Description (EN)

In Episode 4, Marcus Henker and Marc Holländer focus on two certificate renewals that Windows and Intune administrators should not leave to chance in 2026.

The first half of the episode covers the Secure Boot certificate update: why the June 2026 deadline matters, what can break over time if devices are left behind, how to monitor rollout status, and why firmware, reboot behavior, and staged deployment rings matter more than many teams assume. The hosts also discuss reporting options in Intune, relevant registry keys, event IDs, and the practical difference between waiting for Microsoft’s “high-confidence” rollout and proactively testing your own device classes.

The second half turns to the Intune device management root CA renewal. Marcus and Marc explain why this matters for device communication, which edge cases can break renewal, how UPN changes can cause enrollment-related issues, and why early detection is far cheaper than mass re-enrollment later. A practical episode for IT teams that want to avoid certificate-related surprises before they turn into outages.

Beschreibung (DE)

In Folge 4 sprechen Marcus Henker und Marc Holländer über zwei Zertifikatsthemen, die 2026 für Windows- und Intune-Admins schnell unangenehm werden können, wenn man sie zu spät angeht.

Im ersten Teil geht es um das Secure-Boot-Update und das auslaufende Root-Zertifikat im Juni 2026. Die beiden ordnen ein, warum nicht sofort alles stehen bleibt, warum das trotzdem kein Grund zum Abwarten ist und wie man den Stand der eigenen Umgebung sinnvoll ermittelt. Dazu gehören Reporting über Intune, Detection-Skripte, Registry-Keys, Event-IDs, Firmware-Abhängigkeiten, Reboot-Anforderungen und die Frage, wann man selbst aktiv pushen sollte, statt nur auf Microsofts High-Confidence-Rollout zu vertrauen.

Im zweiten Teil geht es um das Intune Device Management Root-CA-Renewal. Besprochen werden mögliche Fehlerbilder, darunter UPN-Änderungen beim Enrollment-User, Monitoring rund um Zertifikatslaufzeiten und Event-Logs sowie die unschöne Realität, dass verlorene Intune-Kommunikation schnell in Re-Enrollment oder sogar Factory Reset enden kann. Die Kernempfehlung: erst Sichtbarkeit schaffen, dann gezielt handeln.

Chapters

00:00 – Intro & Rahmen

00:45 – Was Secure Boot eigentlich absichert

01:32 – Deadline 2026 und mögliche Auswirkungen

03:08 – Microsoft-Rollout seit Januar und High-Confidence-Geräte

05:50 – Reporting in Intune, Registry und Event-Logs

09:27 – Firmware als häufigster Blocker

10:49 – Rollout-Optionen: Registry, Intune, GPO und manuell

13:52 – Reboots, POC-Ringe und kontrolliertes Ausrollen

15:26 – Playbooks, AMA und operative Empfehlungen

18:11 – Intune Device Management Root CA Renewal

19:47 – UPN-Änderungen und Enrollment-Sonderfälle

21:32 – Monitoring über Zertifikate und Event-Logs

24:19 – Re-Enrollment, Autopilot und Recovery-Aufwand

25:27 – Detection first: die zentrale Handlungsempfehlung

26:21 – Off-Topic: NTLMv1 und alte Serverstände

27:14 – Outro

Tags

#RedAndBlackBeardSecurity, #SecurityPodcast, #MicrosoftSecurity, #CloudSecurity, #SecureBoot, #Intune, #CertificateRenewal, #WindowsSecurity, #EndpointManagement, #BitLocker, #FirmwareSecurity, #WindowsUpdate

Description (EN)

In Episode 3, Marcus and Marc take a deep dive into Microsoft Defender Vulnerability Management (TVM) — the add-on to Defender for Endpoint Plan 2 that often flies under the radar despite delivering significant security value.

They walk through everything TVM extends beyond standard MDE P2: enriched firmware inventory with CVE associations, browser extension visibility (including some eyebrow-raising real-world finds), certificate inventory for PKI hygiene, and network share scanning for hybrid environments still running classic file servers.

