Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Jesper M. Johansson 

mit dem Microsoft Security Team 

Microsoft 

Windows Server 2008 

Sicherheit – 

Die technische Referenz

Dieses Buch ist die deutsche Übersetzung von: Jesper M. Johansson with the Microsoft Security Team: 

Microsoft Windows Server 2008 Security Resource Kit 

Microsoft Press, Redmond, Washington 98052-6399 

Copyright 2008 Microsoft Corporation 

Das in diesem Buch enthaltene Programmmaterial ist mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. 

Autor, Übersetzer und der Verlag übernehmen folglich keine Verantwortung und werden keine daraus folgende 

oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieses Programmmaterials 

oder Teilen davon entsteht. 

Das Werk einschließlich aller Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen 

des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für 

Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen 

Systemen. 

Die in den Beispielen verwendeten Namen von Firmen, Organisationen, Produkten, Domänen, Personen, Orten, 

Ereignissen sowie E-Mail-Adressen und Logos sind frei erfunden, soweit nichts anderes angegeben ist. Jede Ähnlichkeit 

mit tatsächlichen Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen, E-Mail- 

Adressen und Logos ist rein zufällig. 

15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 

10 09 08 

ISBN 978-3-86645-921-2 

© Microsoft Press Deutschland 

(ein Unternehmensbereich der Microsoft Deutschland GmbH) 

Konrad-Zuse-Str. 1, D-85716 Unterschleißheim 

Alle Rechte vorbehalten 

Übersetzung: Detlef Johannis, Kempten 

Korrektorat: Claudia Mantel-Rehbach, München 

Fachlektorat und Satz: Günter Jürgensmeier, München 

Umschlaggestaltung: Hommer Design GmbH, Haar (www.HommerDesign.com) 

Gesamtherstellung: Kösel, Krugzell (www.KoeselBuch.de)

Inhaltsverzeichnis 

Danksagungen .................................................... XIII 

Einleitung . ....................................................... XV 

Überblick über das Buch . ............................................ XV 

Dokumentkonventionen ............................................. XVII 

Leserhinweise . ................................................. XVII 

Textblöcke .................................................... XVIII 

Befehlszeilenbeispiele . ........................................... XVIII 

Begleit-CD ....................................................... XVIII 

Elevation Tools ................................................. XVIII 

Passgen . ...................................................... XIX 

Verwaltungsskripts .............................................. XIX 

E-Book . ........................................................ XXI 

Materialien zu einzelnen Kapiteln ................................... XXI 

Links zu Tools, die im Buch erwähnt werden .......................... XXI 

Systemvoraussetzungen ............................................. XXII 

Support für dieses Buch ............................................. XXIII 

Teil I Grundlagen der Windows-Sicherheit ................................ 1 

1 Subjekte, Benutzer und andere Akteure . ................................. 3 

Die Beziehung von Subjekt, Objekt und Aktion ............................. 3 

Typen von Sicherheitsprinzipalen ........................................ 4 

Benutzer ........................................................ 4 

Computer ....................................................... 7 

Gruppen ........................................................ 7 

Abstrakte Konzepte (Anmeldegruppen) . ................................ 10 

Dienste ......................................................... 11 

Sicherheits-IDs . ..................................................... 12 

Komponenten einer SID ............................................ 13 

SID-Autoritäten .................................................. 13 

Dienst-SIDs ..................................................... 15 

Bekannte SIDs ................................................... 15 

Zusammenfassung ................................................... 16 

Weitere Informationen ................................................ 16 

2 Authentifizierung und Authentifizierungsprotokolle ........................ 17 

Etwas, das Sie wissen, und etwas, das Sie haben ............................. 17 

Etwas, das Sie wissen .............................................. 18 

Etwas, das Sie haben . .............................................. 18 

Etwas, das Sie sind ................................................ 18 

III

IV Inhaltsverzeichnis 

Speichern der Authentifizierer . .......................................... 20 

LM-Hash ....................................................... 22 

NT-Hash ........................................................ 24 

Kennwortverifizierer . .............................................. 25 

Im Speicher ..................................................... 27 

Umkehrbar verschlüsselt . ........................................... 27 

Authentifizierungsprotokolle ........................................... 29 

Standardauthentifizierung ........................................... 29 

Frage-Antwort-Protokolle ........................................... 30 

Smartcardauthentifizierung . ............................................ 38 

Smartcards und Kennwörter ......................................... 38 

Angriffe auf Kennwörter . .............................................. 39 

Ausspähen von Kennwörtern ........................................ 39 

Nutzen der ausgespähten Informationen ................................ 43 

Schützen Ihrer Kennwörter .......................................... 46 

Verwalten von Kennwörtern ............................................ 47 

Verwenden anderer Authentifizierer ................................... 48 

Kennwörter sicher notieren .......................................... 48 

Nehmen Sie das »Wort« in »Kennwort« nicht zu wörtlich ................... 48 

Festlegen von Kennwortrichtlinien .................................... 49 

Abgestimmte Kennwortrichtlinien .................................... 50 



3 Objekte: Was Sie wollen .............................................. 57 

Terminologie der Zugriffssteuerung ...................................... 57 

Geschützte Objekte . ............................................... 58 

Sicherheitsbeschreibungen .......................................... 58 

Zugriffsteuerungslisten ............................................. 60 

Zugriffssteuerungseinträge .......................................... 61 

Zugriffsmasken . .................................................. 63 

Beziehung zwischen Zugriffssteuerungsstrukturen ........................ 69 

Vererbung . ...................................................... 69 

Sicherheitstoken .................................................. 71 

Ablauf der Zugriffsprüfung .......................................... 74 

Integritätsebenen . ................................................. 76 

Leere und Null-DACLs . ............................................ 77 

Security Descriptor Definition Language . ............................... 78 

Tools zum Verwalten von Berechtigungen . ................................. 81 

Cacls und Icacls .................................................. 82 

SC ............................................................ 83 

Subinacl ........................................................ 83 

Wichtige Änderungen bei der Zugriffssteuerung in Windows Server 2008 . ......... 84 

TrustedInstaller-Berechtigungen ...................................... 84 

Netzwerkstandort-SIDs . ............................................ 84 

Änderungen beim Dateisystemnamespace ............................... 84 

Berechtigungen für Hauptbenutzer entfernt .............................. 85 

EIGENTÜMERRECHTE und Besitzerrechte ............................. 85

Inhaltsverzeichnis V 

Benutzerrechte und Privilegien .......................................... 85 

RBAC/AZMAN ..................................................... 89 



4 Grundlagen der Benutzerkontensteuerung ............................... 91 

Was ist Benutzerkontensteuerung? ....................................... 91 

So funktioniert die Tokenfilterung . ....................................... 93 

Komponenten der Benutzerkontensteuerung ................................ 94 

Benutzeroberfläche der Benutzerkontensteuerung ......................... 94 

Anwendungsinformationsdienst ...................................... 97 

Datei- und Registrierungsvirtualisierung ................................ 98 

Manifeste und angeforderte Ausführungsebenen .......................... 100 

Installererkennungstechnologie ....................................... 101 

UIPI ........................................................... 102 

Anhebungsaufforderungen auf dem sicheren Desktop ...................... 102 

Remoteunterstützung .............................................. 103 

UAC-Remoteeinschränkungen ....................................... 104 

Zuordnen von Netzlaufwerken im Administratorbestätigungsmodus ........... 104 

Blockierte Anwendungsanhebungen bei Anmeldung ....................... 106 

Konfigurieren der UAC-Kompatibilität für ältere Anwendungen .............. 107 

UAC-Gruppenrichtlinieneinstellungen .................................... 108 

UAC-Richtlinieneinstellungen unter Sicherheitsoptionen ................... 108 

Zugehörige UAC-Richtlinien ........................................ 110 

Was hat sich bei der UAC in Windows Server 2008 und Windows Vista SP1 geändert? 111 

Neue Gruppenrichtlinieneinstellung: UIAccess-Anwendungen können erhöhte Rechte 

ohne sicheren Desktop anfordern ..................................... 111 

Nur eine Bestätigung bei Dateioperationen im Windows-Explorer . ............ 112 

Über 40 neue Anwendungskompatibilitäts-Shims ......................... 112 

Empfehlungen für die UAC ............................................ 112 

Gut ............................................................ 112 

Besser . ......................................................... 113 

Am besten ...................................................... 113 



5 Firewall und Netzwerkzugriffsschutz .................................... 115 

Windows-Filterplattform .............................................. 116 

Windows-Firewall mit erweiterter Sicherheit ............................... 118 

Verbesserungen an der Windows-Firewall ............................... 118 

Verwalten der Windows-Firewall ..................................... 122 

Routing- und RAS-Dienste ............................................. 130 

Verbesserungen in RRAS ........................................... 131 

Internet Protocol Security .............................................. 133 

Grundlagen von IPsec . ............................................. 133 

Neue Fähigkeiten in Windows Server 2008 .............................. 135

VI Inhaltsverzeichnis 

Netzwerkzugriffsschutz ............................................... 139 

Architektur ...................................................... 139 

Implementieren von NAP ........................................... 143 

NAP-Szenarien . .................................................. 146 



6 Dienste ........................................................... 151 

Einführung in Dienste . ................................................ 151 

Was ist ein Dienst? ................................................ 152 

Anmeldekonten für Dienste . ......................................... 152 

Dienstports ...................................................... 154 

Konfigurieren von Diensten ......................................... 155 

Windows Server 2008-Dienste für unterschiedliche Rollen .................. 161 

Angriffe auf Dienste .................................................. 161 

Blaster-Wurm .................................................... 162 

Verbreitete Angriffsmethoden ........................................ 163 

Diensthärtung ....................................................... 165 

Geringstmögliche Privilegien ........................................ 166 

Dienst-SIDs ..................................................... 170 

Schreibeingeschränkte SIDs ......................................... 173 

Eingeschränkter Netzwerkzugriff ..................................... 175 

Sitzung-0-Isolierung ............................................... 177 

Verbindliche Integritätsebenen ....................................... 177 

Datenausführungsverhinderung . ...................................... 178 

Andere neue SCM-Features ......................................... 178 

Schützen von Diensten ................................................ 179 

Inventarisieren von Diensten . ........................................ 179 

Abschalten möglichst vieler Dienste ................................... 180 

Zuweisen geringstmöglicher Privilegien an die übrigen Dienste .............. 180 

Halten Sie Ihre Updates auf dem neuesten Stand .......................... 181 

Erstellen und Verwenden benutzerdefinierter Dienstkonten .................. 181 

Implementieren der Netzwerkisolierung mit Windows-Firewall und IPsec . ...... 183 

