Die Vorabversion des Service Pack für Windows Server 2003 ist bereits erhältlich und lässt darauf schließen, dass die endgültige Version nicht mehr lange auf sich warten lässt. Es enthält nicht nur eine Sammlung aller Bugfixes, die seit der Veröffentlichung des Servers verfügbar geworden sind, sondern bietet auch einen ganzen Satz an neuen Funktionen. Außerdem verhält sich der Server nach der Installation in verschiedenen Situationen anders als früher. Grund genug, sich das Service Pack 1 einmal genauer anzusehen.
Wie schon beim Windows XP SP2 hat auch dieses Service Pack einen enormen Umfang: Primär handelt es sich beim Service Pack 1 nämlich um eine neue Version von Windows Server 2003, die auf Sicherheitsaspekte hin entwickelt wurde. Microsoft hat das komplette Betriebssystem mit einer neuen Sicherheitsoption seines C++-Compilers neu übersetzt. Dies führte unweigerlich zu neuen Versionen von allen ausführbaren Windows-Komponenten.
Neben den Fehlerbehebungen finden sich alle Verbesserungen im Netzwerkbereich, die auch beim SP2 von Windows XP Einzug gehalten haben. Details dazu lesen Sie im Beitrag: Windows XP SP2 - das erwartet Sie. Zusätzlich gibt es ein im Vergleich zum XP SP2 geändertes Verhalten.
Unterschiede bei der Windows Firewall
Das Server 2003 SP1 enthält die Windows Firewall, die Sie bereits aus dem SP2 von XP kennen. Allerdings verhält sich die Firewall beim Server anders als beim kleinen Desktop-Bruder: Der wichtigste Unterschied ist dabei, dass die Firewall automatisch ausgeschaltet bleibt. Das macht auch Sinn, schließlich ist es die Aufgabe des Servers, Verbindungen anzunehmen.
Sie können die Firewall auf verschiedene Arten aktivieren: Entweder Sie schalten sie über die Systemsteuerung oder über Group Policies ein. Der eigentlich vorgesehene Weg ist jedoch die Verwendung des "Security Configuration Wizard". Dabei handelt es sich um eine komplett neue Komponente im Server. Dieser Wizard dient nicht nur der Aktivierung der Firewall, sondern hilft auch bei der Einstellung anderer sicherheitsrelevanter Einstellungen im Server.
Per Default ist die Firewall abgeschaltet, außer bei einer Gelegenheit: bei der Einrichtung eines neuen Servers. Nach der initialen Installation eines Servers bis zu dem Zeitpunkt, an dem alle aktuellen Sicherheits-Patches installiert sind, ist der Server besonders leicht anzugreifen. Daher ist die Windows Firewall zu diesem Zeitpunkt aktiviert und wird erst wieder deaktiviert, wenn Windows Update alle aktuellen Patches ausgeliefert und installiert hat.
Sollten Sie die Firewall manuell aktivieren, so ist es wichtig, dass Sie danach den Server einmalig neu starten: Nur auf diese Weise kann die Firewall passende Ausnahmeregeln für bereits geöffnete Ports erstellen. Denn Ports, die geöffnet waren, bevor die Firewall aktiv war, werden von dieser nicht erkannt und somit blockiert.
Manuelle Konfiguration der Firewall
Die Firewall blockiert eingehende Netzwerkverbindungen, sofern diese nicht ausdrücklich erlaubt wurden. Dabei kann man Verbindungen zu bestimmten Programmen und zu bestimmten Ports auf dem Rechner ausdrücklich zulassen. Alles, was nicht zugelassen ist, wird blockiert.
Dabei verfügt die Firewall über einen Satz globaler Einstellungen, der für alle Verbindungen gilt, wobei Sie diese Einstellungen pro Verbindung abändern können. Den Konfigurationsdialog für die Firewall öffnen Sie über einen rechten Mausklick auf ein Icon für eine Netzwerkverbindung im Systemtray, oder über das zur Firewall gehörende Icon in der Systemsteuerung. Der Dialog setzt sich aus drei Reitern zusammen.
Auf dem Reiter "Allgemein" (General) stellen Sie einfach nur ein, ob die Firewall aktiviert sein soll. Ist sie aktiv, so können Sie außerdem noch festlegen, ob die Firewall Ausnahmen beim Blockieren von Verbindungsversuchen machen soll. Diese Ausnahmen stellen Sie auf dem Reiter "Ausnahmen" (Exceptions) ein. Hier können Sie einzelne Programme oder Ports für Verbindungen freigeben. Die Freigabe ist dabei relativ flexibel: So ist es möglich, Verbindungen zum Beispiel nur von Ihrem lokalen Netzwerk aus zuzulassen, Verbindungen aus dem Internet hingegen zu blockieren. Das ist zum Beispiel dann ganz praktisch, wenn Sie eine netzwerkbasierte Anwendung benutzen, die nur für den LAN-Betrieb, nicht aber fürs Internet benutzt werden soll.
