Windows Server 2012 und Sicherheit: ist es Zeit für ein Upgrade?

Zeitgleich mit Microsoft Windows 8 kam das neue Server-Betriebssystem Windows Server 2012. Ist sie ein Upgrade wert? Ja! Der Artikel erläutert warum.

Obwohl es sicherlich die größte Aufmerksamkeit in den Medien bekam, war Windows 8 nicht das einzige wichtige Release, das Microsoft im Herbst 2012 herausgebracht hat: Ebenfalls neu auf den Markt kam Windows Server 2012, die neueste Version des Server-Betriebssystems des Software-Riesen.

Windows Server 2012 ist der Version 2008 ohne Zweifel einen großen Schritt voraus. Das gilt nicht nur für die Sicherheitsfunktionen, sondern auch im Hinblick auf die Leichtigkeit, mit der Richtlinien konfiguriert und implementiert werden können.

Unternehmen, die Version 2008 im Einsatz haben, werden sich fragen, ob die 2012er Version genügend neue Funktionen bietet, damit sich die Investition in ein Upgrade rechnet. Und weil das Thema Sicherheit inzwischen in den meisten Organisationen einen hohen Stellenwert hat, dürften auch die entsprechenden Funktionen kritisch bewertet werden. Lassen Sie uns in die Security-Features von Windows Server 2012 abtauchen, um festzustellen, ob die neueste Version hinreichend Nutzen für ein sofortiges Upgrade verspricht.

Aus dem Blickwinkel der Sicherheit betrachtet, ist Windows Server 2012 ein großer Schritt nach vorn, denn es bietet eine ganze Reihe neuer Funktionen und Verbesserungen in Bereichen wie Authentifizierung und Identität, Berechtigungen und Isolation sowie  Datensicherheit. Einige der neuen Funktionen, darunter das Sichere Starten, sind auch in Windows 8 vorhanden. Es gestattet beim Hochfahren nur die Ausführung digital signierter Treiber und Bootloader des Unified Extensible Firmware Interface. Auf diese Weise werden Interventionen durch Bootkits unterbunden. Eine weitere Schutzfunktion, die während des Systemstarts greift, ist Early Launch Anti-Malware (ELAM). Diese sorgt dafür, dass nur digital signierte Anti-Malwareprogramme direkt nach Abschluss des Sicheren Starts geladen werden können. Dies verhindert, dass gefälschte Antiviren-Programme während des Startprozesses ausgeführt werden.

Die BitLocker-Laufwerksverschlüsselung lässt sich unter Windows Server 2012 einfacher verwenden. Im Netzwerkschutz-Modus werden verschlüsselte Disks automatisch entsperrt, solange eine Server-Anbindung besteht und eine Verbindung zur deren normaler Active Directory Domain hergestellt ist. Die Implementierung von DNSSEC ist nun vollständig interoperabel, und die Konfiguration hat deutlich an Komplexität verloren. Andere Administrations-Tools, die sogenannten Solution Accelerators, bieten zentralisierte Funktionen zum Erstellen und Verwalten der Security Baseline. Dadurch wird die Konfiguration von Sicherheitseinstellungen einfacher und schneller. Dazu gehören das Microsoft Security Assessment Tool, der Microsoft Baseline Security Analyzer und der Microsoft Security Compliance Manager.

Kerberos, das Claim- und Cloud-Authentifizierung unterstützt, wurde ebenfalls vereinfacht; mit einer Schnittstelle zur Bereitstellung von feinkörnigen Passwort-Richtlinien wurden signifikante Verbesserungen erzielt. Verwaltete Dienstkonten können sich nun selbst warten, indem extrem lange Kennwörter zur Anwendung kommen, die alle 30 Tage automatisch neu gesetzt werden. Für Unternehmen, die eigene Web-Server betreiben, enthält Internet Information Service (IIS) acht neue automatisierte Sicherheitsreaktionen. Zum Beispiel gestatten dynamische IP-Einschränkungen dem IIS ein automatisches Blockieren bösartiger IP-Adressen in Abhängigkeit von vorgegeben Bedingungen. Zudem gibt es bessere Möglichkeiten, Test-Umgebungen individueller Anwendungen innerhalb von mandantenfähigen Security-Sandboxes aufzubauen.

