• Artikel

Sicherheit auf dem PrüfstandDer Sicherheitskonfigurations-Assistent

John Morello

Dieser Artikel enthält vorläufige Informationen zum Windows Server „Longhorn“, die bis zur endgültigen Version des Produkts Änderungen unterliegen.

Das effiziente und beständige Sichern von Servern ist eine Herausforderung für viele IT-Organisationen, besonders für jene mit einer großen Anzahl an Computern, die über zahlreiche geografische und organisatorische Grenzen hinweg verstreut sind. Obwohl das Absichern eines einzelnen Servers für einen qualifizierten Administrator eine verhältnismäßig einfache Aufgabe sein kann, ist das Absichern von zehn, Hunderten oder

sogar Tausenden von Servern weitaus schwieriger. Im Verlauf der Jahre haben viele Unternehmen eigene interne Prüflisten oder Standards für die Serversicherheit entwickelt bzw. die Richtlinien von Microsoft, dem National Institute of Standards and Technology oder anderen externen Parteien übernommen. Eine solche Dokumentation kann zwar äußerst wertvoll sein, reicht aber allein nicht aus, Unternehmen die Implementierung dieser empfohlenen Vorgehensweisen auf ihren Netzwerken zu ermöglichen. Folglich haben viele Unternehmen einfach die Standardinstallationseinstellungen beibehalten, oder sie haben viel Zeit und Mühe in die Erstellung eigener Skripts oder Richtlinien zum Absichern von Systemen investiert.

Mit der Einführung des Sicherheitskonfigurations-Assistenten (Security Configuration Wizard, SCW) im Windows Server® 2003 Service Pack 1 (SP1) stellt Microsoft jetzt eine einfache und unterstützte Methode zum Absichern von Servern und zum Reduzieren der Angriffsfläche auf Grundlage der jeweiligen Serverrollen bereit. Durch Kombination der Vorteile des SCW mit den zentralisierten Bereitstellungs- und Verwaltungsfunktionen der Gruppenrichtlinien lässt sich der SCW selbst auf die größten IT-Unternehmen skalieren. Dieser Artikel bietet einen Überblick darüber, wie IT-Organisationen den SCW und die Gruppenrichtlinien zum Verwalten ihrer Server auf sicherere und konsistentere Weise und bei gleichzeitiger Senkung von Bereitstellungs- und Betriebskosten einsetzen können.

Was ist der SCW?

Der SCW ist eine optionale Komponente und wird mithilfe der Systemsteuerung für Windows®-Komponenten zum Hinzufügen/Entfernen installiert, die bei allen Mitgliedern der Windows Server  2003 SP1-Produktfamilie einschließlich Windows Servers 2003 R2 zur Verfügung steht. Normalerweise führt ein Administrator den SCW zunächst auf einem Zielserver aus, um die von diesem Server erfüllten Rollen zu identifizieren. Der SCW unterstützt den Administrator dann beim Erstellen einer Sicherheitsrichtlinie, die den Computer mithilfe eines Schemas mit geringsten Rechten absichert. Der SCW stellt also sicher, dass nur die für die Serverrolle erforderlichen Dienste, Anwendungsfunktionen und Ports zur Verfügung stehen. Alle anderen Elemente werden deaktiviert. Dieser Ansatz hilft beim Reduzieren der Angriffsfläche des Zielservers. Wenn Sie Dienste ausführen, die für die vom Server durchgeführte Rolle nicht erforderlich sind, erhöhen Sie letztendlich das Risiko für den Server, ohne dass ein Gewinn an Funktionalität vorliegt. Das Deaktivieren dieser Dienste senkt das Risiko und kann zudem die Serverleistung verbessern.

Obwohl Microsoft mit Windows Server 2003 viele Sicherheitsfortschritte erzielt hat und die Gesamtangriffsfläche im Vergleich zu vorherigen Versionen von Windows Server stark reduziert wurde, basiert dieser Server nicht auf einem in Komponenten gegliederten Kern wie in Windows Vista™ und der bevorstehenden Version von Windows Server mit dem Codenamen „Longhorn“. Folglich können bei einer Standardinstallation von Windows Server 2003 Dienste aktiviert sein und ausgeführt werden, die nicht für alle Serverrollenkonfigurationen erforderlich sind. So ist beispielsweise standardmäßig ein Druckerwarteschlangendienst aktiviert, der für einen nur als Datenbankserver dienenden Computer nicht erforderlich ist.

