Red and Black Beard Security Podcast

Red & Black Beard Security Podcast – Episode 4: Certificate Renewal Year 2026 – Secure Boot und Intune nicht verschlafenDescription (EN)In Episode 4, Marcus Henker and Marc Holländer focus on two certificate renewals that Windows and Intune administrators should not leave to chance in 2026.The first half of the episode covers the Secure Boot certificate update: why the June 2026 deadline matters, what can break over time if devices are left behind, how to monitor rollout status, and why firmware, reboot behavior, and staged deployment rings matter more than many teams assume. The hosts also discuss reporting options in Intune, relevant registry keys, event IDs, and the practical difference between waiting for Microsoft’s “high-confidence” rollout and proactively testing your own device classes.The second half turns to the Intune device management root CA renewal. Marcus and Marc explain why this matters for device communication, which edge cases can break renewal, how UPN changes can cause enrollment-related issues, and why early detection is far cheaper than mass re-enrollment later. A practical episode for IT teams that want to avoid certificate-related surprises before they turn into outages.Beschreibung (DE)In Folge 4 sprechen Marcus Henker und Marc Holländer über zwei Zertifikatsthemen, die 2026 für Windows- und Intune-Admins schnell unangenehm werden können, wenn man sie zu spät angeht.Im ersten Teil geht es um das Secure-Boot-Update und das auslaufende Root-Zertifikat im Juni 2026. Die beiden ordnen ein, warum nicht sofort alles stehen bleibt, warum das trotzdem kein Grund zum Abwarten ist und wie man den Stand der eigenen Umgebung sinnvoll ermittelt. Dazu gehören Reporting über Intune, Detection-Skripte, Registry-Keys, Event-IDs, Firmware-Abhängigkeiten, Reboot-Anforderungen und die Frage, wann man selbst aktiv pushen sollte, statt nur auf Microsofts High-Confidence-Rollout zu vertrauen.Im zweiten Teil geht es um das Intune Device Management Root-CA-Renewal. Besprochen werden mögliche Fehlerbilder, darunter UPN-Änderungen beim Enrollment-User, Monitoring rund um Zertifikatslaufzeiten und Event-Logs sowie die unschöne Realität, dass verlorene Intune-Kommunikation schnell in Re-Enrollment oder sogar Factory Reset enden kann. Die Kernempfehlung: erst Sichtbarkeit schaffen, dann gezielt handeln.Chapters00:00 – Intro & Rahmen00:45 – Was Secure Boot eigentlich absichert 01:32 – Deadline 2026 und mögliche Auswirkungen 03:08 – Microsoft-Rollout seit Januar und High-Confidence-Geräte 05:50 – Reporting in Intune, Registry und Event-Logs 09:27 – Firmware als häufigster Blocker 10:49 – Rollout-Optionen: Registry, Intune, GPO und manuell 13:52 – Reboots, POC-Ringe und kontrolliertes Ausrollen 15:26 – Playbooks, AMA und operative Empfehlungen18:11 – Intune Device Management Root CA Renewal 19:47 – UPN-Änderungen und Enrollment-Sonderfälle 21:32 – Monitoring über Zertifikate und Event-Logs 24:19 – Re-Enrollment, Autopilot und Recovery-Aufwand 25:27 – Detection first: die zentrale Handlungsempfehlung 26:21 – Off-Topic: NTLMv1 und alte Serverstände 27:14 – OutroTags#RedAndBlackBeardSecurity, #SecurityPodcast, #MicrosoftSecurity, #CloudSecurity, #SecureBoot, #Intune, #CertificateRenewal, #WindowsSecurity, #EndpointManagement, #BitLocker, #FirmwareSecurity, #WindowsUpdate

