M 4.408 Übersicht über neue, sicherheitsrelevante Funktionen in Windows Server 2008

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Einführung von Windows Server 2008 brachte durch die minimale Standard-Installation des Betriebssystems eine erhebliche Verbesserung der grundlegenden Sicherheit, da nach erfolgter Basisinstallation nur die wirklich erforderlichen Dienste aktiviert und konfiguriert werden müssen. Darüber hinaus wurden weitere sicherheitsrelevante Werkzeuge und Funktionen mit Windows Server 2008 entwickelt oder freigegeben.

Die folgende Übersicht zeigt die wesentlichen, sicherheitsrelevanten Neuerungen von Windows Server 2008 auf und verweist auf Maßnahmen mit näheren Einzelheiten.

Server-Manager

Der Server-Manager stellt das zentrale Verwaltungstool eines Windows Server 2008 dar. Über ihn lassen sich Rollen oder Features konfigurieren, die Firewall administrieren und Dienste verwalten. Teilweise sind die aufgeführten Konfigurationen auch über den Sicherheitskonfigurations-Assistenten (SCW) möglich, der seit Windows Server 2008 integraler Bestandteil des Systems ist.

Server Core Installation

Der Server Core stellt ein minimales, weitestgehend ohne grafische Oberfläche auskommendes System dar. Die Vorteile eines Server Core sind:

Weitere Informationen zu den Besonderheiten des Server Core finden sich in M 4.416 Einsatz von Windows Server Core.

Autorisierungs-Manager

Der Autorisierungs-Manager bietet eine rollenbasierte Sicherheitsarchitektur für Windows-Systeme und -Applikationen und wurde unter Windows Server 2008 weiter entwickelt. Er bekommt insbesondere bei der Verwaltung des Hyper-V eine besondere Bedeutung, da dort gegebenenfalls eine auf Rollen aufsetzende Trennung der Administration von Host- und Gastsystemen erfolgt (siehe M 2.490 Planung des Einsatzes von Virtualisierung mit Hyper-V).

BitLocker-Laufwerkverschlüsselung

Die mit Windows Vista eingeführte BitLocker-Laufwerkverschlüsselung ist nun auch unter Windows Server 2008 einsetzbar (siehe M 4.337 Einsatz von BitLocker Drive Encryption).

Verschlüsselndes Dateisystem

Ab Windows Server 2008 wurden folgende Neuerungen für die Nutzung von EFS eingeführt:

Weitere Informationen zu EFS finden sich in M 4.147 Sichere Nutzung von EFS unter Windows.

Benutzerkontensteuerung

Die Benutzerkontensteuerung ist seit Windows Server 2008 auch auf Server-Systemen einsetzbar (siehe M 4.340 Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista).

AppLocker

Mit der Einführung von Windows Server 2008 R2 wurden die zuvor eingesetzten Softwareeinschränkungsrichtlinien durch AppLocker ersetzt. Damit lassen sich Zugriffe auf Dateien steuern, die Ausführung von bestimmten Dateitypen wie .exe oder .bat unterbinden und der Aufruf von DLLs verhindern (siehe M 4.419 Anwendungssteuerung ab Windows 7 mit AppLocker).

Active Directory

Innerhalb des Active Directory wurden zahlreiche Neuerungen eingeführt. Zu den wichtigsten gehören:

Weitere Details hierzu sind in den Maßnahmen M 4.414 Überblick über Neuerungen für Active Directory ab Windows Server 2008 und M 4.284 Umgang mit Diensten ab Windows Server 2003 beschrieben.

Windows-Firewall mit erweiterter Sicherheit

Die sogenannte Hostfirewall eines Windows Server 2008 ist nach erfolgter Installation per Standard aktiviert und blockiert eingehende und gegebenenfalls ausgehende Verbindungen.

Sie arbeitet zustandsorientiert und filtert alle IPv4- und IPv6-Verbindungen. Anwendungen mit Netzkommunikation können durch die Administratoren einzeln freigegeben oder blockiert werden.

Bei Rollenänderungen des Servers oder der Aktivierung von Features werden die erforderlichen Ports oder Protokolle automatisch in den Regelwerken freigeschaltet.

DirectAccess

Die in M 4.411 Sichere Nutzung von DirectAccess unter Windows ausführlich dargestellte VPN-Technologie bietet eine integrierte Lösung, um sicher auf freigegebene Ressourcen innerhalb einer Windows Server 2008-R2-Umgebung zuzugreifen.

Es ist zu beachten, dass nur die beiden Versionen Enterprise und Ultimate von Windows 7 in der Lage sind, auf Ressourcen zuzugreifen, die durch einen DirectAccess-Server unter Windows Server 2008 R2 freigegeben wurden.

Netzwerkzugriffsschutz

Der Netzwerkzugriffsschutz ist eine neue Technik, die mit Windows Server 2008 und Windows Vista eingeführt wurde. Über den Netzwerkzugriffsschutz lassen sich zentrale Regelwerke definieren, mit denen sich der Zugriff auf das Netz absichern lässt.

Weitere Informationen zu NAP finden sich in M 4.410 Einsatz von Netzwerkzugriffsschutz unter Windows.

Neues in der Windows-Sicherheitsüberwachung

Mit Einführung des Windows Server 2008 und Windows Vista wurden grundlegende Veränderungen an der Sicherheitsüberwachung vorgenommen.

Wesentliche Veränderungen sind in M 2.489 Planung der Systemüberwachung unter Windows Server 2008 ausführlich dargestellt:

Darüber hinaus wurden mit der Einführung von Windows Server 2008 R2 und Windows 7 weitere Ergänzungen vorgenommen, die nur auf diesen beiden Versionen nutzbar sind:

Neues in den Gruppenrichtlinien

Aufgrund des Zusammenspiels und der nahen Verwandtschaft von Windows Server 2008 (R2), Windows Vista und Windows 7 gelten die in Maßnahme  M 2.326 Planung der Windows XP, Vista und Windows 7 Gruppenrichtlinien ausführlich aufgeführten Neuerungen auch für Windows-Server-Systeme ab Version 2008. Es folgt eine kurze Übersicht der wesentlichen Neuerungen ab Windows Server 2008:

Darüber hinaus wurde mit Windows Server 2008 R2 folgendes eingeführt: