Von Eric Tierling*
Ein zentrales Element gleich für eine ganze Reihe von Sicherheitsfunktionen, die bereits im Windows-Betriebssystem enthalten sind, stellt eine funktionierende Public Key Infrastructure (PKI) dar. Mit ihrer Hilfe können elektronische Ausweise in Form digitaler Zertifikate erstellt, verteilt, verwaltet und widerrufen werden. Sie gewährleisten die Identität von Benutzern. Die zu Windows Server 2003 gehörende PKI-Software gestattet es, die dafür erforderlichen öffentlichen und privaten Schlüssel sowie die digitalen Zertifikate im zentralen Active-Directory-Verzeichnis zu speichern, so dass ein einheitlicher Zugriff darauf besteht.
Allerdings will die Implementierung einer Windows-Server-2003-PKI gut geplant sein, da hierbei teils vielschichtige Abhängigkeiten und Hierarchieebenen zu beachten sind. Wer mit einer PKI-Implementierung liebäugelt und nicht über das dazu erforderliche Know-how verfügt, benötigt Zeit, um sich das entsprechende Wissen anzueignen. Empfehlenswert ist zudem, alles in einer Testumgebung in Ruhe auszuprobieren und auch Situationen wie beispielsweise das Widerrufen ausgestellter Zertifikate oder die Sicherung der Zertifizierungsstellen-Datenbank durchzuspielen.
PKI-Spezialitäten
Die Zertifikatsdienste von Windows Server 2003 kennen zwei verschiedene Arten von Vorlagen, die als "Version 1" und "Version 2" bezeichnet werden. Vorlagen der Version 1 werden automatisch bei der Installation einer Zertifizierungsstelle erstellt. Diese sind allerdings schreibgeschützt und können daher weder gelöscht noch angepasst werden. Version-2-Vorlagen dagegen lassen sich flexibel eigenen Bedürfnissen anpassen und mit aufeinander aufbauenden Bedingungen versehen. Ihr großer Vorteil liegt in der automatischen Anforderung und Erneuerung von Zertifikaten über Gruppenrichtlinien.
Zertifikate auf der Grundlage von Version-2-Vorlagen können bereits die Zertifikatsdienste von Windows Server 2003 Standard Edition kreieren. Nur die Zertifikatsdienste von Windows Server 2003 Enterprise Edition und höher sind jedoch dazu in der Lage, einzelne Zertifikate auf Basis dieser Vorlagen auch tatsächlich auszustellen. Zudem können nur Windows-Server-2003- und Windows-XP-Professional-PCs Zertifikate auf Basis von Version-2-Vorlagen konsumieren.
Smartcards zum Leben erwecken
Welche Möglichkeiten die automatische Registrierung von Zertifikaten eröffnet, die auf Vor- lagen der Version 2 basieren, lässt sich plastisch anhand von Smartcards erkennen. Anders als bei anderen PKI-Implementierungen, wo nur bestimmten Personen die Ausstellung benutzerspezifischer Smartcards möglich ist, kann der Benutzer mit Windows Server 2003 und Windows XP Professional sich seine Smartcard, die er von der Personalabteilung erhält, selbst ausstellen. Sobald er sich das erste Mal am Netz anmeldet, erscheint automatisch eine Aufforderung, die Smartcard zu registrieren.
Diese Legitimierung des Benutzers durch Smartcard und PIN, die die sonst übliche Kombination aus Name und Kennwort ersetzt, lässt sich für eine Vielzahl von Aufgaben nutzen. Neben der interaktiven Anmeldung am Netz - wahlweise auch über eine Terminaldiensteverbindung - kann ein Administrator per Gruppenrichtlinie die unmittelbare Sperrung des Windows-Desktops oder aber die sofortige Anmeldung veranlassen, wenn der Benutzer seine Smartcard aus dem Reader entfernt. Auch die in Windows Server 2003 enthaltenen Remote-Access- sowie VPN-Server sind auf die Verwendung von Smartcards vorbereitet, um dadurch die Sicherheit beim Fernzugang zum Unternehmens-LAN zu erhöhen. Auf diese Weise lässt sich die Vorgabe treffen, dass Benutzer ihre persönliche Smartcard verwenden müssen, um von einem Remote-Client aus erfolgreich auf die Ressourcen des Firmennetzes zuzugreifen.
Gerade für Administratoren ist zudem die sekundäre Anmeldung unter Verwendung einer Smartcard interessant. Obwohl der Benutzer komplett angemeldet bleibt, kann ein Administrator beim "Secondary Logon" ein bestimmtes Programm gezielt mit Administratorberechtigung starten, ohne dadurch den Sicherheitskontext des angemeldeten Benutzers zu erweitern. Um diese Methode selbst dann einsetzen zu können, wenn das Entfernen der Smartcard die Abmeldung des Benutzers zur Folge hat, beherrschen Windows Server 2003 und Windows XP Professional den gleichzeitigen Anschluss von zwei Smartcard-Readern an den Computer.
Zertifikate für Netzzugang
Darüber hinaus lassen sich die von der Windows-Server-2003-PKI ausgestellten Zertifikate für die Absicherung des physi-kalischen Netzzugangs nutzen, sofern das eingesetzte Ether- net- oder WLAN-Equipment (sprich: Switches und Access Points) das 802.1X-Verfahren unterstützt. Ziel des Ganzen ist es, nur solchen Computern einen Zugriff auf das Unternehmens-LAN zu gewähren, auf denen sich ein entsprechendes Zertifikat befindet. Computer von Besuchern und anderen Gästen, die vor dem Firmengebäude im Auto sitzen, werden dadurch automatisch außen vor gehalten.