Rollenbasierte Sicherheit wird jetzt Realität

In den letzten Jahren hat Microsoft umfangreiche sicherheitsorientierte Dokumentationen veröffentlicht, die Administratoren beim Bestimmen von für verschiedene Serverrollen erforderlichen Diensten unterstützt. Dazu wurden vorkonfigurierte Vorlagen für bekannte Rollen wie Webserver bereitgestellt. Doch Richtlinien wie im Sicherheitshandbuch für Windows Server 2003 können beim Implementieren in großen Umgebungen eine Herausforderung darstellen, da die in diesen Umgebungen verwendeten Anwendungen oft komplexer sind als grundlegende IIS- oder SQL Server-Installationen. Das Ganze wird noch durch eine Unzahl von in Unternehmen eingesetzten Drittanbieteranwendungen erschwert, die vielfach von mehreren Serverrollen abhängen und deren Anwendungs- und Dienstanforderungen in manchen Fällen unzureichend definiert sind.

SCW löst diese Probleme durch Einkapseln aller Informationen zu Abhängigkeiten und empfohlenen Vorgehensweisen aus den Handbüchern in einem administratorgesteuerten Assistenten. Wenn ein Administrator z. B. eine neue Branchenanwendung bereitstellt, für die sowohl SQL Server™ als auch IIS erforderlich ist, muss er keine Zeit mehr darauf verwenden, das Sicherheitshandbuch durchzusehen und eine eigene Liste benutzerdefinierter Abhängigkeiten zu entwickeln. Stattdessen kann er die Anwendung einfach auf dem Server installieren und den SCW starten. Der SCW erkennt, welche Dienste derzeit ausgeführt werden, und stellt dem Administrator eine Liste von Rollen zur Auswahl zur Verfügung. Abhängig von der Auswahl generiert der SCW eine Richtlinie, durch die alle Dienste deaktiviert werden, die laut Abhängigkeitsmatrix für die Rollen nicht erforderlich sind. SCW stellt auch Optionen zum Absichern der Registrierung, zum Sperren nicht benötigter Netzwerkkommunikation und zum Anwenden einer wirksamen Überwachungsrichtlinie bereit. Nach dem Ausführen des SCW kann der Administrator die SCW-Richtlinie als XML-Datei speichern und sie auf andere Server anwenden, auf denen dieselbe Branchenanwendung ausgeführt wird.

Der Einsatz des SCW bietet somit drei leistungsstarke Vorteile gegenüber traditionellen, stärker manuell orientierten Ansätzen zum Sichern von Windows Server. Erstens wird dadurch der Zeitaufwand für den Administrator verringert (und möglicherweise sogar eliminiert), ständig in der Produktdokumentation nachlesen zu müssen, um die für eine bestimmte Arbeitsauslastung erforderlichen Dienste und Einstellungen festzulegen. Dieses Wissen ist in den SCW integriert, und die fragengesteuerte Oberfläche erleichtert es dem Administrator, die erforderlichen Details bereitzustellen. Zweitens werden im SCW die Anleitungen für eine Reihe von Bereichen konsolidiert, darunter Dienstabsicherung, Reduzierung der Netzwerkangriffsfläche, Absichern der LDAP- und SMB-Dienste und Sperren von IIS. Bislang waren zum Durchführen dieser Konfigurationsaufgaben separate Dienstprogramme erforderlich, die jeweils über ihre eigene Oberfläche und einen eigenen Ansatz verfügten. Drittens werden die SCW-Einstellungen in einer XML-Richtliniendatei ausgegeben, die nach einmaliger Erstellung auf eine Vielzahl von Servern angewendet werden kann. Egal, ob Sie einen oder hundert Server zum Unterstützen einer bestimmten Branchenanwendung bereitstellen, kann dieselbe SCW-Richtlinie leicht auf alle angewendet werden. Dies führt zu einer konsistenteren Anwendung von Sicherheitseinstellungen sowie einer Senkung der Betriebskosten. Auch das Zurücksetzen von SCW-Richtlinien wird dadurch vereinfacht.

