3 Windows Server 2003 R2

Transkript

1 Windows Server 2003 R2 ist ein Versionsupdate des Betriebssystems Windows Server Windows Server 2003 R2 basiert auf Windows Server 2003 mit Service Pack 1, bietet aber neue Features, um die Windows Server 2003 auch bei Erscheinen weiterer Service Packs nicht erweitert werden wird. 3 Windows Server 2003 R2 3.1 Editionen von Windows Server 2003 R2 Windows Server 2003 R2 wird auf zwei CDs ausgeliefert. Auf der CD 1 befindet sich Windows Server 2003 mit SP1, auf CD 2 die Features von Windows Server 2003 R2. Es gibt nicht für alle Editionen von Windows Server 2003 eine R2-Version, sondern zumindest derzeit nur für folgenden Versionen: Windows Server 2003 Standard Edition Windows Server 2003 Enterprise Edition Windows Server 2003 Datacenter Edition Microsoft plant außerdem folgende x64-editionen von Windows Server 2003 R2: Microsoft Windows Server 2003 R2, Standard x64 Edition Microsoft Windows Server 2003 R2, Enterprise x64 Edition Microsoft Windows Server 2003 R2, Datacenter x64 Edition Mit Windows Server 2003 R2 wird es keine Änderungen an IIS 6.0 (Internetinformationsdienste) geben. 3.2 Upgrade auf R2 oder zusätzliche Server unter W2003SRV R2 Wann sollte ein Upgrade von Windows Server 2003 auf Windows Server 2003 R2 erfolgen oder wann sollten zusätzliche Server unter Windows Server 2003 R2 in die Domäne aufgenommen werden? 97

2 3 Windows Server 2003 R2 Windows Server 2003 R2 baut auf den Leistungsmerkmalen von Windows Server 2003 SP1 auf und ergänzt sie durch ausgewählte neue Features und Komponenten. Folglich müssen Sie nur die Server unter Windows Server 2003 auf Windows Server 2003 R2 aktualisieren, auf denen diese neuen Features benötigt werden. Für diese Aktualisierung muss dann eine neue Serverlizenz erworben werden. Nichts spricht aber dagegen, in eine bestehende Domäne unter Windows Server 2003 weitere Server unter Windows Server 2003 R2 hinzuzufügen, um Serverdienste, Serverfunktionen und Last zu verteilen und um die neuen Features von R2 gezielt auf den hinzugefügten Servern zu nutzen. Für Windows Server 2003 R2 werden dieselben Service Packs und Updates wie für Windows Server 2003 bereitgestellt. Daher können die Betriebssysteme Windows Server 2003 und Windows Server 2003 R2 problemlos in ein und derselben Umgebung miteinander kombiniert werden. Ein späterer Umstieg auf Windows Server Longhorn kann sowohl von Windows Server 2003 als auch von Windows Server 2003 R2 aus erfolgen. Wenn Sie eine neue Active-Directory-Domäne auf einer»grünen Wiese«errichten müssen, so sollten Sie Windows Server 2003 R2 einsetzen. Ist die Anzahl der Clients kleiner als 75 und ist davon auszugehen, dass innerhalb der nächsten vier bis fünf Jahre diese Größe nicht überschritten wird, so sollten Sie Microsoft Small Business Server 2003 R2 als Alternative in Betracht ziehen, die bezüglich der Lizenzen preiswerter, wesentlich leichter zu installieren und mit geringem Aufwand zu warten ist. Auch in einer SBS 2003 R2-Domäne kann durch zusätzliche Server unter Windows Server 2003 R2 Lastverteilung und mit Einschränkungen Ausfallsicherheit erreicht werden. Lesen Sie dazu auch den Artikel»SBS-2003-Domäne mit zusätzlichen Servern ausbauen und absichern«auf der Buch-DVD im Verzeichnis Lizenzierung. 3.3 Installation und Upgrade Windows Server 2003 R2 wird auf zwei CDs ausgeliefert. Auf der CD 1 befindet sich Windows Server 2003 mit SP1, auf CD 2 die Features von Windows Server 2003 R2 und im Verzeichnis DOCS Hilfen zur Installation und zu den Neuerungen. Anleitungen zur Installation und zum Upgrade finden Sie auf der Buch-DVD im Verzeichnis Windows Server\Windows Server 2003 R2 (z. B.»Neue Funktionen von Windows Server 2003 R2 installieren«oder»installing Windows Server 2003 R2«) sowie unter 98

3 Neue Features von Windows Server 2003 R Anwendungskompatibilität von Windows Server 2003 R2 Da Windows Server 2003 R2 auf Windows Server 2003 SP1 basiert, können alle Anwendungen, die unter SP1 laufen, auch unter Windows Server 2003 R2 ausgeführt werden. Weitere Informationen zur Anwendungskompatibilität von Windows Server 2003 SP1 finden Sie im Knowledge-Base-Artikel»Anwendungskompatibilität von Windows Server 2003 Service Pack 1«( 3.5 Lizenzierung von Windows Server 2003 R2 Windows Server 2003 R2 wird mit einer neuen, speziellen Serverlizenz ausgeliefert. Es ist deshalb nicht legitim, einen Windows Server 2003 auf Windows Server 2003 R2 zu aktualisieren, ohne diese spezielle Serverlizenz zu erwerben. Doch gibt es keine speziellen Clientzugriffslizenzen (CALs) für Windows Server 2003 R2, sondern nur Windows-Server-2003-CALs. Wird eine neue Domäne auf Basis von Windows Server 2003 R2 errichtet und werden neben den fünf zum Lieferumfang gehörenden CALs weitere CALs benötigt, so erwirbt man Windows-Server-2003-CALs. Wird ein Windows Server 2003 R2 in eine bereits bestehende Windows-Server-2003-Domäne aufgenommen, so müssen folglich die bereits erworbenen CALs nicht ersetzt werden. Das gilt übrigens auch für eine Small-Business-Server-2003-Domäne, die um weitere Server vom Typ Windows Server 2003 R2 erweitert wird. Allerdings muss für jeden Windows Server (egal ob Windows 2000 Server, Windows Server 2003 oder Windows Server 2003 R2), der in eine SBS-2003-Domäne aufgenommen wird, eine SBS-2003-CAL erworben werden. Lesen Sie dazu auch den Artikel»SBS-2003-Domäne mit zusätzlichen Servern ausbauen und absichern«auf der Buch-DVD im Verzeichnis Lizenzierung. 3.6 Neue Features von Windows Server 2003 R2 Windows Server 2003 R2 bietet gegenüber Windows Server 2003 viele Vorteile. So können Sie z. B. mit Windows Server 2003 R2 einfach und kostengünstig die Verbindungs- und Kontrollmöglichkeiten für Identitäten, Standorte, Daten und Anwendungen auf das gesamte Unternehmen sowie über Unternehmensgrenzen hinweg ausdehnen. Die Active Directory-Verbunddienste senken die Betriebs- 99

