Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

426 Kapitel 15: Schützen von Zweigstellen
Volume wiederbekommen, können Sie das BitLocker-Reparaturtool und eine Sicherungskopie
des FVEK sowie das Wiederherstellungskennwort verwenden, um Ihre Daten wieder
zu entsperren. Daher sollten Sie sicherstellen, dass diese Elemente über das AD DS-System
oder den WMI-Anbieter gesichert werden.
Denken Sie auch daran, dass BitLocker in Windows Server 2008 ein optionales Feature ist.
Weil die Verschlüsselungs- und Entschlüsselungsoperationen in einem Filtertreiber implementiert
sind, können Sie BitLocker nur nutzen, wenn Sie das Feature explizit installieren,
wie weiter oben in diesem Kapitel beschrieben. Beachten Sie aber, dass Sie den Server neu
starten müssen, wenn Sie BitLocker installieren oder entfernen.
BitLocker unterstützt keine Cluster. Falls Sie Server in Failoverclustern konfigurieren, können
Sie BitLocker nicht einsetzen, um freigegebene Volumes zu schützen.
Wie alle Verschlüsselungsprodukte und -technologien benötigt BitLocker Rechenleistung. In
den meisten Benutzerszenarien ist dieser Leistungsabfall kaum zu bemerken, üblicherweise
beträgt er unter 5 Prozent. Falls Ihr Server allerdings laufwerksintensive Operationen durchführt
oder sehr stark ausgelastet ist, müssen Sie diesen Faktor unter Umständen bei der Kapazitätsplanung
berücksichtigen.
Bei der Sicherheit müssen oft Kompromisse gefunden werden. Beim Einsatz von BitLocker
muss beispielsweise entschieden werden, ob der Benutzer beim Start gezwungen wird, aktiv
zu werden. In der Standardeinstellung nutzt BitLocker das TPM als Schlüsselschutz. Sofern
die Integritätsprüfung erfolgreich verläuft, entsperrt BitLocker das Windows-Betriebssystemvolume,
ohne dass der Benutzer tätig werden muss. Das bedeutet aber, dass ein Dieb, der
den gesamten Server stiehlt, ihn ebenfalls einschalten kann, ohne dass BitLocker ihn daran
hindert.
Um diese Gefahr einzudämmen, sollten Sie TPM mit einer PIN, einem USB-Flashlaufwerk
(dem sogenannten Startschlüssel) oder beidem kombinieren. Das verbessert die Sicherheit
ganz entscheidend. Es bedeutet aber auch, dass ein Server nicht automatisch neu gestartet
werden kann. (Es wäre idiotisch, einen Startschlüssel ständig am Server zu lassen.) Weil
Server normalerweise laufen, ist das vermutlich kein Problem – bis ein Stromausfall dazu
führt, dass die Zweigstelle lahmgelegt wird, weil der eine Manager, der die PIN kennt, gerade
im Urlaub ist.
Ich empfehle in den meisten Fällen, ein TPM und eine PIN zu benutzen, aber sicherzustellen,
dass eine Betriebsprozedur definiert, wer die PIN kennt, wie sie benutzt wird und wie
die PIN bei Bedarf vom zentralen Support angefordert werden kann. Das erfordert auch,
dass eventuell geplante Neustarts (zum Beispiel für ein Betriebssystem-Upgrade oder
Update) so geplant werden, dass zu diesem Zeitpunkt jemand vor Ort ist, der die PIN eingeben
kann. Nur Ihre Organisation kann entscheiden, welche Gefahr größer ist: die einer
längeren Ausfallzeit oder die eines Diebstahls des Servers.
Andere Sicherheitsmaßnahmen
Ich denke, dass Sie sich mit zwei anderen Bereichen befassen müssen, um Ihre Zweigstellenserver
zu schützen: physische Sicherheit und Benutzerschulung.
Features wie RODC und BitLocker helfen zwar, die Gefahr einzudämmen, aber wenn ein
Angreifer physischen Zugriff auf Ihre Server hat, ist das trotzdem ein gewaltiges Problem.
Selbst wenn er es nicht schafft, auf die Daten zuzugreifen, kann er möglicherweise verhin-