SCW-Komponenten

Trotz aller Funktionen und Vorteile ist der SCW im Grunde ein recht einfaches Tool mit drei Hauptbestandteilen. Dies sind die Assistentenschnittstelle, die Befehlszeilenschnittstelle und die Sicherheitskonfigurationsdatenbank (Security Configuration Database, SCD). Administratoren in kleinen oder mittelständischen Unternehmen interagieren möglicherweise nur mit der Assistentenschnittstelle. In größeren oder komplexeren Umgebungen können Administratoren die Befehlszeilenschnittstelle verwenden, um SCW-Aufgaben wie z. B. die Umwandlung einer SCW-Richtlinie in ein Gruppenrichtlinienobjekt (GPO) zu automatisieren. In der Regel ändern nur erfahrene Administratoren, die eigene benutzerdefinierte SCW-Rollen erstellen wollen, die SCD.

Die in Abbildung 1 dargestellte Assistentenschnittstelle ermöglicht es Administratoren, Sicherheitseinstellungen für einen Zielserver zu erstellen, zu bearbeiten, anzuwenden und zurückzusetzen. Sie bietet Administratoren Wahlmöglichkeiten in einem konsistenten Workflow, in dem nacheinander Dienste und Einstellungen, Netzwerkkonnektivität, Richtlinien zur Sicherheitsüberprüfung und schließlich IIS-Einstellungen untersucht werden.

Abbildung 1 SCW-Schnittstelle

Abbildung 1** SCW-Schnittstelle **(Klicken Sie zum Vergrößern auf das Bild)

Die SCW-Befehlszeilenschnittstelle bietet drei grundlegende Funktionen. Sie ermöglicht es Administratoren, mehrere Server (sowohl lokal als auch extern) zu analysieren und zu konfigurieren sowie Richtlinien zurückzusetzen. Sie kann verwendet werden, um eine XML-basierte SCW-Richtlinie automatisch in ein GPO zu konvertieren, das systemeigen in GPO-Standardverwaltungstools wie beispielsweise in der Gruppenrichtlinien-Verwaltungskonsole eingesetzt werden kann. Schließlich wird das in Abbildung 2 dargestellte SCW-Befehlszeilentool zum Registrieren neuer Erweiterungen der Sicherheitskonfigurationsdatenbank verwendet.

Abbildung 2 SCW-Befehlszeilentool

Abbildung 2** SCW-Befehlszeilentool **(Klicken Sie zum Vergrößern auf das Bild)

Die SCD ist lediglich eine Sammlung von XML-Dateien, in denen die für die jeweilige SCW-Rolle erforderlichen Dienste und Einstellungen ausführlich beschrieben werden. Diese Dateien befinden sich im Verzeichnis %win­dir%\security\msscw\kbs. Standardmäßig enthält der SCW eine Reihe von zentralen Windows Serverrollen sowie 12 vordefinierte Anwendungsrollen, einschließlich: BizTalk®, Commerce Server, Exchange Server, Host Integration Server, Internet Internet Security and Acceleration Server, Microsoft Identity Integration Server, Microsoft Operations Manager, Small Business Server, SharePoint® Portal Server, SharePoint Team Services, SQL Server und Systems Management Server. Jede Rolle hat ihre eigene XML-Datei (siehe Abbildung 3). Jedes Mal, wenn eine neue Rollendefinition erstellt wird, wird die entsprechende XML-Datei in dieses Verzeichnis gestellt. Bei den Dateien handelt es sich um Standard-XML-Dateien, die mit jedem beliebigen Text-Viewer oder einer anderen Anwendung gelesen werden können, die XML unterstützt (siehe Abbildung 4).