The hosts also discuss Security Baselines — how to continuously audit Windows endpoints against CIS benchmarks, STIG guidelines, and what to watch out for when settings configured via Intune don't show up in GPO-based baseline checks. They close with a look at TVM's extended remediation options: from Intune ticket integration to the Application Block feature and its real-world limitations around Microsoft-signed apps and UWP store applications.

A practical episode for anyone who already runs Defender for Endpoint and wants to extract more security insight from their existing deployment — including a tip on the free 90-day TVM trial.

Beschreibung (DE)

In Folge 3 sprechen Marcus und Marc über das Microsoft Defender Vulnerability Management (TVM) – das Add-on zu Defender for Endpoint Plan 2, das trotz echtem Mehrwert häufig im Schatten steht.

Die beiden zeigen, was TVM über das Standard-MDE-P2-Paket hinaus bietet: erweitertes Firmware-Inventar mit CVE-Zuordnung, Browser-Extension-Sichtbarkeit (inklusive einiger sehr eindrücklicher Praxisbeispiele), Zertifikats-Inventar für PKI-Hygiene sowie Network-Share-Scanning für hybride Umgebungen, die noch klassische Dateiserver betreiben.

Außerdem geht es um Security Baselines – wie man Windows-Endpunkte kontinuierlich gegen CIS-Benchmarks und STIG-Guidelines auditiert – und um einen wichtigen Fallstrick: Settings, die über Intune konfiguriert werden, können von GPO-basierten Baseline-Checks als fehlend erkannt werden, weil sie in anderen Registry-Pfaden landen. Zum Abschluss schauen die Hosts auf die erweiterten Remediation-Optionen des TVM, darunter Intune-Ticket-Integration und der Application-Block-Feature mit seinen Grenzen bei Microsoft-Apps und UWP-Store-Anwendungen.

Eine praxisnahe Folge für alle, die Defender for Endpoint bereits im Einsatz haben und mehr Security-Erkenntnisse aus ihrem bestehenden Deployment herausholen wollen – inklusive Hinweis auf die kostenlose 90-Tage-TVM-Trial.

Chapters

00:00 – Intro & Rahmen

00:45 – Was MDE Plan 2 bereits mitbringt

01:50 – TVM Add-on: Erweitertes Endpoint-Inventar

02:43 – Firmware-Sichtbarkeit und CVE-Assoziationen

03:48 – Browser-Extensions: Was läuft wirklich auf den Geräten?

07:09 – Zertifikats-Inventar und PKI-Hygiene

09:00 – Erweiterte Event-Timeline & EPSS-Score

11:09 – Network Shares: Die hybride Realität

12:31 – Security Baselines: Kontinuierliches Hardening-Audit

15:35 – CIS, STIG und weitere Benchmark-Frameworks

16:13 – GPO vs. Intune: Der Registry-Fallstrick

19:30 – Usability-Kritik am Interface

21:09 – Remediation-Optionen im Überblick

22:34 – Application Block: Schnelle Reaktion statt Patch

23:34 – Einschränkungen: Microsoft-Apps, UWP, Mac & Linux

28:52 – TVM 90-Tage-Trial und Fazit

29:49 – Outro

English Version

In Episode 2, Marcus Henker and Marc Holländer dive into a practical question many security teams face right now: where does AI actually help in daily defensive operations, and where is the hype still ahead of reality?

They discuss Microsoft Security Copilot requirements, why data quality and connector strategy matter, and which real-world use cases already deliver value. The episode covers phishing triage automation, conditional access optimization, incident pre-qualification, and executive reporting. The key takeaway is clear: AI is not replacing analysts, but it can significantly improve speed, consistency, and decision quality when used in focused workflows.

