Professionellere Funktionen
Windows Server 2008 Security
Microsoft hat den neuen Windows Server 2008 mit einer Reihe von Sicherheits-Features ausgestattet, die der Vorgänger Windows Server 2003 nicht bietet. Die Verbesserungen betreffen dabei nicht allein das erreichbare Sicherheits-Level, sondern auch die Bedienbarkeit der Funktionen.
Der Kernel des Betriebssystems wird unter Windows Server 2008 besser geschützt. Microsoft hat
die Anzahl der Komponenten, die im Kernel-Modus betrieben werden, deutlich reduziert. Dadurch
werden Kernel-Abstürze, die auch zum Absturz des Servers führen, verhindert. Die meisten Dienste
laufen jetzt im Kontext des Benutzers, so dass Abstürze nicht mehr das komplette System gefährden
können.
Die Berechtigungsstufen der Dienste hat der Hersteller im Vergleich zu Windows Server 2003
deutlich eingeschränkt. Dienste laufen nicht mehr mit maximaler, sondern nur mit minimalen
Berechtigungen. Außerdem werden die Dienste durch die Windows-Firewall geschützt und begrenzt. Dies
hindert Systemdienste daran, Manipulationen am Dateisystem und der Registry durchzuführen. Wird ein
Dienst kompromittiert, kann er nicht mehr auf der Basis zu umfangreicher Rechte ein ganzes System
oder gar Netzwerk angreifen. DLLs und Dienste validiert das System beim Starten. Dazu erstellt
Windows Server 2008 einen Hash-Wert, der durch ein X.509-Zertifikat geschützt ist. Stellt der
Server beim Starten fest, dass der Hash-Wert nicht mit den tatsächlichen Daten des Dienstes oder
der DLL übereinstimmt, wird die entsprechende Funktion blockiert.
Verbesserte Firewall
Die neue Windows-Firewall kann neben dem eingehenden auch den ausgehenden Netzwerkverkehr
überwachen. Ein Netzwerkadministrator kann Ausnahmen konfigurieren, die alle an bestimmte Ports
gesendeten Pakete blockieren. Standardmäßig stoppt die Firewall des Windows Servers 2008 jeglichen
eingehenden Netzwerkverkehr – es sei denn, er erfolgt aufgrund von Anfragen oder es wurde eine
Ausnahme konfiguriert. Die meisten Serverrollen tragen ihre Ausnahmen automatisch ein.
Intelligentere Regeln eingebaut
Die Regeln der Windows-Firewall wurden intelligenter gestaltet. Es kann genau festgelegt werden,
welche Komponenten und Dienste nach extern kommunizieren dürfen. Unter Windows Server 2008 lassen
sich auch komplexe Regeln erstellen. Regeln können mit Authentifizierung arbeiten und für bestimmte
Kommunikationsarten Verschlüsselung vorschreiben.
Außerdem ist es dem Administrator nun möglich, Regeln auch auf Basis von
Active-Directory-Gruppen oder -Benutzern zu erstellen.
Die Firewall in Windows Server 2008 ist im Gegensatz zu der in Windows Server 2003 automatisch
aktiviert. Des Weiteren gibt es ein neues Snap-in für die Microsoft Management Console
(wf.msc).
Verbessertes und integriertes IPSec
Unter Windows Server 2003 war die Einrichtung von IPSec für den Administrator noch eine äußerst
komplexe Angelegenheit. Die Integration der IPSec-Verwaltung in die neue Firewall-Konsole
vereinfacht diese Konfiguration nun enorm. Die Konflikte und der Aufwand für die Koordination
zwischen beiden Technologien werden spürbar verringert.
IPSec läuft unter Windows Server 2008 effektiver als unter den früheren Versionen. Wird IPSec in
der neuen Version aktiviert, sendet der entsprechende Server sofort Pakete auf diesem Kanal.
Antwortet der empfangende Server ebenfalls mit IPSec, aktivieren beide die Verschlüsselung des
Datenverkehrs untereinander. Unterstützt der empfangende Server aber kein IPSec, wird der
Datenverkehr eben nicht per Kryptografie geschützt. So muss IPSec nicht gezwungenermaßen für alle
Server aktiviert werden.
Der interessante Punkt ist nun, dass der verschlüsselte und unverschlüsselte Datenverkehr
parallel stattfinden. Windows Server 2003 verschickte erst IPSec-Pakete, wartete dann drei Sekunden
und sendete erst danach die unverschlüsselten Pakete. So konnten starke Performance-Probleme
auftreten, die durch das gleichseitige Versenden der Pakete in Windows Server 2008 vermieden
werden. Server können auf diese Weise IPSec-Verkehr unterstützen, müssen ihn aber nicht mehr
zwingend voraussetzen. So wird jeweils automatisch die jeweils sicherste leistungsfähige Verbindung
hergestellt, die zwischen den beteiligten Knoten aufgebaut werden kann.
