Windows Server 2008: Mehr Sicherheit mit RDOC und NAP

Die wohl interessanteste Neuerung für das Active Directory ist der Read Only Domain Controller (RODC). Dabei handelt es sich um einen neuen Typ Domänen-Controller (DC), der lediglich eine Kopie der Verzeichnisdienst-Datenbank enthält. Er selber kann aber keine Änderungen zu anderen DCs im Active Directory replizieren.

Wollen Anwendungen schreibend auf das Active Directory zugreifen, verweist der RODC die Anfragen an einen Domänen-Controller, der über Schreibberechtigung verfügt. Lesende Zugriffe auf den Verzeichnisdienst kann der RODC in den meisten Fällen selbst bearbeiten.

Das Konzept des RODC eignet sich besonders für Standorte, wo man den physischen Zugriff auf den Server durch unautorisierte Personen nicht ohne Weiteres verhindern kann. Nicht umsonst sagt man „wenn der Angreifer das Keyboard hat, hat er auch den Rechner“. Derart exponierte Server sind besonders gefährdet, weil es ein Leichtes ist, die Sicherheitsmechanismen von Windows auszuhebeln, wenn man von einem externen Medium ein anderes Betriebssystem startet, um auf die Systempartition zuzugreifen. Sollte es einem Angreifer gelingen, die Verzeichnisdatenbank auf einen physisch kompromittierten Server zu manipulieren, ist beim Einsatz eines RODC ausgeschlossen, dass die Änderungen systemweit in das Verzeichnis übernommen werden.

RODC ohne Passwörter

Aber selbst wenn ein Angreifer nur lesenden Zugriff auf die Verzeichnisdatenbank erhält, stellt dies eine große Bedrohung für das Unternehmensnetz dar. Insbesondere die Passwörter der Anwender sind gefährdet, auch wenn diese verschlüsselt oder nur Hash-Werte abgelegt wurden. Deshalb kann man die Speicherung von Passwörtern auf RODCs grundsätzlich unterbinden. Der Nachteil dieses Verfahrens ist allerdings, dass die Anmeldung an einen RODC dann nur noch möglich ist, wenn zusätzlich ein vollwertiger Domänen-Controller für die Authentifizierung zur Verfügung steht.

Ein RODC verfügt noch über weitere Features, um die Sicherheit zu erhöhen. So ist es etwa möglich, ein Benutzerkonto in der Domäne einzurichten, die über Administrationsrechte auf dem RODC verfügt, jedoch keine Veränderungen in der Domäne vornehmen kann. Bei reinen Mitglied-Servern konnte ein Systemverwalter schon immer mit einer lokalen Administratorkennung arbeiten, die seine Rechte auf den jeweiligen Server beschränkte. Ein Systemverwalter, der einen Domänen-Controller betreuen soll, muss unter Windows Server 2003 in aller Regel aber Mitglied der Gruppe der Domänen-Administratoren sein. Unter Windows 2008 ist es jetzt möglich, einen Administrator an einem bestimmten Standort mit der Verwaltung eines RODC zu beauftragen, ohne diesem aber Rechte in der Domäne einräumen zu müssen.

RODC sichert DNS-Server

Ein weiteres Sicherheitsrisiko unter Windows 2003 ist der DNS-Dienst, wenn er auf einem Domänen-Controller an einem unzureichend geschützten Standort installiert ist. Manipulationen am Domain Name Service können zu schwerwiegenden Funktionsstörungen im gesamten Netz führen. Aus diesem Grund unterstützt ein DNS-Server, der auf einem RODC läuft, keine dynamischen Updates. Das heißt, Windows-Clients, die sich selbständig am DNS registrieren wollen, müssen den Umweg über einen vollwertigen DNS-Server gehen. Der DNS-Dienst auf einem RODC sorgt dafür, dass die Clients an einen entsprechenden DNS-Server weitergeleitet werden.

RODC: Stärken und Schwächen

Plus

• Ein kompromittierter RODC kann die Änderungen nicht systemweit im Verzeichnis verbreiten.

• Es lassen sich eigene Domänen-Kennungen einrichten, die über Administrationsrechte auf dem RODC verfügen, jedoch keine Veränderungen in der Domäne vornehmen können.

• Die Speicherung von Passwörtern auf RODCs kann grundsätzlich unterbunden werden

Minus

• RODCs unterscheiden sich in ihrer Funktionsweise zum Teil erheblich von vollwertigen Domänen-Controllern. Die Einführung eines neuen Typs von Domänen-Controllern erhöht die Komplexität des Active Directory und damit auch seine Fehleranfälligkeit.

• Im Fall von Fehlfunktionen steigt unter Umständen der Aufwand für die Fehlersuche, da RODC-spezifische Eigenheiten zu berücksichtigen sind.

• RODCs bieten nicht dieselbe Fehlertoleranz wie vollwertige Domänen-Controller, da sie in großem Maße von diesen abhängig sind. Verzichtet man beispielsweise auf das Password-Caching auf dem RODC, können sich Anwender an einem dezentralen Standort nicht mehr anmelden, falls die Netzverbindung zur Firmenzentrale unterbrochen ist.