Abbildung 3 Vordefinierte Rollen

Abbildung 3** Vordefinierte Rollen **(Klicken Sie zum Vergrößern auf das Bild)

Abbildung 4 Rollenkonfigurationsdatei

Abbildung 4** Rollenkonfigurationsdatei **(Klicken Sie zum Vergrößern auf das Bild)

Kombinieren des SCW und der Gruppenrichtlinien

Für sich ist der SCW schon ein hervorragendes Tool, doch seine wahre Leistung wird erst bei der Kombination mit den Gruppenrichtlinien ersichtlich. Seit der Veröffentlichung von Windows® 2000 stand bei den Microsoft-Empfehlungen zum Sichern von Windows-Servern die Verwendung der Gruppenrichtlinien zum Bereitstellen einer konsistenten, permanenten, zentral verwalteten Richtlinienanwendung im Mittelpunkt. Durch das Gruppieren von Servern in Organisationseinheiten (Organizational Units, OUs) auf der Grundlage von Rollen können Administratoren Standardsicherheitskonfigurationen im ganzen Unternehmen und nicht nur für einzelne Computer bereitstellen. Auf Grundlage der Standardgruppenrichtlinien und der Anwendungslogik können Unternehmen eine mehrstufige Serverrollenhierarchie entwerfen, in der Hunderte oder Tausende einzelner Server durch einige wenige Hauptrichtlinien gesichert werden. Wenn eindeutige Serverrollen eine Abweichung von den Hauptrichtlinien verlangen, können in der Hierarchie der Organisationseinheiten „näher“ an den Servern kleinere, rollenfokussierte Deltarichtlinien erstellt werden. So kann eine rollenspezifische Funktion lediglich über kleine Änderungen aktiviert werden, ohne dass die gesamte Hauptrichtlinie dupliziert werden muss – ein Ansatz, der großen Unternehmen einerseits die Vorteile zentral verwalteter Richtlinien bietet, andererseits die Flexibilität, bei Bedarf bestimmte Anwendungen anpassen zu können.

Die eigentliche Herausforderung bei diesem Ansatz besteht darin, ihn in die Realität umzusetzen. In großen Organisationen mit vielen verschiedenen Anwendungen und Serverrollen war es bisher schwierig und zeitaufwändig, den richtigen Satz an Richtlinien zu erstellen – aber jetzt gibt es dazu den SCW. Wenn Sie mithilfe des SCW Richtlinien erstellen und diese Richtlinien dann an die richtige Organisationseinheit anfügen, können Sie verzeichnisgehostete, rollenbasierte Sicherheit sowohl für die aktuelle als auch für die zukünftige Arbeitsauslastung erheblich reduzieren. Zur Veranschaulichung dieses Prozesses soll die Implementierung des SCW und rollenbasierter GPOs in einem großen Unternehmen erläutert werden.

SCW im Unternehmen

Für dieses Beispiel verwende ich das fiktive Netzwerk bei Contoso. Der IT-Bereich bei Contoso ist umfangreich und komplex und befindet sich an verschiedenen geografischen Standorten. Contoso will die Betriebskosten senken und gleichzeitig die Serversicherheit erhöhen. Dazu befolgt das Unternehmen die Empfehlungen von Microsoft zum Erstellen einer rollenbasierten Hierarchie der Organisationseinheiten, bei der die Server je nach Arbeitsauslastung getrennt und organisiert werden. Um die Richtlinien für die Organisationseinheiten zu erstellen, verwendet Contoso den SCW.

Da der SCW nicht standardmäßig installiert ist, muss die SCW-Komponente im Abbild der unbeaufsichtigten Installation aktiviert werden. Dazu wird eine neue Zeile, SCW=On, dem Abschnitt [Components] von Unattend.txt hinzugefügt. Danach wird bei allen neuen Systemen, die mit diesem Abbild erstellt werden, die SCW-Komponente beim Setup installiert. Beachten Sie, dass beim Einrichten von Computern keine Richtlinien angewendet werden, wenn der SCW einfach nur zur Installation konfiguriert wird.