Sie haben auf dem Reiter "Erweitert" (Advanced) die Möglichkeit, die Firewall-Einstellungen - um genau zu sein, die Ausnahmen - für Ihre einzelnen Netzwerkverbindungen zu konfigurieren. Dort können Sie auch die Protokolle der Firewall konfigurieren, das Verhalten für ICMP-Anfragen einstellen oder die Firewall zu den Default-Einstellungen zurücksetzen.
Öffnet ein Programm auf Ihrem Rechner einen Port, mit dem sich Programme von außen verbinden können, so warnt die Firewall automatisch. Im Rahmen dieser Warnung können Sie die Verbindungsaufnahme mit diesem Programm unterbinden oder erlauben. Sofern Sie die Verbindung zulassen, erscheint das Programm in der Liste der Ausnahmen innerhalb des Dialoges zur Konfiguration der Firewall.
Änderungen bei TCP/IP
Auch den TCP/IP-Stack hat Microsoft mit dem SP1 erweitert. Die wichtigste Änderung: Der Schutz gegen SYN-Attacken ist nun von Haus aus eingeschaltet. Dabei handelt es sich um DoS-Attacken, die den Three-Way-Handshake von TCP benutzen, um eine extrem große Anzahl an halb offenen Verbindungen zu erzeugen. Dies verbraucht den Hauptspeicher im Rechner oder belegt alle möglichen Verbindungskanäle, wodurch keine regulären Verbindungen zum Server mehr hergestellt werden können.
Im Rahmen eines solchen Angriffs senden die Angreifer extrem viele SYN-Pakete an einen Server und verwenden dabei gespoofte IP-Adressen und gefälschte Ports. Um die Auswirkungen solcher Attacken zu minimieren, versucht der Server, möglichst wenig Ressourcen für SYN-Pakete zu verbrauchen. Außerdem verwendet er eine sehr kurze Timeout-Zeit, bis eine halb offene Verbindung wieder geschlossen wird.
Dieser Schutz gegen SYN-Attacken ist auch schon im herkömmlichen Windows 2003 Server eingebaut - allerdings nicht eingeschaltet. Das lässt sich über den Registry-Key
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\SynAttackProtect
nachholen. Ab dem SP1 ist dieser Schutzmechanismus automatisch eingeschaltet.
Änderungen beim Browser
Wie bereits in der normalen Version des Server 2003 läuft der IE mit verstärkten Sicherheitsmaßnahmen. Er lässt von Haus aus keine Besuche auf externen Webseiten zu - es sei denn, man trägt diese ausdrücklich in die Liste der erlaubten Sites ein.
Darüber hinaus hat der Browser auch die vom XP SP2 bekannten Features: Der Internet Explorer aus dem SP1 blockiert Pop-ups automatisch. Wurde ein Pop-up blockiert, zeigt der Internet Explorer dies in der Informationsleiste an.
Die Informationsleiste erscheint als dünner gelber Streifen mit einem kurzen Hinweistext. Per Mausklick öffnet man ein Objektmenü, über das im Wesentlichen drei Befehle zu erreichen sind: Der Erste lässt das Pop-up temporär zu, es wird also angezeigt. Der zweite Befehl schaltet die momentane Webseite generell für Pop-ups frei. Mit dem dritten Befehl gelangt man zu einer Dialogbox, über die sich der Pop-up-Blocker konfigurieren lässt. Diesen Dialog kann man auch direkt über das "Extras"-Menü des Internet Explorer erreichen.
So schön diese Verbesserung im Browser auch sein mag - im Wesentlichen sollte man mit einem Server-Rechner nicht surfen: Lassen Sie also am besten die Hände vom Browser, es sei denn, Sie wollen die Windows-Update-Seite besuchen.
Die Zukunft: Die Datenausführungsverhinderung
Interessant - wenn auch für die meisten Anwender momentan nicht nutzbar - ist die "Datenausführungsverhinderung". Dabei handelt es sich um eine Sicherheitsoption, deren Einstellungsdialog Sie über die Eigenschaften des Systems unter dem Reiter "Erweitert" bei der "Systemleistung" finden.
