Bundesamt für Sicherheit in der Informationstechnik

M 4.408 Übersicht über neue, sicherheitsrelevante Funktionen in Windows Server 2008

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Einführung von Windows Server 2008 brachte durch die minimale Standard-Installation des Betriebssystems eine erhebliche Verbesserung der grundlegenden Sicherheit, da nach erfolgter Basisinstallation nur die wirklich erforderlichen Dienste aktiviert und konfiguriert werden müssen. Darüber hinaus wurden weitere sicherheitsrelevante Werkzeuge und Funktionen mit Windows Server 2008 entwickelt oder freigegeben.

Die folgende Übersicht zeigt die wesentlichen, sicherheitsrelevanten Neuerungen von Windows Server 2008 auf und verweist auf Maßnahmen mit näheren Einzelheiten.

Server-Manager

Der Server-Manager stellt das zentrale Verwaltungstool eines Windows Server 2008 dar. Über ihn lassen sich Rollen oder Features konfigurieren, die Firewall administrieren und Dienste verwalten. Teilweise sind die aufgeführten Konfigurationen auch über den Sicherheitskonfigurations-Assistenten (SCW) möglich, der seit Windows Server 2008 integraler Bestandteil des Systems ist.

Server Core Installation

Der Server Core stellt ein minimales, weitestgehend ohne grafische Oberfläche auskommendes System dar. Die Vorteile eines Server Core sind:

  • Die notwendige Softwarewartung wird reduziert.
  • Der notwendige Verwaltungsaufwand wird reduziert.
  • Es existiert nur noch eine reduzierte Angriffsfläche des Systems.

Weitere Informationen zu den Besonderheiten des Server Core finden sich in M 4.416 Einsatz von Windows Server Core .

Autorisierungs-Manager

Der Autorisierungs-Manager bietet eine rollenbasierte Sicherheitsarchitektur für Windows-Systeme und -Applikationen und wurde unter Windows Server 2008 weiter entwickelt. Er bekommt insbesondere bei der Verwaltung des Hyper-V eine besondere Bedeutung, da dort gegebenenfalls eine auf Rollen aufsetzende Trennung der Administration von Host- und Gastsystemen erfolgt (siehe M 2.490 Planung des Einsatzes von Virtualisierung mit Hyper-V ).

BitLocker-Laufwerkverschlüsselung

Die mit Windows Vista eingeführte BitLocker-Laufwerkverschlüsselung ist nun auch unter Windows Server 2008 einsetzbar (siehe M 4.337 Einsatz von BitLocker Drive Encryption ).

Verschlüsselndes Dateisystem

Ab Windows Server 2008 wurden folgende Neuerungen für die Nutzung von EFS eingeführt:

  • Speicherung des Verschlüsselungszertifikats auf einer Chipkarte
  • Verschlüsselung von Dateien auf Benutzerbasis im clientseitigen Cache
  • Weitere Gruppenrichtlinienoptionen

Weitere Informationen zu EFS finden sich in M 4.147 Sichere Nutzung von EFS unter Windows .

Benutzerkontensteuerung

Die Benutzerkontensteuerung ist seit Windows Server 2008 auch auf Server-Systemen einsetzbar (siehe M 4.340 Einsatz der Windows-Benutzerkontensteuerung UAC ab Windows Vista ).

AppLocker

Mit der Einführung von Windows Server 2008 R2 wurden die zuvor eingesetzten Softwareeinschränkungsrichtlinien durch AppLocker ersetzt. Damit lassen sich Zugriffe auf Dateien steuern, die Ausführung von bestimmten Dateitypen wie .exe oder .bat unterbinden und der Aufruf von DLLs verhindern (siehe M 4.419 Anwendungssteuerung ab Windows 7 mit AppLocker ).

Active Directory

Innerhalb des Active Directory wurden zahlreiche Neuerungen eingeführt. Zu den wichtigsten gehören:

  • Active Directory-Dienste sind als dedizierte Rolle installierbar. Eine minimale Installation des Active Directory oder die Verteilung einzelner Rollen des AD auf eigenständige Systeme ist somit möglich.
  • Read-Only Domain Controller (RODC), der als System mit nur lesendem Zugriff auf das Active Directory eingeführt wurde.
  • Verwaltete Dienstkonten zur zentralen Verwaltung von Diensten und Passwörtern über das Active Directory, oder durch die Nutzung von Verwalteten lokalen Konten sind hinzugekommen.
  • Die Kennwort- und Kontosperrungsrichtlinien lassen sich granular konfigurieren, um Passwortrichtlinien innerhalb einer Domäne besser anzupassen.

Weitere Details hierzu sind in den Maßnahmen M 4.414 Überblick über Neuerungen für Active Directory ab Windows Server 2008 und M 4.284 Umgang mit Diensten ab Windows Server 2003 beschrieben.