Überwachen von Dienstfehlern ....................................... 183 

Entwickeln und verwenden Sie sichere Dienste ........................... 183 



7 Gruppenrichtlinien .................................................. 185 

Was ist neu in Windows Server 2008? . .................................... 185 

Grundlagen von Gruppenrichtlinien ...................................... 186 

Das lokale Gruppenrichtlinienobjekt ................................... 186 

Active Directory-Gruppenrichtlinienobjekte ............................. 187 

Gruppenrichtlinienverarbeitung . ...................................... 193 

Was ist neu bei Gruppenrichtlinien? ...................................... 197 

Gruppenrichtliniendienst . ........................................... 197 

ADMX-Vorlagen und der zentrale Speicher ............................. 197 

Starter-Gruppenrichtlinienobjekte ..................................... 199

Inhaltsverzeichnis VII 

GPO-Kommentare ................................................ 200 

Verbesserungen an der Filterung ...................................... 203 

Erweiterte Verwaltungsmöglichkeiten für Sicherheitsrichtlinien .............. 204 

Windows-Firewall mit erweiterter Sicherheit . ............................ 206 

Richtlinien für verkabelte und Drahtlosnetzwerke ......................... 208 

Verwalten von Sicherheitseinstellungen ................................... 211 



8 Überwachung ...................................................... 217 

Wozu überwachen? . .................................................. 218 

So funktioniert die Windows-Überwachung ................................ 218 

Festlegen einer Überwachungsrichtlinie ................................... 221 

Optionen für Überwachungsrichtlinien ................................. 225 

Entwerfen einer guten Überwachungsrichtlinie .............................. 229 

Neue Ereignisse in Windows Server 2008 .................................. 230 

Analysieren von Ereignissen mit den eingebauten Tools ....................... 236 

Ereignisanzeige .................................................. 236 

WEvtUtil ....................................................... 242 


Teil II Implementieren von Identitäts- und Zugriffssteuerung 

mit Active Directory ............................................... 245 

9 Optimieren der Active Directory-Domänendienste für Sicherheit .............. 247 

Die neue Benutzeroberfläche ........................................... 248 

Der neue Assistent zum Installieren von Active Directory-Domänendiensten . ....... 250 

Schreibgeschützte Domänencontroller .................................... 252 

Schreibgeschützte AD DS-Datenbank .................................. 253 

RODC-gefilterte Attributsätze ........................................ 253 

Unidirektionale Replikation ......................................... 254 

Zwischenspeichern von Anmeldeinformationen . .......................... 254 

Schreibgeschütztes DNS ............................................ 256 

Mehrstufige Installation für schreibgeschützte Domänencontroller ............ 257 

Neustartfähige Active Directory-Domänendienste ............................ 258 

Active Directory-Datenbankbereitstellung ................................. 259 

AD DS-Überwachung . ................................................ 261 

Überwachen von AD DS-Zugriffen .................................... 262 

Grundlagen von AD LDS .............................................. 266 

Neue Features für AD LDS in Windows Server 2008 ...................... 268 

Grundlagen der Active Directory-Verbunddienste ............................ 269 

Was ist AD FS? . .................................................. 269 

Was ist neu in Windows Server 2008? . ................................. 270 


Weitere Informationen ................................................ 271

VIII Inhaltsverzeichnis 

10 Implementieren der Active Directory-Zertifikatdienste . ...................... 273 

Was ist neu in der Windows Server 2008-PKI? .............................. 274 

Bedrohungen für Zertifikatdienste und Eindämmungsmöglichkeiten .............. 275 

Kompromittierung des Schlüsselpaars einer Zertifizierungsstelle . ............. 275 

Verhinderung von Zertifikatsperrprüfungen . ............................. 276 

Versuche, die Konfiguration der Zertifizierungsstelle zu verändern ............ 279 

Versuche, eine Zertifikatsvorlage zu verändern ........................... 280 

Hinzufügen nichtvertrauenswürdiger Zertifizierungsstellen zum Speicher der 

vertrauenswürdigen Stammzertifizierungsstellen . ......................... 281 

Registrierungs-Agenten, die nichtautorisierte Zertifikate ausstellen ............ 283 

Kompromittierung einer Zertifizierungsstelle durch einen einzelnen Administrator 284 

Unautorisierte Wiederherstellung des privaten Schlüssels eines Benutzers aus der 

Zertifizierungsstellendatenbank . ...................................... 285 

Schützen von Zertifikatdiensten ......................................... 286 

Implementieren physischer Sicherheitsmaßnahmen ........................ 286 

Empfehlungen ...................................................... 288 



11 Implementieren der Active Directory-Rechteverwaltungsdienste .............. 291 

Grundlagen von RMS ................................................. 293 

Erforderliche Clientkomponenten ..................................... 295 

Erforderliche Serverrollen . .......................................... 295 

Denkbare Architekturen ............................................ 296 

Implementieren von AD RMS . .......................................... 297 

Vorbereiten der Infrastruktur ......................................... 299 

Bereitstellen des RMS-Servers ....................................... 300 

Erstellen von RMS-Richtlinienvorlagen ................................ 309 

Integration mit Microsoft Office ......................................... 311 

Einsetzen von RMS, um bestimmte Anforderungen zu erfüllen .................. 312 

Gesetze mit Auswirkungen darauf, wie Organisationen Aufzeichnungen 

archivieren ...................................................... 312 

Konsequenzen, wenn die Anforderungen nicht erfüllt werden ................ 313 

Wie AD RMS helfen kann . .......................................... 314 

Einschränkungen von AD RMS ......................................... 314 



Teil III Sicherheitsszenarien .............................................. 317 

12 Schützen von Serverrollen ............................................ 319 

Rollen und Features .................................................. 320 

Standardrollen und -features ......................................... 321 

Ihr Server vor der Installation von Rollen .................................. 328 

Standardmäßig installierte Dienste .................................... 328 

Server Core ........................................................ 328 

In Server Core unterstützte Rollen . .................................... 330

Inhaltsverzeichnis IX 

In Server Core unterstützte Features ................................... 331 

Was in Server Core nicht enthalten ist .................................. 331 

Tools zum Verwalten von Serverrollen .................................... 333 

Aufgaben der Erstkonfiguration ...................................... 333 

Die Assistenten Rollen hinzufügen und Features hinzufügen ................. 334 

Server-Manager .................................................. 335 

Der Sicherheitskonfigurations-Assistent ................................... 336 

Server mit mehreren Rollen ............................................ 346 


13 Patchverwaltung .................................................... 349 

Die vier Phasen der Patchverwaltung ..................................... 349 

Phase 1: Bewerten ................................................ 350 

Phase 2: Identifizieren . ............................................. 351 

Phase 3: Auswerten und Planen . ...................................... 353 

Phase 4: Bereitstellen .............................................. 355 

Der Aufbau eines Sicherheitsupdates . ..................................... 356 

Unterstützte Befehlszeilenparameter ................................... 356 

Integrieren von MSU-Dateien in eine Windows-Abbilddatei ................. 357 

Tools für Ihr Patchverwaltungsarsenal . .................................... 358 

Microsoft Download Center ......................................... 358 

Microsoft Update-Katalog . .......................................... 358 

Windows Update und Microsoft Update ................................ 359 

Automatische Windows-Updates . ..................................... 360 

Microsoft Baseline Security Analyzer .................................. 362 

Windows Server Update Services ..................................... 366 

System Center Essentials 2007 ....................................... 374 



14 Schützen des Netzwerks . ............................................. 377 

Einführung in Sicherheitsabhängigkeiten .................................. 380 

Akzeptable Abhängigkeiten ......................................... 381 

Inakzeptable Abhängigkeiten ........................................ 381 

Abhängigkeitsanalyse eines Angriffs . .................................. 383 

Abhängigkeitstypen .................................................. 385 

Nutzungsabhängigkeiten . ........................................... 385 

Zugriffsabhängigkeiten ............................................. 386 

Administrative Abhängigkeiten ....................................... 388 

Dienstkontoabhängigkeiten . ......................................... 388 

Betriebsabhängigkeiten . ............................................ 389 

Eindämmen von Abhängigkeiten ........................................ 389 

Schritt 1: Erstellen eines Klassifizierungsschemas . ........................ 390 

Schritte 2 und 3: Netzwerkgefahrenmodellierung ......................... 393 

Schritt 4: Analysieren, waschen und wiederholen, bis sauber . ................ 397 

Schritt 5: Entwerfen der Isolierungsstrategie ............................. 398 

Schritt 6: Ableiten einer Betriebsstrategie ............................... 399 

Schritt 7: Implementieren von Einschränkungen .......................... 400

X Inhaltsverzeichnis 



15 Schützen von Zweigstellen . ........................................... 405 

Einführung in die Probleme von Zweigstellen . .............................. 405 

Warum sind Zweigstellen wichtig? .................................... 406 

Was ist anders in einer Zweigstelle? ................................... 406 

Aufbauen von Zweigstellen . ......................................... 407 

Windows Server 2008 in der Zweigstelle .................................. 409 

Features, die nicht mit Sicherheit zu tun haben ........................... 409 

Sicherheitsfeatures für die Zweigstelle ................................. 411 

Andere Sicherheitsmaßnahmen . ......................................... 426 



16 Aspekte für kleine Unternehmen ....................................... 429 

Betreiben von Servern bei knappem Budget ................................ 430 

Auswählen der richtigen Plattformen und Rollen . ......................... 431 

Server für kleine Firmen ............................................... 433 

Windows Server 2008 Web Edition . ................................... 433 

Windows Small Business Server 2008 . ................................. 433 

Windows Essential Business Server ................................... 437 

Gehostete Server . ................................................. 438 

Virtualisierung ................................................... 438 

Verletzen aller Prinzipien mit Servern, die mehrere Rollen übernehmen ........... 439 