4 3 Windows Server 2003 R2 kosten und erhöhen die Sicherheit bei der Zusammenarbeit mit Geschäftspartnern oder der Bereitstellung von internetgestützten Webanwendungen. Eine derartige Erweiterung einer bestehenden Active-Directory-2003-Infrastruktur ist insofern kostengünstig, als die bereits beschafften CALs auch beim Zugriff auf die neuen Server unter W2003 R2 verwendet werden können. Einige der Leistungsmerkmale von Windows Server 2003 R2 wirken sich besonders bei der Einbindung von Zweigstellenservern positiv aus. Im Microsoft Whitepaper»Windows Server 2003 R2 Unterstützung für Zweigestellen«(auf der Buch-DVD) wird erläutert, wie die Features von R2 zu einer Vereinfachung der Verwaltung und zu einer Erhöhung der gesamten Produktivität in den Zweigstellen eines Unternehmens beitragen können Verbesserte Verwaltungsprogramme Zur Vereinfachung der Remoteverwaltung der Server installieren Sie die Verwaltungsprogramme für Windows Server 2003 R2 auf der CD 2 im Verzeichnis Admin. Diese Verwaltungsprogramme können auf Computern unter Windows XP Professional mit Service Pack 2 (SP2) installiert werden. Legen Sie einfach die CD 2 in den Windows-XP-Client ein und wählen Sie Zusätzliche Aufgaben Verwaltungsprogramme installieren. Zum Verwalten von Komponenten müssen Sie zunächst die Verwaltungsprogramme von MMC 3.0 installieren. Detaillierte Installationsanweisungen finden Sie auf der Buch-DVD im Dokument»Installing Windows Server 2003 R2«und unter Die folgenden Komponenten verfügen über Verwaltungsprogramme: Microsoft Management Console (MMC) 3.0 Druckverwaltung DFS-Replikation Ressourcen-Manager für Dateiserver Dateiserververwaltung Identitätsverwaltung für UNIX Diese Verwaltungskonsolen ergänzen die Tools, die bereits in den Windows- Server-2003-Service-Pack-1-Verwaltungsprogrammen enthalten sind. Mit dem Druckerverwaltungstool können zudem Computer mit den Betriebssystemen Windows 2000, Windows XP und Windows Server 2003 remote verwaltet werden. Die Verwaltungsprogramme für Server unter Windows Server 2003 R2 kön- 100

5 Neue Features von Windows Server 2003 R2 3.6 nen auch separat unter heruntergeladen und auf Windows-XP-Clients installiert werden Microsoft Management Console (MMC) 3.0 MMC 3.0 wird automatisch mit Windows Server 2003 R2 installiert. MMC 3.0 unterstützt umfassendere Funktionen in Snap-Ins, die für die MMC-3.0-Infrastruktur entwickelt wurden. Das neue Aktionsfeld wird auf der rechten Seite der Snap-In-Konsole angezeigt. In diesem Feld sind diejenigen Aktionen aufgelistet, die auf der Grundlage der gerade ausgewählten Elemente in der Struktur oder im Ergebnisfeld jeweils verfügbar sind. Um das Aktionsfeld ein- oder auszublenden, klicken Sie auf der Symbolleiste auf die Schaltfläche Aktionsfeld ein-/ausblenden bzw. auf die Schaltfläche Konsolenstruktur ein-/ausblenden. Das neue Dialogfeld Snap-Ins hinzufügen oder entfernen vereinfacht das Hinzufügen, Organisieren und Entfernen von Snap-Ins. Sie können steuern, welche Erweiterungen verfügbar sind und ob Snap-Ins, die später installiert werden, automatisch aktiviert werden sollen. Sie können Snap-Ins verschachteln und die Snap-Ins in der Struktur neu anordnen. 101

6 3 Windows Server 2003 R Dateiserververwaltung Mithilfe der Dateiserververwaltung können Sie eine Vielzahl an Aufgaben ausführen: Formatieren und Defragmentieren von Volumes Erstellen und Verwalten von Freigaben Festlegen von Speicherkontingenten Erstellen von Berichten zur Speicherauslastung Replizieren von Daten auf den Dateiserver und vom Dateiserver Verwalten von SANs (Storage Area Networks) Freigeben von Dateien für die Nutzung auf UNIX- und Macintosh-Systemen Ressourcen-Manager für Dateiserver Der Ressourcen-Manager für Dateiserver (File System Resource Manager FSRM) ist ein neues Microsoft-Management-Console-Snap-In (MMC). Es handelt sich um eine Sammlung von Werkzeugen, mit deren Hilfe Administratoren Menge und Typ der Daten des Servers steuern und verwalten können. Mithilfe des Ressourcen-Managers für Dateiserver können Administratoren Kontingente für Ordner und Volumes festlegen, Dateien aktiv prüfen und detaillierte Speicherberichte generieren. Die Betriebssysteme Windows 2000 und Windows Server 2003 boten schon immer die Unterstützung für Datenträgerkontingente. Bisher konnten jedoch nur Speichergrenzen pro Benutzer und pro Volume festgelegt werden. Überschritt ein Benutzer das ihm zugebilligte Speicherkontingent, so wurde der Administrator nur durch einen Eintrag im Ereignisprotokoll darüber informiert. Über den Ressourcen-Manager für Dateiserver ist es in Windows Server 2003 R2 jetzt möglich, Speichergrenzen gezielt pro Verzeichnis statt nur pro Volume festzulegen. Die Quotierung für Verzeichnisse bezieht sich dann auf die Summe aller Dateien, die von allen Benutzern in dem Verzeichnis abgelegt wurden. Wird diese Limitierung überschritten, so kann der Administrator oder z. B. der verantwortliche Abteilungsleiter nun auch per , automatisch ausgeführte Skripte oder benutzerdefinierte Berichte informiert werden. Wenn für ein Verzeichnis, in dem viele Benutzer Dateien ablegen, eine Limitierung gesetzt wird, so würde es natürlich wenig Sinn ergeben, die Gruppe der Benutzer direkt per zu warnen. Sinnvoller ist es, dass der Administrator aufgrund der Warnung die Ursache für den plötzlichen Anstieg des Speicherverbrauches analysiert und angemessen reagiert: die Kontingentgrenze erhöht, größere Speicherplatten beschafft, einzelne Anwender oder den Abteilungsleiter gezielt anspricht. 102

7 Neue Features von Windows Server 2003 R Dateifilterung Mittels Dateifilterung (File Screening) kann das Speichern von ausgewählten Dateitypen wie z. B. Audio- und Videodateien unterbunden werden. Der Administrator kann konfigurieren, dass er eine Benachrichtigung erhält, sobald ein Anwender versucht, unerwünschte Dateitypen auf dem Server abzulegen. Näheres dazu finden Sie in den Artikeln»Step-by-Step Guide for File Server Resource Manager«,»Configuring Volume and Folder Quotas«und»Implementing File Screening in Windows Server 2003 R2«auf der Buch-DVD bzw. unter und unter Druckverwaltung Die PMC (Print Management Console) ist ein aktualisiertes Microsoft-Management-Console-Snap-In (MMC), mit dem Sie Drucker und Druckserver im Unternehmen anzeigen und verwalten können. PMC schafft einen besseren Überblick über die Druckertopologie im Netzwerk, so dass der Administrator besonders auch die Drucker und Plotter in Zweigstellen überwachen und im Falle eines Problems schnell reagieren kann. PMC kann auf jedem Windows Server 2003 R2 103