• RODCs können nur betrieben werden, wenn mindestens ein vollwertiger DC unter Windows Server 2008 in der Domäne zur Verfügung steht. Gerade in der Anfangsphase erhöht dies die Fehleranfälligkeit, wenn noch nicht alle Domänen-Controller auf Windows 2008 migriert wurden.

• RODCs verursachen für die Administratoren einen zusätzlichen Lernaufwand. Das sollte insbesondere in kleinen und mittelgroßen Unternehmen, wo in der Regel keine Active-Directory-Spezialisten zur Verfügung stehen, nicht unterschätzt werden.

• Anwendungskompatibilität: Vor dem Einsatz eines RODC ist in jedem Fall zu prüfen, ob Anwendungen von Drittanbietern, die auf das Active Directory angewiesen sind, mit diesem neuen Domänen-Controller-Typ überhaupt zurechtkommen.

Network Access Protection (NAP)

Zu den wesentlichen Neuerungen von Windows Server 2008 im Bereich Sicherheit gehören die Netzwerkrichtlinien- und Zugriffsdienste (Network Access Protection = NAP). Bei NAP handelt es sich um Microsofts Network-Access-Control-Lösung (NAC), die Computern nur dann Zugriff auf andere Rechner im Firmennetz gewährt, wenn sie vordefinierte sicherheitsrelevante Bedingungen erfüllen. Microsoft bezeichnet sie als "Richtlinien für die Windows-Sicherheitsintegrationsprüfung".

Windows Server 2008 kennt fünf Typen solcher Richtlinien. Sie betreffen die Windows-Firewall, den Virenschutz, den Spyware-Schutz, automatische Updates und den Sicherheits-Update-Schutz.

Ein Client-Computer erfüllt die Richtlinie für automatische Updates, wenn unter Windows die automatische Aktualisierung aktiviert ist. Das garantiert aber nicht, dass alle sicherheitsrelevanten Updates auf diesem Computer bereits installiert wurden. War ein PC beispielsweise für längere Zeit ausgeschaltet, stellt er ein potenzielles Sicherheitsrisiko dar.

Daher kann der Administrator mit Hilfe der Richtlinie für den Sicherheits-Update-Schutz festlegen, welche Updates vorhanden sein müssen. So kann er beispielsweise konfigurieren, dass alle kritischen Updates erforderlich sind und wann die letzte Prüfung auf neue Sicherheits-Updates stattgefunden haben muss.

Diesen Unterschied gibt es im Prinzip auch bei den Richtlinien für den Antiviren- und den Spyware-Schutz. Hier legt der Systemverwalter ebenfalls fest, ob die bloße Aktivierung entsprechender Software ausreicht oder ob er zusätzlich aktuelle Signaturen verlangt. Die Richtlinie für die Firewall prüft dagegen lediglich den Status, nicht aber, welche Regeln aktiv sind.

Quarantäne für unsichere PCs

Erfüllt ein Client alle Richtlinien, gilt er als "kompatibel" (compliant). NAP gibt in diesem Fall den Zugriff auf das Netz frei. Ist ein Rechner nicht vertrauenswürdig, erhält er lediglich einen eingeschränkten Zugang zum Quarantänenetzwerk, in dem sich auch die so genannten Wartungs-Server befinden. Dabei kann es sich zum Beispiel um einen Antivirus-Server handeln, der die neuesten Virensignaturen für nicht kompatible PCs bereitstellt. Sobald der NAP-Agent meldet, dass der Client alle Richtlinien erfüllt, wird der Zugriff auf das gesamte Netz freigegeben.

NAP ist außerdem in der Lage, das Verfehlen von Richtlinien nur zu protokollieren. Nicht kompatible Clients werden dabei zunächst nicht ausgesperrt. Dieses Verfahren ist insbesondere in der Anfangsphase nach der Einrichtung von NAP äußerst empfehlenswert. So kann man sich erst einmal einen Überblick verschaffen, welchen und wie vielen Computern der Netzwerkzugriff aufgrund der definierten Richtlinien verweigert würde.

Die Beschränkung des Netzzugangs kann mit verschiedenen Verfahren erzwungen werden. NAP unterstützt fünf solche Erzwingungsmethoden. Jedes Verfahren setzt auf einen bestimmten Netzdienst auf: DHCP, VPN, 802.1X, IPsec und die Terminaldienste über das Internet (TS Gateway).

Variable Zwangsmaßnahmen

Während sich NAP zum Großteil über den Netzwerkrichtlinien-Server (Network Policy Server = NPS) konfigurieren lässt, sind die Erzwingungsmethoden mit dem Frontend des jeweiligen Netzdienstes einzurichten. So wird etwa die DHCP-Erzwingungsmethode auf dem DHCP-Server verwaltet. Dort kann der Administrator eine Subnetzmaske und DHCP-Optionen speziell für nicht kompatible Clients angeben. Der DHCP-Server muss dafür allerdings auf einem Server mit Windows 2008 laufen.