Akzeptable Rollen ................................................ 440 

Serverkomponenten ............................................... 440 

Risikofaktoren ................................................... 441 

Grenzserver ..................................................... 443 

Support und Updates . .............................................. 445 

Wiederherstellen des Servers . ........................................ 446 

Empfehlungen für kleine Unternehmen . ................................... 447 

Befolgen von Leitfäden zur Serverhärtung .............................. 448 

Richtlinien ...................................................... 452 

Verfahrensempfehlungen für Hersteller ................................. 454 

Remotezugriff . ................................................... 456 

Überwachungs- und Verwaltungs-Add-Ons . ............................. 457 

Die Rolle des Servers bei der Kontrolle und Verwaltung der Arbeitsstationen .... 459 

Empfehlungen für weitere Servereinstellungen und -konfigurationen . .......... 463 



17 Schützen von Serveranwendungen ..................................... 471 

Einführung ......................................................... 471 

IIS 7.0: Ein Sicherheitsstammbaum ...................................... 473 

Konfigurieren von IIS 7.0 .............................................. 473 

Featuredelegierung ................................................ 474

Inhaltsverzeichnis XI 

TCP/IP-Sicherheit ................................................... 476 

IP-Adressensicherheit .............................................. 476 

Portsicherheit .................................................... 479 

Hostheadersicherheit . .............................................. 479 

Einfache pfadbasierte Sicherheit ......................................... 480 

Definieren und Einschränken des physischen Pfads . ....................... 480 

Standarddokument oder Verzeichnissuche? .............................. 483 

Authentifizierung und Autorisierung . ..................................... 484 

Anonyme Authentifizierung ......................................... 485 

Standardauthentifizierung ........................................... 486 

Clientzertifikatzuordnung ........................................... 487 

Digestauthentifizierung . ............................................ 490 

ASP.NET-Identitätswechsel . ......................................... 490 

Formularauthentifizierung . .......................................... 491 

Windows-Authentifizierung ......................................... 492 

Dem Server vertrauen .............................................. 493 

Weitere Sicherheitsaspekte für IIS . .................................... 495 



Stichwortverzeichnis . ................................................. 503 

Die Autoren ........................................................ 523

Danksagungen 

Die Autoren möchten einer Reihe von Leuten danken, die bei diesem Buch geholfen haben. 

Zahlreiche Personen haben während der Entstehung des Buchs wertvolle Beiträge geleistet 

und dafür gesorgt, dass hohe Qualitätsstandards eingehalten wurden. 

Chase Carpenter, Aaron Margosis, Paul Young, Pablo F. Matute, Dana Epp, Charlie Russel, 

Wolfgang Schedlbauer, Nick Gillot, Steve Riley, John Michener, Greg Cottingham, Austin 

Wilson, Chris Black, Ed Wilson, Erin Bourke-Dunphy, Kirk Soluk, Lara Sosnosky, Lee 

Walker, Tal Sarid, Dan Harman, Richard B. Ward. 

Und insbesondere Mitch Tulloch, unser Fachlektor, der jede einzelne Zeile in diesem Buch 

gelesen hat; Becka McKay, unsere Korrektorin, die fantastische Arbeit dabei geleistet hat, 

die Stile 12 unterschiedlicher Autoren zu vereinheitlichen; Devon Musgrave, der das Projekt 

ins Rollen brachte und sicherstellte, dass uns klar war, was von uns erwartet wurde; Maureen 

Zimmerman, die uns dazu brachte, fertig zu werden, und das sogar halbwegs im Zeitplan; 

und schließlich Martin DelRe, der viel mehr Arbeit hatte als sonst, weil er es mit 

12 unterschiedlichen Autoren zu tun hatte. 

XIII

Einleitung 

Falls es Ihnen ähnlich geht wie uns, sind Sie gerade ziemlich aufgeregt. Nein, nicht weil wir 

dieses Buch fertigbekommen haben, sondern weil das bedeutet, dass es ein neues Betriebssystem 

zu erforschen gibt! Selbst wenn Sie sich nicht von solchen Dingen aus der Ruhe 

bringen lassen, halten Sie das umfassende Werk zu technischer Sicherheit für Windows 

Server 2008 in Händen. 

Windows Server 2008 ist die neueste Version des zentralen Serverbetriebssystems von 

Microsoft. Es wurde eine Menge Arbeit aufgewendet, um sicherzustellen, dass es nicht nur 

hohe Qualität aufweist, sondern auch die Sicherheitsfeatures besitzt, die eine sichere Bereitstellung 

ermöglichen. Dieses Buch soll Ihnen als Begleiter und Führer dienen, während Sie 

diese Features erforschen und untersuchen, wie Sie damit bessere Dienste zur Verfügung 

stellen oder sich selbst das Leben erleichtern können. Das Buch beschreibt dabei Features, 

die niemals zuvor für das Zielpublikum IT-Experten dokumentiert wurden. 

Dieses Buch enthält alle technischen Details, die Sie in einer technischen Referenz erwarten. 

Es wurde von 12 Weltklasseexperten verfasst, von denen jeder als Autorität in seinem oder 

ihrem Fachgebiet gilt. Insgesamt haben die verschiedenen Autoren über 20 Bücher verfasst. 

In erster Linie sind und bleiben sie aber IT-Experten. 

Überblick über das Buch 

Das Buch hat 17 Kapitel, die in drei Abschnitte untergliedert sind: 

Teil I: Grundlagen der Windows-Sicherheit 

Kapitel 1, »Subjekte, Benutzer und andere Akteure« Dieses Kapitel beschreibt, wie 

Benutzer und andere »Subjekte« in Windows verwaltet werden. 

Kapitel 2, »Authentifizierung und Authentifizierungsprotokolle« Sobald ein Subjekt 

identifiziert ist, muss es diese Identifizierung authentifizieren. Dieses Kapitel beschreibt, 

wie die Authentifizierung in Windows funktioniert. 

Kapitel 3, »Objekte: Was Sie wollen« Benutzer greifen auf Objekte wie zum Beispiel 

Dateien oder Registrierungsschlüssel zu. Das bedeutet, dass diese Objekte geschützt 

werden müssen. Dieses Kapitel beschreibt, wie der Schutz verwirklicht wird. 

Kapitel 4, »Grundlagen der Benutzerkontensteuerung« Microsoft hat die Benutzerkontensteuerung 

(User Account Control, UAC) in Windows Vista eingeführt. Falls 

Sie in erster Linie Serveradministrator sind, müssen Sie vor allem wissen, welche Rolle 

die UAC bei der Verwaltung Ihrer Server spielt. Falls Sie allerdings auch andere Aufgaben 

im IT-Bereich übernehmen, müssen Sie wissen, wie Sie mithilfe der UAC Ihr Netzwerk 

schützen können. Dieses Kapitel beschreibt, wie das geht. 

Kapitel 5, »Windows-Firewalls« Die primäre Firewall in Windows ist die Windows- 

Firewall mit erweiterter Sicherheit. Dieses Kapitel beschreibt, wie sie in Windows Server 

2008 arbeitet. 

Kapitel 6, »Dienste« Wenn ein Prozess unabhängig davon ausgeführt werden muss, 

ob ein Benutzer angemeldet ist oder nicht, wird dieser Prozess als Dienst installiert. 

Dienste bilden daher eine empfindliche Angriffsfläche auf Ihren Computern. Somit ist 

wichtig, dass Sie ihre Sicherheitsaspekte kennen. 

XV

XVI Einleitung 

Kapitel 7, »Gruppenrichtlinien« Wenn Sie Windows-Netzwerke betreiben, wäre es 

Unsinn, auf den Einsatz von Gruppenrichtlinien zu verzichten. Die meisten Sicherheitsänderungen, 

die wir an Systemen vornehmen, werden mithilfe von Gruppenrichtlinien 

durchgeführt. 

Kapitel 8, »Überwachung« Der Nutzen von Sicherheit ist begrenzt, wenn Sie nicht 

beweisen können, wer was getan hat. Überwachung ist eine unverzichtbare Komponente 

aller Sicherheitsmaßnahmen. Dieses Kapitel beschreibt im Detail, wie Überwachung in 

Windows funktioniert. 

Teil II: Implementieren von Identitäts- und Zugriffssteuerung mit 

Active Directory 

Kapitel 9, »Optimieren der Active Directory-Domänendienste für Sicherheit« 

Jeder kann eine Active Directory-Bereitstellung implementieren, aber wenn diese Bereitstellung 

tatsächlich die Sicherheit Ihres Netzwerks verbessern soll, sind echte Fähigkeiten 

gefordert. Dieses Kapitel zeigt, wie Sie wirkungsvolle Sicherheitsmaßnahmen 

implementieren. 

Kapitel 10, »Implementieren der Active Directory-Zertifikatdienste« Public-Key- 

Infrastrukturen (PKI, Infrastruktur mit öffentlichen Schlüsseln) werden von vielen Administratoren 

als unnötige Komplikation betrachtet. Das stimmt einfach nicht. Für viele 

(wenn nicht sogar die meisten) Umgebungen sind sie eine nötige Komplikation. Dieses 

Kapitel beschreibt, was an der PKI in Windows Server 2008 neu ist. 

Kapitel 11, »Implementieren der Active Directory-Rechteverwaltungsdienste« 

Active-Directory-Rechteverwaltungsdienste-Server arbeiten mit Active Directory-Domänencontrollern 

zusammen, um Benutzeridentitäten zu überprüfen, Verschlüsselungsschlüssel 

als Reaktion auf Benutzeranforderungen auszustellen, Entschlüsselungsschlüssel 

für jedes Dokument zu speichern und die Entschlüsselungsschlüssel weiterzuleiten, 

wenn Benutzer, die autorisiert sind, ein bestimmtes Dokument zu öffnen, dies anfordern. 

Teil III: Sicherheitsszenarien 

Kapitel 12, »Schützen von Serverrollen« An Windows Server 2008 wird Ihnen als 

eines der ersten Dinge auffallen, dass die alten Methoden zum Installieren von Anwendungen 

entfernt wurden. Stattdessen erhalten Sie den Server-Manager, der auf Basis von 

sogenannten Rollen arbeitet. In diesem Kapitel erfahren Sie, welche Auswirkungen das 

auf die Sicherheit hat und wie Sie Server mithilfe von Rollen schützen. 