8 3 Windows Server 2003 R2 ausgeführt werden, und Sie können sämtliche Netzwerkdrucker auf Druckservern unter Windows 2000 Server, Windows Server 2003 oder Windows Server 2003 R2 verwalten. Über die Filterfunktion der Druckverwaltung können Sie benutzerdefinierte Sichten festlegen. So können Sie beispielsweise eine Sicht erstellen, die nur Drucker in einem bestimmten Fehlerstatus anzeigt. Außerdem können Sie die Druckverwaltung für das Senden von -Benachrichtigungen oder Ausführen von Skripten konfigurieren, sobald ein Drucker oder Druckserver Ihre Aufmerksamkeit erfordert. Weitere Informationen finden Sie im Dokument»Print Management Step-by- Step Guide«unter sowie in diversen Dokumenten auf der Buch-DVD in den Verzeichnissen Windows Server\Netzwerkdrucker und Windows Server\Windows Server 2003 R Netzdrucker über Gruppenrichtlinien zuweisen Unter Windows Server 2003 R2 können Netzdrucker oder Plotter über Gruppenrichtlinien den Benutzern oder den Clients zugewiesen werden. Dazu wird das Tool PushPrinterConnections einem Startup-Skript oder einem Benutzer- Anmeldeskript hinzugefügt. Die Details lesen Sie in den Beiträgen»Deploying Printers to Users or Computers by Using Group Policy«und»Set Group Policy for Printers«in den oben genannten Verzeichnissen der Buch-DVD Hardwareverwaltung Über die Windows-Remoteverwaltung kann Serverhardware remote über Firewalls hinweg verwaltet werden. Die Windows-Remoteverwaltung wird nicht standardmäßig mit Windows Server 2003 R2 installiert. Sie muss über Software Windows-Komponenten hinzufügen/entfernen nachinstalliert werden. Detaillierte Informationen zur Hardwareverwaltung finden Sie im Abschnitt»Hardware Management in Windows Server 2003 R2«unter und auf der Buch-DVD Speicherverwaltung für SANs Der Speichermanager für SANs (Storage Manager for SANs) ist ein neues Microsoft-Management-Console-Snap-In (MMC), über das LUNs (Logical Unit Numbers, logische Gerätenummern) auf Fibre-Channel- und iscsi-laufwerk-subsystemen in einem SAN (Storage Area Network) erstellt und verwaltet sowie die 104

9 Neue Features von Windows Server 2003 R2 3.6 Sicherheitseigenschaften für iscsi-speichersubsysteme festgelegt werden können. Der Speichermanager für SANs kann für Speichersubsysteme verwendet werden, die VDS (Virtual Disk Server) unterstützen. Näheres hierzu finden Sie im»step-by-step Guide for Storage Manager for SANs«auf der Buch-DVD Stabile Dateireplikation mittels DFS-Namespace und DFS-Replikation und RDC Windows Server 2003 R2 umfasst ein vollständig neu entwickeltes Replikationsmodul für DFS (Distributed File System, verteiltes Dateisystem). Die verbesserte DFS-Lösung in Windows Server 2003 R2 soll den Zugriff auf Dateien auch über LAN-Grenzen hinweg für den Anwender vereinfachen und gleichzeitig ausfallsicher machen. Das verteilte Dateisystem besteht aus den zwei Technologien DFS- Namespaces und DFS-Replikation. Mit DFS-Namespaces (DFS-N), bisher als»verteiltes Dateisystem«bekannt, können Administratoren freigegebene Ordner, die sich auf unterschiedlichen Servern befinden, gruppieren und den Benutzern als virtuelle Ordnerstruktur, dem»namespace«, zur Verfügung stellen. Ein Namespace bietet Vorteile wie die höhere Verfügbarkeit von Daten, die Nutzlastverteilung und den vereinfachten Zugriff auf Daten durch den Anwender. Die DFS-Replikation (DFS-R) ist der Nachfolger des Dateireplikationsdienstes (File Replication Service, FRS). Der neue, statusbasierte Multimaster-Dateireplikationsdienst unterstützt Zeitplanung und Bandbreiteneinschränkung. Die DFS- Replikation verwendet den neuen Komprimierungsalgorithmus RDC (Remote Differential Compression, Remotedifferenzialkomprimierung). RDC ist ein Protokoll für netzwerkgebundene Differenzierung, mit dem Dateien in einem WAN- Netzwerk mit begrenzter Bandbreite effizient aktualisiert werden können. RDC erkennt, wenn Daten in Dateien eingefügt oder umgestellt bzw. aus Dateien entfernt wurden. Über das WAN werden dann nur die Änderungen repliziert, die zur Sicherstellung der globalen Dateiübereinstimmung erforderlich sind. Wenn die WAN-Verbindung nicht hergestellt werden kann, können Daten trotzdem gespeichert werden. Sie werden weitergeleitet, sobald die WAN-Verbindung wieder zur Verfügung steht. Die verbesserte DFS-Replikation benötigt im Zusammenspiel mit RDC erheblich weniger Bandbreite. Kleinere Dateiserver in Zweigstellen können mittels DFS-Replikation über das WAN auf zentrale Sicherungsmedien mitgesichert werden. In diesem Zusammenhang sei außerdem auf das Produkt Microsoft Data Protection Manager 2006 hingewiesen. Damit können Kopien von Datenbeständen mehrerer Server 105

10 3 Windows Server 2003 R2 auf einem Server zusammengeführt werden, um von diesem zentralen Server mittels konventioneller Streamer Bandsicherungen herzustellen. Informationen zu Data Protection Manager 2006 finden Sie auf der Buch-DVD im Verzeichnis Windows Server\Data Protection Manager Weitere Informationen zum verteilten Dateisystem in Windows Server 2003 R2 finden Sie unter und im»stepby-step Guide for the Distributed File System Solution in Windows Server 2003 R2«auf der Buch-DVD Active-Directory-Verbunddienste Mithilfe der Active-Directory-Verbunddienste (Active Directory Federation Services, ADFS) soll die einmalige Anmeldung und Authentifizierung von Benutzern für mehrere, verwandte Webanwendungen im Verlauf einer einzelnen Onlinesitzung optimiert werden. ADFS realisiert dies durch die sichere gemeinsame Nutzung der digitalen Identität und der Anspruchsberechtigungen über Sicherheitsund Unternehmensgrenzen hinweg. Microsoft hat zu diesem Thema unter den»step-by-step Guide for Active Directory Federation Services«veröffentlicht. 3.7 Windows SharePoint Services Service Pack Features von Windows SharePoint Services 2.0 Auf Microsoft Windows SharePoint Services 2.0 basierende Websites ermöglichen es Teams, miteinander zu kommunizieren, gemeinsam auf Dokumente zuzugreifen und bei Projekten zusammenzuarbeiten. Windows SharePoint Services Service Pack 2 ist in Windows Server 2003 R2 enthalten und kann direkt über den Serverkonfigurations-Assistenten oder über die Serververwaltung installiert werden. Danach stehen die folgenden Features zur Verfügung: Teamzusammenarbeit, z. B. Teamkalender, gemeinsam genutzte Kontaktlisten, Weblinks, Problemlisten, Ankündigungen usw. Dokumentbibliotheken, in denen Benutzer Dokumente speichern und abrufen und dabei Features wie Ein- und Auschecken, Versionsverlauf, benutzerdefinierte Metadaten sowie flexible, anpassbare Sichten verwenden können. Webparts, die Datenzugriff auf externe Datenbanken, Webdienste sowie viele andere Anwendungen und Inhalte für SharePoint-Sites bereitstellen können. 106

