Microsoft Forefront umfasst drei Sicherheitsbereiche und die damit korrespondierenden Produktgruppen: Die Absicherung der Unternehmensgrenzen (Edge-Security) erfolgt durch das Threat Management Gateway und das Unified Access Gateway. Die Module der Forefront Server Protection schützen die wichtigsten Kommunikationsserver des Hauses Microsoft, also Exchange Server, SharePoint Server und Office Communication Server. Die Endpoint Security sorgt für den Schutz am Gerät. Darüber hinaus steht mit dem Rights Management System (RMS) ein weiteres Sicherheitssystem zum Schutz der Daten zur Verfügung.
Die Sicherheitsbausteine des Windows-Betriebssystem
An dieser Stelle wollen wir auf die weiteren Sicherheitsbausteine von Microsoft und deren Wechselwirkungen mit Forefront eingehen. Client-seitig wurde bereits mit Windows Vista ein ganzes Set an neuen Sicherheits-Tools und -Konzepten geboten. Diese sind auch in Windows 7 und teilweise im Windows Server 2008 übernommen worden. Dazu zählen unter anderem die erneuerte Windows-Firewall, Bitlocker, der Windows Defender, das Malicious-Software-Removal-Tool, die User Account Control und Network Access Protection.
Lokale Firewalls auf den Endgeräten ergänzen die Sicherheit spezieller Security-Bausteine wie Forefront. Bei Windows Server 2008 und Windows 7 hat Microsoft die Firewall-Funktionen erweitert. Diese können nun auch ausgehenden Datenverkehr untersuchen und die Authentifizierung durch IPSec durchführen. In der Windows-Server-Version 2003 begnügte man sich noch mit der Kontrolle des eingehenden Netzwerkverkehrs. Die Arbeitsweise dieser Firewall ist der des TMG ähnlich. Dabei definieren Regelsätze den ein- und ausgehenden Datenverkehr und legen damit fest, wer mit wem kommunizieren darf.
Durch BitLocker werden sämtliche Daten auf der Festplatte verschlüsselt; damit zielt es in erster Linie auf die Sicherheit von Notebooks. Der Windows Defender ist ein Tool zur Vermeidung von Spyware-Angriffen von außen. Das Malicious Software Removal Tool (MSRT) hilft bei der Säuberung von Windows-Rechnern von schadhaftem Code. Durch die User Account Control (UAC) schließlich soll verhindert werden, dass untergeschobener Angriffscode Prozesse auslöst, die nicht gewünscht oder explizit erlaubt sind.
Sicherheit der SQL-Datenbank
Aber auch der SQL Server 2008 wurde mit Sicherheitsfunktionen ausgestattet. Mithilfe der "Transparent Data Encryption" werden die Datentabellen und auch Protokolldateien verschlüsselt. Die Verschlüsselung wird implizit durch den SQL Server durchgeführt. Dabei müssen die Applikationen nicht geändert werden. Durch die transparente Datenverschlüsselung wird folglich ein unbefugter Zugriff auf die Daten verhindert oder zumindest erschwert. Die zugehörigen Schlüssel werden direkt vom SQL Server verwaltet.
Network Access Protection
Einen weiteren Sicherheitsbaustein bildet Network Access Protection (NAP). Mittels NAP erfolgt die Untersuchung eines Gerätes, das Zugang zum Unternehmensnetz will, über vordefinierte Sicherheitsmerkmale. Geräte, die nicht den sicherheitsrelevanten Vorgaben entsprechen, erhalten keinen Zugang zum Unternehmensnetz und werden stattdessen in Quarantäne geschickt.
Dort müssen sie zuerst von der Bedrohung, wie zum Beispiel einem Virus, gesäubert werden. Erst nach dieser "Reinigung" (Remediation) erhalten sie den Zugang zum Unternehmensnetz. NAP basiert auf dem Zusammenspiel mehrerer Bausteine und verhindert den Zugang von infizierten Geräten zum Unternehmensnetz. NAP kommt auch beim Einsatz des Forefront Unified Access Gateway zur Anwendung.
Rights Management System
Der Großteil der Forefront-Module beschäftigt sich mit der Sicherung der Kommunikationswege und der darüber ausgetauschten Informationen. Dies erfolgt beispielweise durch Zugangskontrolle sowie Protokoll- und Mail-Filter. Die Information selbst wird dabei relativ wenig beachtet. Gelingt es einem Angreifer, die Hürden und besonders die Firewalls zu überwinden, so kann er oftmals auf die Informationen, die durch die Firewall gesichert werden, zugreifen.
Der gesamte Markt, der um Data Leakage Protection entstanden ist, hat allein das Ziel, den Diebstahl und Missbrauch von Daten zu vermeiden. DLP-Funktionen lassen sich auch durch die Filter des TMG aufbauen. Daneben steht mit dem Rights Management System (RMS) ein weiteres Sicherheitssystem zum Schutz der Daten zur Verfügung.
RMS ist ein Informationsschutz, der sich auf das Objekt selbst bezieht. Dabei werden die Informationen, egal wo sie sich befinden, vor Missbrauch geschützt. Da jede zusätzliche Schutzkomponente installiert und verwaltet werden muss, sollte das so einfach wie möglich sein. Microsoft hat daher die RMS-Funktionen direkt im Betriebssystem verankert; sie werden als Dienst des Windows Server 2008 eingerichtet. Gleiches gilt für die Client-Systeme wie Microsoft Vista und Microsoft Windows 7: Auch sie umfassen die RMS-Funktionen. Windows-XP-Nutzer müssen allerdings erst ein RMS-Modul von der MS-Website laden.
RMS verlangt immer eine Authentifizierung des Benutzers; dies ist eine der Voraussetzungen für den Einsatz von RMS. Die Technik der Identifikation spielt dabei keine Rolle. Das Verfahren funktioniert mit Benutzerberechtigung auf der Grundlage von Benutzername und Passwort oder über den Einsatz von Smartcards.
Mittels der RMS-Dienste werden Informationen durch dauerhafte Verwendungsrichtlinien geschützt. Diese Richtlinien werden immer auf die Informationen angewendet und sind an die Information gebunden. Daher ist es unerheblich, wo sich die Information befindet oder wohin sie verschoben wurde. Die Richtlinien legen beispielsweise fest, wer die Informationen öffnen, ändern, drucken oder weiterleiten darf. Um den Einsatz von RMS in den Unternehmen zu vereinfachen, lassen sich benutzerdefinierte Vorlagen (Templates) für Verwendungsrichtlinien erstellen. In den RMS-Templates werden Zugriffsrechte für Personen, Gruppen beziehungsweise Organisationseinheiten oder auch für das ganze Unternehmen definiert. Die Erstellung von RMS Templates erfolgt zentral auf dem RMS-Server. Die Templates werden dann für den Anwender zur Verfügung gestellt.
Fazit
Microsoft hat sein Sicherheitsportfolio in den vergangenen Jahren erheblich ausgebaut. Es überstreicht heute mehr Bereiche, als mit singulären und dedizierten Security-Tools möglich ist. In Forefront wird dabei der Großteil der Sicherheitsfunktion gebündelt. Daneben stehen aber auch Sicherheitsfunktionen, die inhärent zum Betriebssystem gehören.
Der Umfang der Microsoft-Tools und ihre Interaktionen mit dem Betriebssystem und weiteren Sicherheitsbausteinen sind dabei komplexer als vergleichbare singuläre Tools wie beispielsweise eine Firewall oder ein Virenscanner. (hal)