Kapitel 13. »Patchverwaltung« Leider muss jeder Server hin und wieder aktualisiert 

werden. Keine Software ist vollkommen, schließlich handelt es sich dabei um das komplexeste 

Gebilde, das die Menschheit je geschaffen hat. Die Patchverwaltung ist nicht 

einfach, aber wenn Sie über die richtigen Werkzeuge und ein gutes Verfahren verfügen, 

können Sie die Belastung deutlich verringern. 

Kapitel 14, »Schützen des Netzwerks« Bei jedem Computer hängt die Sicherheit von 

etwas oder jemandem ab. Diese Abhängigkeiten zu verwalten, ist wahrscheinlich das 

wichtigste, was Sie für den Schutz Ihres Netzwerks tun können. In diesem Kapitel beschreiben 

wir Abhängigkeiten, zeigen, wie Sie Gefahrenmodelle für Ihr Netzwerk entwickeln, 

und führen Sie in eines der wertvollsten Sicherheitskonzepte ein, das heutzutage 

zur Verfügung steht: Serverisolierung.

Dokumentkonventionen XVII 

Kapitel 15, »Schützen von Zweigstellen« Einer der Bereiche, in denen Windows 

Server 2008 wichtige neue Sicherheitsfeatures einführt, ist der Betrieb von Zweigstellen. 

Dieses Kapitel zeigt, wie Sie alle diese Neuerungen nutzen. 

Kapitel 16, »Aspekte für kleine Unternehmen« Windows Server 2008 steht in mehr 

Versionen zur Verfügung als jedes andere Serverbetriebssystem, das Microsoft je entwickelt 

hat. Zwei davon sind speziell auf die besonderen Sicherheitsanforderungen kleiner 

und mittelgroßer Unternehmen zugeschnitten. Falls Sie ein Netzwerk in einem kleinen 

Unternehmen betreiben, liefert Ihnen dieses Kapitel wertvolle Informationen. 

Kapitel 17, »Schützen von Serveranwendungen« Die meisten Server haben die 

Aufgabe, irgendeine Anwendung zur Verfügung zu stellen. Dieses Buch kann nicht annähernd 

jede einzelne Anwendung abdecken, die auf einem Server laufen kann. Aber 

Microsoft liefert die Anwendungsplattform IIS 7.0 in Windows Server 2008 mit. Dieses 

Kapitel zeigt, wie Sie die Sicherheit in dieser Komponente verwalten. 

Online-Informationsquellen Sobald neues oder aktualisiertes Material zur Verfügung steht, das dieses 

Buch ergänzt, wird es online auf der Microsoft Press-Online-Windows Server- und -Client-Website veröffentlicht. 

Zu den Dingen, die Sie dort möglicherweise finden, gehören unter anderem Aktualisierungen zum 

Buchinhalt, die auf Basis der endgültigen Version von Windows Server 2008 erstellt wurden, Artikel, Links 

zu begleitendem Inhalt, Errata oder Beispielkapitel. Diese Website steht demnächst in englischer Sprache 

unter http://www.microsoft.com/learning/books/online/serverclient zur Verfügung und wird regelmäßig aktualisiert. 

Dokumentkonventionen 

In diesem Buch werden als besondere Hinweise auf bestimmte Themen folgende Konventionen 

verwendet. 

Leserhinweise 

Die folgende Tabelle beschreibt, wie in diesem Buch auf nützliche Details hingewiesen 

wird: 

Leserhinweis Bedeutung 

Hinweis Weist auf die Bedeutung eines bestimmten Konzepts oder auf Ausnahmen hin. 

Wichtig Weist Sie auf wichtige Informationen hin. 

Vorsicht Weist Sie auf schwerwiegende Folgen hin, die sich aus der Durchführung oder dem Unterlassen einer 

bestimmten Arbeit für Benutzer, System, Datenintegrität und so weiter ergeben können. 

Auf der CD Weist Sie auf ein Skript, Tool, eine Vorlage oder sonstige Hilfsmittel auf der Begleit-CD hin, die Sie bei 

der Durchführung der beschriebenen Aufgabe unterstützen.

XVIII Einleitung 

Textblöcke 

Die folgenden Textblöcke vertiefen bestimmte Aspekte von Windows Server 2008 und 

geben Ihnen zusätzliche Hinweise und Tipps: 

Textkasten Bedeutung 

Direkt von der Quelle/ 

Direkt aus der Praxis 

Beiträge, in denen Microsoft-Experten oder MVPs (Most Valuable Professionals) bestimmte 

Aspekte von Windows Server 2008 vertiefen oder Hinweise zur Verwaltung der Sicherheit 

oder zur Fehlerbehebung geben. 

So funktioniert’s Ausführlichere Beschreibungen zur Funktionsweise von ausgewählten Windows Server- 

Features. 

Befehlszeilenbeispiele 

Die folgenden Konventionen werden dazu verwendet, Befehlszeilenbeispiele in diesem 

Buch darzustellen: 

Element Bedeutung 

Fettschrift Zeichen, die vom Benutzer eingegeben werden (beachten Sie bei Eingaben, in denen zwischen 

Groß- und Kleinbuchstaben unterschieden wird, die genaue Schreibweise). 

Kursivschrift Variablen, für die ein bestimmter Wert eingegeben werden muss. Mit Dateiname ist zum 

Beispiel ein beliebiger gültiger Dateiname gemeint. 

nichtproportionale Wird für Codebeispiele und Ausgaben verwendet, die auf der Befehlszeile erfolgen. 

Schrift 

%SystemRoot% Prozentzeichen werden für Umgebungsvariablen verwendet. 

Begleit-CD 

Die Begleit-CD ist eine wichtige Ergänzung dieses Buchs, sie enthält nützliche Werkzeuge. 

Die CD hat folgenden Inhalt: 

Elevation Tools 

Die UAC hat das Verwalten von Systemen zweifellos komplexer gemacht. Ebenso zweifellos 

war diese Veränderung längst fällig, weil wir unsere Computer heutzutage anders nutzen. 

Als Administratoren müssen wir aber manchmal Dateien ändern, auf die nur Administratoren 

Zugriff haben. Oder wir müssen in einer Eingabeaufforderung schnell in einen bestimmten 

Ordner wechseln. Dieser Satz von Tools erweitert den Windows-Explorer um etliche 

Funktionen, die über einen Klick mit der rechten Maustaste zur Verfügung stehen (Abbildung 

E.1). Vor allem können Sie mit der rechten Maustaste auf irgendeinen Ordner klicken, 

den Befehl Elevate Explorer Here wählen und die Anhebungseingabeaufforderungen bestätigen. 

Daraufhin wird ein Windows-Explorer-Fenster geöffnet, das unter einem vollständigen 

administrativen Token läuft und den ausgewählten Speicherort anzeigt. Außerdem ist 

das Tool Elevate.exe enthalten, das die Rechte jeder beliebigen Anwendung aus einer Eingabeaufforderung 

heraus anheben kann.

Abbildung E.1 Wenn Sie die Elevation Tools installieren, erhalten Sie beim Klick mit der rechten 

Maustaste eine Reihe neuer Befehle im Kontextmenü von Windows-Explorer 

Begleit-CD XIX 

Passgen 

Passgen ist ein Tool, mit dem Sie Kennwörter für das eingebaute Administratorkonto und 

Dienstkonten im gesamten Netzwerk verwalten können. Es soll Ihnen dabei helfen sicherzustellen, 

dass Sie für das Administratorkonto einmalige Kennwörter konfiguriert haben. 

Außerdem kann es Kennwörter für beliebige Konten einstellen und Dienste so konfigurieren, 

dass sie unter diesen Konten gestartet werden. 

Verwaltungsskripts 

Die CD enthält außerdem einen Satz von Skripts zur Verwaltung von Windows. Darunter 

finden Sie ein Skript, das Konfigurationsinformationen von einem Computer abruft, inklusive 

der installierten Software. Alle diese Skripts setzen Windows PowerShell voraus. Folgende 

Skripts sind auf der CD enthalten: 

CreateLocalUser.ps1 

Erstellt einen lokalen Benutzer auf einem lokalen oder Remotecomputer. 

EvaluateServices.ps1 

Zählt Dienste auf einem lokalen oder Remotecomputer. Anschließend erstellt es einen Bericht 

darüber, wie viele Dienste jeweils automatisch starten, manuell gestartet werden müssen 

oder deaktiviert sind. Es zählt auch, wie viele Konten benutzt werden: SYSTEM, LOKA- 

LER DIENST, NETZWERKDIENST und benutzerdefinierte Konten. Schließlich gibt es noch 

detaillierte Informationen aus. Mit einer Option können Sie den Bericht anzeigen lassen, 

sobald er fertig ist.

XX Einleitung 

FindAdmin.ps 

Listet die Mitglieder der lokalen Gruppe Administratoren auf einem bestimmten Computer 

auf. 

FindServiceAccounts.ps1 

Identifiziert Dienste und ihre Startkonten auf einem lokalen oder Remotecomputer. Dieses 

Skript kann eine vollständige Liste aller Dienste und ihrer Konten für einen oder mehrere 

Computer zusammenstellen. 

ListUserLastLogon.ps1 

Dieses Skript listet auf, wann sich ein bestimmter Benutzer das letzte Mal an einer lokalen 

oder Remotedomäne angemeldet hat. Über den Parameter -user können Sie mehrere Benutzer 

angeben. 

LocateDisabledUsers.ps1 

Sucht deaktivierte Benutzer in einer lokalen oder Remotedomäne. 

LocateLockedOutUsers.ps1 

Sucht gesperrte Benutzer in einer lokalen oder Remotedomäne. 

LocateOldComputersNotLogon.ps1 

Sucht in einer lokalen oder Remotedomäne alle Computerkonten, die sich für die angegebene 

Zahl von Tagen nicht angemeldet haben. 

LocateOldUsersNotLogOn.ps1 

Sucht in einer lokalen oder Remotedomäne nach Benutzerkonten, die sich längere Zeit nicht 

mehr bei dieser Domäne angemeldet haben. 

LookUpUACEvents.ps1 

Listet Benutzerkontensteuerungsereignisse auf einem lokalen oder Remotecomputer auf. 