Windows-Firewall mit erweiterter Sicherheit

Die sogenannte Hostfirewall eines Windows Server 2008 ist nach erfolgter Installation per Standard aktiviert und blockiert eingehende und gegebenenfalls ausgehende Verbindungen.

Sie arbeitet zustandsorientiert und filtert alle IP v4- und IPv6-Verbindungen. Anwendungen mit Netzkommunikation können durch die Administratoren einzeln freigegeben oder blockiert werden.

Bei Rollenänderungen des Servers oder der Aktivierung von Features werden die erforderlichen Ports oder Protokolle automatisch in den Regelwerken freigeschaltet.

DirectAccess

Die in M 4.411 Sichere Nutzung von DirectAccess unter Windows ausführlich dargestellte VPN-Technologie bietet eine integrierte Lösung, um sicher auf freigegebene Ressourcen innerhalb einer Windows Server 2008-R2-Umgebung zuzugreifen.

Es ist zu beachten, dass nur die beiden Versionen Enterprise und Ultimate von Windows 7 in der Lage sind, auf Ressourcen zuzugreifen, die durch einen DirectAccess-Server unter Windows Server 2008 R2 freigegeben wurden.

Netzwerkzugriffsschutz

Der Netzwerkzugriffsschutz ist eine neue Technik, die mit Windows Server 2008 und Windows Vista eingeführt wurde. Über den Netzwerkzugriffsschutz lassen sich zentrale Regelwerke definieren, mit denen sich der Zugriff auf das Netz absichern lässt.

Weitere Informationen zu NAP finden sich in M 4.410 Einsatz von Netzwerkzugriffsschutz unter Windows .

Neues in der Windows-Sicherheitsüberwachung

Mit Einführung des Windows Server 2008 und Windows Vista wurden grundlegende Veränderungen an der Sicherheitsüberwachung vorgenommen.

Wesentliche Veränderungen sind in M 2.489 Planung der Systemüberwachung unter Windows Server 2008 ausführlich dargestellt:

  • Änderung des Protokollformats in ein XML -basiertes Format,
  • Einführung einer neuen Nummerierung der Ereignis-IDs,
  • die Möglichkeit zum Sammeln von Ereignissen auf einem zentralen Windows System.

Darüber hinaus wurden mit der Einführung von Windows Server 2008 R2 und Windows 7 weitere Ergänzungen vorgenommen, die nur auf diesen beiden Versionen nutzbar sind:

  • Globale Objektzugriffsüberwachung
    Über sogenannte Systemzugriff-Steuerungslisten (System Access Control Lists, SACLs) können die Zugriffe auf besonders schützenswerte Dateien oder Ordner überwacht werden. Dies ist hilfreich bei der Überprüfung, ob alle kritischen Daten eines Systems durch adäquate Rechte geschützt sind.
  • Darstellung von Zugriffssteuerungseinträgen
    Über Listen mit Zugriffssteuerungseinträgen (Access Control Entries, ACEs) können die effektiven Rechte Zulassen oder Verweigern für ein Objekt dargestellt werden. Dadurch können beispielsweise die effektiven Gruppenmitgliedschaften und Zugriffsrechte eines überwachten Objektes angezeigt werden.
  • Erweiterte Einstellungsmöglichkeiten für die Überwachungsrichtlinien
    Die mit Windows Server 2008 und Windows Vista eingeführten 53 neuen Kategorien erweitern die neun grundlegenden Überwachungseinstellungen in den Lokalen Richtlinien bzw. Überwachungsrichtlinien. Mit Windows Server 2008 R2 und Windows 7 können diese über die Überwachungsfunktionen in den Gruppenrichtlinien verwaltet werden. Die Nutzung eigener Skripte oder des Tools Auditpol.exe ist nicht mehr notwendig.

Neues in den Gruppenrichtlinien

Aufgrund des Zusammenspiels und der nahen Verwandtschaft von Windows Server 2008 (R2), Windows Vista und Windows 7 gelten die in Maßnahme  M 2.326 Planung der Gruppenrichtlinien für Clients ab Windows XP ausführlich aufgeführten Neuerungen auch für Windows-Server-Systeme ab Version 2008. Es folgt eine kurze Übersicht der wesentlichen Neuerungen ab Windows Server 2008:

Darüber hinaus wurde mit Windows Server 2008 R2 folgendes eingeführt:

  • Nutzung der Windows PowerShell Commandlets für Gruppenrichtlinien,
  • Verbesserung der vorhandenen Starter-Gruppenrichtlinienobjekte,
  • Neue Benutzeroberfläche und zusätzliche Richtlinieneinstellungen zur Verwaltung der administrativen Vorlagen.

Stand: 13. EL Stand 2013