M 4.408 Übersicht über neue, sicherheitsrelevante Funktionen in Windows Server 2008
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Die Einführung von Windows Server 2008 brachte durch die minimale Standard-Installation des Betriebssystems eine erhebliche Verbesserung der grundlegenden Sicherheit, da nach erfolgter Basisinstallation nur die wirklich erforderlichen Dienste aktiviert und konfiguriert werden müssen. Darüber hinaus wurden weitere sicherheitsrelevante Werkzeuge und Funktionen mit Windows Server 2008 entwickelt oder freigegeben.
Die folgende Übersicht zeigt die wesentlichen, sicherheitsrelevanten Neuerungen von Windows Server 2008 auf und verweist auf Maßnahmen mit näheren Einzelheiten.
Server-Manager
Der Server-Manager stellt das zentrale Verwaltungstool eines Windows Server 2008 dar. Über ihn lassen sich Rollen oder Features konfigurieren, die Firewall administrieren und Dienste verwalten. Teilweise sind die aufgeführten Konfigurationen auch über den Sicherheitskonfigurations-Assistenten (SCW) möglich, der seit Windows Server 2008 integraler Bestandteil des Systems ist.
Server Core Installation
Der Server Core stellt ein minimales, weitestgehend ohne grafische Oberfläche auskommendes System dar. Die Vorteile eines Server Core sind:
- Die notwendige Softwarewartung wird reduziert.
- Der notwendige Verwaltungsaufwand wird reduziert.
- Es existiert nur noch eine reduzierte Angriffsfläche des Systems.
Weitere Informationen zu den Besonderheiten des Server Core finden sich in M 4.416 Einsatz von Windows Server Core .
Autorisierungs-Manager
Der Autorisierungs-Manager bietet eine rollenbasierte Sicherheitsarchitektur für Windows-Systeme und -Applikationen und wurde unter Windows Server 2008 weiter entwickelt. Er bekommt insbesondere bei der Verwaltung des Hyper-V eine besondere Bedeutung, da dort gegebenenfalls eine auf Rollen aufsetzende Trennung der Administration von Host- und Gastsystemen erfolgt (siehe M 2.490 Planung des Einsatzes von Virtualisierung mit Hyper-V ).
BitLocker-Laufwerkverschlüsselung
Die mit Windows Vista eingeführte BitLocker-Laufwerkverschlüsselung ist nun auch unter Windows Server 2008 einsetzbar (siehe M 4.337 Einsatz von BitLocker Drive Encryption ).
Verschlüsselndes Dateisystem
Ab Windows Server 2008 wurden folgende Neuerungen für die Nutzung von EFS eingeführt:
- Speicherung des Verschlüsselungszertifikats auf einer Chipkarte
- Verschlüsselung von Dateien auf Benutzerbasis im clientseitigen Cache
- Weitere Gruppenrichtlinienoptionen
Weitere Informationen zu EFS finden sich in M 4.147 Sichere Nutzung von EFS unter Windows .
Benutzerkontensteuerung
Die Benutzerkontensteuerung ist seit Windows Server 2008 auch auf Server-Systemen einsetzbar (siehe M 4.340 Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista ).
AppLocker
Mit der Einführung von Windows Server 2008 R2 wurden die zuvor eingesetzten Softwareeinschränkungsrichtlinien durch AppLocker ersetzt. Damit lassen sich Zugriffe auf Dateien steuern, die Ausführung von bestimmten Dateitypen wie .exe oder .bat unterbinden und der Aufruf von DLLs verhindern (siehe M 4.419 Anwendungssteuerung ab Windows 7 mit AppLocker ).
Active Directory
Innerhalb des Active Directory wurden zahlreiche Neuerungen eingeführt. Zu den wichtigsten gehören:
- Active Directory-Dienste sind als dedizierte Rolle installierbar. Eine minimale Installation des Active Directory oder die Verteilung einzelner Rollen des AD auf eigenständige Systeme ist somit möglich.
- Read-Only Domain Controller (RODC), der als System mit nur lesendem Zugriff auf das Active Directory eingeführt wurde.
- Verwaltete Dienstkonten zur zentralen Verwaltung von Diensten und Passwörtern über das Active Directory, oder durch die Nutzung von Verwalteten lokalen Konten sind hinzugekommen.
- Die Kennwort- und Kontosperrungsrichtlinien lassen sich granular konfigurieren, um Passwortrichtlinien innerhalb einer Domäne besser anzupassen.
Weitere Details hierzu sind in den Maßnahmen M 4.414 Überblick über Neuerungen für Active Directory ab Windows Server 2008 und M 4.284 Umgang mit Diensten ab Windows Server 2003 beschrieben.
Windows-Firewall mit erweiterter Sicherheit
Die sogenannte Hostfirewall eines Windows Server 2008 ist nach erfolgter Installation per Standard aktiviert und blockiert eingehende und gegebenenfalls ausgehende Verbindungen.