Um zu verstehen, was die "Datenausführungsverhinderung" bedeutet, muss man wissen, dass neuere 64-Bit-CPUs die Möglichkeit haben, bestimmte Bereiche im Speicher als "No Execute" (NX) zu markieren. Aus diesen Bereichen heraus dürfen keine Programme ausgeführt werden. Die Idee dabei ist die, dass man reine Datenbereiche im Speicher als solche markiert. Damit kann ein Angreifer nicht über einen Pufferüberlauf Viren- oder anderen bösartigen Code ins System schmuggeln und dann ausführen: Das ist die momentan häufigste Variante, die für einen Einbruch in fremde Rechner verwendet wird.
DEP ist allerdings eine Fähigkeit, die zumindest momentan nur auf neuen 64-Bit-CPUs zur Verfügung steht - und so sind alle Optionen der "Datenausführungsverhinderung" auf dem 32-Bit-Testsystem auch abgeschaltet. Weitere Informationen zur DEP finden Sie im Grundlagenbeitrag No eXecute: CPU-Erweiterungen schützen vor Angriffen.
Sicherer: Neue Warnungen bei Downloads
Wollen Sie im Internet surfen und eine ausführbare Datei von einem Webserver laden, dann erhalten Sie beim SP1 eine neue Warnung. Sie haben zwischen drei Möglichkeiten die Wahl:
Datei herunterladen
Datei ausführen (dann wird Sie zunächst automatisch heruntergeladen)
Vorgang abbrechen
Wenn Sie die Datei zu einem späteren Zeitpunkt anklicken, um sie auszuführen, erhalten Sie erneut eine Warnung. Windows merkt sich nämlich, dass eine Datei aus dem Internet heruntergeladen wurde, und macht dann mit dieser neuen Warnung beim Versuch, diese Datei auszuführen, darauf aufmerksam. Letzten Endes ist das nur ein weiterer kleiner Schutzwall gegen das irrtümliche Ausführen von gefährlichen Dateien.
Eigentlich noch Beta: Windows-Update Version 5
Ebenfalls neu ist das Windows-Update, das jetzt in Version 5 (noch im Beta) vorliegt. Allerdings: Abgesehen von kosmetischen Veränderungen ist bei Windows-Update zunächst nicht viel zu sehen. Die Arbeiten daran sind wohl auch noch nicht so weit gediehen, wie das einmal der Fall sein soll. Windows-Update wird nämlich in Zukunft auch Delta-Patches ausliefern können und damit die für den Download der Updates benötigte Zeit verringern. Außerdem sollen auch andere als nur die Kernkomponenten von Windows über Windows-Update verteilt werden, so zum Beispiel auch Updates für Office.
Den Ankündigungen von Microsoft zufolge soll auch die Anzahl der notwendigen Reboots des Servers beim Installieren neuer Updates minimiert werden: Inwiefern das tatsächlich der Fall ist, wird sich allerdings erst zeigen, wenn das SP1 im großen Rahmen zum Einsatz kommt und die ersten Updates und Patches anrollen.
Der Security Configuration Wizard
Der Security Configuration Wizard stellt eine neue zentrale Komponente für die Sicherheitskonfiguration des Servers dar. Obwohl dieser Wizard sehr hilfreich ist, wird er nicht automatisch installiert, sondern muss über die "Windows Komponenten" des Software-Applets in der Systemsteuerung manuell installiert werden.
Ist das Programm installiert, können Sie es über die Gruppe der Administrativen Tools starten. Der Wizard fasst eine ganze Menge an Informationen über Sicherheit, Sicherheits-Templates und Konfigurationsaufgaben in einer handlichen Oberfläche zusammen. Man kann damit den kompletten Server (oder auch andere Server) in puncto Sicherheit vollständig konfigurieren. Die Art der Konfiguration wird dabei in einer XML-Vorlage gespeichert, die sich nachträglich verändern, kopieren und erneut anwenden lässt.
Sicherheit auf einen Blick
Bei der Konfiguration leitet Sie der Wizard durch eine Vielzahl an Dialogen, mit denen Sie alle möglichen Aspekte der Server-Sicherheit einstellen können. Von einer Aufgabe entbindet Sie der Wizard allerdings nicht: Sie müssen auch weiterhin einigermaßen Bescheid wissen, worum es bei diesen Aspekten geht. Allerdings sparen Sie sich den Umweg durch eine Unzahl verschiedenster Applets, Management-Konsolen und Anwendungen, da Sie alle Einstellungen an einem zentralen Ort vornehmen können.
Dabei basiert das Wissen des Wizard auf einer recht umfangreichen Datensammlung, die Informationen über mögliche Server-Rollen und die zugehörigen optimalen Einstellungen beinhalten.