Red & Black Beard Security Podcast – Episode 3: TVM – Defender for Endpoints vernachlässigter SchwiegersohnDescription (EN)In Episode 3, Marcus and Marc take a deep dive into Microsoft Defender Vulnerability Management (TVM) — the add-on to Defender for Endpoint Plan 2 that often flies under the radar despite delivering significant security value.They walk through everything TVM extends beyond standard MDE P2: enriched firmware inventory with CVE associations, browser extension visibility (including some eyebrow-raising real-world finds), certificate inventory for PKI hygiene, and network share scanning for hybrid environments still running classic file servers.The hosts also discuss Security Baselines — how to continuously audit Windows endpoints against CIS benchmarks, STIG guidelines, and what to watch out for when settings configured via Intune don't show up in GPO-based baseline checks. They close with a look at TVM's extended remediation options: from Intune ticket integration to the Application Block feature and its real-world limitations around Microsoft-signed apps and UWP store applications.A practical episode for anyone who already runs Defender for Endpoint and wants to extract more security insight from their existing deployment — including a tip on the free 90-day TVM trial.Beschreibung (DE)In Folge 3 sprechen Marcus und Marc über das Microsoft Defender Vulnerability Management (TVM) – das Add-on zu Defender for Endpoint Plan 2, das trotz echtem Mehrwert häufig im Schatten steht.Die beiden zeigen, was TVM über das Standard-MDE-P2-Paket hinaus bietet: erweitertes Firmware-Inventar mit CVE-Zuordnung, Browser-Extension-Sichtbarkeit (inklusive einiger sehr eindrücklicher Praxisbeispiele), Zertifikats-Inventar für PKI-Hygiene sowie Network-Share-Scanning für hybride Umgebungen, die noch klassische Dateiserver betreiben.Außerdem geht es um Security Baselines – wie man Windows-Endpunkte kontinuierlich gegen CIS-Benchmarks und STIG-Guidelines auditiert – und um einen wichtigen Fallstrick: Settings, die über Intune konfiguriert werden, können von GPO-basierten Baseline-Checks als fehlend erkannt werden, weil sie in anderen Registry-Pfaden landen. Zum Abschluss schauen die Hosts auf die erweiterten Remediation-Optionen des TVM, darunter Intune-Ticket-Integration und der Application-Block-Feature mit seinen Grenzen bei Microsoft-Apps und UWP-Store-Anwendungen.Eine praxisnahe Folge für alle, die Defender for Endpoint bereits im Einsatz haben und mehr Security-Erkenntnisse aus ihrem bestehenden Deployment herausholen wollen – inklusive Hinweis auf die kostenlose 90-Tage-TVM-Trial.Chapters00:00 – Intro & Rahmen00:45 – Was MDE Plan 2 bereits mitbringt01:50 – TVM Add-on: Erweitertes Endpoint-Inventar02:43 – Firmware-Sichtbarkeit und CVE-Assoziationen03:48 – Browser-Extensions: Was läuft wirklich auf den Geräten?07:09 – Zertifikats-Inventar und PKI-Hygiene09:00 – Erweiterte Event-Timeline & EPSS-Score11:09 – Network Shares: Die hybride Realität12:31 – Security Baselines: Kontinuierliches Hardening-Audit15:35 – CIS, STIG und weitere Benchmark-Frameworks16:13 – GPO vs. Intune: Der Registry-Fallstrick19:30 – Usability-Kritik am Interface21:09 – Remediation-Optionen im Überblick22:34 – Application Block: Schnelle Reaktion statt Patch23:34 – Einschränkungen: Microsoft-Apps, UWP, Mac & Linux28:52 – TVM 90-Tage-Trial und Fazit29:49 – Outro

Red & Black Beard Security Podcast - Episode 2: AI in der Security – Security Copilot, Agents und smarte AutomationEnglish VersionIn Episode 2, Marcus Henker and Marc Holländer dive into a practical question many security teams face right now: where does AI actually help in daily defensive operations, and where is the hype still ahead of reality?They discuss Microsoft Security Copilot requirements, why data quality and connector strategy matter, and which real-world use cases already deliver value. The episode covers phishing triage automation, conditional access optimization, incident pre-qualification, and executive reporting. The key takeaway is clear: AI is not replacing analysts, but it can