Sicherheit

Sicherheit hat nach wie vor höchste Priorität – ein Topthema für Microsoft und jede IT-Infrastruktur. Sicherheit ist bei Windows Server 2008 von Grund auf gegeben: Mit seinem besonders abgesicherten Betriebssystemkern, dem Server Core-Betriebsmodus, und neuen innovativen Sicherheitstechnologien wie dem Netzwerkzugriffsschutz bietet Windows Server 2008 ein Höchstmaß an Sicherheit für das Netzwerk, die Daten und das Unternehmen Ihrer Kunden.

Windows Service Hardening

Windows Server 2008 ist standardmäßig mit sehr restriktiven Einstellungen versehen, um die Sicherheit weiter zu verbessern. Zahlreiche Dienste, die bei früheren Versionen von Haus aus aktiviert waren, sind bei Windows Server 2008 deaktiviert. Windows Service Hardening begrenzt grundlegende Systemdienste auf ihre eigentliche Aufgabe und schützt in hohem Maße davor, dass Malware Dienste für eigene Aktivitäten zweckentfremdet.

Server Core

Bei diesem Betriebsmodus von Windows Server 2008 gibt es weder eine grafische Benutzeroberfläche noch ein vorinstalliertes .NET Framework. Vielmehr werden nur solche Dienste installiert, die für die Ausübung der ausgewählten Funktionsrollen (Dateiserver, DNS, DHCP etc.) erforderlich sind. Da nur rudimentäre Systemdienste und -dateien vorhanden sind, verringert Server Core die potenzielle Angriffsfläche in entscheidendem Maße und erleichtert das Patching.

Windows-Firewall mit erweiterter Sicherheit

Windows Server 2008 beinhaltet die Windows-Firewall mit erweiterter Sicherheit, die sowohl ein- als auch ausgehenden Verkehr untersuchen kann. Verbindungen zu bzw. über bestimmte Ports, Protokolle, Netzwerkadapter oder Dienste/Anwendungen lassen sich mittels Ausnahmeregeln sehr einfach definieren. Die Verwaltung der erweiterten Einstellungen der Windows-Firewall kann wahlweise lokal oder von einem Remote-System aus mittels grafischen MMC-Snap-ins oder über den netsh advfirewall-Kontext von der Befehlszeile aus erfolgen.

Netzwerkzugriffsschutz (Network Access Protection, NAP)

NAP ermöglicht es, nur solchen Servern und Clients Zugang zum Firmennetz zu gewähren, welche die vom Unternehmen aufgestellten Sicherheitsrichtlinien (neue Sicherheitspatchs aufgespielt, aktuelle Virensignaturen vorhanden etc.) erfüllen. Mitarbeiter, die per Notebook oder eigenem Heim-PC auf das Unternehmens-LAN zugreifen möchten, erhalten nur dann Zugang zum Firmennetz, wenn die von ihnen verwendeten Computer das gewünschte Maß an Sicherheit aufweisen. Andernfalls kann eine Umleitung in eine sichere Zone erfolgen, welche die erforderlichen Aktualisierungen bereithält. NAP ist eine offene, erweiterbare Plattform mit Interoperabilität zu NAC von Cisco sowie zur TNC-Spezifikation von TCG.

Erweiterte Terminaldienstsicherheit

Das „TS Gateway“ von Windows Server 2008 ermöglicht autorisierten Remote-Benutzern einen HTTPS-gesicherten Zugang zu Terminalservern über Internet und NAT-Router. Über die „TS RemoteAPP“-Funktion, die auf einem Terminalserver laufende Anwendungen in einem Programmfenster wie eine lokale Anwendung bereitstellt, lässt sich der Remote-Zugang von Benutzern, Partnern und Kunden gezielt auf eine einzige Anwendung begrenzen, ohne dass jeweils ein kompletter Desktop bereitgestellt werden muss.

BitLocker-Festplattenverschlüsselung

Diese Funktion verschlüsselt die auf der Festplatte des Servers gespeicherten Informationen und legt die dazu verwendeten Verschlüsselungsdaten in einem auf dem Server-Mainboard enthaltenen TPM-(Trusted Platform Module-)Sicherheitschip ab (alternativ ist die Verwendung eines USB-Sticks möglich). BitLocker verhindert, dass Unbefugte den Inhalt der Festplatte durch Starten des PCs mit einem anderen Betriebssystem oder nach Einbau in einen anderen Computer einsehen können. BitLocker eignet sich somit ideal zum Schutz von Servern, deren Standort (z.B. Zweigstellen) physikalisch nur eingeschränkt abgesichert ist.

Active Directory Rights Management Services (AD RMS)

Dieses digitale Rechtemanagement von Windows Server 2008 ermöglicht es Unternehmern, die in Dokumenten, E-Mails und Websites enthaltenen sensitiven Geschäftsinformationen wirksam davor zu schützen, in falsche Hände zu gelangen. Über AD RMS können die für die jeweiligen Inhalte Verantwortlichen exakt festlegen, wie Empfänger diese Informationen verwenden dürfen (öffnen, verändern, ausdrucken, weiterleiten etc.) und ob es dafür ein Ablaufdatum gibt. Diese für den Benutzer transparente Funktion arbeitet nahtlos mit AD RMS-fähigen Anwendungen wie Microsoft Office 2007 und dem Microsoft Internet Explorer zusammen.

Zentrale Sperrung bestimmter Hardwaregerätetypen über Gruppenrichtlinien

Über Gruppenrichtlinien können Administratoren die Verwendung bestimmter Hardwaregeräte und –gerätetypen (etwa USB-Flash-Laufwerke) verbieten. Damit steht Unternehmen ein effektives Verfahren zur Verfügung, um den Datenklau z.B. per USB-Stick zu verhindern: Windows Server 2008 verhindert somit, dass betreffende Geräte auf Client- oder Servercomputern installiert werden können.

Read-Only Domain Controller (RODC)

Hierbei handelt es sich um einen neuen Domänencontroller-Betriebsmodus von Windows Server 2008, der nur lesende Zugriffe auf die Domäne gestattet. Änderungen lassen sich somit nicht in das übrige Active Directory des Unternehmens übertragen. Standardmäßig speichert ein RODC keine Benutzer/Computer-Kennwörter, und dank der Rollenseparation besitzen RODC-Administratoren keine Berechtigung zur Verwaltung anderer Active Directory-Domäncontroller im Unternehmen. RODCs eignen sich ideal zur gefahrlosen Bereitstellung von Active Directory-Funktionalität in Zweigstellen, in denen die physikalische Sicherheit der Domänencontroller nicht gewährleistet ist.

Active Directory Certificate Services (AD CS)

Die AD CS von Windows Server 2008 stellen umfangreiche, individuell anpassbare Dienste zur Erstellung und Verwaltung einer leistungsfähigen Public Key Infrastructure (PKI) bereit. Mit Hilfe der AD CS können Ihre Kunden Sicherheitszertifikate in ihrer IT-Umgebung verwenden, indem die Identität einer Person, eines Geräts oder Dienstes mit einem dazugehörigen privaten Schlüssel verbunden wird. AD CS weist zahlreiche Neuerungen bei der Verwaltung sowie im Hinblick auf die Ausstellung und den Widerruf von Zertifikaten auf, die die Flexibilität und Skalierbarkeit der PKI-Lösung entscheidend verbessern.