11 Windows SharePoint Services Service Pack Die Benutzer greifen über den Webbrowser auf diese Webparts zu. Die Microsoft-Office-2003-Komponenten ermöglichen es aber auch, direkt aus der Anwendung heraus Dokumente in SharePoint-Bibliotheken zu speichern, zu öffnen, auf die Website zu verschieben oder mit der Website zu verknüpfen. Ulrich B. Boddenberg beschreibt in seinem bei Galileo Computing erschienenen Buch»SharePoint Portal Server 2003 & Windows SharePoint Services«die mannigfaltigen Anwendungsmöglichkeiten. Auf der Buch-DVD finden Sie viele Beiträge im Verzeichnis Sharepoint SharePoint Central Administration Die SharePoint Central Administration ist eine Webbrowser-Benutzeroberfläche, über die Sie einzelne SharePoint-Server oder ganze Serverfarmen verwalten können, um z. B. virtuelle Server zu erweitern, neue Sites zu erstellen oder das Add-In Self-Service Site Creation einzuschalten. Mit diesem Add-In können der Administrator oder auch Benutzer eigene Sites erstellen, Sicherheitseinstellungen verwalten, die Liste der Server in der Serverfarm verwalten usw. Sie können aber auch das Befehlszeilen-Dienstprogramm Stsadm.exe verwenden, um Server mit Windows SharePoint Services zu verwalten Anwendungen für Windows SharePoint Services zum Download Microsoft bietet auf seiner Website vorgefertigte Beispielanwendungen für SharePoint zum Download an, z. B. eine Projektverwaltung, Nachverfolgung von Helpdeskanfragen, Zeiterfassung und Zeitplanung oder Stellenausschreibungen. Diese Anwendungen können mit geringem Installations- und Anpassungsaufwand verwendet werden. Zur Zeit der Erstellung dieses Textes standen unter folgende Downloads bereit: Absence and Vacation Schedule Board of Directors Case Work Management Change Management Classroom Management Competitive Intelligence Discussion Database Document Library Employee Activities Site 107

12 3 Windows Server 2003 R2 Employee Timesheet and Scheduling Employee Training Event Coordination Expense Reimbursement Help Desk HR Programs and Services IT Developer Team Site Legal Document Review Workflow Loan Initiation Management Marketing Campaigns Meeting Management New Product Development Performance Review Professional Svcs Contracts Professional Svcs Site Project Team Site Public Official Activity Public Relations Work Site Publication Editorial Review Recruiting Resource Center Request for Proposal Management Room and Equipment Reservation Team Work Site Travel Request Unterstützung für erweiterte Extranetkonfigurationen Windows SharePoint Services verwendet zum Generieren einiger Hyperlinks in den Webseiten und -Nachrichten absolute URLs. Dies führte bisher dazu, dass Windows SharePoint Services keine Unterstützung für bestimmte erweiterte Extranetkonfigurationen (wie z. B. SSL-Beendung, Hostheaderänderung und Portübersetzung) bieten konnte, in denen ein umgekehrter Proxyserver vor dem Windows-SharePoint-Services-Server bereitgestellt wird. In Windows SharePoint Services Service Pack 2 gibt es nun ein Feature für die Zuordnung von URL-Zonen, das die Interaktion mit einem Proxyserver oder einer Firewall vereinfacht. 108

13 Gleiche aktuellste Version der Support-Tools im Netzwerk verwenden 3.8 Damit können Sie URL-Zonen wie z. B. Internet, Intranet und Extranet einrichten und eingehende und ausgehende URLs diesen Zonen zuordnen, so dass die Extranetkonfigurationen ordnungsgemäß arbeiten. Weitere Informationen zu diesem Thema finden Sie unter UNIX-Interoperabilität mit den Microsoft Services for Network File System MSNFS Microsoft-Dienste für NFS (MSNFS) ist nun eine integrierte Komponente von Windows Server 2003 R2. Microsoft-Dienste für NFS ist ein Update der NFS- Komponenten, die vorher im separaten Produkt Windows Services für UNIX 3.5 verfügbar waren. Microsoft-Dienste für NFS unterstützt die Übertragung von Dateien zwischen Windows Server 2003 R2 und UNIX-Computern mithilfe des NFS-Protokolls (Network File System). Computer unter Windows Server 2003 R2 können auf Ressourcen auf UNIX-Dateiservern zugreifen, und UNIX-Clients können auf Ressourcen auf Computern unter Windows Server 2003 R2 zugreifen, um z. B. von dem Schattenkopien-Feature zu profitieren. In Windows Server 2003 R2 sind der Server für NIS und die Kennwortsynchronisierung integrierte Features. Der Server für NIS hilft bei der Integration von Windows- und UNIX-basierten NIS-Servern (Network Information Service). Dabei fungiert ein Active-Directory-Domänencontroller als NIS-Masterserver für eine oder mehrere NIS-Domänen. Die Kennwortsynchronisierung vereinfacht den Prozess zur Verwaltung gesicherter Kennwörter. Benutzer benötigen keine separaten Kennwörter für ihre Windows- und UNIX-Konten und müssen auch nicht daran denken, das Kennwort an mehreren Standorten zu ändern. 3.8 Gleiche aktuellste Version der Support-Tools im Netzwerk verwenden Nachfolgend ein wichtiger Hinweis zu den Support-Tools: Nach dem Erscheinen von Windows XP SP2 wurden neue Support-Tools zum Download angeboten, die auch eine neuere Version des Tools Windows XP Installationsmanager (setupmgr.exe) und der Datei Deploy.cab enthalten. Lesen Sie den Beitrag»Windows XP Service Pack 2-Support-Tools«im Verzeichnis Windows XP\Windows XP SP2 der Buch-DVD. Die erste CD von Windows Server 2003 R2 enthält ebenfalls ein Verzeichnis Support\Tools. Vielleicht ist aber bereits ein weiteres Service Pack erschienen, oder Microsoft bietet inzwischen einen aktualisierten Download an. Verwenden Sie die neuesten Tools einheitlich über das gesamte Netzwerk. 109

14 3 Windows Server 2003 R2 3.9 Literaturhinweise zu Windows Server 2003 R2 Auf der Buch-DVD finden Sie viele Artikel im Verzeichnis Windows Server\ Windows Server 2003 R2. Unter sowie auf der Buch-DVD finden Sie Anleitungen wie den»step-by-step Guide to Setting Up Server for NIS«oder den»step-by-step Guide to Deploying Password Synchronization«. Aktuelle Informationen zu Windows Server 2003 R2 finden Sie z. B. unter: technologien/r