significantly improve speed, consistency, and decision quality when used in focused workflows.The hosts also compare built-in copilot capabilities with custom automation using Logic Apps and Azure OpenAI, including trade-offs in cost, flexibility, and implementation effort. If your team is balancing limited resources, growing alert volume, and pressure to “do more with AI,” this episode gives you a realistic framework to start.Deutsche VersionIn Folge 2 sprechen Marcus Henker und Marc Holländer darüber, wie AI im Security-Alltag heute wirklich sinnvoll eingesetzt werden kann. Im Mittelpunkt steht nicht die Vision eines vollautomatischen SOC, sondern die Frage, wie Teams schneller und strukturierter auf Vorfälle reagieren.Die beiden diskutieren Voraussetzungen rund um Microsoft Security Copilot, die Bedeutung einer belastbaren Datengrundlage und konkrete Einsatzfelder mit messbarem Nutzen. Dazu gehören unter anderem Phishing-Triage, Conditional-Access-Optimierung, bessere Vorqualifizierung von Incidents sowie Reporting für technische und nicht-technische Zielgruppen.Außerdem wird der Vergleich zwischen nativen Copilot-Funktionen und eigener Automation mit Logic Apps plus Azure OpenAI gezogen: weniger Einführungsaufwand auf der einen Seite, mehr Individualität und On-Demand-Kostenkontrolle auf der anderen. Das Ergebnis ist ein praxisnaher Blick auf AI als Verstärker für Security-Teams, nicht als Ersatz für Analysten.Chapters00:00 – Intro & Rahmen02:35 – Was AI heute kann (und was noch nicht)04:02 – Datengrundlage: Microsoft + Third Party05:28 – Konkrete Use Cases im Alltag08:17 – Reporting für C-Level09:19 – SCU, Verbrauch und Kostenlogik11:45 – Promptbooks und standardisierte Abläufe17:58 – Built-in Agents im Überblick18:14 – Phishing Triage Agent in der Praxis24:01 – Conditional Access Optimization Agent28:50 – Identity Risk Analyzer und Lizenzrealität31:32 – Logic Apps + Azure OpenAI als Alternative37:29 – Automatisierte Nutzerkommunikation40:48 – Kostenvergleich: nativ vs. custom47:02 – Fazit: Assistenz statt Analysten-Ersatz52:47 – Outrohttps://open.substack.com/pub/redandblackbeard/p/red-and-black-beard-security-podcast?r=83r3bn&utm_campaign=post&utm_medium=web&showWelcomeOnShare=true

Red & Black Beard Security Podcast - Episode 1: "Angriffsfläche reduzieren: Microsoft Security Basics"In this first episode, we sit down and talk about how we actually reduce attack surface in the Microsoft world: from identities, tenants and guests to endpoints, conditional access and classic on‑prem AD. We share our own experiences, opinions and a few hard lessons learned along the way - always with a focus on what really helps against real-world attacks instead of just ticking compliance boxes.################################################# In dieser ersten Folge nehme ich euch mit in unsere Welt und zeige, wie wir die Angriffsfläche im Microsoft-Umfeld sinnvoll reduzieren - von Identitäten, Tenants und Gästen über Endgeräte und Conditional Access bis hin zu klassischem On-Prem-AD. Wir teilen unsere Erfahrungen, unsere Meinung und ein paar schmerzhafte Learnings aus echten Projekten - mit klarem Fokus auf Maßnahmen, die echte Angriffe erschweren, statt nur Häkchen in Audits zu setzen.Chapters: 00:00 - Intro & Rahmen: Reduzierung der Angriffsfläche 03:10 - Was ist Angriffsfläche? Identität, Endpunkt, Daten, Tenant 10:05 - Tenant-Hardening, Gäste, Sharing-Settings & Lifecycle 13:00 - Identitäten, MFA-Rollout, Conditional Access & FIDO/Passwortless 24:55 - Endgeräte: Intune, Least Privilege, Patchen & Endpoint Security 42:40 - On-Prem AD, Hybrid-Identität & Legacy-Infrastruktur als Angriffsfläche 52:53 - Recap & Ausblick auf weitere Folgen (Daten, Insider Risk, Compliance)