ScanForSpecificSoftware.ps1 

Sucht nach bestimmter Software. 

ScanForSpecificUpdate.ps1 

Sucht auf einem lokalen oder Remotecomputer nach bestimmten Updates. Das Skript listet 

auch alle Updates auf, die auf dem Computer installiert sind. 

ScanConfig.ps1 

Erstellt eine Liste mit folgenden Informationen: installierte Softwareupdates, ActiveX-Objekte, 

Browserhilfsobjekte, Netzwerkschnittstellen, Proxyeinstellungen, Autostart, Dienste, 

nicht signierte Treiber und Firewallrichtlinie. 

UnlockLockedOutUsers.ps1 

Hebt die Sperre für gesperrte Benutzerkonten wieder auf. 

WhoIs.ps1 

Ruft Whois-Informationen von einem Internet-Whois-Server ab.

Begleit-CD XXI 

E-Book 

Falls Sie das Buch lieber als elektronische Version lesen, die auch eine Volltextsuche ermöglicht, 

finden Sie eine entsprechende englischsprachige Datei auf der CD. 

Materialien zu einzelnen Kapiteln 

Zu manchen Kapiteln stehen zusätzliche Dokumente oder Tools zur Verfügung. Im jeweiligen 

Buchtext wird darauf hingewiesen, dass Sie diese Materialien auf der CD finden. 

Links zu Tools, die im Buch erwähnt werden 

Statt Ihnen Versionen von Tools zu liefern, die bereits veraltet sind, wenn Sie dieses Buch 

kaufen, haben wir Links zu Tools bereitgestellt, die als Downloads zur Verfügung stehen. 

Dies betrifft folgende Tools, die im Buch mehrfach erwähnt werden oder anderweitig nützlich 

sind: 

Windows PowerShell 

Windows PowerShell ist eine neue Befehlszeilenshell und Skriptsprache, die für die Systemadministration 

und -automatisierung entwickelt wurde. PowerShell baut auf dem .NET 

Framework auf. IT-Experten und Entwickler können damit die Administration von Windows 

und Anwendungen steuern und automatisieren. Windows PowerShell steht unter http://www. 

microsoft.com/downloads/details.aspx?FamilyID=c6ef4735-c7de-46a2-997a-ea58fdfcba63 

(für 32-Bit-Editionen) beziehungsweise http://www.microsoft.com/downloads/details.aspx 

?FamilyID=af37d87d-5de6-4af1-80f4-740f625cd084 (für 64-Bit-Editionen) zur Verfügung. 

Process Explorer 

Viele Beispiele in diesem Buch zeigen den Process Explorer, ein erstaunliches Tool, das 

Ihnen mehr über die Vorgänge im Inneren Ihres Computers verrät, als Sie für möglich halten. 

Process Explorer steht unter http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx 

zur Verfügung. 

Microsoft Network Monitor 

Die neueste Version von Microsoft Microsoft Network Monitor ist ein enorm leistungsfähiges 

und nützliches Netzwerkverwaltungs- und -problembehandlungstool. Sie können damit 

den gesamten Netzwerkverkehr verfolgen, der in und aus Ihrem Computer fließt. Er ist ein 

unverzichtbares Werkzeug für jeden Administrator. Der Network Monitor steht unter der 

Adresse http://www.microsoft.com/downloads/info.aspx?na=22&p=2&SrcDisplayLang= 

en&SrcCategoryId=&SrcFamilyId=&u=%2fdownloads%2fdetails.aspx%3fFamilyID%3d 

18b1d59d-f4d8-4213-8d17-2f6dde7d7aac%26DisplayLang%3den zum Download bereit. 

Privbar 

Privbar ist eine Symbolleiste für Windows-Explorer und Internet Explorer, die Ihnen anzeigt, 

ob Sie Administrator oder Standardbenutzer sind. Wie in Abbildung E.1 weiter oben 

zu sehen, ist Privbar in Kombination mit den Elevation Tools besonders nützlich, weil es 

Ihnen auf einen Blick verrät, ob die Benutzeroberfläche, mit der Sie arbeiten, unter einem

XXII Einleitung 

Administratorkonto läuft. Leider funktioniert die Version, die momentan zur Verfügung 

steht, zwar unter Windows Vista, aber nicht in Windows Server 2008. Privbar steht unter 

http://blogs.msdn.com/aaron_margosis/archive/2004/07/24/195350.aspx zur Verfügung. 

Digitale Inhalte für E-Book-Leser Falls Sie eine rein elektronische Edition dieses Buchs gekauft haben, 

können Sie ausgewählte Inhalte aus der Begleit-CD der gedruckten Ausgabe abrufen. Besuchen Sie 

http://go.microsoft.com/fwlink/?LinkId=108240, um den herunterladbaren Inhalt zu erhalten. Dieser Inhalt ist 

immer auf dem neuesten Stand und steht allen Lesern zur Verfügung. 

Systemvoraussetzungen 

Um die Begleit-CD zu diesem Buch nutzen zu können, brauchen Sie einen Computer, der 

folgende Mindestanforderungen erfüllt: 

Microsoft Windows Server 2008, Windows Vista, Windows Server 2003 oder Windows 

XP 

1-GHz-Prozessor mit 32-Bit- (x86) oder 64-Bit-Architektur (x64) (abhängig von den 

Mindestanforderungen des Betriebssystems) 

1 GByte Hauptspeicher (abhängig von den Mindestanforderungen des Betriebssystems) 

Eine Festplattenpartition mit mindestens 1 GByte freiem Speicherplatz 

Ein geeignetes Anzeigegerät 

Tastatur 

Maus oder anderes Zeigegerät 

Optisches Laufwerk zum Lesen von CD-ROMs 

Viele der Tools stellen zusätzliche Anforderungen. Einige haben folgende wichtige Systemvoraussetzungen: 

Microsoft Windows Server 2008 oder Windows Vista 

Windows PowerShell 1.x 

Eine Netzwerkverbindung 

Informationen zu den Systemvoraussetzungen der einzelnen Tools finden Sie in der jeweiligen 

Dokumentation.

Support für dieses Buch XXIII 

Support für dieses Buch 

Dieses Buch und die Begleit-CD wurden mit großer Sorgfalt erstellt. Korrekturen zum Buch 

bietet Microsoft Press unter folgender Webadresse: 

http://www.microsoft.com/germany/mspress/support/ 

Wenn Sie Kommentare, Fragen oder Anregungen zum Buch oder zur Begleit-CD haben, die 

sich nicht durch eine Abfrage der Knowledge Base beantworten lassen, wenden Sie sich an 

Microsoft Press: 

Per E-Mail (in englischer Sprache): 

rkinput@microsoft.com 

Per Post: 

Microsoft Press 

Betrifft: Windows Server 2008 Sicherheit – Die technische Referenz 

Konrad-Zuse-Straße 1 

85716 Unterschleißheim 

Wenn Sie Ersatz für eine fehlerhafte Begleit-CD erhalten möchten, können Sie eine E-Mail 

an presscd@microsoft.com senden. 

Beachten Sie bitte, dass unter den genannten Adressen kein Produktsupport geleistet wird. 

Informationen über den Produktsupport finden Sie auf der Microsoft-Produktsupportwebsite 

unter folgender Adresse: 

http://support.microsoft.com

T E I L I 

Grundlagen der Windows-Sicherheit 

In diesem Teil: 

Kapitel 1: Subjekte, Benutzer und andere Akteure ............................. 3 

Kapitel 2: Authentifizierung und Authentifizierungsprotokolle ...................... 17 

Kapitel 3: Objekte: Was Sie wollen . ....................................... 57 

Kapitel 4: Grundlagen der Benutzerkontensteuerung ........................... 91 

Kapitel 5: Firewall und Netzwerkzugriffsschutz . ............................... 115 

Kapitel 6: Dienste ................................................... 151 

Kapitel 7: Gruppenrichtlinien ............................................ 185 

Kapitel 8: Überwachung ............................................... 217

K A P I T E L 1 

Subjekte, Benutzer und andere Akteure 

Von Jesper M. Johansson 

In diesem Kapitel: 

Die Beziehung von Subjekt, Objekt und Aktion . ............................... 3 

Typen von Sicherheitsprinzipalen . ........................................ 4 

Sicherheits-IDs ..................................................... 12 

Zusammenfassung .................................................. 16 


Im Wesentlichen lässt sich alles, was mit Sicherheit zusammenhängt, auf Subjekte (engl. 

subject) und Objekte (engl. object) reduzieren. Objekte sind die Dinge, die Sie schützen, und 

Subjekte sind die Dinge, vor denen Sie die Objekte schützen. Subjekte und Objekte werden 

bei Authentifizierung (beweisen, wer Sie sind), Autorisierung (Zugriff auf etwas gewähren) 

und Überwachung (verfolgen, wer auf was zugegriffen hat) verwendet. Diese Konzepte sind 

im Grunde sehr simpel. Subjekte sind Benutzer. Objekte sind Dateien. Authentifizierung, 

Autorisierung und Überwachung haben damit zu tun, wie Subjekte und Objekte zusammenspielen. 

So war es in der Vergangenheit, und auf manchen einfachen Systemen ist es immer 

noch so. 

Windows unterstützt aber eine sehr leistungsfähige Sicherheitssemantik und hat die Definition 

der Begriffe Subjekt und Objekt deutlich erweitert. Ein Subjekt kann viel mehr sein als 

ein schlichter Benutzer, und die Abbildung eines Subjekts ist viel komplexer als eine schlichte 

Benutzerkennung. Windows verweist auf Subjekte auch auf unterschiedliche Arten. Der 

Begriff Sicherheitsprinzipal (engl. security principal) wird Ihnen oft begegnen. Im Windows-Jargon 

umfasst ein Sicherheitsprinzipal nicht nur das typische Subjekt (was wir uns 

als Benutzer vorstellen), sondern auch Gruppen und Computer. Ein Sicherheitsprinzipal ist 

alles, was eine Sicherheits-ID (Security Identifier, SID) zugewiesen bekommen und die 

Berechtigung erhalten kann, auf etwas zuzugreifen. In diesem Kapitel lernen Sie, was für 

Dinge Sicherheitsprinzipale sein können, wie sie in Windows-Betriebssystemen im Allgemeinen 

identifiziert werden und was daran in Windows Server 2008 neu ist. In Kapitel 3, 

»Objekte: Was Sie wollen«, lernen Sie die andere Seite der Sicherheit kennen: Objekte. 

