Von Eric Tierling*
Vor ein paar Wochen hat Microsoft seinem Client-Betriebssystem Windows XP mit dem Service Pack 2 einen kräftigen Sicherheitsschub verpasst. Die darin enthaltenen Schutzmerkmale halten auch in das Service Pack 1 für Windows Server 2003 Einzug, das sich momentan in der Betaphase befindet und im ersten Halbjahr 2005 auf den Markt kommen soll.
Einer der interessantesten Aspekte für das kommende Server-Aktualisierungspaket dürfte die mit Service Pack 2 für Windows XP eingeführte "Datenausführungsverhinderung" (englisch: Data Execution Prevention = DEP) sein. Diese Funktion soll verhindern, dass Pufferüberläufe dazu missbraucht werden können, Programmcode in eigentlich für Daten vorgesehene Speicherbereiche einzuschleusen und dort auszuführen - eine Vorgehensweise, die sich besonders bei Viren, Würmern und anderen elektronischen Plagegeistern großer Beliebtheit erfreut. DEP kennt zwei Stufen: Die erste ist rein per Software umgesetzt und läuft mit jeder von Windows unterstützten CPU, kann allerdings nur einige wenige Systemdateien schützen. Weitaus effektiver ist die zweite, hardwaregestützte DEP-Stufe: Hier kennzeichnet der Prozessor Datenbereiche des Arbeitsspeichers von sich aus als "nicht ausführbar".
Unterstützung von AMD und Intel
Allerdings unterstützen bislang nur bestimmte CPUs das dazu erforderliche Hardwaremerkmal "NX" (No Execute). Allen voran implementiert AMD die Technik in seinen Athlon-64- und Opteron-Prozessoren. Die Bezeichnung dafür ist Enhanced Virus Protection (EVP), was jedoch einen völlig falschen Eindruck erweckt, denn ein Virenscanner wird durch NX/EVP keineswegs obsolet. Intel hat sich etwas Besseres einfallen lassen und nennt das Ganze Execute Disable (XD). Neben der 64-Bit-CPU Itanium sind dem Hersteller zufolge alle ab dem dritten Quartal 2004 eingeführten Server-, Desktop- und Mobilprozessoren der Xeon-, Pentium- und Celeron-Baureihen mit der NX/XD-Technik ausgestattet. Mit älteren CPUs lässt sich das hardwarebasierende DEP von Windows nicht nutzen.
Ferner befindet sich der Sicherheitskonfigurationsassistent Security Configuration Wizard (SCW) im Gepäck des Service Pack 1 für Windows Server 2003. Mit-Hilfe dieses Tools können Administratoren anhand einer rollengestützten Konfiguration einen sicheren Systemzustand herstellen, ohne sich dafür auf eine Reise quer durch das Server-Betriebssystem begeben und mehrere Optionen manuell ändern zu müssen. Nach eingehender Untersuchung der aktuellen Server-Konfiguration informiert SCW den Administrator darüber, welche Merkmale aktiviert oder ausgeschaltet werden sollten, um die Sicherheit zu erhöhen.
Die gewünschten Einstellungen werden als Datei im XML-Format gespeichert und lassen sich damit wiederverwenden, um die favorisierte Konfiguration auf weiteren Servern herzustellen.
Bequemes Deployment
Neben seinem grafischen Frontend wartet SCW hierzu mit einem Befehlszeilenprogramm auf, um diese Aufgabe parameter- oder skriptgesteuert zu erledigen. Darüber hinaus lassen sich die XML-Dateien des Sicherheitskonfigurationsassistenten in Vorlagendateien der Gruppenrichtlinien umwandeln. Auf diese Weise können Administratoren die gewünschten Sicherheitseinstellungen bequem über Active-Directory-Gruppenrichtlinien und somit auch auf solchen Servern umsetzen, auf denen das SCW-Tool nicht installiert ist.
Unsichere Clients bleiben draußen
Nicht nur beim Service Pack 1, sondern auch beim nächsten, als "R2" bezeichneten Update von Windows Server 2003, das Microsoft für die zweite Jahreshälfte 2005 plant, spielt Sicherheit eine Hauptrolle. Neben Funktionen etwa zum sicheren Internet-Fernzugriff auf Dateien wird mit dem neuen Server-Release auch eine Technologie namens Network Access Protection (NAP) debütieren. Diese soll Unternehmen in die Lage versetzen, nur solchen Computern den Zugang zum firmeninternen Netzwerk zu gestatten, die bestimmte Sicherheitskriterien erfüllen.
NAP führt Zugangsrichtlinien ein, die genau regeln, welche Bedingungen PCs - und zwar nicht nur beim Internet-Fernzugang, sondern auch bei VPN-Zugriffen per Internet sowie LAN-internen Intranet-Verbindungen - erfüllen müssen, um an die Ressourcen des Firmennetzes zu kommen. (ue)
*Eric Tierling
ist IT-Fachautor in Leichlingen.