Mehr Sicherheit fürs Netzwerk

Im Bereich der Sicherheitsfunktionen gibt es beim Windows Server 2008 zwei ausgesprochen interessante Neuerungen. Das sind zum einen neue Möglichkeiten des Active Directory, zum anderen die Network Access Protection (NAP) für einen besseren Schutz des Netzwerks vor Angriffen, die sich über infizierte Clients ins interne Netzwerk ausbreiten.


Das sind aber keineswegs die einzigen wichtigen Neuerungen. Im Bereich der Zertifikatsdienste und der kryptografischen Funktionen hat sich ebenfalls einiges getan. Und im vorausgegangenen Teil der Serie wurde schon auf manche Verbesserungen für die Sicherheit der Internet Information Services (IIS) eingegangen. Ausserdem finden sich viele der Neuerungen von Windows Vista wie die BitLocker Drive Encryption auch beim Windows Server 2008.

Und wie bei Windows Vista gilt auch für den Windows Server 2008, dass die internen Ansätze für die sichere Softwareentwicklung bei Microsoft nun voll greifen und über den gesamten Entwicklungsprozess und für alle Komponenten gegolten haben. Damit sollte sich auch die Zahl potentieller Angriffsflächen verringern, auch wenn man davon ausgehen kann, dass dennoch immer wieder Sicherheitslücken gefunden werden.

Schutz vor infizierten Clients mit NAP

Die Grundidee der Network Access Protection, auch als Network Policy and Access Services bezeichnet, ist einfach zu beschreiben: Clients sollen nur noch ins Netzwerk gelassen werden, wenn sie definierten Richtlinien entsprechen. Dabei geht es insbesondere darum, dass man überprüft, ob die Clients sicher sind, also beispielsweise die aktuellen Patches installiert wurden und der Virenscanner auf dem neuesten Stand ist (siehe Diagramm «Network Access Protection»). Der Hintergrund für diesen Dienst ist ebenso offensichtlich. Da immer mehr Benutzer mit Notebooks arbeiten oder, beispielsweise vom Home Office aus, remote zugreifen, kann man Systeme nicht mehr nur am Perimeter, also der immer durchlässigeren Grenze zwischen dem Unternehmensinneren und der Aussenwelt, schützen.



Sobald Systeme aber nicht immer unter der vollständigen Kontrolle der Unternehmens-IT sind, wächst das Risiko, dass dort eben doch mal eine schädliche Software installiert oder ein System mit einem Virus infiziert wird. Wenn dann beispielsweise ein solches Notebook wieder mit dem Unternehmensnetzwerk verbunden wird, kann sich der Virus im Netzwerk ausbreiten.

Eine Überprüfung der Rechner vor dem Verbinden mit dem Unternehmensnetzwerk auf die Einhaltung definierter Sicherheitsrichtlinien macht daher Sinn – und die NAP-Funktionalität des Windows Server 2008 bringt, in Verbindung mit Windows Vista oder Windows XP SP2, die entsprechende Unterstützung zumindest für eine Basisüberprüfung.
Bei der Network Access Protection werden sogenannte Health Policies definiert, also Richtlinien für die Überprüfung der Client­systeme. Wenn sich ein Computer mit dem Netzwerk verbinden möchte, werden diese Richtlinien überprüft. Die entsprechend der Richtlinien konfigurierten Systeme dürfen auf das Netzwerk zugreifen. Falls Systeme aber nicht den Vorgaben entsprechen, kann durchgesetzt werden, dass diese gar nicht oder nur eingeschränkt zugreifen dürfen oder zunächst automatisch so konfiguriert werden, dass sie den definierten Richtlinien entsprechen.




Standardmässig lassen sich Zugriffe in Verbindung mit DHCP, IPSec, 802.1x (WLAN) und VPNs überprüfen. Dazu werden sogenannte SHAs (System Health Agents) benötigt, die auf dem Client installiert werden müssen. Der Standard-SHA von Microsoft bietet nur einen geringen Funktionsumfang und kann beispielsweise den Patch-Status überprüfen. Für eine Basiskonfiguration im Bereich der Sicherheit reicht das aber aus. Mehr Funktionalität wird der SHA des Microsoft System Center Configuration Manager 2007, der Nachfolger des bisherigen System Management Server, bieten. Ausserdem gibt es offene Schnittstellen für weitere SHAs. Da man solche Überprüfungen beispielsweise auch auf das Vorhandensein oder Fehlen von Dateien oder eine genaue Statusüberprüfung von lokalen Firewalls und Virenscannern ausweiten kann, spricht einiges dafür, dass hier in naher Zukunft Lösungen von Drittanbietern auf den Markt kommen werden.




Die Nutzung der Network Access Protection erfordert einige Planung. Das beginnt damit, dass man auf den Clients eben mindestens Windows XP mit dem aktuellen Service Pack benötigt und geht über die Ausgestaltung der Richtlinien bis hin zur Bereitstellung von Remediation-Servern beispielsweise in Form von Servern für Microsoft-Updates im internen Netzwerk. Und trotz der noch nicht sehr umfassenden Richtlinien im ersten Release dieser Technologie handelt es sich um ein Verfahren, das man unbedingt evaluieren sollte, da es die Sicherheit von Netzwerken deutlich erhöhen kann.



