Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Der Sicherheitskonfigurations-Assistent 345
In den übrigen Abschnitten des SCW können Sie Überwachung und einige Registrierungseinstellungen
konfigurieren. Im Allgemeinen reichen die Standardeinstellungen bei diesen
Parametern für die meisten Organisationen aus. Sofern Sie keine speziellen Anforderungen
haben, brauchen Sie hier nicht viel zu tun. Die Rollen- und Firewalleinstellungen sind bei
Weitem die wichtigsten.
Wenn Sie Ihre Richtlinie erstellt haben, können Sie sie speichern und auf diesen Computer
oder andere Computer anwenden. Sie können Ihre Richtlinie auch mit dem Befehl scwcmd.exe
/transform in ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) umwandeln. Falls
Sie allerdings computerspezifische Einstellungen in der Richtlinie haben, verläuft das unter
Umständen nicht erfolgreich – möglicherweise erhalten Sie auch nur sehr seltsame Ergebnisse.
Falls Sie zum Beispiel im Netzwerkabschnitt Endpunkteinschränkungen erstellen, die
lokale Adapter betreffen, gilt die Richtlinie als computerspezifisch und lässt sich nicht erfolgreich
konvertieren. SCW lässt sich viel besser für einzelne Server einsetzen, und es ist
ein hervorragendes Lernmittel. In großen Serverfarmen können Sie SCW einsetzen, um sich
über die Computer zu informieren und eine grundlegende Richtlinie zu entwickeln. Dann
nehmen Sie diese Richtlinie und erstellen Sie neu, sodass sie mit dem Tool angewendet
werden kann, das Sie für die Konfiguration Ihrer Server einsetzen, zum Beispiel Gruppenrichtlinien
oder ein EMS (Enterprise Management System) wie Microsoft Systems Center.
Direkt von der Quelle: Leichen im SCW-Keller
Zu jedem Produkt gibt es einige Anekdoten von seiner Entwicklung zu berichten. Bei
SCW ist das nicht anders. Hier sind ein paar:
Der ursprüngliche Codename für SCW war »Secure Server Roles« (Sichere Serverrollen).
Dieser Name ist noch nicht völlig in der Versenkung verschwunden. Wenn Sie
dcomcnfg.exe ausführen und den Knoten DCOM-Konfiguration aufklappen, sehen Sie
eine Klasse namens Ssr DCOM Back-end classes.
Wenn Sie sich die TCP/IP-Eigenschaften dieser Klasse ansehen, stellen Sie fest, dass
die SSR-DCOM-Komponente einen fest einprogrammierten Port überwacht, wenn sie
aktiviert ist: 64129. Diese Portnummer leitet sich von meinem Geburtsdatum ab, dem
29. Oktober 1964. Ich sagte den Entwicklern, sie sollten irgendeine Portnummer wählen,
die sie wollten, solange sie vorübergehend war und eine Websuche nichts lieferte,
das diese Nummer benutzte. Das kam dabei heraus!
SCW wurde beinahe SPW getauft, für »Security Policy Wizard« (Sicherheitsrichtlinien-Assistent),
um seine Aufgabe als Richtlinienerstellungstool zu unterstreichen.
Ein anderer Namensvorschlag war FSW für »Firewall and Service Wizard« (Firewall-
und Dienstassistent).
Ursprünglich hatten wir keinen Verantwortlichen für die Benutzeroberfläche von
SCW. Erst als ich meine eigenen Entwürfe für die Benutzeroberfläche präsentierte,
kam Bewegung in die Sache und die Stelle wurde bewilligt.
Der UI-Designer erfand ein neues Steuerelement für den Assistenten. Das Konzept
stammte aus dem Web. Den nach rechts zeigenden Pfeil (>) bekommen Sie in anderen
Windows-Anwendungen nicht zu sehen.
Kirk Soluk, ursprünglicher SCW Program Manager,
derzeit Senior University Security Analyst, University of Michigan