Im Bereich Authentifizierung hat IPSec unter Windows bisher nur Internet Key Exchange (IKE)
unterstützt. Windows Vista und Windows Server 2008 unterstützen eine neue Funktion, die "
Authenticated IP (AuthIP)" genannt wird. Diese neue Funktion unterstützt mehr
Authentifizierungsfunktionen als IKE, zum Beispiel die Gültigkeit von Zertifikaten die Bestandteil
der neuen Network Access Protection (NAP) sind.
Sichere Client-Anbindung: Netzwerkzugriffschutz
Ein weiteres neues Sicherheits-Feature stellt der Netzwerkzugriffsschutz NAP dar. Es erlaubt den
Anwendern, anhand von Policies sicherzustellen, dass nur solche Clients aufs Firmennetz zugreifen
können, die vorgegebene Sicherheitskriterien einhalten. In Vista und Windows Server 2008 hat
Microsoft die benötigte Client-Software bereits integriert, für Windows XP SP2 oder Windows Server
2003 existiert eine separat zu installierende Version. In Service Pack 3 für Windows XP ist dieser
Client integriert.
Ein NAP-Server kann feststellen, ob Remote-PCs, die über ein VPN Verbindung mit dem Firmennetz
herstellen möchten, die Sicherheitsrichtlinien des Unternehmens einhalten. Trifft dies nicht zu,
lehnt der VPN-Server die Verbindung ab. Außerdem kann der Netzwerkzugriffsschutz ermitteln, ob ein
im LAN befindlicher Computer die gesetzten Sicherheitskriterien erfüllt, und ihm auf dieser Basis
Zugang zum Firmennetz gewähren oder verweigern. Auch DHCP-Server, Switches und Terminalserver
unterstützen diese Funktion.
Microsoft NAP prüft außerdem, ob Sicherheits-Patches aufgespielt sind und ob auf dem Computer
eine Antiviren- und Anti-Spyware-Software läuft. Erfüllt ein Client diese Kriterien nicht, weist
NAP ihn ab oder leitet ihn in eine funktional eingeschränkte Umgebung um. Die Clients können dort
von einem FTP- oder WSUS-Server (Windows Server Updates Services) Aktualisierungen herunterladen
und aufspielen, um ihre Sicherheitskonfiguration auf neuesten Stand zu bringen und so die
Zugangsvoraussetzungen zu erfüllen.
Ein weiteres wichtiges Sicherheits-Feature ist die DHCP-Erzwingung. DHCP-Server können damit
Richtlinien für Integritätsanforderungen durchsetzen, wenn ein Computer im Netzwerk eine
IP-Adresskonfiguration leasen oder erneuern will. Mithilfe der 802.1X-Erzwingung weist ein
Netzwerkrichtlinienserver (Network Policy Server, NPS) über NAP einen 802.1X-basierten
Zugriffspunkt (ein Ethernet-Switch oder ein drahtloser Zugriffspunkt) an, für den 802.1X- Client so
lange ein eingeschränktes Zugriffsprofil zu verwenden, bis eine Reihe verschiedener
Korrekturfunktionen ausgeführt wurden. Die 802.1X-Erzwingung bietet einen sicheren eingeschränkten
Netzwerkzugriff für all jene Computer, die via 802.1X-Verbindung auf das Netzwerk zugreifen.
Nützlich ist außerdem: Microsoft NAP ist zu Ciscos "Network Admission Control" (NAC) kompatibel.
Cisco und Microsoft führen gemeinsame Produkttests durch und entwickeln ihre Ansätze in Kooperation
weiter.
Der NAP-Client in Windows Vista unterstützt Cisco NAC direkt. Hier ist also kein weiterer Client
zu installieren.
Windows Update wiederum unterstützt auch die Cisco-EAP-Module (Extensible Authentication
Protocol). Cisco ist aber nicht das einzige Unternehmen, das auf NAP-Kompatibilität setzt – dies
gilt auch für zahlreiche andere Anbieter wie zum Beispiel Nortel oder Juniper.
Microsoft plant eine direkte Verbindung zwischen Forefront Client Security und NAP in Windows
Server 2008. Der NAP-Server kann dann feststellen, ob der Virenschutz eines Clients die neusten
Update-Files bekommen hat. Ausgehend von diesen Informationen kann er dann Netzwerkrichtlinien
durchsetzen, nach denen der Client entweder isoliert wird oder gar nicht erst eine Verbindung zum
Netzwerk bekommt. Möglich ist auch, eine sofortige Aktualisierung durchzusetzen. Findet Forefront
Client Security auf einem Client Viren, besteht auch die Möglichkeit, den betroffenen Computer im
laufenden Betrieb vom Netzwerk abzuschotten. So lässt sich effektiv verhindern, dass ungeschützte
Clients ganze Netzwerke verseuchen. Der Einsatz von NAP hat nicht zur Vorbedingung, dass das ganze
Netzwerk auf Windows Server 2008 umgestellt wird. Ein Mischbetrieb mit Windows Server 2003 ist ohne
Weiteres möglich.
