Sicherheit bleibt eine der wichtigsten IT-Prioritäten. Im Bewußtsein dieser zunehmenden Gefährdungen von IT-Systemen hat Microsoft Windows Server 2008 mit neuen Sicherheitsfunktionen ausgestattet. Hier stellen wir Ihnen die wichtigsten Sicherheitsverbesserungen kurz vor:
Automatischer Schutz des Netzwerks vor unsicheren PCs
In vielen Unternehmen werden Endgeräte nur selten auf die Einhaltung von Sicherheitsrichtlinien hin überprüft. So erlauben sie PCs, auf denen nicht autorisierte Programme ausgeführt werden oder die veraltete Antiviren-Signaturdateien verwenden, den Zugriff auf ihr Netzwerk. Der Netzwerkzugriffsschutz (NAP, Network Access Protection) in Windows Server 2008 überprüft dagegen Computer automatisch jedes Mal, wenn ein Mitarbeiter sich anmeldet. Stellt der Netzwerkzugriffsschutz eine Richtlinienverletzung fest, kann er das Problem entweder selbst beheben oder den verdächtigen PC in einem eingeschränkten Teil des Netzwerks unter Quarantäne stellen, bis der Mitarbeiter das Problem manuell behebt.Durch den Netzwerkzugriffsschutz lässt sich Kunden und Händlern risikolos ein E-Mail- und Internetzugang bereitstellen, während sie sich in Ihrem Büro befinden. Denn er stellt den PC des Gasts automatisch unter Quarantäne, so dass dieser Zugriff auf das Internet, aber nicht auf das Unternehmensnetzwerk hat.
Verbesserung der Zweigstellensicherheit
Domänencontroller sind Server, die Mitarbeiter bei der Anmeldung am Netzwerk authentifizieren. Sie sind auch eine beliebte Zielscheibe für Kriminelle, denn durch das Eindringen in einen Domänencontroller erhalten diese Zugriff auf Kennwörter und Zugriffsberechtigungen. Dies ist als hätte man den Code für einen Banktresor. Mithilfe der Option Schreibgeschützter Domänencontroller (Read-Only Domain Controller, RODC) in Windows Server 2008 können Domänencontroller bereitgestellt werden, die keine Kennwörter speichern und an denen selbst befugte Personen keine Änderungen vornehmen können. Diese Option ist besonders gut für Zweigstellen geeignet, in denen der Schutz von Servern vor Manipulationen sonst schwierig sein kann.Die Option Server Core in Windows Server 2008 kann zum zusätzlichen Schutz von Zweigstellen verwendet werden. Server Core installiert nur die Betriebssystemkomponenten, die für die Ausführung bestimmter Rollen unbedingt benötigt werden, wie das Speichern von Dateien, die Bereitstellung von Druckdiensten oder das Streaming von digitalen Medien. Je weniger Komponenten installiert sind, desto kleiner ist die Angriffsfläche für Hacker.
Verschlüsselung vertraulicher Daten
Windows BitLocker, eine Technologie zur Festplattenverschlüsselung, die in Windows Server 2008 und einigen Versionen von Windows Vista verfügbar ist, trägt ebenfalls zum Schutz von physisch angreifbaren Servern bei. BitLocker verhindert das Anzeigen von Dateien oder Konfigurationseinstellungen durch unbefugte Personen.Windows Server 2008 enthält automatische Assistenten zur schnellen Einrichtung von BitLocker. BitLocker sollte dennoch nicht zu oft eingesetzt werden. Zum Verschlüsseln und Entschlüsseln von Daten wird relativ viel Prozessorleistung benötigt, was zu Leistungseinbußen führen kann. Darüber hinaus sollten die Verschlüsselungsschlüssel (d. h. die Kennwortdateien, mit denen BitLocker-verschlüsselte Laufwerke entsperrt werden) sorgfältig an einem sicheren, zentralen Speicherort abgelegt werden. Andernfalls besteht die Gefahr, dass kein Zugriff mehr auf wichtige Daten möglich ist.
Verbesserte Rechteverwaltung
Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS) bieten eine weitere Möglichkeit zum Schutz von sensiblen Daten. Mit ihnen lässt sich beispielsweise festlegen, welche Benutzer digitale Inhalte wie Microsoft Office Word 2007-Dokumente oder E-Mail-Nachrichten anzeigen, bearbeiten, drucken und weiterleiten dürfen. Dabei lassen sich jetzt beispielsweise rollenbasierte Rechterichtlinien erstellen. Sie können jedem Benutzer, der in Active Directory als Manager identifiziert ist, umfangreichere Nutzungsrechte zuweisen oder allen mobilen Mitarbeitern das Drucken oder Kopieren von vertraulichen Daten untersagen. Doch nur Clientsoftware, die AD RMS unterstützt, wird diese Rechterichtlinien auch durchsetzen. Deshalb sollten standardmäßig AD RMS-fähige Produkte verwendet werden.Sicherung des Netzwerkverkehrs
Windows Server 2008 enthält eine neue Firewall, die ausgehenden wie eingehenden Netzwerkverkehr überprüft. Dies bedeutet, dass jetzt automatische Regeln erstellt werden können, die Benutzer davon abhalten, unsichere Websites zu besuchen oder die jeden ausgehenden Verkehr auf Servern blockieren, die normalerweise keinen Internetzugriff erfordern. Alle ausgehenden Nachrichten von diesen Computern werden vermutlich von Viren oder Spyware verursacht.Zur Vereinfachung der Definition solcher Regeln beinhaltet Windows Server 2008 eine neue Firewall-Verwaltungsschnittstelle, mit der Anzahl der Mausklicks für das Hinzufügen einer neuen Regel von bis 100 auf etwa fünf oder sechs reduziert wird.