Die Beziehung von Subjekt, Objekt und Aktion 

Bei der Verwaltung der Sicherheit haben Sie es sehr oft mit der Dreifaltigkeit aus Subjekt/ 

Objekt/Aktion zu tun. Das Subjekt ist der Akteur, der versucht, irgendeine Aktion an einem 

Objekt durchzuführen. Zum Beispiel könnte ein Benutzer versuchen, auf eine Datei zuzugreifen, 

wie in Abbildung 1.1 gezeigt. 

3

4 Kapitel 1: Subjekte, Benutzer und andere Akteure 

Abbildung 1.1 Ein Benutzer versucht, eine Datei zu lesen 

Wenn ein Benutzer versucht, die Datei zu lesen, prüft das Betriebssystem, ob Berechtigungen 

für das Objekt (die Datei) festgelegt sind, die dem Subjekt (dem Benutzer) erlauben, die 

Aktion durchzuführen. Falls Berechtigungen vorhanden sind, die dem Benutzer die Aktion 

erlauben, verläuft die Zugriffsanforderung erfolgreich. Falls keine Berechtigungen vorhanden 

sind, die dem Subjekt die angeforderte Aktion erlauben, wird die Zugriffsanforderung 

abgelehnt. So weit ist alles ganz einfach. 

In Kapitel 3 erfahren Sie mehr darüber, wie Berechtigungen und die tatsächlichen Zugriffsprüfungen 

funktionieren. In diesem Kapitel konzentrieren wir uns darauf, wie das Subjekt 

definiert ist. Wie bereits erwähnt, können unterschiedliche Dinge als Subjekte eingestuft 

werden. In den meisten Fällen sind Subjekte Benutzer, aber das ist nicht immer so. Im 

nächsten Abschnitt lernen wir die unterschiedlichen Typen von Subjekten kennen, anschließend 

sehen wir uns an, wie Windows diese Subjekte intern abbildet. 

Typen von Sicherheitsprinzipalen 

Subjekte – im Folgenden bezeichnen wir sie nur noch als Sicherheitsprinzipale – können in 

einem Windows-System und allgemein in einem Windows-Netzwerk viel mehr sein als 

schlichte Benutzer. Der Benutzer ist aber nach wie vor das grundlegende Konzept. 

Benutzer 

Ein Benutzer ist genau das, was das Wort bezeichnet: irgendeine individuelle Entität, die an 

einem Computer anmeldet ist. Im Grunde sind alle Sicherheitsprinzipale in gewisser Weise 

mit Benutzern verknüpft. 

In Windows gibt es zwei Arten von Benutzern: lokale und Domänenbenutzer. Ein lokaler 

Benutzer ist in der Datenbank der lokalen Sicherheitskontenverwaltung (Security Accounts 

Manager, SAM) auf einem Computer definiert. Jeder Windows-Computer hat eine lokale 

SAM, die alle Benutzer dieses Computers enthält. 

Hinweis Abgesehen von einer wichtigen Ausnahme unterstützen alle Windows NT-Betriebssysteme 

dieselben grundlegenden Sicherheitskonstrukte. Allerdings hat sich die Leistungsfähigkeit der Semantik 

vergrößert, insbesondere ab Windows 2000. Die wichtige Ausnahme ist, dass Active Directory, das in Server-Versionen 

seit Windows 2000 zur Verfügung steht, einen ganz anderen Satz von Features unterstützt 

als die Clientversionen und ältere Windows NT-Versionen.

Typen von Sicherheitsprinzipalen 5 

Hinweis Wenn in diesem Buch künftig von »Windows-Computern« oder allgemein »Windows« die Rede 

ist, beziehen wir uns dabei auf alle Computer, die unter einem Betriebssystem der Windows NT-Linie laufen. 

Dazu gehören: 

Windows NT 3.1 




Windows 2000 

Windows XP 

Windows Server 2003 

Windows Vista 


Oft wird angenommen, dass Domänencontroller (Domain Controller, DC) keine lokale SAM 

und somit keine lokalen Benutzer haben. Das ist falsch. Sogar ein DC hat eine lokale SAM, 

aber die Konten in seiner SAM können nur für die Verzeichnisdienstwiederherstellung verwendet 

werden. In der Standardeinstellung befinden sich immer zwei Benutzerkonten in der 

lokalen SAM: Administrator und Gast. Das Konto Gast ist in der Standardeinstellung immer 

deaktiviert. 

Hinweis Wenn wir »Administrator« oder »Administratoren« kursiv schreiben, meinen wir damit den Benutzer 

beziehungsweise die Gruppe. Wenn wir »Administrator« normal schreiben, meinen wir irgendein 

Benutzerkonto oder eine Person, die administrative Privilegien besitzen. Dasselbe gilt für andere Entitäten, 

zum Beispiel »Gast« oder »Gast«. 

In Windows Server 2008 ist das Konto Administrator standardmäßig aktiviert. (Mit Ausnahme 

von Windows Small Business Server 2008.) Mit diesem Konto müssen Sie sich beim 

ersten Mal am Computer anmelden. In Windows Vista ist das Konto Administrator standardmäßig 

deaktiviert. Es kann nur unter ganz bestimmten Bedingungen benutzt werden. In 

beiden Fällen wird dringend empfohlen, dass Sie weitere Konten für jede Person anlegen, 

die einen Computer verwaltet. Dies ist eine obligatorische Forderung bei praktisch allen 

Regularien (Libenson, 2006). Ein Konto für eine Person sollte deren persönliches administratives 

Konto sein. Falls die Administratoren den Computer auch für nichtadministrative 

Aufgaben einsetzen, sollten sie zusätzlich persönliche nichtadministrative Konten haben. 

Die andere Art von Konto ist ein Domänenkonto. Diese Konten werden auf den Domänencontrollern 

der Domäne definiert, und sie können auf allen Computern in der Domäne verwendet 

werden. Domänenkonten haben eine viel größere Zahl von Eigenschaften als lokale 

Konten, wie in den Abbildungen 1.2 und 1.3 deutlich zu sehen. 

Domänenkonten haben eine umfangreichere Semantik, die eine Vielzahl von Attributen für 

eine Unternehmensumgebung abdeckt, zum Beispiel Telefonnummern, Organisationsstrukturen, 

E-Mail-Konten und so weiter. Domänenkonten sind auch in einem Netzwerk viel 

nützlicher, weil sie auf anderen Computern über das Netzwerk benutzt werden können. Und 

ihnen können Berechtigungen für beliebige Computer überall im Netzwerk zugewiesen werden. 

Indem Konten in der Domäne definiert werden, wird auch die Verwaltung einfacher. 

In Kapitel 9, »Optimieren der Active Directory-Domänendienste für Sicherheit«, finden Sie 

weitere Informationen über Active Directory.


Abbildung 1.2 Das Eigenschaftenfenster für ein lokales Konto 

Abbildung 1.3 Das Eigenschaftenfenster für ein Domänenkonto


Computer 

Ein Computer ist im Grunde nur eine andere Art von Benutzer. Das gilt besonders in Active 

Directory, wo es sich aus dem verwendeten Vererbungsmodell ergibt. Die Vererbungsstruktur 

für einen Computer sehen Sie in Abbildung 1.4. 

Abbildung 1.4 Die Vererbungshierarchie in Active Directory zeigt 

die Verwandtschaft zwischen Benutzern und Computern 

In Abbildung 1.4 dürften Ihnen mehrere interessante Punkte auffallen. Erstens sind alle 

Klassen in Active Directory von einer Basisklasse namens Top abgeleitet. Sogar Top selbst ist 

als von Top abgeleitete Klasse aufgeführt. Zweitens ist die Klasse User (Benutzer) von der 

Klasse organizationalPerson (Person im Unternehmen) abgeleitet. Die Klasse organizationalPerson 

wiederum ist indirekt von Top abgeleitet. Drittens – und das ist der interessanteste 

Teil – ist die Klasse Computer von der Klasse User abgeleitet. Anders ausgedrückt: Objektorientiert 

gesprochen ist ein Computer eine Art Benutzer. Diese Vermenschlichung von 

Computern ist sogar recht sinnvoll, weil Computer ebenfalls als Subjekte behandelt werden 

müssen und daher fast dieselben Attribute haben wie Benutzer. 

Gruppen 

Wie Sie wissen, ist ein Subjekt etwas, das versucht, auf ein Objekt zuzugreifen. Das Betriebssystem 

behandelt diesen Zugriffsversuch, indem es die Berechtigungen des Objekts 

überprüft. Schon in den Anfängen der Betriebssystemsentwicklung war den Entwicklern 

klar, dass es furchtbar umständlich wäre, jedem einzelnen Benutzer, der ein Objekt benötigt, 

Berechtigungen für dieses Objekt zuweisen zu müssen. Um dieses Problem zu lösen, erlaubten 

sie es, dass Benutzer Mitglieder von Gruppen werden. Auf diese Weise können wir Berechtigungen 

nicht nur einzelnen Benutzern, sondern auch Gruppen zuweisen. Eine Gruppe 

(engl. group) ist zwar kein Benutzer, aber eine Art von Sicherheitsprinzipal, weil sie eine 

Kennung haben kann, genau wie Benutzer und Computer. In Windows kann ein Benutzer 

Mitglied vieler Gruppen sein, und einem Objekt können Berechtigungen für viele Gruppen 

zugewiesen werden. Auch verschachtelte Gruppen sind erlaubt, allerdings gelten hier bestimmte 

Einschränkungen.


Ein Computer, der kein Domänencontroller ist, hat nur zwei Arten von Gruppen: integrierte 

(engl. built-in) und lokale (engl. local), die der Administrator definiert hat. In Active Directory 

finden Sie dagegen gleich sechs unterschiedliche Arten von Sicherheitsgruppen: integrierte 

domänenlokale (engl. built-in domain local), globale (engl. global) und universelle 

(engl. universal) Gruppen sowie benutzerdefinierte domänenlokale (engl. user-defined domain 

local), globale und universelle Gruppen. Domänenlokale Gruppen können nur Berechtigungen 

für Ressourcen in der Domäne zugewiesen bekommen, in der sie definiert sind. 