Ports explizit freischalten
Die für den 802.1X-Betrieb benötigte Software gehört bereits zum Betriebssystem: Windows Server 2003 wartet mit dem als Radius-Server agierenden "Internetauthentifizierungsdienst" auf, der einzelne Ports am Ethernet-Switch beziehungsweise WLAN-Access-Point freischaltet. Der 802.1X-Client ist integraler Bestandteil von Windows XP Professional. Für Windows-2000-PCs stellt Microsoft diese Client-Software auf seiner Website bereit.
Ferner spielen Zertifikate für die verschlüsselte Speicherung von Dateien mit vertraulichen Inhalten eine fundamentale Rolle. Hierfür ist das serienmäßig im Betriebssystem enthaltene Encrypting File System (EFS) verantwortlich. Benutzer, die beispielsweise häufig mit dem Notebook unterwegs sind, können darüber sensitive Dokumente so speichern, dass Dieben nur unleserliche, wertlose Informationen in die Hände fallen. Die PKI liefert hierbei nicht nur das zur EFS-Chiffrierung benötigte Zertifikat, sondern auch dasjenige, mit dem ein Sicherheitsbeauftragter der Firma im Notfall - etwa, wenn der Benutzer das Unternehmen verlassen hat - verschlüsselte Dateien zwangsentschlüsseln kann.
Leitlinien für hohe Sicherheit
Unabhängig von Zertifikaten gibt es eine Reihe weiterer Maßnahmen, mit denen Unternehmen ihr Windows-Netz sicherer gestalten können. Für Administratoren stellt Microsoft in seinem "Security Guidance Center" umfangreiche technische Anleitungen und Sicherheitshandbücher etwa zu Windows Server 2003 und Windows XP bereit. Der Absicherung speziell von Windows XP hat sich auch die US-amerikanische National Security Agency (NSA) angenommen, die auf ihrer Website das Dokument "Guide to Securing Microsoft Windows XP" zum Download offeriert.
Werden neue Sicherheitslücken bekannt, entwickelt Microsoft dafür einen Patch. All die- se Sicherheits-Aktualisierungen wandern auf die Windows-Update-Website von Microsoft ins Internet. Um den Bezug dieser Patches für das Unternehmens-LAN in einheitliche Bahnen zu lenken und zentral steuern zu können, sind die Software Update Services (SUS) das probate Mittel. Hierbei handelt es sich um ein von Microsoft kostenlos angebotenes Add-on, das sozusagen den Windows-Update-Server-Part auf einem Server im firmeneigenen Netz abbildet. Über Gruppenrichtlinien wird der Windows-Update-Client von Windows 2000 und höheren PCs dann so konfiguriert, dass er Aktualisierungen nicht mehr von Microsoft aus dem Internet, sondern vom SUS-Server des privaten Intranets bezieht. Somit gibt es nur noch einen einzigen PC, nämlich den SUS-Server, der die Windows-Update-Website von Microsoft im Internet kontaktiert und Sicherheits-Aktualisierungen von dort herunterlädt. Welche Patches auf dem SUS-Server vorgehalten werden, liegt dadurch in der Hand der IT-Administratoren der Firma. Die für das erste Halbjahr 2005 geplante SUS-Version 2.0, die Microsoft in "Windows Update Services" (WUS) umgetauft hat, wird neben Sicherheits-Aktualisierungen für Windows auch Patches für Office und weitere Anwendungen von Microsoft einschließen. (ue)
*Eric Tierling ist IT-Fachjournalist und hat Bücher zu Netz-Betriebssystemen und Verzeichnisdiensten verfasst.
Fazit
Der unternehmensübergreifende Einsatz von Windows stellt Microsoft in Bezug auf Sicherheitsmechanismen vor gewaltige Herausforderungen. Vor allem der mit Fernzugriffen drohenden Gefahr, dass Schadcode unbeabsichtigt in das Firmennetz gelangt, gilt es zu begegnen. Mit den in Windows Server 2003 integrierten Zertifikatsdiensten lässt sich eine Public Key Infrastructure aufbauen, die einen sehr weitgehenden Schutz des Systems bietet. Das Add-on für Rights Management sowie die Windows Update Services sind weitere Bausteine in Microsofts Security-Konzept.
Rights Management
Mit den "Rights Management Services" (RMS) bietet Microsoft ein weiteres Sicherheits-Add-on für Windows Server 2003 an. Über dieses Tool können Unternehmen ein digitales Rechte-Management (DRM) etwa für Office-2003-Dokumente implementieren und so die unkontrollierte Einsichtnahme und Weitergabe vertraulicher Informationen verhindern. Die RMS gestatten es zum Beispiel, nur ausgewählten Benutzern und Gruppen die Berechtigung zum Ansehen oder Ausdrucken zu erteilen - wahlweise für ganze Dokumente oder aber lediglich für Teile davon.
Check mit MBSA
Zwar ist es für Administratoren wichtig zu erfahren, ob die Computer des Unternehmens sicher konfiguriert und dort alle wichtigen Security-Updates eingespielt sind - doch eine manuelle Überprüfung ist auf jedem PC einzeln auszuführen und daher viel zu aufwändig. Zur Automatisierung dieser Aufgabe gibt es Sicherheitsscanner wie den kostenlos von Microsoft offerierten "Baseline Security Analyzer". Dieses Tool prüft, ob wichtige Patches auf den Computern eingespielt sind und ob die Systemsicherheit Schwächen aufweist. Anhand eines ausführlichen Berichts weiß somit ein Administrator relativ schnell, wie es um den Schutzgrad der Computer im Unternehmens-LAN bestellt ist.