Sicheres Active Directory
Windows Server 2008 weist einen neuen Domänen-Controller-Typ mit der Bezeichnung Read-Only
Domain Controller (RODC) auf. Seine Funktionen sind auf die Bedürfnisse von Unternehmen
zugeschnitten, die die Sicherheit von Außenstellen garantieren müssen. Beim RODC wird auf dem
Domänen-Controller ein Replikat der Active-Directory-Datenbank gespeichert, die keinerlei
Änderungen annimmt. Schreibende Domänen-Controller stellen keine Replikationsverbindung zu RODCs
her, weil eine Replikation nur von normalen DCs zu RODCs erfolgen kann. Durch diese neue Funktion
lassen sich Domänen-Controller auch in kleineren Niederlassungen betreiben, ohne dass dafür Lücken
ins Sicherheitskonzept des Unternehmens gerissen werden müssen. Ein RODC erschwert das
Ausspionieren von Kennwörtern im Active Directory deutlich. Dieser Typ des Domänen-Controllers
kennt zwar alle Objekte im Active Directory, speichert aber nur Kennwörter von Benutzer, die
explizit dort abgelegt werden. Bringt ein Angreifer einen solchen DC in seine Gewalt und versucht,
Passwörter aus der Datenbank des Controllers auszulesen, bleiben die Konten der restlichen Domäne
geschützt. Außerdem können in einem Durchgang alle Konten, die auf den RODC repliziert waren, zur
sofortigen Kennwortänderung gezwungen werden.
Auch wenn diese Rolle ähnliche Funktionen hat wie ein Backup Domänen-Controller (BDC) unter
Windows NT 4.0, hat sie nichts mit dieser alten Funktion gemeinsam, sondern ist eine komplette
Neuentwicklung. Es kann explizit gesteuert werden, welche Rechte der Domänen-Controller im Active
Directory hat und welche nicht. Auch die Daten, die zu den RODC synchronisiert werden, können
explizit ausgewählt werden. Der Server enthält nur die Daten, die er braucht. Ein Read-Only-DNS
nimmt nur Änderungen von DNS-Servern entgegen und akzeptiert selbst keine Änderungen. Ein Read-Only
DNS steht außerdem für Benutzer als DNS-Server für Abfragen zur Verfügung, unterstützt aber keine
dynamische DNS-Registrierung. Versucht sich ein Client zu registrieren, erhält er vom DNS-Server
eine Rückinfo, dass keine Aktualisierung akzeptiert wird.
Unter Windows Server 2008 können in einer Domäne mehrere Richtlinien für Kennwörter definiert
werden, sodass besonders sensiblen Bereichen des Unternehmens komplexere Kennwörter zugewiesen
werden als anderen. Kennwortrichtlinien lassen sich einzelnen OUs (Organizational Units) zuweisen.
Unter Windows Server 2003 darf es für eine Domäne immer nur eine Kennwortrichtlinie geben.
Nur das Nötigste: Core-Server
Windows Server 2008 lässt sich auch als Core-Version installieren, als "Windows ohne Windows".
In diesem Fall fehlt die grafische Benutzeroberfläche. Startmenü, Systemsteuerung und Snap-ins für
die MMC entfallen. Es besteht aber die Möglichkeit, einen solchen Server über das Netzwerk mit den
Snap-ins auf anderen Servern zu verwalten.
Die Core-Installation dient der Installation eines Servers, der nur spezielle Serverrollen
annehmen kann. Dazu gehören die Rollen "Dateiserver", "Druckserver", "Streaming Media Services", "
Domänencontroller", "Active Directory Lightweight Directory Services", "DNS-Server" und "
DHCP-Server". Alle anderen Rollen können auf einem Core-Server nicht installiert werden. Weil nur
die notwendigen Komponenten installiert werden, erhöht sich die Sicherheit, denn es kann kein
Angriff auf unnötige Funktionen stattfinden. Die Stabilität des Servers steigt, weil nicht
benötigte Komponenten keinen Absturz verursachen können. Die Installation benötigt außerdem
erheblich weniger Platz.
Der neue sichere Webserver
Mit Windows Server 2008 wird auch die neue Version 7.0 des Webservers mit der Bezeichnung "
Internetinformationsdienste" (Internet Information Services, IIS) ausgeliefert. Auch hier wurden
viele Sicherheitsoptimierungen vorgenommen. Der Kernel führt beispielsweise eine serverseitige
Authentifizierung durch. Bislang veranlassten die einzelnen Serveranwendungen eigene
Authentifizierungen. Serveranwendungen können unter Windows Server 2008 mit geringer privilegierten
Konten ausgeführt werden, was die Sicherheit deutlich erhöht.