Um eine Standardrichtlinie während des Installationsvorgangs anzuwenden, bearbeitet Contoso den Abschnitt [Commands] der cmdlines.txt-Datei im Abbild, um scwcmd mit den folgenden Optionen aufzurufen:

scwcmd configure /p:ContosoBaselinePolicy.xml

Sowohl die Textdatei als auch die XML-Datei muss im $OEM$-Verzeichnis des Abbilds vorhanden sein: Warum wendet Contoso beim Erstellen eine Basisrichtlinie an, statt sich einfach auf die Richtlinie zu verlassen, die der Organisationseinheit auf oberster Ebene im Verzeichnis angefügt ist? Durch Anwenden einer Richtlinie beim Erstellen kann Contoso eine konsistente Basisrichtlinie gewährleisten, unabhängig davon, ob ein Computer mit Active Directory® verbunden ist. Wenn z. B. ein Server für Testzwecke erstellt wird, stellt das Anwenden der Basisrichtlinie während des Buildprozesses sicher, dass zumindest die Standardsicherheitsrichtlinie des Unternehmens befolgt wird, selbst wenn der Server nie mit dem Active Directory-Produktionsserver verbunden wird. Bei einer späteren Verbindung des Servers mit dem Active Directory überschreiben die Gruppenrichtlinienanwendung und der Rangfolgenalgorithmus die lokalen Einstellungen mit denen der Domänen- oder Organisationseinheitsebene (die Richtlinienanwendung erfolgt in dieser Rangfolge: lokaler Computer, Standort, Domäne, Organisationseinheit).

Nach Installation des SCW kann Contoso mit dem Erstellen der Basisrichtlinie beginnen. Bei der Basisrichtlinie handelt es sich um die auf der obersten Ebene der rollenbasierten Sicherheitshierarchie der Organisationseinheit bereitgestellte Richtlinie. In der Regel handelt es sich zudem um die Richtlinie mit der am stärksten eingeschränkten Hierarchie. Dadurch wird eine möglichst sichere Standardrichtlinie erstellt, bei der dann je nach Arbeitsauslastung nur die Dienste und Ports geöffnet werden, die für die jeweiligen Serverrollen erforderlich sind. Die Basisrichtlinie sollte daher auf einem neuen, leeren Server erstellt werden, dem die Standardverwaltungstools und -dienstprogramme von Contoso hinzugefügt werden, bevor der SCW darauf ausgeführt wird. Nach Abschluss der Windows-Standardinstallation installiert Contoso beispielsweise (entweder manuell oder mithilfe der cmdlines.txt-Datei) seine standardmäßigen Antivirus-, Sicherungs-, Verwaltungs- und Überwachungstools auf dem Server. Da all diese Tools wahrscheinlich ihre eigenen Windows-Dienste erstellen, kann sich der SCW während der Dienstsperrungsphase auf sie einstellen, wenn sie vor Erstellen der Basisrichtlinie auf dem Server vorhanden sind.

Nach dem Erstellen des Servers führt Contoso den SCW darauf aus. Der SCW kann lokal oder von einem Remotestandort aus und nur von einem Mitglied der lokalen Administratorengruppe des Computers ausgeführt werden. Wenn der SCW von einem Remotestandort aus ausgeführt wird, bietet er eine Option zur Angabe des Benutzerkontos, unter dem er auf dem Remotehost ausgeführt werden soll. Wenn der SCW lokal ausgeführt wird, können Sie dazu runas.exe verwenden. Die erste Aufgabe von SCW besteht in der Bewertung der auf dem lokalen Computer ausgeführten Dienste und der Anzeige der derzeit installierten Rollen (siehe Abbildung 5).

Abbildung 5 Auswählen und Anzeigen der Serverrollen

Abbildung 5** Auswählen und Anzeigen der Serverrollen **(Klicken Sie zum Vergrößern auf das Bild)

Auf dem Basisserver von Contoso sollen keine Rollen ausgewählt werden, da der Computer für einen sehr eingeschränkten Zustand ausgelegt ist. Nachdem die vom Server durchgeführten Rollen ausgewählt wurden, besteht der nächste Schritt in der Identifizierung der erforderlichen Clientfeatures, um Funktionen wie z. B. automatische Aktualisierungen, Active Directory oder den FTP-Client zu aktivieren. Für die meisten Unternehmen bietet das Akzeptieren des SCW-Standards (wie in Abbildung 6 dargestellt) wichtige Funktionen, beispielsweise die Möglichkeit, eine Domäne anzuschließen, während weniger kritische Features, wie etwa der FTP-Client, nicht zugelassen werden.