15 Access-based Enumeration, abgekürzt ABE, bedeutet übersetzt»zugriffsbasierte Auflistung«oder besser»berechtigungsgesteuerte Auflistung«. Dem Anwender werden im Windows-Explorer nur noch diejenigen Verzeichnisse und Dateien aufgelistet, für die er auch Zugriffsrechte besitzt. Alle anderen Ordner und Dateien sind ausgeblendet. 21 Access-based Enumeration ABE 21.1 Installationsvoraussetzungen und Quelle zum Download Die lang ersehnte Funktion ABE setzt Windows Server 2003 mit installiertem Service Pack 1 voraus, wird also nicht nachträglich auch für Windows 2000 Server angeboten. Zusätzlich muss auf dem Windows Server 2003 eine MSI-Datei installiert werden. Das Interface für Windows 2003 Access-based Enumeration steht in den drei Versionen x86, amd64 und ia64 zum kostenlosen Download bereit, den Sie über folgenden Link finden: Für Intel-basierte Server laden Sie das Installationspaket I386\ABEUI.msi herunter. Es handelt sich um eine englische Version, die sich auch auf dem deutschen Windows Server 2003 installieren und nutzen lässt Installation und Konfiguration von ABE Das Installationspaket ABEUI.MSI startet einen Installationsassistenten. Im Eingangsbildschirm erfahren Sie, dass sowohl ein grafisches Interface als auch ein Befehlszeilentool namens ABEcmd installiert wird und dass Sie im Installationsverzeichnis anschließend eine Anleitung zur Verwendung des Tools finden werden. 675

16 21 Access-based Enumeration ABE Im nächsten Fenster des Assistenten können Sie über eine Option festlegen, ob das Tool nur für Sie oder für jeden Benutzer des Servers verfügbar sein soll. Eigentlich ist es selbstverständlich, dass jeder Administrator des Servers später auf das Tool zugreifen können muss. Zuletzt müssen Sie entscheiden, ob ABE bereits jetzt für alle Freigaben des Servers oder erst später gezielt für einzelne Freigaben aktiviert werden soll. Damit ist die Installation von ABE abgeschlossen. Wenn Sie nun im Windows Explorer die Eigenschaften einer Freigabe öffnen, erscheint zusätzlich die Registerkarte»Access-based Enumeration«. Die Konfiguration von ABE ist genauso einfach wie die Installation des Tools, denn auf dieser Registerkarte gibt es lediglich die Auswahl, ABE nur für diese Freigabe oder für alle Freigaben des Servers zu aktivieren. 676

17 Bedeutung von ABE für Anwender und IT-Personal 21.3 Hatten Sie während der Installation des Installationspakets ABEUI.MSI die Option gewählt, ABE später nur für ausgewählte Freigaben zu aktivieren, so haben Sie bei der Konfiguration einer Freigabe die Möglichkeit, die Aktivierung von ABE nachträglich nun auf alle Serverfreigaben auszudehnen. Das Befehlszeilentool ABEcmd.exe wird im Whitepaper ABEWhitePaper.doc erklärt, das Sie im Installationsordner finden. Mit dem Befehlszeilentool können Sie aber nicht mehr und nicht weniger als über das grafische Interface (die zusätzliche Registerkarte in den Eigenschaften eines freigegebenen Ordners) konfigurieren. Sie werden das Befehlszeilentool wahrscheinlich nie benötigen Bedeutung von ABE für Anwender und IT-Personal Am Beispiel eines imaginären Unternehmens soll nachfolgend demonstriert werden, welche Optionen sich mit ABE nunmehr auftun. Auf dem Windows-Dateiserver unseres Beispielunternehmens gibt es bisher eine Freigabe namens»firmendaten«, in der die Mitarbeiter Dokumente für ihre Arbeitsgruppen ablegen. Dieser Gruppenordner hat eine Struktur, die sich an die Aufbauorganisation des Unternehmens anlehnt. Es gibt Unterordner für die einzelnen Abteilungen. Daneben gibt es Ordner für abteilungsübergreifende Projekte und einen Ordner namens»allgemein zugängliche Informationen«, in dem Dokumente abgelegt werden, die alle Mitarbeiter des Unternehmens einsehen dürfen. Weiterhin gibt es spezielle Ordner für den Betriebsrat, für Dokumentvorlagen usw. 677

18 21 Access-based Enumeration ABE Im Active Directory sind in Anlehnung an die Aufbauorganisation des Unternehmens Sicherheitsgruppen angelegt, denen exklusive Zugriffsrechte auf die Unterordner der Freigabe»Firmendaten«erteilt werden. So gibt es z. B. die Sicherheitsgruppe»Abteilung C«. Dieser Sicherheitsgruppe wurde das Recht zum Ändern der Inhalte des Ordners»Abteilung C«erteilt. 678

19 Bedeutung von ABE für Anwender und IT-Personal 21.3 Öffnete ein Mitarbeiter, der ein Mitglied der Sicherheitsgruppen»Abteilung C«,»Projekt B«und»Betriebsrat«ist, im Windows-Explorer die Freigabe»Firmendaten«, so sah er bisher alle Unterordner der Freigabe»Firmendaten«, und nicht nur diejenigen, für die er aufgrund seiner Mitgliedschaft in den verschiedenen Sicherheitsgruppen überhaupt Zugriffsrechte besitzt. Erst beim Versuch, z. B. den Unterordner»Abteilung A«zu öffnen, erhielt der Mitarbeiter die Meldung»Zugriff verweigert«. Mit installiertem ABE hat der Mitarbeiter ein gänzlich neues Anwendererlebnis. Im Windows-Explorer werden nun unterhalb der Freigabe»Firmendaten«nur noch diejenigen Ordner aufgelistet, die für seine Arbeit relevant sind. Er sieht seinen Abteilungsordner, seine Projektordner und diejenigen Ordner, die alle Firmenmitarbeiter einsehen dürfen. Die Freigabe»Firmendaten«wirkt aufgeräumt und übersichtlich. Schnell findet der Mitarbeiter die Speicherorte für seine Dokumente und die wenigen Ordner, in denen allgemein zugängliche Informationen hinterlegt sind. Das spart nicht nur Zeit und Nerven beim Anwender, sondern auch beim IT-Supportpersonal. Ein weiterer, nicht zu unterschätzender Vorteil von ABE ist aber der folgende. Der Administrator kann nunmehr auf einen Blick einsehen, ob ein Mitarbeiter ausreichende Berechtigungen hat, um seine Dokumente einzusehen, oder ob dem Mitarbeiter versehentlich zu viele Berechtigungen erteilt wurden, so dass er ungewollt auch auf sensible, nicht für ihn bestimmte Dokumente zugreifen kann. Richtet der Administrator ein neues Benutzerkonto für einen neuen Mitarbeiter im Vertrieb ein, so nimmt er die Benutzerkennung in die entsprechenden Sicherheitsgruppen auf (z. B.»Vertrieb Süddeutschland«und»Projekt Internetauftritt«). Wechselt z. B. ein anderer Mitarbeiter von der Abteilung C in die Abteilung A, so entfernt der Administrator die zugehörige Benutzerkennung aus der Sicherheitsgruppe»Abteilung C«und fügt sie in die Sicherheitsgruppe»Abteilung A«ein. Danach meldet sich der Administrator unter dieser Benutzerkennung an und überprüft, ob der betreffende Mitarbeiter wirklich nur die Dateibestände sieht, 679