Aber sie können Benutzer, universelle und globale Gruppen aus beliebigen vertrauenswürdigen 

Domänen oder Gesamtstrukturen sowie domänenlokale Gruppen aus ihrer eigenen 

Domäne enthalten. 

Eine globale Gruppe kann nur Benutzer und globale Gruppen aus der Domäne enthalten, 

in der sie definiert wurde. Aber ihr können Berechtigungen für Ressourcen in beliebigen 

Domänen innerhalb der Gesamtstruktur, deren Mitglied die Domäne ist, oder innerhalb einer 

beliebigen vertrauenden Gesamtstruktur zugewiesen werden. 

Eine universelle Gruppe kann Benutzer und universelle oder globale Gruppen aus einer 

beliebigen Domäne enthalten. Einer universellen Gruppe können Berechtigungen für Ressourcen 

in einer beliebigen vertrauenden Domäne oder Gesamtstruktur zugewiesen werden. 

Während in einem eigenständigen Server in der Standardeinstellung nur zwei Gruppen vorhanden 

sind (Administratoren und Gäste), enthält eine Domäne eine relativ große Zahl von 

Gruppen aller drei Typen. Abbildung 1.5 zeigt die Standardgruppen in einer Domäne. Alle 

werden als Sicherheitsgruppen (engl. security group) bezeichnet, das bedeutet, dass ihnen 

Berechtigungen zugewiesen werden können. Sicherheitsgruppen dürfen Sie nicht mit Verteilergruppen 

(engl. distribution group) verwechseln, die von Microsoft Exchange Server eingesetzt 

werden, um Benutzer zu Gruppen zusammenzufassen, damit Sie E-Mail an mehrere 

Empfänger gleichzeitig senden können. Beide sind in Active Directory definiert. 

Abbildung 1.5 Im Active Directory-Container Users sind standardmäßig zahlreiche Gruppen definiert


Neben den Gruppen, die in der Domäne definiert sind und die nur in Domänen vorhanden 

sind, gibt es auch integrierte lokale Gruppen. Dies sind Gruppen, die in einer anderen Hierarchie 

und von einer anderen Autorität definiert werden als Domänengruppen. Integrierte 

Gruppen gelten nicht per se als Domänengruppen. Vielmehr sind sie in allen oder zumindest 

einigen Windows-Computern vordefiniert, unabhängig davon, ob dieser Computer ein Domänencontroller 

ist oder nicht. Sie sind auf allen Windows-Computern vorhanden, sind aber 

in Active Directory auf Domänencontrollern definiert. Zum Beispiel ist die Gruppe Administratoren 

eine integrierte Gruppe, die auf allen Windows-Computern vorhanden ist; aber Domänen-Admins 

ist eine Domänengruppe, die nur in Domänen vorhanden ist. Abbildung 1.6 

zeigt 21 integrierte Gruppen auf einem Testcomputer. 

Abbildung 1.6 Zusätzliche integrierte Gruppen liegen im Container Builtin 

Wenn Sie versuchen, Berechtigungen für ein Objekt zuzuweisen, finden Sie noch mehr 

Gruppen. Auf einem normalen Domänencontroller gibt es nicht weniger als 63(!) Gruppen 

und integrierte Sicherheitsprinzipale, wie in Abbildung 1.7 zu sehen. 

Die restlichen 26 Gruppen sind abstrakte Konzepte, die für eine dynamische Gruppe 

von Sicherheitsprinzipalen stehen. Sie werden normalerweise als Spezialidentitäten (engl. 

special identity) bezeichnet.


Abbildung 1.7 Auf einem Domänencontroller finden Sie nicht weniger 

als 63 Gruppen und integrierte Sicherheitsprinzipale 

Abstrakte Konzepte (Anmeldegruppen) 

Neben den halbwegs konkret fassbaren Gruppen, die Sie auf einem Computer definieren, 

gibt es noch etliche weitere, wie Sie in Abbildung 1.7 sehen können. Dies sind Gruppen, die 

für irgendeinen dynamischen Aspekt eines Sicherheitsprinzipals stehen, zum Beispiel wie 

ein Benutzer oder ein anderer Sicherheitsprinzipal sich angemeldet hat. Beispielsweise umfasst 

die Gruppe INTERAKTIV aus Abbildung 1.7 alle Benutzer, die sich an der Konsole des 

Computers oder über Terminaldienste angemeldet haben. Dagegen enthält die Gruppe NETZ- 

WERK alle Benutzer, die sich über das Netzwerk angemeldet haben. Definitionsgemäß kann 

ein Benutzer nur jeweils in einer dieser Gruppen Mitglied sein, und die Mitgliedschaft wird 

bei der Anmeldung festgelegt. Sie können diese Gruppen nutzen, um allen Benutzern, die 

sich auf bestimmte Weise anmelden, Berechtigungen zuzuweisen. 

Sie werden noch andere Gruppen dieser Art kennenlernen. Besonders wichtig sind die 

Gruppen Jeder und Authentifizierte Benutzer. Wie der Name der Gruppe Jeder andeutet, 

umfasst sie alle Benutzer, die auf diesen Computer zugreifen; allerdings sind völlig anonyme 

Benutzer seit Windows XP keine Mitglieder dieser Gruppe. Gäste sind aber Mitglieder 

der Gruppe Jeder. Die Gruppe Authentifizierte Benutzer wird zwar ebenfalls dynamisch 

zusammengestellt, sie enthält aber nur Benutzer, die tatsächlich authentifiziert wurden. Das 

bedeutet, dass Gäste keine Mitglieder von Authentifizierte Benutzer sind. Das ist der einzige 

Unterschied. Weil das einzige Gastkonto, das im Betriebssystem vorhanden ist, aber deaktiviert 

ist, gibt es keinen funktionellen Unterschied zwischen Authentifizierte Benutzer und 

Jeder, sofern Sie das Gastkonto nicht von Hand aktivieren. Trotzdem haben sich viele


Administratoren mit der Sorge um den Schlaf gebracht, dass »jeder auf der Welt Berechtigungen 

auf meinem Server hat«, und sehr drastische Schritte unternommen, um die Berechtigungen 

so zu ändern, dass dieses vermeintliche Problem behoben wird. Meist führen diese 

Veränderungen direkt in eine Katastrophe. Es gibt absolut keinen Grund, solche Änderungen 

vorzunehmen. Wenn Sie wollen, dass Gäste Berechtigungen auf Ihrem Computer erhalten, 

dann müssen Sie das Gastkonto aktivieren. Wenn Gäste keine Berechtigungen auf Ihrem 

Computer erhalten sollen, lassen Sie das Gastkonto deaktiviert. Falls Gäste Berechtigungen 

haben sollen, müssen Sie Berechtigungen für Jeder verwalten. Andernfalls unterscheidet 

sich Jeder überhaupt nicht von Authentifizierte Benutzer. Manche Administratoren erklären, 

dass sie diese Änderungen vornehmen, um eine »gestaffelte Verteidigung« zu implementieren. 

Das wäre ein triftiges Argument, wenn wir »gestaffelte Verteidigung« als »Änderungen, 

die wir anders nicht begründen können« definieren. Es ist schlicht so, dass diese Änderungen 

praktisch keinen Sicherheitsgewinn bringen, aber ein sehr großes Risiko bedeuten. Lassen 

Sie die Standardeinstellungen in Ruhe. Falls Sie das nicht überzeugt, sollten Sie sich den 

Microsoft Knowledge Base-Artikel 885409 durchlesen. Er erklärt im Wesentlichen, dass der 

umfassende Austausch des Berechtigungssystems Ihren Supportvertrag ungültig macht. 

Wenn Sie das tun, bauen Sie quasi Ihr eigenes Betriebssystem, und Microsoft kann nicht 

mehr garantieren, dass dieses Gebilde funktioniert. 

Ebenfalls wichtig ist der Unterschied zwischen Benutzer, einer integrierten Gruppe, und 

Authentifizierte Benutzer. Der Unterschied ist die offensichtliche Tatsache, dass Authentifizierte 

Benutzer eben alle Benutzer umfasst, die sich am Computer authentifiziert haben, 

darunter auch Benutzer in anderen Domänen; Benutzer, die Mitglieder von anderen lokalen 

Gruppen als Benutzer sind; und Benutzer, die bei überhaupt keinen Gruppen Mitglied sind 

(ja, so etwas gibt es). Anders ausgedrückt: Die Gruppe Benutzer ist viel, viel restriktiver als 

Authentifizierte Benutzer. Trotzdem hat dieser Autor Organisationen erlebt, die versuchten, 

Berechtigungen für Benutzer durch Berechtigungen für Authentifizierte Benutzer zu ersetzen, 

um ihre Systeme besser zu schützen. Es muss hoffentlich nicht explizit gesagt werden, 

dass diese Versuche meist kläglich scheiterten, sowohl was die Sicherheit betrifft als auch 

insbesondere die Stabilität. 

Dienste 

Seit Jahren tobt eine Dauerdebatte über hostbasierte Firewalls. Viele Leute, eifrig unterstützt 

von den Herstellern der entsprechenden Produkte, argumentieren, dass hostbasierte Firewalls 

Filter für ausgehenden Verkehr haben müssen, wenn sie etwas taugen sollen. Nur so 

ließe sich der Rest des Netzwerks vor einem befallenen Computer schützen. Objektivere 

Experten weisen darauf hin, dass ein Computer, sobald er befallen ist, definitionsgemäß 

schon Malware enthält. Und diese Malware kann die hostbasierte Firewall umgehen oder 

gleich ganz abschalten. 

Falls die Malware natürlich auf den Computer gelangt ist, indem sie über eine Anwendung 

eingedrungen ist, die mit geringen Privilegien läuft, gilt dieses Argument nicht mehr. In den 

letzten Jahren hat Microsoft viel Zeit aufgewendet, um Dienste so zu gestalten, dass sie mit 

geringeren Privilegien laufen. Aber ein Dienst, der als ein bestimmter Benutzer läuft, kann 

trotzdem beliebige andere Dienste steuern, die als derselbe Benutzer laufen, und kann alles 

tun, was diese anderen Dienste können. Falls also Dienst A Verkehr durch die Firewall senden 

kann, Dienst B aber nicht, kann Dienst B Dienst A übernehmen und Verkehr senden, 

sofern beide als derselbe Benutzer laufen.


