Bundesamt für Sicherheit in der Informationstechnik

M 4.418 Planung des Einsatzes von Windows Server 2008

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Durch die verstärkte Unterscheidung von Rollen während der Installationsphase kommt der Planungsphase vor dem Einsatz eines Windows Server 2008 eine noch höhere Bedeutung zu, als dies bei früheren Windows-Versionen der Fall war. Beispielsweise kann die Rolle des Server Core nur während der Installation ausgewählt werden, eine nachträgliche Änderung ist für diese Rolle nicht möglich. Daher müssen die ausgewählten Rollen und Features genau an die Anforderungen des geplanten Einsatzes des Windows Server 2008-Systems angepasst werden.

Aufbauend auf M 2.315 Planung des Servereinsatzes und M 4.409 Beschaffung von Windows Server 2008 beschreibt die folgende Maßnahme die wesentlichen zu beachtenden Aspekte der Planungsphase vor dem Einsatz eines Windows Server 2008.

Erstellung eines Grobkonzept

Die Planung eines Windows Server 2008 erfolgt in mehreren Schritten.

Die konkrete Planung kann nach dem Prinzip des Top-Down-Entwurfs erfolgen: Ausgehend von einem Grobkonzept für das Gesamtsystem werden konkrete Planungen für Teilkomponenten in spezifischen Teilkonzepten festgelegt. Im Grobkonzept werden beispielsweise folgende typische Fragestellungen behandelt:

  • Wird ein neues Netz aufgebaut oder wird ein bestehendes Netz migriert?
  • Soll ein existierendes Windows-Netz beispielsweise basierend auf Windows 2000 Server oder Windows Server 2003 vollständig oder nur teilweise nach Windows Server 2008 migriert werden? Eine Migration von Windows NT-Systemen auf Windows Server 2008-Systeme ist nicht direkt möglich.
  • Handelt es sich um einen zusätzlichen einzuführenden Server oder um das Upgrade eines existierenden Servers?
  • Welche Komponenten wie Dateiserver, Druckserver oder DNS -Server werden ersetzt, welche bleiben erhalten?
  • Müssen existierende Verfahren oder Komponenten, wie ein bestehendes Kerberos-System oder auch eine bestehende PKI in Windows Server 2008 integriert werden? Hier sind unter anderem die Interoperabilität mit anderen IT-Systemen sowie der angebotene Funktionsumfang zu berücksichtigen.
  • Wird die geplante Konfiguration des Servers der zu erwartenden Datenmenge und Spitzenlast gerecht?
  • Ist das Lizenzierungsmodell ausreichend und geeignet für das Bereitstellungskonzept und das Notfallkonzept?
  • Ist ein Mischbetrieb von Windows Server 2008 und anderen Betriebssystemen, wie Windows 2000 oder 2003, Novell oder Unix notwendig? Das kann Einfluss auf die im System verwendeten Authentisierungsverfahren haben, die abhängig von den eingesetzten Betriebssystemen auch Schwachstellen aufweisen können und damit die Sicherheit der Windows Server 2008-Umgebung insgesamt herabsetzen. Die notwendigen Sicherheitsvorgaben für eine solche Mischumgebung sollten in einer Sicherheitsrichtlinie festgelegt sein.

Auswahl der Rollen und Features

Mit Windows Server 2003 R2 hat Microsoft die sogenannten Server-Rollen eingeführt.

Es handelt sich um Anwendungen, die entweder nachinstalliert werden können, oder, wie der Server Core, bei der Installation festgelegt werden müssen. Bis Windows Server 2003 wurden Anwendungen wie der Internet Information Services (IIS) oder andere Basisdienste wie Druck- oder Dateidienste als Standard mitinstalliert.

Ein neu installierter Windows Server 2008 hingegen besitzt nach erfolgter Installation noch keine zu erfüllende Rolle oder Funktion. Diese müssen explizit durch den Administrator pro System zugewiesen und konfiguriert werden.

Neben den Rollen existieren noch sogenannte Features. Sie stellen in der Regel eine Erweiterung einer bestehenden Rolle dar, können aber auch, wie der WINS-Dienst, eine vollständig eigene Funktionen darstellen.

Das Zusammenspiel aus einer minimalen Basisinstallation und gezielt ausgewählten Rollen und Features stellt eine erhebliche Verbesserung der Sicherheit dar, weil damit auf allen Systemen die Möglichkeit besteht, nur die tatsächlich benötigten Funktionen zu installieren. Die Notwendigkeit, vorhandene, nicht benötigte Funktionen oder Dienste wieder zu deinstallieren, entfällt.