The hosts also compare built-in copilot capabilities with custom automation using Logic Apps and Azure OpenAI, including trade-offs in cost, flexibility, and implementation effort. If your team is balancing limited resources, growing alert volume, and pressure to “do more with AI,” this episode gives you a realistic framework to start.

Deutsche Version

In Folge 2 sprechen Marcus Henker und Marc Holländer darüber, wie AI im Security-Alltag heute wirklich sinnvoll eingesetzt werden kann. Im Mittelpunkt steht nicht die Vision eines vollautomatischen SOC, sondern die Frage, wie Teams schneller und strukturierter auf Vorfälle reagieren.

Die beiden diskutieren Voraussetzungen rund um Microsoft Security Copilot, die Bedeutung einer belastbaren Datengrundlage und konkrete Einsatzfelder mit messbarem Nutzen. Dazu gehören unter anderem Phishing-Triage, Conditional-Access-Optimierung, bessere Vorqualifizierung von Incidents sowie Reporting für technische und nicht-technische Zielgruppen.

Außerdem wird der Vergleich zwischen nativen Copilot-Funktionen und eigener Automation mit Logic Apps plus Azure OpenAI gezogen: weniger Einführungsaufwand auf der einen Seite, mehr Individualität und On-Demand-Kostenkontrolle auf der anderen. Das Ergebnis ist ein praxisnaher Blick auf AI als Verstärker für Security-Teams, nicht als Ersatz für Analysten.

Chapters

00:00 – Intro & Rahmen

02:35 – Was AI heute kann (und was noch nicht)

04:02 – Datengrundlage: Microsoft + Third Party

05:28 – Konkrete Use Cases im Alltag

08:17 – Reporting für C-Level

09:19 – SCU, Verbrauch und Kostenlogik

11:45 – Promptbooks und standardisierte Abläufe

17:58 – Built-in Agents im Überblick

18:14 – Phishing Triage Agent in der Praxis

24:01 – Conditional Access Optimization Agent

28:50 – Identity Risk Analyzer und Lizenzrealität

31:32 – Logic Apps + Azure OpenAI als Alternative

37:29 – Automatisierte Nutzerkommunikation

40:48 – Kostenvergleich: nativ vs. custom

47:02 – Fazit: Assistenz statt Analysten-Ersatz

52:47 – Outro

https://open.substack.com/pub/redandblackbeard/p/red-and-black-beard-security-podcast?r=83r3bn&utm_campaign=post&utm_medium=web&showWelcomeOnShare=true

In this first episode, we sit down and talk about how we actually reduce attack surface in the Microsoft world: from identities, tenants and guests to endpoints, conditional access and classic on‑prem AD. We share our own experiences, opinions and a few hard lessons learned along the way - always with a focus on what really helps against real-world attacks instead of just ticking compliance boxes.

#################################################

In dieser ersten Folge nehme ich euch mit in unsere Welt und zeige, wie wir die Angriffsfläche im Microsoft-Umfeld sinnvoll reduzieren - von Identitäten, Tenants und Gästen über Endgeräte und Conditional Access bis hin zu klassischem On-Prem-AD. Wir teilen unsere Erfahrungen, unsere Meinung und ein paar schmerzhafte Learnings aus echten Projekten - mit klarem Fokus auf Maßnahmen, die echte Angriffe erschweren, statt nur Häkchen in Audits zu setzen.

Chapters:

00:00 - Intro & Rahmen: Reduzierung der Angriffsfläche

03:10 - Was ist Angriffsfläche? Identität, Endpunkt, Daten, Tenant

10:05 - Tenant-Hardening, Gäste, Sharing-Settings & Lifecycle

13:00 - Identitäten, MFA-Rollout, Conditional Access & FIDO/Passwortless

24:55 - Endgeräte: Intune, Least Privilege, Patchen & Endpoint Security

42:40 - On-Prem AD, Hybrid-Identität & Legacy-Infrastruktur als Angriffsfläche

52:53 - Recap & Ausblick auf weitere Folgen (Daten, Insider Risk, Compliance)