Diese Datensammlung lässt sich auch einsehen oder per GUI und Kommandozeile bearbeiten. Teil der Datensammlung ist auch eine Zusammenfassung der verschiedenen Server-Rollen mit Beschreibung. Dazu gehört unter anderem auch die Information, ob die betreffende Rolle bereits installiert und eingeschaltet ist.
Rollen vergeben
Beim SCW werden Server-Rollen und Client-Aufgaben vergeben. Es reicht nicht aus, den Server als Webserver zu konfigurieren - auch Client-Tätigkeiten sind notwendig. So kann ein Server durchaus gleichzeitig Webserver und DNS-Client sein.
Bei den Client-Rollen geht es genau wie bei den Server-Rollen im Wesentlichen darum, die Angriffsfläche zu minimieren. Je weniger Client-Programme auf dem Server laufen, umso weniger Angriffsmöglichkeiten haben natürlich auch die Angreifer.
Nach den beiden Schritten zur Rollenkonfiguration zeigt der SCW eine Liste aller Änderungen an, die auf Basis der aktuellen Einstellungen und der ausgewählten Rollen notwendig sind. Hier können Sie überprüfen, ob alles seine Richtigkeit hat. Ist das nicht der Fall, so besteht die Möglichkeit, in die vorherigen Schritte zurückzukehren, um entsprechende Änderungen vorzunehmen.
Finale Überprüfung
Das ist insbesondere dann recht hilfreich, wenn Sie sich trotz der Online-Erklärung zu den einzelnen Rollen nicht in allen Details sicher sind: Durch eine Veränderung an den Rollen lassen sich die Auswirkungen schnell überprüfen. Tatsächlich durchgeführt werden diese Änderungen erst im letzten Schritt des Wizards, so dass das Ausprobieren der Rollen keine sofort wirksamen, negativen Seiteneffekte hat.
Nach der Rollenauswahl leitet der SCW Sie durch die Einstellungen für die Netzwerksicherheit. Hier geht es im Wesentlichen um die Konfiguration der Firewall, um den Zugang zu Ports sowie um IPsec-Einstellungen für die Verschlüsselung von Traffic.
Firewall einstellen
Bei der Auswahl der Ports - wie auch bei allen anderen Auswahlmöglichkeiten - können Sie immer ein kleines Fenster mit Detailinformationen abrufen. Wer zum Beispiel mit der Abkürzung NTP nichts anfangen kann, der erfährt in diesem Fenster ein paar Details zum Network Time Protokoll und wofür es benutzt wird.
Nach den Einstellungen für Firewall und IPsec folgt der Konfigurationsschritt für die Kommunikation mit älteren Windows-Versionen. Dieser Schritt ist mit der Themenüberschrift "Registry Settings" versehen - warum, wird allerdings nicht weiter erläutert.
Auditing
Sind auch die Kommunikationsparameter eingestellt, folgt ein Konfigurationsschritt für das Auditing. Hier legen Sie fest, welche Vorgänge im System protokolliert werden sollen.
Läuft auf dem Server auch ein IIS, dann werden auch dessen Sicherheitsaspekte vom SCW behandelt. Dazu teilt man dem SCW mit, welche Server Extensions betrieben werden dürfen. Der IIS 6 bietet schon im herkömmlichen Windows 2003 einen ähnlichen Dialog: Es handelt sich hier lediglich um eine Methode, die zahlreichen Optionen, die bisher über diverse Konfigurationsmöglichkeiten verteilt waren, unter einer zentralen Oberfläche verändern zu können.
Fazit
Alles in allem handelt es sich beim Security Cconfiguration Wizard um ein Tool, das man sich beim Windows Server schon lange gewünscht hat. Anders als mit den bisher verfügbaren Security Policy Templates sind wirklich alle wichtigen Parameter unter einer Oberfläche zusammengefasst und mit einer ausreichenden Online-Hilfe dokumentiert. Die fertige Konfiguration lässt sich speichern und auf andere Rechner übertragen.
Mit den Änderungen am Browser (und verwandten Clients wie Outlook), den Verbesserungen bei der TCP-Sicherheit und vor allem mit dem SCW, ist das Server 2003 SP1 eine gelungene Verbesserung für den 2003-Server: Je früher das fertige Paket erscheint, umso besser für alle Administratoren, die diese Server in Betrieb haben. Es ist also absolut empfehlenswert, das Service Pack so schnell wie möglich zu installieren - sobald das fertige Paket verfügbar ist. (mha)