20 21 Access-based Enumeration ABE auf die er zugreifen darf. Falsch vergebene Gruppenmitgliedschaften oder Zugriffsberechtigungen sind nun im Windows Explorer sofort sichtbar. Auf der Buch-DVD finden Sie im Verzeichnis Windows Server\Access-based Enumeration ABE wichtige Artikel und Hinweise auf zusätzliche Quellen im Internet Access-based Enumeration (ABE) und Hochverfügbarkeitscluster In einem Clusterserver wurde bezüglich ABE folgendes Problem bekannt: Wenn eine Freigabe, für die ABE auf dem ersten Clusterserver aktiviert wurde, bei dessen Ausfall vom zweiten Clusterserver übernommen wird, geht die ABE-Aktivierung verloren. Innerhalb der Ressourcengruppe kann man in den Eigenschaften der Freigaberessource keine ABE-Einstellung vornehmen. Der Clusterdienst kennt die ABE-Eigenschaft nicht und reaktiviert sie folglich auch nicht, wenn eine Clusterressource an einen anderen Clusterknoten übergeben wird. Wie Sie unter / aspx nachlesen können, hat einer der Programmierer von ABE namens Sundar Subbarayan jedoch eine Lösung für das Problem veröffentlicht: Installieren Sie das ABE-Tool auf beiden Clusterknoten. Erstellen Sie im Cluster-Administrator für jede Freigabe des Clusters eine Ressource vom Typ»Anwendung«. Als Ausführungsbefehl dieser Ressource (unter Parameter) muss folgender Befehl eingegeben werden: cmd /k abecmd /enable <Freigabename> Wenn Sie unterdrücken wollen, dass die Ausführung des Befehls auf dem Bildschirm angezeigt wird, so deaktivieren Sie die Option Allow interaction with the desktop. Stellen Sie sicher, dass die Anwendungsressource und die Freigaberessource zur selben Gruppe gehören. Nehmen Sie diese Gruppe offline und wieder online, damit die gewünschten Freigaben die ABE-Eigenschaften übernehmen. 680

21 Viele der nachfolgend aufgelisteten Hinweise und Empfehlungen wurden aus Microsoft Whitepapers zusammengestellt. An die endgültigen Sicherheitsrichtlinien eines Servers müssen Sie sich jedoch in einer Testumgebung herantasten. 30 Sicherheit im verteilten Active Directory Wichtiger Hinweis In einem komplexeren LAN oder WAN können die nachfolgend aufgeführten Maßnahmen unter Umständen mehr schaden als nützen, da Sie die Auswirkungen der Maßnahmen nicht sofort abschätzen können. Wenn Sie z. B. die im Abschnitt»Überwachungsrichtlinien (Auditing)«aufgelisteten Überwachungsrichtlinien zeitgleich aktivieren, könnte es sein, dass der Server im Produktivbetrieb stark überlastet wird, da er seine Dienste nicht nur vielen Benutzern zur Verfügung stellen muss, sondern gleichzeitig viele Zugriffe überprüft und mitprotokolliert. Ebenso kann es sein, dass Einstellungen, die in der Testumgebung nicht zu Problemen führen, in der Produktivumgebung zu Fehlern führen, da dort aufgrund der komplexen Netzstruktur (aktive Komponenten wie Router, Bridges, Switches, Firewalls) andere Verhältnisse herrschen. Nehmen Sie nach Möglichkeit keine Änderungen an der Default Domain Policy vor. Testen Sie die wirklich gewünschten Einstellungen in einer Test-Gruppenrichtlinie aus, jedoch nicht gleichzeitig, sondern Richtlinie für Richtlinie. Nur so können Sie bei plötzlich oder auch erst nach Tagen auftretenden Problemen feststellen, welche Änderung die Ursache war. Verfahren Sie ebenso mit Änderungen an der Registrierdatenbank des Servers oder an den Standardberechtigungen von wichtigen Verzeichnissen auf den Servern. Die Verzeichnisse Sicherheit Sicherung Disaster Recovery und Projektierung der Buch-DVD enthalten ein reichhaltiges Angebot an Anleitungen, Checklisten und Hinweisen auf weiterführende Literatur zum Thema Sicherheit. Microsoft bietet Tools wie den Microsoft Baseline Security Analyzer an, um Schwachstellen aufzuspüren. Bei allen Netzwerksicherheitsproblemen kann man unter dem Strich folgendes Fazit ziehen: Hacken geschieht, weil man es zulässt. Wenn eine umfassende Sicherheitsarchitektur eingerichtet, gepflegt und befolgt wird, kann von außen nur sehr schwer in die Systeme eingedrungen werden. Die große Schwachstelle in der IT-Sicherheit ist der Mensch. Die meisten Betrugsfälle wären vermeidbar 903

22 30 Sicherheit im verteilten Active Directory gewesen, wenn einfach sinnvolle Protokolle eingehalten und die verfügbaren Sicherheitslösungen ordnungsgemäß implementiert worden wären. Es ist sehr viel einfacher, wichtige Informationen von einer Person zu erschleichen, als sie aus einem gut organisierten und geschützten Computersystem zu holen. Der Artikel»Social Engineering Die größte Gefahr für die Internet-Sicherheit«im Verzeichnis Sicherheit der Buch-DVD führt drastisch vor Augen, welche Gefahren hier lauern Sicherheitsrisiken In einer Organisation können folgende Arten von Sicherheitsrisiken auftreten: Abfangen von Benutzeridentitäten Der Eindringling entdeckt mit sozialen oder technischen Mitteln den Benutzernamen und das Kennwort eines gültigen Benutzers. Beispiele für soziale Mittel: Der Eindringling gibt sich am Telefon gegenüber einem Benutzer als Mitarbeiter des Supportteams aus und erbittet zwecks angeblicher Administrationsnotwendigkeit das Kennwort des Benutzers. Der Eindringling verschafft sich über die Internetseiten oder über Gespräche mit Mitarbeitern Informationen über die Organisationsstruktur und die technische Infrastruktur. Beispiele für technische Mittel: Der Eindringling wählt über eine Spezialsoftware alle potenziellen Telefonnummernkreise der Organisation ab, um herauszufinden, hinter welchen Telefonnummern sich technische Einwahlkomponenten (RAS-Zugänge) befinden. Anschließend fragt er zu bereits bekannten oder gängigen Anmeldenamen vorgefertigte Kennwortlisten ab, um Kennungen mit Kennwort zu erschleichen. Maskierung Ein nicht autorisierter Benutzer gibt vor, ein gültiger Benutzer zu sein. Er nimmt z. B. die IP-Adresse eines vertrauenswürdigen Systems an und verschafft sich mit ihrer Hilfe die Zugriffsrechte für das benutzte Gerät oder System. Replay-Angriff Der Eindringling zeichnet die Netzwerkkommunikation zwischen einem Benutzer und einem Server auf und spielt sie zu einem späteren Zeitpunkt ab, um sich als Benutzer auszugeben. 904