Network Access Protection: So funktioniert's

Read-only-Modus für Active Directory

Deutlich reifer als die Network Access Protection präsentiert sich das Active Directory beim Windows Server 2008. Hier fallen zunächst die neuen Bezeichnungen auf. Es gibt etliche Serverrollen rund um das Active Directory. Domänen-controller werden über die Active Directory Domain Services eingerichtet. Das bisherige ADAM (Active Directory Application Mode) wird nun als Active Directory Lightweight Directory Services bezeichnet. Ausserdem gibt es noch die Federation Services und die Certificate Services, auf die weiter unten eingegangen wird.


Das Highlight beim Active Directory sind zweifelsohne die Read-Only Domain Controller (RODC). Diese Domänencontroller erlauben nur lesende, aber keine schreibende Zugriffe. Sie sind damit zunächst einmal für Einsatzbereiche wie kleine Aussenstellen geeignet, in denen keine ausreichende physische Sicherheit der Server gewährleistet werden kann.
Bei den RODCs werden standardmässig alle Informationen bis auf Kennwörter gehalten. Da aber nur lesend zugegriffen werden kann, ist nur eine unidirektionale Replikation von einem Master-Server erforderlich.

Das kann die Last in Netzwerken deutlich reduzieren. Zusätzlich lassen sich aber auch Filter konfigurieren, in denen Attribute angegeben werden, die nicht auf den RODC repliziert werden sollen. Damit können einerseits bestimmte sicherheitskritische Informationen von Anwendungen von der Replikation ausgeschlossen werden. Man kann auf diese Weise aber auch RODCs konfigurieren, die einen Attributsatz für Anwendungen bereitstellen, die nur lesend auf einen LDAP-Server zugreifen müssen. Damit kann man ebenfalls Last von Domänencontrollern nehmen, indem man für Anwendungen spezielle, optimierte Server auf Basis der RODCs realisiert. Generell gilt übrigens, dass erforderliche schreibende Zugriffe auf «normale» Domänencontroller geroutet werden.

Wichtig ist auch das Credential Caching, das aktiviert werden kann, um eine lokale Authentifizierung zu ermöglichen. Damit werden zwar lokal sicherheits­kritische Informationen gehalten. Welche das sind, wird aber unter anderem durch spezielle Richtlinien eingeschränkt. Ausserdem werden generell nur Credentials lokal im Cache gehalten, wenn sich Benutzer aus dem Subnetz mit dem RODC bereits einmal erfolgreich authentifiziert haben. Weitere wichtige Funktionen sind die Read-Only-Variante von DNS für diese Domänencontroller und spezielle administrative Rollen, die nur für RODCs gelten und keine Berechtigungen für die vollfunktionalen Domänencontroller geben. Die RODCs erweitern daher die Möglichkeiten des Active Directory signifikant.


Erwähnenswert sind auch noch die verbesserten Auditing-Funktionen, die sehr viel mehr Informationen zum Status des Active Directory liefern, als es bisher der Fall war. Ausserdem wurden die Installations- und Deinstallationsprozesse für das Active Directory deutlich vereinfacht.


Auch bei den Active Directory Federation Services (ADFS) hat sich einiges getan. Hier sind vor allem die Integration mit den Windows SharePoint Services (WSS) und die Unterstützung der Windows Rights Management Services hervorzuheben. Damit können beispielsweise externe Anwender einfacher in einer WSS-Umgebung eingebunden und Dokumente bei der Weitergabe an Geschäftspartner einfacher geschützt werden.

Zertifikatsdienste und Kryptografie

Viel getan hat sich auch bei den Zertifikatsdiensten und der zugrundeliegenden Infrastruktur für kryptografische Funktionen. Bei den Zertifikatsdiensten wurden insbesondere die Enrollment-Prozesse, also die Verteilung von Zertifikaten, vereinfacht. Ausserdem wird OCSP (Online Certificate Status Protocol) unterstützt. Damit können Anwendungen jederzeit abfragen, ob Zertifikate aktuell noch gültig sind. Mit der steigenden Bedeutung von digitalen Zertifikaten und entsprechenden Infrastrukturen innerhalb der Microsoft-Server-Welt gewinnt auch die Unterstützung der Microsoft Cluster Services, die beim Windows Server 2008 für die Zertifikatsdienste realisiert wurde, an Bedeutung.

In engem Zusammenhang dazu stehen die neuen kryptografischen Funktionen, die als Cryptography Next Generation (CNG) bezeichnet werden. Sie setzen eine Zertifikatsinfrastruktur auf Basis des Windows Server 2008 voraus. CNG liefert neue APIs für kryptografische Operationen und den Umgang mit Schlüsseln. CNG unterstützt aber insbesondere auch die sogenannten Suite-B-Algorithmen. Dabei handelt es sich um leistungsfähigere Algorithmen, die von der US-Regierung in bestimmten Bereichen vorgeschrieben sind. Allerdings setzen diese voraus, dass flächendeckend mit Windows Vista und dem Windows Server 2008 gearbeitet wird. Mit Blick auf eine stärkere Verschlüsselung in sicherheitskritischen Umgebungen ist dieses Thema daher sehr interessant. Das Deploy­ment erfordert aber einige Planung, schon wegen der speziellen Anforderungen an die Betriebs­systemversionen.

Fazit

In der Summe hat Microsoft auch beim Windows Server 2008 wieder viele wichtige Verbesserungen vorgenommen. Die RODCs dürften dabei wohl die Funktion sein, die kurzfristig am meisten eingesetzt wird. Mit der NAP, aber auch mit CNG wird jedoch die Basis für neue, stärkere Sicherheitskonzepte in Netzwerken gelegt.