Module um einen gesicherten Kern
Um einen kleinen Webserverkern herum gruppieren sich beim IIS 7.0 mehr als 40 IIS-Module für
Konfiguration, Netzwerkprotokolle, Protokollierung, Authentifizierungsverfahren und Diagnose. Neben
den Anwendungsentwicklungs-Frameworks wie ASP, ASP Dotnet, CGI und ISAPI kann IIS 7.0 auch in den
Bereichen HTTP-Features, Diagnose, Sicherheit und Verwaltungswerkzeuge selektiv konfiguriert
werden. An Authentifizierungsverfahren sind etwa "Basic", "Windows", "Digest" und "Zertifikate"
wählbar. Bei den Managementdiensten steht zur Wahl, ob eine Fernverwaltung des IIS über einen
Managementservice erlaubt sein soll.
Reduzierte Angriffsflächen
Im Hinblick auf Sicherheit reduziert dieses Konzept die Angriffsfläche und erhöht die Sicherheit
des Webservers. IIS 7.0 reift auf das Dotnet-basierte Konfigurationssystem zurück. Im
Internetinformationsdienste-Manager können die einzelnen Authentifizierungsprotokolle für den
kompletten Server aktiviert oder deaktiviert werden. So wird sichergestellt, dass die einzelnen
Serveranwendungen nur genau die Authentifizierungsmaßnahmen verwenden können, die das Unternehmen
zulässt.
IIS 7 bietet bessere Delegations- und Konfigurationsmöglichkeiten für die Verwaltung von
einzelnen Webseiten oder des kompletten Servers. Wer Webseiten oder Anwendungen administriert, muss
nicht zwangsläufig auch die Rechte eines Administrators für den kompletten Server bekommen.
Serverrollen und -funktionen
Microsoft hat die verschiedenen Rollen eines Windows-Servers in so genannte Serverrollen
aufgeteilt, die einzeln auf einem Server installiert werden. Auf einem Windows-Server werden
dadurch nur noch exakt die Komponenten installiert, die der Anwender auch wirklich benötigt. Hier
lässt sich Windows Server 2008 also wesentlich granularer installieren als Windows Server 2003.
Dies hat den Vorteil, dass durch Minimalinstallationen mögliche Angriffe auf nicht benötige
Funktionen oder Rollen unterbunden werden.
Will ein Administrator das Anstecken von USB-Sticks unterbinden, muss er in Zukunft nicht mehr
den gesamten USB-Port eines Servers oder PCs sperren. Microsoft hat die Unterstützung von
USB-Sticks beim Windows Server 2008 in den Gruppenrichtlinien verankert. Das Serverbetriebssystem
und Windows Vista arbeiten mit so genannten "Geräte-Identifikations-Strings" und "
Geräte-Setup-Klassen", um angeschlossene Hardware zu identifizieren. Sobald ein Anwender einen
USB-Stick mit einem PC verbindet, startet die Identifizierungsroutine. Windows installiert einen
Treiber, um das jeweilige Gerät ansprechen zu können.
Steuerung der Anbindung von USB-Sticks
Genau diese Technik verwenden die neuen Gruppenrichtlinien, um die angeschlossenen Geräte auch
zu konfigurieren. Jedes USB-Gerätes gibt beim Anschluss nämlich auch ausführliche generische
Informationen frei, die Windows Server 2008 und Windows Vista die Möglichkeit geben, einzelne
Funktionen zu identifizieren. Dies ermöglicht es, die Installation von Geräten zu verhindern, deren
Funktionsumfang nicht den Richtlinien des Unternehmens entspricht.
Bitlocker Laufwerksverschlüsselung
Bitlocker dient der kompletten Verschlüsselung von Partitionen. Die Hauptaufgabe von Bitlocker
ist es, den Diebstahl von Unternehmensdaten zu verhindern. Selbst wenn ein Server gestohlen wird,
zum Beispiel in einer kleineren Niederlassung, kann auf seine Daten nicht zugegriffen werden, wenn
diese zuverlässig verschlüsselt wurden. Bei Windows Vista mit SP1 und Windows Server 2008 können
alle Partitionen des Computers mit Bitlocker verschlüsselt werden, nicht nur die Systempartition.
Die Verschlüsselung erfolgt sektorbasiert. Die Basis der Bitlocker-Verschlüsselung stellt der "Full
Volume Encryption Key (FVEK)" dar, der die Daten direkt auf der Festplatte verschlüsselt. Bitlocker
unterstützt derzeit Schlüssel mit 128 bis 512 Bit.
Lesen Sie mehr zum Thema