23 Sicherheitskonzepte 30.2 Abfangen von Daten Wenn Daten als Klartext oder ungenügend verschlüsselt über das Netzwerk ausgetauscht werden, können unbefugte Personen die Daten überwachen und aufzeichnen. Manipulation von Daten oder Programmen Der Eindringling oder Viren verursachen die Änderung oder Beschädigung von Daten und Programmen. Blockieren des Betriebs Der Eindringling überschwemmt einen Server mit Anfragen, die Systemressourcen verbrauchen und entweder einen Zusammenbruch des Servers verursachen oder den normalen Betrieb erheblich stören. Missbrauch von Privilegien Ein Administrator oder Benutzer mit erhöhten Rechten benutzt wissentlich oder unwissentlich seine Privilegien, um auf vertrauliche Daten zuzugreifen. Ein Sicherungsoperator benutzt seine Zugangsberechtigung zum Serverraum für Handlungen, die außerhalb seines Aufgabenbereichs liegen, oder spielt Datenbänder auf private Geräte zurück, um die Daten zu missbrauchen Sicherheitskonzepte Authentifizierung und Autorisierung im Active Directory Die Sicherheit von Windows Server basiert auf Authentifizierung und Autorisierung. Die Authentifizierung identifiziert den Benutzer bei der Anmeldung und beim Verbindungsaufbau zu Netzwerkdiensten. Einmal identifiziert, ist der Benutzer durch Berechtigungen für den Zugriff auf bestimmte Netzwerkressourcen autorisiert. Die Autorisierung findet durch die Zugriffskontrolle mit Hilfe der Zugriffskontrolllisten (ACLs) statt. Sie definieren, welche Benutzer bzw. Benutzergruppen welche Art von Berechtigungen für Dateien, Verzeichnisse, Drucker, Dienste etc. haben. Domänen und Vertrauensstellungen Eine Domäne besteht in Windows 2000/2003 aus einer Sammlung von Netzwerkobjekten (Benutzer, Computer, Gruppen von Benutzern oder Computern usw.), die unter Berücksichtigung der Sicherheit eine gemeinsame Verzeichnisdatenbank verwenden. Eine Domäne bildet mit konsistenten internen Richtlinien und 905

24 30 Sicherheit im verteilten Active Directory expliziten Sicherheitsbeziehungen zu anderen Domänen eine Sicherheitsumgrenzung. In Windows 2000/2003 unterstützen Vertrauensstellungen die domänenübergreifende Authentifizierung durch die Verwendung des Kerberos-v5-Protokolls für Windows-2000/XP-Clients und NTLM-Authentifizierung für Nicht- Windows-2000/XP-Clients (NT-4.0-Clients, Windows-95-Clients etc.). Innerhalb einer Active-Directory-Gesamtstruktur vertrauen sich die Domänen automatisch. Vertrauensstellungen zwischen Domänen verschiedener Gesamtstrukturen müssen bei Bedarf manuell eingerichtet werden. Sicherheitsrichtlinie Die Einstellungen der Sicherheitsrichtlinie definieren das Sicherheitsverhalten des Systems. Durch die Verwendung von Gruppenrichtlinienobjekten können Administratoren auf verschiedenen Computerklassen explizite Sicherheitsprofile verwenden. Windows Server enthält z. B. ein Standard-Gruppenrichtlinienobjekt, das als Standardrichtlinie für Domänencontroller deren Sicherheitsverhalten bestimmt. Sicherheitskonfiguration und -analyse Durch das Starten der Microsoft-Management-Konsole (MMC) und durch das Hinzufügen des Snap-Ins Sicherheitskonfiguration und -analyse können die Sicherheitseinstellungen eines Servers oder einer Workstation mit einer Standardvorlage verglichen und Sicherheitslücken festgestellt werden. Sicherheitsvorlagen (Security Templates) Durch Starten der MMC und durch das Hinzufügen des Snap-Ins Sicherheitsvorlagen können vorgefertigte Sicherheitsvorlagedateien (inf-dateien des Verzeichnisses %systemroot%\security\templates) in ein Gruppenrichtlinienobjekt importiert und das Sicherheitsprofil nach Anpassung anschließend auf viele Computer verteilt werden. Verschlüsselung mit symmetrischen (geheimen) Schlüsseln Diese Verschlüsselungsart verwendet für die Ver- und Entschlüsselung von Daten denselben Schlüssel. Sie verarbeitet die Daten sehr schnell und wird in zahlreichen Datenverschlüsselungen für Netzwerke und Dateisysteme eingesetzt. Verschlüsselung mit öffentlichen Schlüsseln Diese Verschlüsselungsart verwendet einen öffentlichen und einen privaten Schlüssel. Zur Verwendung dieser Technologie muss eine Infrastruktur für öffentliche Schlüssel eingerichtet werden (PKI, Public Key Infrastructure). 906

25 Sicherheitskonzepte 30.2 Authentifizierung Die Windows-2000/2003-Authentifizierung bestätigt die Identität des Benutzers durch Eingabe eines Kennworts, Verwendung einer Smartcard oder mit biometrischen Spezialgeräten (Erkennung der Stimme, des Fingerabdrucks, der Iris etc.) mit Hilfe des Kerberos v5-protokolls. Authentifizierung von Softwarecode Diese Strategie erfordert es, dass Softwarecode, der aus dem Internet oder Intranet heruntergeladen wird, die digitale Signatur eines vertrauenswürdigen Softwareherstellers trägt. Webbrowser können so konfiguriert werden, dass die Ausführung von unsigniertem Softwarecode verhindert wird. Das Signieren von Software beweist, dass der Softwarecode authentisch ist, das heißt, dass er nach der Veröffentlichung nicht mehr manipuliert wurde. Überwachungsprotokolle Die Überwachung mittels definierter Sicherheitsrichtlinien legt fest, welche Netzwerkoperationen mitprotokolliert werden: erfolgreiche oder fehlgeschlagene Anmeldeversuche, erfolgreiche oder fehlgeschlagene Zugriffe auf Ressourcen, die Registrierdatenbank usw. Diese Protokolle ermöglichen die Erkennung von Eindringlingen und zeichnen die Versuche von Benutzern auf, sich unerlaubt Zugriff zu verschaffen, und können als Beweismittel herangezogen werden. Physische Sicherheit Wichtige Ressourcen wie Server oder RAS-Geräte müssen in verschlossenen Räumen untergebracht werden. Beträchtlicher Schaden kann nicht nur durch intelligente Hackerangriffe von außen, sondern auch durch verärgerte Mitarbeiter auf unintelligente Weise herbeigeführt werden, indem z. B. Geräte mit Gewalt beschädigt oder Datenträger entwendet werden. Benutzerschulung Der Trick beim Social Engineering ist, sich vom Türhüter mit einem Lächeln durchwinken zu lassen. Die beste Verteidigung gegen Übergriffe aus dem sozialen Umfeld ist die Schulung des IT-Personals und der Benutzer zum Thema»Geheimhaltung und Schutz von Kennwörtern«. Die Unternehmensrichtlinien zur Verteidigung kritischer Informationen müssen allen Mitarbeitern deutlich dargestellt werden, ebenso wie die Konsequenzen, die sich aus der Nichteinhaltung ergeben. 907