Abbildung 6 Installierte Features

Abbildung 6** Installierte Features **(Klicken Sie zum Vergrößern auf das Bild)

Der SCW bietet Ihnen dann die Möglichkeit, weitere spezifische Verwaltungstools und Dienste außerhalb der Standarddienste zuzulassen. Wegen dieser nicht standardmäßigen Dienste sollte der SCW nach der Installation der Standardserververwaltungstools von Contoso ausgeführt werden. Nach Installation der Antivirus-, Sicherungs- und verwandten Anwendungen ist der SCW dann in der Lage, diese Dienste zu erkennen und sie in die resultierenden Richtlinieneinstellungen einzubeziehen.

Bei der letzten Frage zum Thema Diensthärtung geht es darum, wie nicht aufgeführte Dienste behandelt werden. Dies sind Dienste auf anderen Computern, auf denen die SCW-Richtlinie angewendet wird, die aber nicht auf dem Computer ausgeführt werden, auf dem die Richtlinie ursprünglich erstellt wurde. Wenn die Basisrichtlinie beispielsweise für einen neuen Server angewendet wird, auf dem eine Anwendung von einem Drittanbieter vorhanden ist, werden alle von dieser Anwendung installierten Dienste entsprechend der hier vom Administrator getroffenen Wahl behandelt. Der SCW ermöglicht es dem Administrator, den Startmodus des Diensts entweder nicht zu ändern oder ihn zu deaktivieren. Die Deaktivierung ist die sicherere Option, aber sie sollte mit Vorsicht verwendet werden, da Dienste, die nicht explizit ausgeführt werden dürfen, an der Ausführung gehindert werden. Aus diesem Grund ist diese Option am besten für effektiv verwaltete Hochsicherheitsumgebungen geeignet. Für andere Teile einer Organisation wird empfohlen, den Startmodus nicht zu ändern. Daher ist dies die für das Contoso-Beispiel gewählte Option. Vor dem Abschließen der Aufgaben im Bereich Diensthärtung erstellt der SCW einen Bericht über alle Dienste, die geändert werden.

Nach Abschluss der Diensthärtung bietet der SCW Optionen, mit denen eingehender Netzwerkzugriff beschränkt werden kann. Genau wie die Liste der für eine bestimmte Rolle erforderlichen Dienste ist die Liste der für eine bestimmte Arbeitsauslastung erforderlichen Ports in der XML-Datenbank des SCW enthalten.

Administratoren können bei Bedarf zusätzliche Ports konfigurieren und außerdem Portregeln für jeden Dienst erstellen, wie in Abbildung 7 dargestellt. Für den Basisserver von Contoso sollten nur die grundlegendsten Dienste wie z. B. Remotedesktop zugelassen werden. Alle anderen Ausnahmen werden in den rollenbasierten Richtlinien konfiguriert, die sich auf einer niedrigeren Ebene in der Hierarchie der Organisationseinheiten befinden.

Abbildung 7 Anzeigen und Zulassen von Ports

Abbildung 7** Anzeigen und Zulassen von Ports **(Klicken Sie zum Vergrößern auf das Bild)

Der SCW ermöglicht es dem Administrator dann, Registrierungsoptionen wie z. B. das Signieren von Datei- und Druckdatenverkehr auszuwählen. Auch hier ist die Wahl der sichersten Standardwerte in der Basiskonfiguration wieder die empfohlene Vorgehensweise.

Bei den nächsten Auswahlmöglichkeiten geht es um die Systemüberwachungsrichtlinie. Auf den meisten Systemen ist die Wahl der Option „Erfolgreiche Aktivitäten überwachen“ am besten. Die Überwachung aller Aktivitäten ist prozessorintensiv und erzeugt eine beachtliche Datenmenge im Überwachungsprotokoll. Wenn der Verdacht eines Angriffs besteht oder eine ausführlichere Analyse erforderlich ist, kann die Fehlerüberwachung auf dem betreffenden Computer aktiviert werden.

Schließlich werden dem Administrator im SCW Optionen zur IIS-Absicherung angezeigt. Diese Optionen ähneln jenen im IIS-Sperrprogramm und sind nun direkt in der SCW-Richtlinie integriert.

