Sicherheit steht im Vordergrund
Artikel erschienen in Swiss IT Magazine 2005/10
Da es zwischen Windows XP und dem Windows Server 2003 viele Gemeinsamkeiten gibt, überrascht es nicht, dass zahlreiche Funktionen aus dem Service Pack 2 für Windows XP auch im Service Pack 1 für Windows Server 2003 zu finden sind. Das gilt umso mehr, als auch beim SP 1 für Windows Server 2003 das Thema Sicherheit im Vordergrund steht. Entsprechend gibt es die gleichen Veränderungen beim Internet Explorer, und auch die Windows-Firewall ist vorhanden, die allerdings beim Server standardmässig deaktiviert ist. Das ist auch sinnvoll, da die Auswirkungen auf die Erreichbarkeit zu gravierend wären.
Sicherheit ist ein komplexes Thema, das mit Software alleine nicht zu adressieren ist. Eine der versteckten Neuerungen ist denn auch die Unterstützung von No-Execute-Hardware. Dabei handelt es sich um Erweiterungen in den neuen CPUs von Intel und AMD, mit denen diese unberechtigte Zugriffe auf Speicherbereiche für Daten erkennen und abfangen können. Dieser Modus kann in Windows Server 2003 aktiviert werden, der dann die vom Prozessor erzeugten Ausnahmen verarbeitet und so Schutz vor Buffer-Overflow-Attacken bieten kann.
Auf Betriebssystemebene hat Microsoft etliche Änderungen bei der Implementierung sowohl von DCOM als auch von RPCs durchgeführt. Diese Anpassungen können in Einzelfällen zu Kompatibilitätsproblemen mit Anwendungen führen, wobei sich die meisten durch Anpassungen der Registry adressieren lassen. Beispiele für betroffene Systemkomponenten sind die RIS (Remote Installation Services) und die Zertifikatsdienste.
Eine sehr interessante Erweiterung sind die PSSU (Post Setup Security Updates). Standardmässig werden bei einer Installation des Windows Server 2003 mit integriertem Service Pack 1 – entsprechende ISO-Dateien sind beispielsweise im MSDN (Microsoft Developer Network) verfügbar – alle eingehenden Netzwerkverbindungen zu einem neu installierten Server deaktiviert, bis die verfügbaren Sicherheits-Patches von Microsofts Windows- Update-Website geladen wurden. Die Funktion lässt sich aber auch deaktivieren, falls sie nicht erwünscht ist.
Ein interessanter Bereich ist die Network Access Quarantine Control. Dieser Mechanismus war bereits vorab als Add-on verfügbar – die aktuelle Implementierung ist aber noch etwas unhandlich, da viel mit Scripts gearbeitet werden muss. Wenn die Technologie genutzt wird, die derzeit nur RAS-Clients unterstützt, wird diesen beim Verbindungsaufbau eine IP-Adresse zugewiesen, die Verbindungen aber bleiben noch blockiert. Auf den Clients wird anschliessend ein Script ausgeführt, das den Status checkt und beispielsweise Registry-Einstellungen überprüfen oder nach bestimmten Dateien suchen kann. Erst wenn dieses Script erfolgreich ausgeführt wurde, wird der Zugang des Clients in das Netzwerk geöffnet. Mit dem nächsten geplanten Release soll der Modus auch für DHCP- und VPN-Clients arbeiten.
Die wohl prominenteste Erweiterung beim Service Pack 1 für Windows Server 2003 ist der Assistent für die Sicherheitskonfiguration, mit dem Sicherheitseinstellungen für Server definiert werden können. Diese werden in einer XML-Datei abgelegt. Zu den Einstellungen gehören unter anderem die Port-Konfiguration, Registry-Parameter und Überwachungsrichtlinien.
Der Assistent ist auf den ersten Blick ein sehr interessantes Werkzeug, das die Sicherheitskonfiguration von Servern vereinfacht. Bei näherer Betrachtung zeigen sich aber einige Probleme: Zum einen sind die konfigurierbaren Anwendungen begrenzt, ebenso wie die verfügbaren Sicherheitseinstellungen im Vergleich mit den Gruppenrichtlinien relativ beschränkt sind. Zum anderen ist der Assistent ein lokales Werkzeug für die Konfiguration einzelner Server. Die Frage, warum Microsoft den Assistenten nicht so implementiert hat, dass Gruppenrichtlinien einfacher verwaltet werden können, die Verteilung der Einstellungen aber über diesen zentralen und bewährten Ansatz erfolgt, bleibt offen. Daher sollten sinnvollerweise zumindest in Umgebungen mit drei oder mehr Servern weiterhin die Gruppenrichtlinien zum Einsatz kommen.
Neben der schon erwähnten Netzwerk-Quarantäne sind vor allem die Erweiterungen bei der Unterstützung von drahtlosen Netzwerken erwähnenswert. Mit dem Service Pack 1 wird WPA (Wi-Fi Protected Access) angeboten. Ausserdem gibt es die WPS (Wireless Provisioning Services), mit denen Konfigurationen für Drahtlosnetzwerke vorbereitet und über Server verteilt werden können. Das ist vor allem für Access Provider interessant, kann aber auch für Firmennetzwerke Sinn machen. Allerdings funktionieren die WPS nur in Verbindung mit Windows-XP-Clients mit dem Service Pack 2.
Erwähnenswert sind auch einige optimierte Algorithmen bei der TCP/IP-Implementierung, mit denen einerseits der Schutz gegen SYN-Attacken standardmässig aktiviert und andererseits die Zuordnung dynamischer TCP-Ports verändert wird. Letzere wurden bisher in immer der gleichen Reihenfolge vergeben. Mit dem neuen Algorithmus erhalten neue Verbindungen zufällige Ports, so dass Angreifer diesen nicht vorhersagen können, was Angriffe schwieriger macht.
Mit dem Service Pack 1 wird zudem auch ein Problem bei der Einrichtung des Active Directory adressiert.
Durch die Unterstützung des Objekts inetOrgPerson alternativ zur Objektklasse user gibt es Kompatibilitätsprobleme bei Anwendungen, die das AD-Schema in zu den Standards nicht kompatibler Weise erweitert haben – wie beispielsweise dem Exchange Server 2000. Diese Probleme werden mit dem Service Pack 1 bei der Aktualisierung des AD-Schemas erkannt und gemeldet, so dass sie vorab behoben werden können. Für Umgebungen, in denen der Windows Server 2003 erst eingeführt wird, ist daher – und wegen der PSSU – die Verwendung einer integrierten Installation mit dem Service Pack 1 empfehlenswert.
Das Service Pack 1 für Windows Server 2003 ist in seinen Auswirkungen auf laufende Systeme wesentlich unproblematischer als das Service Pack 2 für Windows XP. Andererseits sind Serversysteme deutlich sensibler in bezug auf Änderungen. Bei sauber programmierten Anwendungen sollte das Service Pack allerdings zu keinen Problemen führen, so dass ein relativ zügiges Deployment nach entsprechenden Tests sinnvoll ist.