Sicherheit von Windows Server 2008

Ich bin entsetzt. "Windows 2008? Keine Ahnung!" Gerade berichten mir die Kollegen freudestrahlend nach einer Dienstreise von ihrem Plan, mich die Sicherheitsfeatures von Windows Server 2008 [1] erkunden zu lassen. Ein Kollege hat dankenswerterweise einen Windows Server 2008 in der Standard Edition installiert und überlässt ihn mir out of the Box. Aber wie würde ich mit der Sicherheits-Administration zurechtkommen? Denn in den vergangenen Jahren hatte ich mit Sicherheitsfragen fast ausschließlich unter Linux zu tun.

Ich setze mir das Ziel, einen Nameserver zu konfigurieren, den ein Unternehmen in die DMZ stellen kann, ohne dass Angreifer ihn binnen Minuten übernehmen [2]. Welche Neuerungen habe die Entwickler in Redmond ausgetüftelt und wie schneiden diese im Vergleich zu Sicherheitsfunktionen typischer Linux-Enterprise-Distributionen ab?

Microsoft pflegt für viele bekannte Dinge eine eigene Sprache. Die Firma tritt bei der Vorstellung ihres Produkts damit an, mehr Kontrolle und Schutz zu bieten. Skripte sollen regelmäßige Aufgaben automatisieren, der Server Core richtet sich offenkundig an hartgesottene Verfechter der Kommandozeile. Das erregt meine Aufmerksamkeit, auch wenn ich gute grafische Admintools durchaus schätze.

Ungewohnte Namen

Doch ach! Neben dem GUI ist auch das Dotnet-Framework der Paket-Diät zum Opfer gefallen. Folglich fehlt die Powershell und auf das gepriesene Automatisieren muss der Admin verzichten. Dazu kommt, dass es keinen einfachen Weg gibt, auf so installierte Systeme zuzugreifen. Ein SSH-Server wäre eine wirksame Lösung gewesen.

Auf meinem System ist jedoch die Standard Edition installiert, die auf den ersten Blick wie Windows 95 wirkt. Von XP oder gar Vista ist hier keine Spur zu sehen. Für den gelegentlichen Administrator ist das nichts Schlimmes, so finde ich mich wenigstens gleich zurecht.

Die Powershell versteht dem Unix-Admin bekannte Befehle wie »ipconfig«. Sie ermöglicht auch detaillierten Zugriff auf Prozesse, Dateien und Sockets. Die Angaben lassen sich umrechnen, formatieren und anzeigen - ein mächtiges Werkzeug, das jedoch viel Einarbeitung erfordert. Mir würde Perl auch reichen.

Kommandozeile oder GUI

Windows-Fans preisen die Administration über grafische Werkzeuge. Aber was soll ich starten? Ich habe die Systemsteuerung, den Gerätemanager, das System oder den Server-Manager zur Auswahl. Es mag ignorant klingen, aber wer noch nie Windows administriert hat, findet das nicht intuitiv. Nach kurzem Ausprobieren entscheide ich mich für den Server-Manager. Der begrüßt mich mit einer Zusammenstellung des aktuellen Systemzustands und listet Name, Netzwerk, Rollen und Features (Abbildung 1).

Abbildung 1: Der Server-Manager ist die Schaltzentrale für den Administrator. Er erlaubt den Zugriff auf vielfältige Systemkonfigurationen und zeigt zum Beispiel den Zustand der Updates kompakt an.

Die wichtigsten Funktionen sind im Blick, positiv fällt auf, dass Windows gerade Updates einen zentralen Platz zubilligt. Für das Paketmanagement kennt Microsoft zwei Begriffe. Wie sich allerdings "Rollen" und "Features" abgrenzen, bleibt umwölkt. Zu den 16 angebotenen Rollen sind mir die Serverdienste DHCP, DNS, File und Web schnell vertraut. Dazu bietet der Manager noch ein Dutzend mir unbekannter Dienste an, die meisten haben mit Active Directory zu tun. Ich entscheide mich für einen DNS-Server. Dem nützlichen Hinweis gegenüber, dass dieser auf einem System mit dynamisch zugewiesener Adresse unter Umständen problematisch sei, zeige ich mich beratungsresistent.

Der Wizard verlinkt Hintergrundinformationen zum DNS, und nach einigen Minuten Wartezeit ist der Server installiert. Den versprochenen Konfigurationswizard finde ich in den umfänglichen Modulen des Gerätemanagers jedoch nicht. Dafür liefert er neben vielen unverständlichen auch etliche nützliche Tipps zur Verbesserung der Sicherheit, der Verfügbarkeit oder einfach zur Überwachung des Dienstes - praktisch.

Bei den Rollen hat Microsoft also eine Menge handwerkliche Arbeit übernommen und zentral an einer Stelle zusammengefasst. Fans integrierter Admintools wie Yast & Co. werden sich hier gleich wohlfühlen. Mit Spezialitäten wird es komplizierter. DNSSEC beispielsweise ist der Suchfunktion der Management Console unbekannt - bei den meisten Linux-Distributionen ist dies entweder eingebaut oder ein optionales Paket.

Neben den Rollen bietet die Serversoftware noch 35 Features, darunter Telnet-Clients und -Server (der Horror jedes auf Vertraulichkeit bedachten Admin) sowie einen MTA. Wieso dieser ein Feature, aber keine Rolle ist, erschließt sich mir bisher nicht. Als ich ihn installieren will, erfahre ich, dass dazu zusätzlich der IIS-Webserver nötig sei. Spätestens an dieser Stelle kann von einem schlanken Serverdesign in separierten Diensten nicht mehr die Rede sein.