Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Empfehlungen für kleine Unternehmen 449
Vorsicht Die Gefahr von Sicherheitsleitfäden
Sie können beliebig viele Leitfäden und Checklisten von Fremdherstellern hernehmen und auf Server
beliebiger Größe anwenden, aber falls Ihnen nicht absolut klar ist, dass nun nur noch Sie allein den Support
für diesen Server erledigen können, riskieren Sie in leichtsinniger Weise die Wartbarkeit dieses Servers
und letztlich die Umsätze des Unternehmens.
Falls Sie versucht sind, Änderungen anhand von Sicherheitsleitfäden vorzunehmen, würde
ich dringend empfehlen, solche Änderungen erst einmal in einem Testnetzwerk (mit guter
Datensicherung) auszuprobieren. Lesen Sie dieses Buch. Lesen Sie Windows Server 2008
Security Guide, Windows Vista Security Guide und Windows XP Security Guide, die Sie alle
im Microsoft Download Center unter http://www.microsoft.com/downloads finden. Falls
eine Einstellung interessant klingt, können Sie sie ausprobieren, aber Sie müssen sich immer
bewusst sein, dass Sie anschließend alles testen müssen. Sie haben nämlich gerade Ihre
eigene Version des Betriebssystems gebaut. Und künftig müssen Sie alle Updates oder Installation
auf Ihrem speziell angepassten Server testen. Fragen Sie sich selbst, ob die vorgenommene
Optimierung dieses Netzwerk wirklich sicherer gemacht hat. Sie haben jetzt die
Gefahr erzeugt, dass der Server künftig nicht mehr gewartet werden kann, aber im Bezug
auf wirkliche Sicherheit kaum etwas erreicht.
Jedem, der die Zuweisung des Privilegs Auslassen der durchsuchenden Überprüfung geändert
und dann Microsofts Sicherheitsbulletin 05-051 angewendet hat, wurde das äußerst
schmerzlich bewusst, wie in KB 909444 dokumentiert ist: »Bei Systemen, in denen die
Standardberechtigungen für Zugriffssteuerungslisten im Verzeichnis "%WinDir%\registration"
geändert wurden, können nach der Installation von Microsoft Security Bulletin MS05-
051 für COM+ und MS DTC verschiedene Probleme auftreten« (siehe http://support.micro
soft.com/kb/909444/). Insbesondere auf einem Multi-Rollen-Server haben die Entwickler die
Sicherheitsanforderungen bereits gegen die Funktionalität des Servers abgewogen und einen
sinnvollen Kompromiss gefunden. Sie müssen lediglich die Richtlinien festlegen, die Auswirkungen
auf die Endbenutzer haben. Solange Sie die Installations- und Bereitstellungsassistenten
nutzen, ist der Server selbst geschützt.
Auch Leitfäden, die sich an größere Unternehmen richten, können verwirrend sein, weil sie
davon ausgehen, dass die Server nur eine einzige Rolle übernehmen. Wenn Sie die Windows-Sicherheitsleitfäden,
dann den Exchange-Leitfaden und schließlich den SQL Server-
Leitfaden lesen, können Sie gar nicht mehr so einfach sagen, welchen Empfehlungen
Sie denn nun folgen sollen. Sie müssen sich klarmachen, dass dies nur Richtlinien sind.
Sie dürfen sie nicht als verpflichtend betrachten.
Spezielle Härtung für kleine Netzwerke
Sie haben dieses Kapitel also aufgeschlagen in der Hoffnung, eine Checkliste zu finden.
Gut, hier wird Ihr Wunsch erfüllt. Ja, sie ist recht kurz. Wenn Sie die Assistenten in Windows
Small Business Server 2008 und Windows Essential Business Server verwenden,
um Ihre Serverlösungen einzurichten, sparen Sie eine Menge Zeit, die Sie nutzen können,
um die eigentliche Quelle aller Sicherheitsprobleme anzugehen: die Desktopcomputer,
auf denen die Endbenutzer nach wie vor mit den Rechten eines Systemadministrators
arbeiten. Und dann müssen Sie sich gemeinsam mit dem Unternehmensinhaber hinsetzen
und feststellen, wo seine Schmerzgrenze überschritten wird. Dabei können Sie nicht blind
einer Checkliste folgen, die für Großunternehmen entwickelt wurde. Welcher konkrete