Ein Bereich der Informationssicherheit, mit dem die meisten Organisationen zu kämpfen haben, ist die Klassifizierung von Daten. Dies ist insbesondere dann der Fall, wenn sichergestellt sein muss, dass jeder Datei die korrekten Sicherheitseinstellungen zugewiesen werden. Windows Server 2012 geht dieses Problem ganz weit oben – über eine neue Authorization und Audit Engine – an. Diese verfügt über erweiterte Datei- und Ordner-Berechtigungen in Form von Dynamic Access Controls, Claims, ausdrucksbasierte Zugriffssteuerungs-Einträge und zentrale Berechtigungs- und Auditierungsregeln (besser bekannt unter dem Begriff Zentrale Zugriffsrichtlinien).

Dokumente können automatisch, ihrem Inhalt oder ihren Merkmalen aus dem Active Directory entsprechend klassifiziert werden. Zum Beispiel kann der Rechte-Verwaltungsdienst so konfiguriert werden, dass alle Dokumente verschlüsselt werden, die Informationen nach dem Health Insurance Portability and Accountability Act (HIPAA) enthalten. Der Zugriff auf klassifizierte Dokumente über Geräte, Benutzer und Gruppen kann basierend auf deren Attributen (sogenannten Claims) gesteuert werden, die zur Authentifizierung und für Berechtigungen verwendet werden.

Nahezu jedem Objekt, inklusive Benutzern, Benutzergruppen oder Computern, können ein oder mehrere Claims zugeordnet werden. Dies reicht von einem Notebook, auf dem Windows 8 läuft, mit einer MAC-Adresse von 00-xx-00 bis zu einem Benutzer, der Vertriebsmanager ist und von zuhause aus arbeitet. Komplexe Regeln lassen sich sehr einfach erstellen (z.B. Vertriebsmanager dürfen auf Dokumente mit mittlerer oder niedriger Klassifizierung von einem Windows-8-Rechner aus zugreifen, während sie von zuhause aus arbeiten. Aber sie müssen sich im Unternehmen befinden, damit sie auf hoch klassifizierte Dokumente zugreifen dürfen). Klassifizierungen können in Verbindung mit jedem beliebigen Dienst unter Windows Server 2012 verwendet werden, sofern dieser klassifizierungsfähig ist. Diese Funktionalität verbessert die wirksame Implementierung der meisten Richtlinien zu Klassifizierung und Umgang mit Daten in Unternehmen.

Zentrale Zugriffsrichtlinien werden im Active Directory gehalten. Deshalb ist es einfach, diese zentral einzurichten und zu verwalten. Es wird zweifelsohne einige Tests erfordern, die Stärken der bedingten Ausdrücke mit Benutzer-Claims, Geräte-Claims und Ressourcen-Eigenschaften wirklich schätzen zu lernen. Aber sie lassen eine granulare Kontrolle über Unternehmensdaten tatsächlich Wirklichkeit werden.

Bei Upgrade-Überlegung spielen nahezu immer auch individuelle Umstände eine Rolle. Doch Windows Server 2012 ist der Version 2008 ohne Zweifel einen großen Schritt voraus. Das gilt nicht nur für die Sicherheitsfunktionen, sondern auch im Hinblick auf die Leichtigkeit, mit der Richtlinien konfiguriert und implementiert werden können. Die verbesserten Fähigkeiten zur Implementierung robuster und korrekt konfigurierter Sicherheitsmechanismen machen Angreifern das Leben deutlich schwerer. Microsofts neueste Server-Software setzt in Bezug auf Sicherheit die Häkchen definitiv an der richtigen Stelle. Basierend darauf kann eine klare Empfehlung für einen baldigen Umstieg ausgesprochen werden.

Über den Autor:
Michael Cobb, CISSP-ISSAP, ist ein renommierter Autor zu Sicherheitsthemen mit mehr als 15 Jahren Erfahrung in der IT-Branche und weiteren 16 Jahren Erfahrung im Finanzwesen. Er ist Gründer und Managing Director von Cobweb Applications Ltd., einer Beratungsfirma, die Unternehmen bei der Absicherung von Netzwerken und Websites sowie bei Zertifizierungen nach ISO 27001 unterstützt. Cobb ist zudem Co-Autor des Buches IIS Security und hat eine Vielzahl von Artikeln in führenden IT-Publikationen verfasst. Er ist  Microsoft Certified Database Administrator und Microsoft Certified Professional.

Artikel wurde zuletzt im Januar 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Betriebssystemsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close