Suchen

Neue Sicherheitsfunktionen bei Windows Server 2008

Sicherheit bis zum Kern

Seite: 5/6

Firmen zum Thema

Bei allen Verbesserungen ist jedoch zu beachten, dass es sich bei der in Windows Server 2008 integrierten Firewall „nur“ um eine Personal-Firewall (auch als Desktop-Firewall bezeichnet) handelt, die Netzwerkverkehr auf dem Rechner gezielt blockieren kann. Im Gegensatz zu Netzwerk-Firewalls wird damit nicht der Verkehr zwischen zwei Netzwerken gefiltert, sondern nur der Netzwerkverkehr zwischen dem Rechner, auf dem sie läuft, und dem Netzwerk, in dem sich der Rechner befindet. Als alleinige Maßnahme für die Absicherung eines Unternehmensnetzes gegenüber Angriffen ist die integrierte Firewall daher ungenügend und somit nur als ein Baustein eines Sicherheitskonzeptes zu sehen.

Read-Only-Domänencontroller

Soll der Windows 2008 Server die Funktion eines Domänencontrollers ausüben, kann diese Rolle bereits während der Erstkonfiguration zugewiesen werden. Hierfür sind zuerst die Active-Directory-Domänendienste zu installieren. Danach muss noch der Active-Directory-Installationsassistent (DCPROMO) ausgeführt werden, der dem früherer Versionen entspricht und im Wesentlichen die gleichen Konfigurationsschritte umfasst.

Bildergalerie

Bildergalerie mit 6 Bildern

Neu ist jedoch die Domänencontroller-Installationsoption zur Einrichtung eines Read-Only-Domänencontrollers (RODC). Diese Funktion bietet einen speziellen Schutz für Domänencontroller und ist in erster Linie für Server in Niederlassungen konzipiert, in denen die physische Sicherheit nicht garantiert werden kann.

Auf einem RODC wird zwar die Active-Directory-Verzeichnisdienst-Datenbank gespeichert, jedoch werden keine Kontokennwörter abgelegt. Clients können Änderungen nicht direkt auf einen RODC schreiben, die Anmeldedaten werden lediglich lokal zwischengespeichert. Bei einer Authentifizierungsanfrage muss der RODC einen vollwertigen Domänencontroller (dieser muss zwingend unter Windows Server 2008 laufen) kontaktieren und die Anfrage weiterleiten, sofern er die Anmeldedaten nicht zwischengespeichert hat. Hierzu stellt der RODC eine unidirektionale Verbindung zu einem anderen Domänencontroller her.

Auch Anwendungen, die schreibenden Zugriff auf das Active Directory benötigen, werden vom RODC an einen Domänencontroller mit Schreibberechtigung verwiesen. Nur lesende Zugriffe auf den Verzeichnisdienst kann der RODC selbstständig bearbeiten. Da ein RODC keine Daten auf andere Domänencontroller im Netz repliziert, kann somit ein kompromittierter RODC die Änderungen nicht systemweit verbreiten.

(ID:2010215)