs are a very real operational risk — and classic backup restores are often too heavy for the job. With the AD Recycle Bin you get a pragmatic, auditable restore option, if you roll it out properly. Blog Mon, 18 May 2026 00:00:00 GMT https://safelink-it.com/news/windows-netlogon-rce-cve-2026-41089/ https://safelink-it.com/news/windows-netlogon-rce-cve-2026-41089/ Die Mai-2026-Sicherheitsupdates schließen eine kritische Remote-Code-Execution in Windows Netlogon. Priorität: Domain Controller und Management-Hosts patchen, Netzwerkpfade zu DCs hart begrenzen und Auth-/Netlogon-Anomalien eng monitoren. Security News Mon, 18 May 2026 00:00:00 GMT https://safelink-it.com/en/news/windows-netlogon-rce-cve-2026-41089/ https://safelink-it.com/en/news/windows-netlogon-rce-cve-2026-41089/ May 2026 security updates address a critical remote code execution issue in Windows Netlogon. Priority: patch domain controllers and admin systems, restrict network paths to DCs, and tighten monitoring for auth/Netlogon anomalies. Security News Mon, 18 May 2026 00:00:00 GMT https://safelink-it.com/en/blog/ad-hardening-disable-remove-smbv1/ https://safelink-it.com/en/blog/ad-hardening-disable-remove-smbv1/ SMBv1 has no place in modern AD environments — yet in practice it’s often still enabled somewhere. This is a controlled, low-drama way to remove SMBv1 from clients, servers, and images without breaking operations. Blog Sat, 16 May 2026 00:00:00 GMT https://safelink-it.com/blog/ad-hardening-smbv1-deaktivieren-entfernen/ https://safelink-it.com/blog/ad-hardening-smbv1-deaktivieren-entfernen/ SMBv1 ist ein Altlast-Protokoll, das in modernen AD-Umgebungen keinen Platz hat – aber in der Praxis oft noch „irgendwo“ aktiv ist. So bekommst du SMBv1 kontrolliert aus Clients, Servern und Images heraus, ohne den Betrieb zu zerlegen. Blog Sat, 16 May 2026 00:00:00 GMT https://safelink-it.com/en/blog/ad-hardening-disable-llmnr-nbt-ns/ https://safelink-it.com/en/blog/ad-hardening-disable-llmnr-nbt-ns/ When DNS fails, Windows often falls back to LLMNR or NetBIOS (NBT-NS) — multicast/broadcast instead of authority. That’s unnecessary attack surface and creates confusing authentication noise. Here’s a controlled, project-friendly rollout. Blog Wed, 13 May 2026 00:00:00 GMT https://safelink-it.com/blog/ad-hardening-llmnr-nbt-ns-deaktivieren/ https://safelink-it.com/blog/ad-hardening-llmnr-nbt-ns-deaktivieren/ Wenn DNS scheitert, fallen Windows-Clients oft auf LLMNR oder NetBIOS (NBT-NS) zurück – Broadcast statt Autorität. Das ist unnötige Angriffsfläche und führt zu „mysteriösem“ Auth-Traffic. So schaltest du beides kontrolliert ab. Blog Wed, 13 May 2026 00:00:00 GMT https://safelink-it.com/en/blog/ad-hardening-disable-wdigest-plaintext-credentials/ https://safelink-it.com/en/blog/ad-hardening-disable-wdigest-plaintext-credentials/ WDigest is a legacy mechanism that can be re-enabled by old images, GPOs, or troubleshooting workarounds. Here’s how to verify the current state, enforce a robust baseline, and keep plaintext passwords out of LSASS. Blog Mon, 11 May 2026 00:00:00 GMT https://safelink-it.com/news/kerberos-rc4-hardening-phase2/ https://safelink-it.com/news/kerberos-rc4-hardening-phase2/ Seit den April-2026 Windows-Updates wird RC4 in Kerberos nicht mehr als stiller Standard-Fallback behandelt, wenn Konten keine expliziten Encryption Types gesetzt haben. Entscheidend sind jetzt Inventar, AES-Fähigkeit von Service Accounts und ein kontrollierter Cutover vor der Juli-Phase. Security News Mon, 11 May 2026 00:00:00 GMT https://safelink-it.com/en/news/kerberos-rc4-hardening-phase2/ https://safelink-it.com/en/news/kerberos-rc4-hardening-phase2/ Since the April 2026 Windows updates, RC4 is no longer treated as an implicit Kerberos default fallback when accounts have no explicit encryption type configuration. Inventory, AES readiness for service accounts, and a controlled cutover before the July phase now matter. Security News Mon, 11 May 2026 00:00:00 GMT https://safelink-it.com/blog/ad-hardening-wdigest-deaktivieren-klartext-anmeldeinformationen/ https://safelink-it.com/blog/ad-hardening-wdigest-deaktivieren-klartext-anmeldeinformationen/ WDigest ist ein Legacy-Mechanismus, der durch alte Images, GPOs oder Troubleshooting-Workarounds wieder aktiv sein kann. So prüfst du den Ist-Stand, setzt eine robuste Baseline und vermeidest Klartext-Passwörter in LSASS. Blog Mon, 11 May 2026 00:00:00 GMT https://safelink-it.com/en/blog/ad-hardening-disable-print-spooler-on-domain-controllers/ https://safelink-it.com/en/blog/ad-hardening-disable-print-spooler-on-domain-controllers/ Domain Controllers are Tier 0. Print services don’t belong there. This is how to disable the Print Spooler safely, handle exceptions, and make the control auditable. Blog Wed, 06 May 2026 00:00:00 GMT https://safelink-it.com/blog/ad-hardening-print-spooler-auf-domain-controllern-deaktivieren/ https://safelink-it.com/blog/ad-hardening-print-spooler-auf-domain-controllern-deaktivieren/ Domain Controller sind Tier 0. Druckdienste gehören dort nicht hin. So deaktivierst du den Print Spooler sauber, vermeidest Nebenwirkungen und baust eine prüfbare Ausnahme-Policy. Blog Wed, 06 May 2026 00:00:00 GMT https://safelink-it.com/blog/ad-hardening-ldap-signing-channel-binding/ https://safelink-it.com/blog/ad-hardening-ldap-signing-channel-binding/ Unsigned LDAP Binds sind ein unnötiger Risikohebel. So inventarisierst du Abhängigkeiten, reduzierst Legacy-Fallen und rollst LDAP Signing (und optional Channel Binding) kontrolliert aus. Blog Mon, 04 May 2026 00:00:00 GMT https://safelink-it.com/en/blog/ad-hardening-ldap-signing-channel-binding/ https://safelink-it.com/en/blog/ad-hardening-ldap-signing-channel-binding/ Unsigned LDAP binds are an avoidable risk lever. A controlled rollout starts with dependency visibility, clear telemetry and staged enforcement. Blog Mon, 04 May 2026 00:00:00 GMT https://safelink-it.com/blog/ad-hardening-machineaccountquota-auf-null/ https://safelink-it.com/blog/ad-hardening-machineaccountquota-auf-null/ Wenn normale Benutzer Computerobjekte erstellen dürfen, entstehen unnötige Angriffspfade. MachineAccountQuota gehört bewusst entschieden, nicht geerbt. Blog Mon, 04 May 2026 00:00:00 GMT https://safelink-it.com/en/blog/ad-hardening-machineaccountquota-zero/ https://safelink-it.com/en/blog/ad-hardening-machineaccountquota-zero/ When regular users can create computer objects, unnecessary attack paths appear. MachineAccountQuota should be a decision, not an inherited default. Blog Mon, 04 May 2026 00:00:00 GMT https://safelink-it.com/blog/ad-hardening-ntlmv1-abschalten-ntlm-reduzieren/ https://safelink-it.com/blog/ad-hardening-ntlmv1-abschalten-ntlm-reduzieren/ NTLM wird selten auf einmal entfernt. Sauber ist ein Audit-First-Ansatz mit klaren Ausnahmen und einem Zielbild für Kerberos. Blog Mon, 04 May 2026 00:00:00 GMT https://safelink-it.com/blog/ad-hardening-protected-users-fuer-tier-0/ https://safelink-it.com/blog/ad-hardening-protected-users-fuer-tier-0/ Protected Users ist stark, aber nichts für breite Gruppen. Der Wert liegt in sauber ausgewählten Konten und getesteten Admin-Pfaden. Blog Mon, 04 May 2026 00:00:00 GMT https://safelink-it.com/en/blog/ad-hardening-protected-users-tier-0/ https://safelink-it.com/en/blog/ad-hardening-protected-users-tier-0/ Protected Users is powerful, but not for broad rollout. Its value depends on carefully selected accounts and tested admin paths. Blog Mon, 04 May 2026 00:00:00 GMT https://safelink-it.com/en/blog/ad-hardening-reducing-ntlm/ https://safelink-it.com/en/blog/ad-hardening-reducing-ntlm/ NTLM is rarely removed in one step. A reliable approach starts with audit data, clear exceptions and a Kerberos target state. Blog Mon, 04 May 2026 00:00:00 GMT https://safelink-it.com/blog/ad-hardening-smb-signing-als-standard/ https://safelink-it.com/blog/ad-hardening-smb-signing-als-standard/ SMB Signing schützt nicht jede Freigabe, aber es nimmt Relay-Angriffen einen wichtigen Hebel. Der Rollout braucht Tests statt Bauchgefühl. Blog Mon, 04 May 2026 00:00:00 GMT https://safelink-it.com/en/blog/ad-hardening-smb-signing-baseline/ https://safelink-it.com/en/blog/ad-hardening-smb-signing-baseline/ SMB signing does not secure every file share by itself, but it removes an important lever from relay-style attacks. Blog Mon, 04 May 2026 00:00:00 GMT https://safelink-it.com/blog/ad-hardening-windows-laps-sauber-ausrollen/ https://safelink-it.com/blog/ad-hardening-windows-laps-sauber-ausrollen/ LAPS reduziert laterale Bewegung nur dann zuverlässig, wenn Scope, Berechtigungen, Rotation und DSRM sauber geplant sind. Blog Mon, 04 May 2026 00:00:00 GMT https://safelink-it.com/en/blog/ad-hardening-windows-laps-rollout/ https://safelink-it.com/en/blog/ad-hardening-windows-laps-rollout/ LAPS reduces lateral movement only when scope, permissions, rotation and DSRM recovery are planned deliberately. Blog Mon, 04 May 2026 00:00:00 GMT https://safelink-it.com/news/windows-server-domain-controller-reboot-loop-kb5082063/ https://safelink-it.com/news/windows-server-domain-controller-reboot-loop-kb5082063/ Microsoft beschreibt einen bekannten Fehler: Bestimmte Domain Controller (PAM, non-GC) können nach April-Updates durch LSASS-Startprobleme wiederholt neu starten. Out-of-band Updates stehen bereit. Security News Mon, 04 May 2026 00:00:00 GMT https://safelink-it.com/en/news/windows-server-domain-controller-reboot-loop-kb5082063/ https://safelink-it.com/en/news/windows-server-domain-controller-reboot-loop-kb5082063/ Microsoft describes a known issue where certain domain controllers in PAM environments can repeatedly restart after April updates because LSASS fails during startup. Out-of-band updates are available. Security News Mon, 04 May 2026 00:00:00 GMT