26 30 Sicherheit im verteilten Active Directory 30.3 Sicherheitsmaßnahmen Nachfolgend werden Mindestmaßnahmen für die Sicherheit der Domänencontroller und Dateiserver aufgelistet. Alle Serverpartitionen mit NTFS formatieren NTFS-Partitionen bieten durch die Access Control Lists fein abgestufte Möglichkeiten der Berechtigungsvergabe an. Deshalb sollten alle Festplattenpartitionen eines Windows Server mit NTFS partitioniert sein. Mit dem Tool Convert kann eine FAT-Partition nachträglich in eine NTFS-Partition umgewandelt werden. Administratorkennwörter müssen stark sein Es sollten mindestens neun Zeichen mit mindestens einem nicht druckbaren Sonderzeichen verwendet werden. Auf jedem Server sollten unterschiedliche Kennwörter gesetzt werden, um bei einem gelungenen Einbruch den möglichen Schaden in Grenzen zu halten. In komplexen Active-Directory-Strukturen einer Root-Domäne und mit mehreren Sub-Domänen kann das Kennwort des Administrators, der Mitglied der Gruppen Organisations-Admins und Schema-Admins ist, aus Sicherheitsgründen nach dem Vier-Augen-Prinzip aus zwei Teilen bestehen, wobei die beiden Teile separaten Administratoren bekannt sind. Beide Kennworthälften sollten in separaten und versiegelten Umschlägen im Safe aufbewahrt werden. Der Zugriff auf die Domänenstruktur oder auf das Active-Directory-Schema ist dann nur möglich, wenn beide Administratoren in gemeinsamer Verantwortung handeln. Ist einer der Administratoren z. B. in Urlaub, so kann in dringenden Fällen der versiegelte Umschlag mit dem Teilpasswort in Anwesenheit eines Vertreters oder des IT-Sicherheitsbeauftragten geöffnet werden. Keine LAN-Manager-Hashwerte für nächste Kennwortänderung speichern Kennwörter sind Schwachstellen. Um die Kennwort-Verschlüsselung stärker zu schützen, kann der relativ schwache LanMan-(LM-)Verschlüsselungsalgorithmus des Active Directory und besonders im Mischbetrieb mit NT-4.0-Domänen von der SAM (Security-Account-Manager-Datenbank) entfernt werden, indem der Registrierdatenbankschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\nolmhash auf»1«gesetzt wird. Unter Windows Server gibt es dazu unter Computerkonfiguration Windows-Einstellungen Sicherheitseinstellungen Lokale Richtlinien Sicherheitsoptionen die Gruppenrichtlinie Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern. 908

27 Sicherheitsmaßnahmen 30.3 Eingebautes Brennprogramm deaktivieren Unter Windows XP können Dateien oder ganze Verzeichnisse im Windows Explorer über die rechte Maustaste und den Menüpunkt Senden an auf eine CD gebrannt werden, wenn ein CD- oder DVD-Brenner eingebaut ist. Für bestimmte Benutzer oder Sicherheitsgruppen kann diese Funktion aus Datenschutzgründen ausgeblendet werden, indem über Benutzerkonfiguration Administrative Vorlagen Windows-Komponenten Windows Explorer die Gruppenrichtlinie CD-Brennfunktionen entfernen aktiviert wird. Sie bewirkt, dass unter HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer der DWORD-Eintrag NoCDBurning eingefügt und mit dem Wert 1 belegt wird. Nutzung externer Datenträger über USB und Firewire einschränken Es sollte unterbunden werden, dass beliebige Benutzer einen externen Datenträger wie einen USB-Stick oder eine externe Festplatte über USB- oder Firewire anschließen und Firmendaten abziehen können. Wenn die Nutzung dieser Schnittstellen über das BIOS abgeschaltet werden kann, muss ein Kennwort für das BIOS gesetzt werden. Unter finden Sie den Artikel»USB STICKS per Richtlinie deaktivieren«. Mit der Software GFI EndPoint- Security sollen Administratoren gruppenbasiert verwalten können, welche Anwender Zugriff auf USB-Sticks, MP3-Player, PDAs und andere mobile Speichermedien erhalten ( Nicht benötigte Dienste deaktivieren, nur benötigte Anwendungen installieren Unter Windows 2000 Server sollten diejenigen Dienste deaktiviert werden, die für die Funktionen des Servers nicht benötigt werden. Speziell der standardmäßig installierte IIS-Dienst sollte auf Datei- und Druckservern wann immer möglich deaktiviert werden. Auf einem Server sollten keine Anwendungen und Tools installiert werden, die nicht für die Funktion des Servers erforderlich sind. Sicherheitskonfigurations-Assistent unter Windows Server 2003 Unter Windows Server 2003 sind viele Dienste standardmäßig nicht mehr aktiviert, und Serverrollen müssen nach der Grundinstallation über einen Assistenten explizit zugewiesen werden. Außerdem gibt es aber im Service Pack 1 den Sicherheitskonfigurations-Assistenten (C:\Windows\Help\scwhelp). Er bestimmt die für die Rollen eines Servers erforderliche Mindestfunktionalität und deaktiviert nicht erforderliche Rollen (siehe auch die Verzeichnisse Sicherheitskonfigurations-Assistent Windows Server 2003, Sicherheitshandbuch für Windows Server 2003 und Best Practice Guide for Securing Active Directory Installations im Verzeichnis Sicherheit auf der Buch-DVD). 909

28 30 Sicherheit im verteilten Active Directory Nicht benötigte Kennungen und Gruppen wie z. B.»Gast«und»Domänen- Gäste«deaktivieren oder löschen Die Kennung»Gast«ist bereits standardmäßig deaktiviert. Unter Computerkonfiguration Windows-Einstellungen Sicherheitseinstellungen Lokale Richtlinien Sicherheitsoptionen können diese Einstellungen in den Gruppenrichtlinien zentral vorgenommen werden. Kennungen von Benutzern, die gar nicht mehr oder über einen längeren Zeitraum nicht benötigt werden, sollten gelöscht oder zumindest deaktiviert werden. Die Registrierdatenbank gegen anonyme Zugriffe schützen Dazu muss der Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SecurePipeServers mit dem Wertnamen winreg angelegt werden. Es muss sichergestellt werden, dass nur der Administrator die Berechtigung Full Control über diesen Key hat. Unter Computerkonfiguration Windows-Einstellungen Sicherheitseinstellungen Lokale Richtlinien Sicherheitsoptionen können diese Einstellungen über die Gruppenrichtlinie Weitere Einschränkungen für anonyme Verbindungen zentral vorgenommen werden. Den Zugriff auf die Local Security Authority (LSA)-Informationen einschränken Um dies zu erreichen, legen Sie unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA den Schlüssel RestrictAnonymous vom Typ REG_ DWORD an und weisen ihm den Wert 1 zu. Für alle Anwender mit dem Snap-In»Sicherheitsrichtlinien für Domänen«starke Kennwörter setzen Kennwortchronik erzwingen: 6 gespeicherte Kennwörter Minimale Kennwortlänge: 8 Zeichen Maximales Kennwortalter: 42 Tage Kennwörter müssen den Komplexitätsanforderungen entsprechen. In einer Active-Directory-Domäne erfolgt die Verwaltung der Kennwortrichtlinie in der Default Domain Policy unter Computerkonfiguration Windows-Einstellungen Sicherheitseinstellungen Kontorichtlinien. Jede an einer anderen Stelle konfigurierte Kennwortrichtlinie hat nur Auswirkungen auf die lokalen Benutzerkonten der betreffenden Computer in derjenigen OU, auf der diese Richtlinie wirkt, nicht aber auf die Domänenkennungen. 910