Für jede Erzwingungsmethode sind die Zugriffsbeschränkungen also in Abhängigkeit von den Möglichkeiten des gewählten Netzdienstes zu formulieren. Es ist auch möglich, mehrere Verfahren parallel einzusetzen. In der Praxis wird man aber vermutlich meist nur mit einer oder zwei Erzwingungsmethoden arbeiten.

Der Administrationsaufwand für die einzelnen Verfahren ist dabei höchst unterschiedlich. Am aufwändigsten dürfte die IPsec-Methode sein. Bei diesem Verfahren erhalten Clients ein digitales Zertifikat, das sie als kompatibel ausweist. Rechner, die nicht über dieses Zertifikat verfügen, haben keinen Zugriff auf andere Systeme im Intranet.

Authentifizierung über 802.1x

Dies lässt sich auch mit der 802.1x-Methode erreichen. Hierzu müssen aber alle Netzwerk-Switches die Authentifizierung über 802.1x beherrschen und außerdem die automatische Zuweisung von Clients zu virtuellen LANs (VLANs) anhand von Radius-Attributen erlauben. Nicht kompatible Clients landen bei diesem Verfahren in einem speziellen VLAN. Ähnlich funktioniert dies auch bei der VPN-Methode. Statt einem VLAN wird nicht kompatiblen Clients hier ein bestimmtes IP-Subnetz zugewiesen.

TS Gateway ist ein neues Features der Terminal-Services von Windows Server 2008. Es erlaubt den Aufbau einer verschlüsselten RDP-Verbindung über HTTPS. NAP sorgt bei dieser Erzwingungsmethode dafür, dass nicht kompatible Clients via RDP keinen Zugriff auf einen Windows-Server erhalten. Im Gegensatz zu den anderen vier Erzwingungsmethoden unterstützt NAP hier die "automatische Wartung" nicht. Wie bereits angesprochen, verfügt der NAP-Agent über die Fähigkeit, die jeweils notwendigen Prozeduren anzustoßen, die nicht kompatiblen Clients zu einem richtlinienkonformen Zustand verhelfen.

NAP: Stärken und Schwächen

Plus

• NAP kann einen wesentlichen Beitrag zur Sicherheit im Netz leisten, weil Schwachstellen, die für Schadsoftware oder Hacker anfällig sind, automatisch ausgeschaltet werden.

• Da mit dem Service Pack 3 auch ein NAP-Client für Windows XP ausgeliefert wird und Mac OS X beziehungsweise Linux ebenfalls NAP unterstützt werden, ermöglicht Windows 2008 den Aufbau einer weitgehend herstellerunabhängigen NAC-Lösung. Windows Vista bringt einen NAP-Client bereits mit.

• Drittanbieter können ihre Sicherheitssoftware über Schnittstellen in NAP einklinken, so dass in Zukunft noch weitere Erzwingungsmethoden beziehungsweise Richtlinien zur Verfügung stehen werden. NAP könnte so über kurz oder lang zur Schaltzentrale für die Netzwerksicherheit werden.

Minus

• NAP ist bereits in seiner ersten Version eine äußerst komplexe NAC-Lösung. Administratoren müssen daher eine entsprechend lange Einarbeitungszeit einplanen.

• Eine Fehlkonfiguration von NAP kann den Netzbetrieb empfindlich stören. Hier ist abzuwägen, ob der Gewinn an Sicherheit die erhöhte Fehleranfälligkeit wettmacht. Entscheidend für die Beantwortung dieser Frage ist, ob die Systemverwaltung über genügend personelle Ressourcen verfügt, um diese neue Herausforderung zu meistern.

• Die Richtlinie für die Windows-Firewall bietet zu wenige Einstellungsmöglichkeiten. Die Tatsache, dass die Firewall aktiviert ist, gibt noch keine Auskunft darüber, ob die definierten Regeln den Sicherheitsrichtlinien des Unternehmens entsprechen.

• Die DHCP-Erzwingungsmethode bringt nur in begrenztem Umfang zusätzliche Sicherheit, weil die Vergabe von IP-Adressen auch manuell erfolgen kann. Administratoren, die sich auf diese relativ einfach zu konfigurierende Methode verlassen, wiegen sich unter Umständen in trügerischer Sicherheit.

• Die anderen Erzwingungsmethoden bieten zwar deutlich mehr Sicherheit, dafür ist der Konfigurationsaufwand entsprechend höher. Insbesondere die IPsec-Methode erfordert eine umfangreiche Planung. Denn hier ist nicht nur NAP aufzusetzen, sondern zudem eine komplette IPsec-Infrastruktur.

(CoWo/mha)

Dieser Beitrag stammt von computerwoche.de, der führenden deutschsprachigen Website für den gesamten Bereich der Informationstechnik - aktuell, kompetent und anwendungsorientiert.