Sie arbeitet zustandsorientiert und filtert alle IP v4- und IPv6-Verbindungen. Anwendungen mit Netzkommunikation können durch die Administratoren einzeln freigegeben oder blockiert werden.
Bei Rollenänderungen des Servers oder der Aktivierung von Features werden die erforderlichen Ports oder Protokolle automatisch in den Regelwerken freigeschaltet.
DirectAccess
Die in M 4.411 Sichere Nutzung von DirectAccess unter Windows ausführlich dargestellte VPN-Technologie bietet eine integrierte Lösung, um sicher auf freigegebene Ressourcen innerhalb einer Windows Server 2008-R2-Umgebung zuzugreifen.
Es ist zu beachten, dass nur die beiden Versionen Enterprise und Ultimate von Windows 7 in der Lage sind, auf Ressourcen zuzugreifen, die durch einen DirectAccess-Server unter Windows Server 2008 R2 freigegeben wurden.
Netzwerkzugriffsschutz
Der Netzwerkzugriffsschutz ist eine neue Technik, die mit Windows Server 2008 und Windows Vista eingeführt wurde. Über den Netzwerkzugriffsschutz lassen sich zentrale Regelwerke definieren, mit denen sich der Zugriff auf das Netz absichern lässt.
Weitere Informationen zu NAP finden sich in M 4.410 Einsatz von Netzwerkzugriffsschutz unter Windows .
Neues in der Windows-Sicherheitsüberwachung
Mit Einführung des Windows Server 2008 und Windows Vista wurden grundlegende Veränderungen an der Sicherheitsüberwachung vorgenommen.
Wesentliche Veränderungen sind in M 2.489 Planung der Systemüberwachung unter Windows Server 2008 ausführlich dargestellt:
- Änderung des Protokollformats in ein XML -basiertes Format,
- Einführung einer neuen Nummerierung der Ereignis-IDs,
- die Möglichkeit zum Sammeln von Ereignissen auf einem zentralen Windows System.
Darüber hinaus wurden mit der Einführung von Windows Server 2008 R2 und Windows 7 weitere Ergänzungen vorgenommen, die nur auf diesen beiden Versionen nutzbar sind:
- Globale Objektzugriffsüberwachung
Über sogenannte Systemzugriff-Steuerungslisten (System Access Control Lists, SACLs) können die Zugriffe auf besonders schützenswerte Dateien oder Ordner überwacht werden. Dies ist hilfreich bei der Überprüfung, ob alle kritischen Daten eines Systems durch adäquate Rechte geschützt sind. - Darstellung von Zugriffssteuerungseinträgen
Über Listen mit Zugriffssteuerungseinträgen (Access Control Entries, ACEs) können die effektiven Rechte Zulassen oder Verweigern für ein Objekt dargestellt werden. Dadurch können beispielsweise die effektiven Gruppenmitgliedschaften und Zugriffsrechte eines überwachten Objektes angezeigt werden. - Erweiterte Einstellungsmöglichkeiten für die Überwachungsrichtlinien
Die mit Windows Server 2008 und Windows Vista eingeführten 53 neuen Kategorien erweitern die neun grundlegenden Überwachungseinstellungen in den Lokalen Richtlinien bzw. Überwachungsrichtlinien. Mit Windows Server 2008 R2 und Windows 7 können diese über die Überwachungsfunktionen in den Gruppenrichtlinien verwaltet werden. Die Nutzung eigener Skripte oder des Tools Auditpol.exe ist nicht mehr notwendig.
Neues in den Gruppenrichtlinien
Aufgrund des Zusammenspiels und der nahen Verwandtschaft von Windows Server 2008 (R2), Windows Vista und Windows 7 gelten die in Maßnahme M 2.326 Planung der Windows XP, Vista und Windows 7 Gruppenrichtlinien ausführlich aufgeführten Neuerungen auch für Windows-Server-Systeme ab Version 2008. Es folgt eine kurze Übersicht der wesentlichen Neuerungen ab Windows Server 2008:
- Einführung neuer Kategorien für die Richtlinienverwaltung
- Neues Format und neue Funktionalität von administrativen Vorlagendateien (ADMX, siehe auch Maßnahme M 2.368 Umgang mit administrativen Vorlagen unter Windows ab Server 2003 )
- Neue Starter-Gruppenrichtlinienobjekte (GPOs, siehe M 2.491 Nutzung von Rollen und Sicherheitsvorlagen unter Windows Server 2008 )
- Möglichkeit zur Nutzung von Kommentaren für GPOs und die Richtlinieneinstellungen
Darüber hinaus wurde mit Windows Server 2008 R2 folgendes eingeführt:
- Nutzung der Windows PowerShell Commandlets für Gruppenrichtlinien,
- Verbesserung der vorhandenen Starter-Gruppenrichtlinienobjekte,
- Neue Benutzeroberfläche und zusätzliche Richtlinieneinstellungen zur Verwaltung der administrativen Vorlagen.