Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

466 Kapitel 16: Aspekte für kleine Unternehmen
Display a Gray Screen or May Appear to Stop Responding«, beschrieben ist. Damals stufte
eine Antivirensoftware lsass.exe als Virus ein und legte dadurch Server lahm. Sinnvoller ist
es, die Orte zu überprüfen, wo potenziell böswillige Software in das System eindringen
kann. Verwenden Sie Datensäuberungsdienste, zum Beispiel Microsofts Forefront-Dienste
für SharePoint und Exchange. Und natürlich sollten Sie Antimalwaretechnologie auf allen
Arbeitsstationen und Terminalservern installieren. Falls diese Technologien vorhanden sind,
brauchen die meisten Server (ja, das gilt auch für Multi-Rollen-Server) keine Antimalwaresoftware,
weil die vorhandenen Schutzmechanismen die Probleme ja bereits im Griff haben
dürften.
NAP für kleine und mittlere Unternehmen
Netzwerkzugriffsschutz (Network Access Protection, NAP) ist eine neue Technologie, die
großen Nutzen verspricht. NAP wird zwar standardmäßig weder auf Windows Small Business
Server 2008 noch auf Windows Essential Business Server eingerichtet sein, aber Sie
sollten es in Ihre Netzwerkstrategie miteinbeziehen. Beachten Sie aber, dass Sie NAP erst
dann im Erzwingungsmodus aktivieren sollten, wenn Sie sichergestellt haben, dass für alle
Geräte, mit denen Sie selbst eine Verbindung zum Netzwerk herstellen, ein MAC-Ausschluss
von der Erzwingungsrichtlinie konfiguriert ist. Sie können nicht dasselbe Antivirenprogramm
wie Ihre Clients benutzen, daher ist es sinnvoll, NAP erst einmal im Berichterstellungsmodus
bereitzustellen, um zu prüfen, welche Ausschlüsse nötig sind, bevor Sie die
vollständige Erzwingung aktivieren. Wenn Sie sich blind durch den Assistenten aus Abbildung
16.21 klicken, stellen Sie möglicherweise fest, dass Sie sich selbst ausgesperrt haben,
weil Sie die Anforderungen der Richtlinie nicht erfüllen, die Sie gerade für das Netzwerk
Ihres Kunden eingerichtet haben.
Für kleine Organisationen besteht das größte Problem mit NAP darin, die Erzwingungsrichtlinien
auszuwählen. Sie können DHCP mithilfe einer geänderten IP-Konfiguration umgehen.
802.1x hat Sicherheitsprobleme, wenn es in einem Kabelnetzwerk eingesetzt wird. VPN ist
in einem internen Netzwerk schwierig zu erzwingen. Damit bleibt IPSec als der einzige
robuste Erzwingungsmechanismus für NAP. Das bedeutet eine komplexere Architektur.
In einer kleinen Firma reicht DHCP wahrscheinlich für die Anforderungen des Unternehmens
aus. Für Windows Small Business Server 2008 wird empfohlen, NAP auf einen separaten
Server zu legen.
Jede Installation sollte auch eine Quarantänelösung umfassen, damit Sie Computer, die die
Anforderungen nicht erfüllen, isolieren können. In der Quarantäne muss ihnen der Zugriff
auf Ressourcen möglich sein, die sie brauchen, um die Anforderungen erfüllen zu können.
Andere führen an, dass Malwareentwickler einfach Methoden finden, die Server auszutricksen,
sodass sie glauben, die Arbeitsstationen würden die Anforderungen der Richtlinie erfüllen.
Das passiert vermutlich früher oder später, da jeder Erzwingungsmechanismus beim
Netzwerkzugriff dem Client vertrauen muss. Dieses Argument geht aber am Ziel am vorbei.
Das Konzept von NAP besteht nicht darin, vor allem böswillige Clients auszusperren, sondern
sicherzustellen, dass die Clients, die noch nicht böswillig sind, diesen Zustand beibehalten.
NAP bietet Mechanismen, mit denen Sie sicherstellen können, dass gesunde Clients
auch gesund bleiben.