Windows .NET Server RC1

Sicherheitsmaßnahmen

Die Weiterentwicklung des .NET-Server musste im Frühjahr dieses Jahres wegen der Sicherheitsinitiative von Microsoft zurückgestellt werden. Statt neue Features einzubauen, ließ Chef-Software-Architekt Bill Gates jede Zeile Code auf Bugs, Sicherheitslücken und potenzielle Sicherheitsrisiken überprüfen. Anstatt der veranschlagten vier Wochen benötigten Entwickler und externe Firmen dafür ganze zwei Monate, inklusive entsprechender Schulungen für die 8500 beteiligten Programmierer. Jede einzelne Datei musste "unterschrieben" werden, so dass eine Verantwortlichkeit für später auftretende Sicherheitslücken hergestellt werden kann. Aber nicht nur das Betriebssystem selbst, sondern auch ActiveX-Controls und sogar Beispielcodes, die in SDKs und DDKs mitgeliefert werden, hat man einer gründlichen Überprüfung unterzogen.

Dementsprechend gilt jetzt bei Microsoft die Devise "Secure out of the box". Das bedeutet unter anderem, dass per Default kein Netzwerkdienst wie etwa der IIS 6.0 installiert oder gestartet ist.

Auch bei nachträglicher Installation des IIS sind zunächst nur grundlegende Funktionen aktiviert. Zudem hat das Entwicklerteam einer ganzen Reihe von Diensten die Rechte entzogen. So laufen jetzt deutlich weniger Services als LocalSystem. Jeder Dienst soll nur so viele Rechte bekommen wie nötig, damit selbst bei Vorhandensein einer noch unentdeckten Sicherheitslücke der Schaden minimiert wird.