Installation und Konfiguration der Server-Rollen oder der Features erfolgt üblicherweise über den Server-Manager. Dieser stellt das zentrale Management-Tool eines Windows Server 2008 dar (siehe M 1.1 Einhaltung einschlägiger Normen und Vorschriften ).

Auf einem Windows Server 2008 R2 stehen siebzehn verschiedene Rollen zur Auswahl bereit. Die folgende Tabelle zeigt eine Übersicht dieser Rollen und die Verfügbarkeit der jeweiligen Rolle pro Edition.

Serverrolle Enterprise Datacenter Standard Web Itanium Foundation
Active Directory-Zertifikatdienste Ja Ja Begrenzt Nein Nein Begrenzt
Active Directory-Domänendienste Ja Ja Ja Nein Nein Ja
Active Directory Federation Services Ja Ja Ja Nein Nein Nein
Active Directory Lightweight Directory Services Ja Ja Ja Nein Nein Ja
Active Directory-Rechteverwaltungs-dienste Ja Ja Ja Nein Nein Ja
Anwendungsserver Ja Ja Ja Nein Ja Ja
DHCP-Server Ja Ja Ja Nein Nein Ja
DNS-Server Ja Ja Ja Ja Nein Ja
Faxserver Ja Ja Ja Nein Nein Ja
Dateidienste Ja Ja Begrenzt Nein Nein Begrenzt
Hyper-V Ja Ja Ja Nein Nein Nein
Netzwerkrichtlinien- und Zugriffsdienste Ja Ja Begrenzt Nein Nein Begrenzt
Druck- und Dokumentdienste Ja Ja Ja Nein Nein Ja
Remotedesktop-dienste Ja Ja Begrenzt Nein Nein Begrenzt
Webdienste (IIS) Ja Ja Ja Ja Ja Ja
Windows-Bereitstellungs-dienste Ja Ja Ja Nein Nein Ja
Windows Server Update Services (WSUS) Ja Ja Ja Nein Nein Ja

Zusammenspiel von Windows Server 2008 (R2), Windows Vista und Windows 7

Grundsätzlich können alle Kombinationen der von Microsoft freigegebenen und unterstützten Server- und Client-Systeme innerhalb einer Windows-Domäne eingesetzt werden.

Allerdings ist zu beachten, dass die vollständige Nutzung aller Funktionen, insbesondere für neu eingeführte Gruppenrichtlinienobjekte, nur im Zusammenspiel mit dem jeweiligen korrespondierenden Client-System möglich ist. Als korrespondierende Server-Client-Kombinationen können zum Beispiel Windows Server 2008 und Windows Vista oder Windows Server 2008 R2 und Windows 7 genannt werden.

Beispiele für nutzbaren Funktionen, die ausschließlich in der Kombination Windows Server 2008 R2 und Windows 7 zur Verfügung stehen, sind unter anderem:

  • DirectAccess: Der Aufbau der VPN-Verbindungen mit DirectAccess ist nur über die Kombination Windows Server 2008 R2 und Windows 7 möglich. Gleiches gilt für die sogenannte Funktion des VPN-Reconnect.
  • BranchCache: Diese Windows 7-Client-Funktion ermöglichst es, den WAN -Verkehr in Außenstellen zu minimieren.
  • Remotedesktopdienste: Die neuen Funktionen der ehemals als Terminaldienste bekannten Serverrolle eines Windows Server 2008 R2 können nur durch Windows 7-Client-Systeme vollständig genutzt werden.

Es kann davon ausgegangen werden, dass mit der Einführung weiterer Releases oder Service-Packs neue Funktionen hinzukommen. Dies gilt erst recht für die Einführung neuer Server- oder Client-Systeme.

Prüffragen:

  • Wurde die Konfiguration des Windows Server 2008-Systems unter Berücksichtigung aller relevanten Rahmenbedingungen sorgfältig geplant?

  • Entsprechen die ausgewählten Rollen und Features den Anforderungen an den geplanten Einsatz des Windows-Server-2008-Systems?

  • Wurden die Restriktionen vorhandener, älterer Systeme oder die Besonderheiten eines Mischbetriebs in den Planungen für einen Windows Server 2008 ausreichend berücksichtigt?

Stand: 13. EL Stand 2013