27.11.2007 | Autor / Redakteur: Johann Baumeister / Peter Schmitz
Abgestufte Sicherheitskonzepte und ineinandergreifende Security-Lösungen sind nach Ansicht von Microsoft der richtige Weg zur Absicherung der Unternehmens-IT. Singuläre Sicherheitssysteme wie ein Antivirus-System oder eine Firewall bieten keinen ausreichenden Schutz mehr, Microsoft will mit neuen Techniken hier in Zukunft mehr leisten.
Microsoft bietet heute ein ganzes Bündel an unterschiedlichsten Produkten, die von den Betriebssystemen, über Datenbanken, Mailserver bis zu den Anwendungspaketen, wie etwa Office oder Navision reichen. Um einen möglichst breiten Schutzschild gegen Bedrohungen jeglicher Art aufzubauen liefert Microsoft eine ebenso breite Palette an Sicherheitsprodukten und -konzepten. Anlässlich der zentralen Anwenderkonferenz TechEd IT Forum in Barcelona wurden diese der Öffentlichkeit präsentiert.
Im Kern geht es dabei immer um eines: Singuläre Sicherheitssystem, wie etwa eine Firewall, ein Antivirenpaket oder ein Intrusion Prevention System können nicht den notwendigen Schutz bieten. Erst durch das Ineinandergreifen der verschiedensten Vorkehrung kann, und das steht bewusst im Konjunktiv, die IT-Infrastruktur sicherer gestaltet werden. Die Vielfalt der Sicherheitsbedrohungen ändert auch die bestehende IT-Infrastruktur. So geht Redmond beispielweise davon aus, dass VPNs mittelfristig durch dedizierte Sicherheitskonzepte mit weitaus feineren Abstufungen abgelöst werden. Das ist durchaus nachvollziehbar und seine Ursachen nicht zuletzt in den gesetzlichen Regularien wie etwa jenen zum Datenschutz, Basel II oder SOX. Der gemeinsame Nenner all dieser gesetzlichen Anforderungen liegt darin, dass sie den Zugriff auf die Daten auf das notwendige Maß einschränken und auch einen Nachweis über die Nutzung verlangen.
In den Alltag der IT umgemünzt mag die bedeuten, dass etwa ein Vertriebsmitarbeiter mit seinem mobilen Geräte, wenn er sich Unternehmensnetz befindet, freien Zugang zu all seinen Daten hat, nicht aber wenn er unterwegs ist. Hierbei muss sehr detailliert unterschieden werden, was der Mitarbeiter wann darf. Microsoft selbst hat mit dem Intelligent Access Gateway hier bereits erste Produkte zur Umsetzung dieser Anforderungen im Angebot. Auch im Outlook Web Access findet sich die Umsetzung diese Thesen.
Die Fortführung diese Strategie führt letztendlich zu Location Based Services, also der dedizierten Zuweisung von Berechtigungen in Abhängigkeit von der Lokation des Benutzers. Um den Zugriff der Mitarbeiter von draußen im Felde so sicher als möglich zu gestalten, werden dedizierte Portale eingesetzt.
Zur Identifizierung und dem gesicherten Zugang setzt Microsoft in Zukunft auf Network Access Protection (NAP). Dieses wird im Windows Server 2008 implementiert sein. Clientseitig unterstützt man aber nur Windows Vista, und aufgerüstet durch ein Servicepack 3, Windows XP. NAP wird nicht unbedingt als reines Sicherheitstool eingestuft, es ist vielmehr ein Hilfsmittel. So sorgt es beispielsweise dafür, dass das Zugang suchende Gerät mit den letzten Sicherheits-Patches oder einer Firewall ausgestattet ist. Fehlen die von NAP geforderten Sicherheitseinrichtungen, so wird der Rechner in Quarantäne gestellt.
In die gleiche Richtung, wenngleich anders umgesetzt, zielen die Neuerungen des System Center Configuration Manager. Sie ermöglichen die Festlegung von Baselines für Rechnersysteme. Eine Baseline und die darin eingebetteten Configuration Items, ermöglichtn die Bestimmung einer Sollkonfiguration für die Rechnersysteme. Microsoft spricht in diesem Zusammenhang auch vom Desired State Management. Diese Sollkonfiguration umfasst alle Sicherheitseinstellungen wie etwa die Existenz eines aktuellen Virenscanners, die Verwendung von strengen Passworten oder einer Firewall. Einmal eingerichtet, sorgt der Configuration Manager selbständig für die Einhaltung dieser Richtlinien und damit für sichere Geräte.
Unterstützt wird dieses Vorgehen durch die erweiterten Group Policy Objects. Durch sie legt der Administrator zentral die Sicherheitseinstellungen, sowie die Kontrolle der Ports und der erlaubten Applikationen fest. Clientseitig bietet Windows Vista mit den User Access Control eine vergleichbare Funktion. Ein weiterer Baustein ist Bitlocker. Er ermöglicht die Verschlüsselung der Festplatten und beugt somit Datendiebstahl vor. Mit Windows Defender will man schließlich Spyware ausbremsen.
Als konzeptionelle Grundlage für alle Sicherheitsanstrengungen dient für Microsoft das Trustworthy Computing (TC). TC soll eine sichere Rechnerumgebung schaffen. Die Umsetzung von TC findet sich bei Microsoft in zwei Blöcken, dem „Secure by Design“ und „Secure by Default“. Um etwa die Softwareentwicklung sicherer zu gestalten, wurde das eigene Entwicklungswerkzeug Visual Studio um Sicherheitsfunktionen erweitert.
Der Aspekt des „Secure by Default“ wiederum wird durch das Desired State Management, den Baselines oder den Group Policy Objects abgebildet. Ferner erlaubt der kommende Windows Server 2008 die Einrichtung des Systems anhand von vordefinierten Rollen. Dabei wird der Rechner auf die jeweils notwendigen Funktionen eingeschränkt. Nur dies gewünschten Funktionen werden installiert und alles was nicht benötigt wird, bleibt außen vor. Dies reduziert gleichzeitig die Angriffsfläche. Das schmalste Rollenmodell stellt dabei der Windows 2008 Core Server dar, der ganz ohne GUI auskommen muss. Durch den geringeren Codeumfang reduziert sich aber auch das Sicherheitsrisiko.
Die Vielfalt der Sicherheitsbedrohungen beantwortet Microsoft mit einer eben solchen Breite an Sicherheitskonzepten. Ob das reicht wird die Zukunft zeigen.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2009319)