Nach Abschluss aller Schritte wird der Administrator zum Speichern der XML-Datei aufgefordert. Die gespeicherte Datei muss dann in ein Format konvertiert werden, das systemeigen von den Gruppenrichtlinien verstanden wird. Scwcmd.exe dient zum Umwandeln der gespeicherten XML-Datei in ein GPO. Dazu geben Sie diesen Befehl ein:

scwcmd transform /p:ContosoPolicy.xml /g:ContosoBaselineSecurityPolicy

Diese Richtlinie wird automatisch in Active Directory erstellt und kann oben in der rollenbasierten Absicherungshierarchie der Organisationseinheiten von Contoso angefügt werden.

Nach Anwenden dieser Richtlinie auf der obersten Ebene der Hierarchie erben alle Computer, die der Hierarchie der Organisationseinheiten hinzugefügt werden, ihre Einstellungen. Wenn ein Computer hinzugefügt wird, bei dem Änderungen dieser Richtlinie erforderlich sind (wie z. B. ein IIS-Server, auf dem der W3SVC-Dienst ausgeführt werden muss), führen die Administratoren von Contoso den SCW erneut für diese neue Serverrolle aus, wandeln die neue Richtlinie in ein GPO um und fügen dieses GPO einer neuen untergeordneten Organisationseinheit hinzu, die die Server enthält. Da das dem Server nächste GPO Vorrang hat, sind am Ende alle grundlegenden Einstellungen an der richtigen Stelle, mit Ausnahme derjenigen, die zum Aktivieren der gewünschten Rollenfunktion für diese Organisationseinheit geändert werden müssen (siehe Abbildung 8).

Abbildung 8 Richtlinienanwendung bei Contoso

Abbildung 8** Richtlinienanwendung bei Contoso **(Klicken Sie zum Vergrößern auf das Bild)

Die wirkliche Stärke dieses Ansatzes wird in größeren Unternehmen oder bei der Bereitstellung vieler Server klar. Nach Erstellen der anfänglichen SCW-Richtlinie und ihrer Anfügung an eine Organisationseinheit brauchen nachfolgende Server einfach nur dieser Organisationseinheit hinzugefügt werden. Sie erben dann automatisch die richtige Sicherheitsrichtlinie. Wenn der anfängliche Satz an Richtlinien erst einmal erstellt und Active Directory hinzugefügt wurde, ist das Bereitstellen neuer Server oder das Ersetzen vorhandener ein einfacher und schneller Prozess.

Blick in die Zukunft

Die nächste Veröffentlichung von Windows Server „Longhorn“ enthält ein in viele Komponenten gegliedertes Betriebssystem, was zu einer standardmäßig rationalisierten und begrenzten Angriffsfläche führt. Administratoren sperren somit nicht lediglich die minimale Standardinstallation, sondern verwenden das Server-Manager-Tool, um die für den jeweiligen Server erforderlichen Rollen und die Arbeitsauslastung hinzuzufügen. Server-Manager ist dem SCW sehr ähnlich, da ebenfalls eine interne Datenbank von Abhängigkeiten vorliegt, die es dem Installationsprogramm ermöglichen, nur jene Teile von Funktionen hinzuzufügen, die zum Bereitstellen des gewünschten Rollendiensts erforderlich sind. Außerdem wird die zentral verwaltete rollenbasierte Sicherheit unter Verwendung von Gruppenrichtlinien – wie in diesem Artikel erörtert – durch einen stark erweiteten Satz an GPO-gesteuerten Features noch verbessert. Kurz gesagt, Windows Server „Longhorn“ setzt durch erhöhte Flexibilität und noch stärkere integrierte Sicherheit beim SCW-Konzept neue Maßstäbe.

SCW-Ressourcen

Die folgenden Webseiten werden Ihnen den Start bei der Verwendung des SCW erleichtern:

John Morello hat sein Studium an der Louisiana State University absolviert und ist seit sechs Jahren in verschiedenen Funktionen für Microsoft tätig. Als leitender Berater hat er Sicherheitslösungen für Fortune 100-Firmen sowie für US-amerikanische Kunden aus dem zivilen Bereich und dem Verteidigungswesen entworfen. Derzeit arbeitet er als leitender Programm-Manager in der Windows Server Group an Sicherheits- und Remotezugriffstechnologien.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.