Um dieses Problem zu beseitigen, brauchte Microsoft einen Weg, einem Prozess (genauer 

gesagt: einem Dienst) Berechtigungen zuzuweisen. Aus diesem Grund wurden Dienste ab 

Windows Vista und Windows Server 2008 selbst Sicherheitsprinzipale. Jeder Dienst hat jetzt 

eine Kennung, die verwendet werden kann, um Berechtigungen zuzuweisen. Indem wir die 

Berechtigungen für diese Kennung als eingeschränkt kennzeichnen (Kapitel 3 enthält weitere 

Informationen zu eingeschränkten Zugriffssteuerungslisteneinträgen), können wir sogar 

sicherstellen, dass ein bestimmter Sicherheitsprinzipal vorhanden sein muss, wenn wir eine 

Anforderung senden, und zwar unabhängig davon, welche anderen Berechtigungen für das 

Objekt aufgeführt sind. Plötzlich wurde es in bestimmten Situationen sinnvoll, ausgehende 

Filter für hostbasierte Firewalls zu verwenden. Das ist der Grund, warum die Firewall in 

Windows Vista und Windows Server 2008 jetzt Unterstützung dafür bietet. In der Standardeinstellung 

blockiert sie ausgehenden Verkehr von Diensten, außer auf Ports, die von diesen 

Diensten gebraucht werden. Das ist offen gesagt das Maximum an Sicherheit, die eine hostbasierte 

Firewall jemals bieten kann. 

Sicherheits-IDs 

Bisher haben wir die Frage der IDs elegant ignoriert. Ich habe weiter oben erwähnt, dass ein 

Sicherheitsprinzipal eine Entität ist, die eine Sicherheits-ID (Security Identifier, SID) haben 

kann, aber ich habe niemals definiert, was eine Sicherheits-ID ist. Einfach ausgedrückt ist 

eine SID eine (hauptsächlich) numerische Darstellung eines Sicherheitsprinzipals. Die SID 

ist in erster Linie das, was intern vom Betriebssystem benutzt wird. Wenn Sie einem Benutzer, 

einer Gruppe, einem Dienst oder irgendeinem anderen Sicherheitsprinzipal Berechtigungen 

für ein Objekt gewähren, schreibt das Betriebssystem die SID und die Berechtigungen 

in die Zugriffssteuerungsliste (Access Control List, ACL). 

Abbildung 1.8 Eine SID ist aus mehreren erforderlichen Elementen aufgebaut

Sicherheits-IDs 13 

Komponenten einer SID 

Eine SID setzt sich aus mehreren erforderlichen Elementen zusammen. Abbildung 1.8 zeigt 

die unterschiedlichen Komponenten einer SID. 

SIDs beginnen immer mit dem Text »S«, das kennzeichnet sie als SID. Sie enden immer mit 

einer relativen ID (Relative Identifier, RID). Dazwischen haben sie 0 oder mehr Teilautoritäten 

(engl. sub-authority). Der zweite Wert in einer SID ist immer die Version, momentan ist 

das immer 1. 

SID-Autoritäten 

Nach dem Präfix »S-1-« kann sich der Rest von SIDs stark unterscheiden, er beginnt aber 

immer mit einer ID-Autorität (engl. identifier authority), die angibt, welche Entität die SID 

ausgestellt hat. Tabelle 1.1 zeigt die momentan verwendeten ID-Autoritäten. 

Tabelle 1.1 ID-Autoritäten für SIDs 

ID-Autorität Beschreibung 

0 SECURITY_NULL_SID_AUTHORITY. Wird für Vergleiche verwendet, wenn die ID-Autorität unbekannt ist. 

1 SECURITY_WORLD_SID_AUTHORITY. Wird benutzt, um SIDs zusammenzustellen, die für alle Benutzer 

stehen. Zum Beispiel lautet die SID für die Gruppe Jeder S-1-1-0; sie wird erstellt, indem die WORLD-RID 

(0) an diese ID-Autorität angehängt wird, sodass alle Benutzer aus dieser Autorität gewählt werden. 

2 SECURITY_LOCAL_SID_AUTHORITY. Wird benutzt, um SIDs für Benutzer zusammenzustellen, die sich 

an einem lokalen Terminal anmelden. 

3 SECURITY_CREATOR_SID_AUTHORITY. Wird benutzt, um SIDs zusammenzustellen, die für den Ersteller 

oder Besitzer eines Objekts stehen. Zum Beispiel ist die SID für Ersteller-Besitzer S-1-3-0; sie wird 

generiert, indem die Ersteller-Besitzer-RID (ebenfalls 0) an diese ID-Autorität angehängt wird. Falls S 

-1-3-0 in einer vererbbaren ACL verwendet wird, wird sie in untergeordneten Objekten, die diese ACL 

erben, durch die SID des Besitzers ersetzt. S-1-3-1 ist die SID von ERSTELLERGRUPPE, sie hat 

dieselbe Funktion, wird aber durch die SID der primären Gruppe des Erstellers ersetzt. 

5 SECURITY_NT_AUTHORITY. Das Betriebssystem selbst. SIDs, die mit S-1-5 beginnen, wurden von 

einem Computer oder einer Domäne ausgestellt. Die meisten SIDs, die Sie sehen, beginnen mit S-1-5. 

Direkt von der Quelle: Die Geschichte der SIDs 

Das ursprüngliche Konzept der SID nutzte sämtliche Schichten der Hierarchie aus. Jede 

Schicht enthielt eine neue Teilautorität, und ein Unternehmen konnte beliebig komplizierte 

Hierarchien für die ausstellenden Autoritäten entwerfen. Jede Schicht konnte wiederum 

zusätzliche Autoritäten unter sich selbst anlegen. In der Praxis bedeutete das eine Menge 

Aufwand bei Setup und Bereitstellung, und es ließ das Verwaltungsmodell sogar noch 

altertümlicher wirken. Das Konzept, Identitäten in beliebig tiefer Verschachtelung zu 

erstellen, wurde schon in frühen Entwicklungsstadien zu Grabe getragen. Allerdings war 

die Struktur damals bereits zu tief integriert, als dass sie hätte entfernt werden können.


In der Praxis entwickelten sich zwei Muster für SIDs. Bei integrierten, vordefinierten 

Identitäten wurde die Hierarchie auf eine Tiefe von zwei oder drei Teilautoritäten verkürzt. 

Bei echten Identitäten von anderen Prinzipalen wurde die ID-Autorität auf den 

Wert 5 gesetzt, und der Satz der Teilautoritäten wurde auf 4 festgelegt. 

Richard B. Ward, Architect 

Windows Core 

Hinter der ID-Autorität folgt in der SID die Zahl der Teilautoritäten. Die letzte davon wird 

als relative ID bezeichnet. Dies ist die ID des eindeutigen Sicherheitsprinzipals innerhalb 

des Bereichs, in dem die SID definiert wurde. Am Beispiel der folgenden SID sollte das 

etwas klarer werden: 

S-1-5-21-1534169462-1651380828-111620651-500 

Wie Sie sehen, beginnt die SID mit S-1-5, sie wurde also von Windows NT ausgestellt. Die 

erste Teilautorität ist 21 (hexadezimal 0x15). Die 21 definiert dies als eine Windows NT- 

SID, bei der nicht garantiert wird, dass sie weltweit einmalig ist. Sie ist einmalig innerhalb 

der Domäne, in der sie ausgestellt wurde, aber irgendwo anders kann es SIDs geben, die 

genau denselben Wert haben. Die erste der Teilautoritäten ist sehr oft eine bekannte (engl. 

well-known) Teilautorität. Tabelle 1.2 listet die wichtigsten bekannten Teilautoritäten auf. 

Tabelle 1.2 Bekannte Teilautoritäten 

Teilautorität Beschreibung 

5 SIDs werden für Anmeldesitzungen ausgestellt, damit jeder Anwendung, die in einer bestimmten Anmeldesitzung 

läuft, Berechtigungen zugewiesen werden können. Bei diesen SIDs hat die erste Teilautorität 

den Wert 5, sie haben daher die Form S-1-5-5-x-y. 

6 Wenn sich ein Prozess als Dienst anmeldet, bekommt er eine spezielle SID in seinem Token, die darauf 

hinweist. Diese SID hat die Teilautorität 6, und sie lautet immer S-1-5-6. 

21 SECURITY_NT_NON_UNIQUE. Bezeichnet Benutzer- und Computer-SIDs, bei denen nicht garantiert ist, 

dass sie weltweit einmalig sind. 

32 SECURITY_BUILTIN_DOMAIN_RID. Bezeichnet integrierte SIDs. Zum Beispiel lautet die bekannte SID für 

die integrierte Gruppe Administratoren S-1-5-32-544. 

80 SECURITY_SERVICE_ID_BASE_RID. Bezeichnet SIDs für Dienste. 

Unsere SID enthält anschließend drei weitere Teilautoritäten: 1534169462, 1651380828 und 

111620651. Diese Werte haben isoliert betrachtet keine implizite Bedeutung, aber in ihrer 

Kombination geben Sie die Domäne oder den Computer an, die diese SID ausgestellt haben. 

Die SID für die Domäne lautet demnach S-1-5-21-1534169462-1651380828-111620651, und 

alle SIDs, die in dieser Domäne ausgestellt werden, beginnen mit diesem Wert und enden 

mit einer eindeutigen RID für den Benutzer oder Computer, für die sie stehen. In diesem Fall 

endet die SID mit 500. Dies ist eine bekannte RID für das integrierte Konto Administrator. 

501 ist die bekannte RID für das integrierte Konto Gast, und 502 die bekannte RID für das 

Kerberos Ticket Granting Ticket (krbtgt).

Sicherheits-IDs 15 

Dienst-SIDs 

Wie bereits erwähnt, haben in Windows Vista und Windows Server 2008 auch Dienste immer 

eine SID. Dienst-SIDs beginnen immer mit S-1-5-80 und enden mit einer Reihe von 

Teilautoritäten, die deterministisch aus dem Namen des Dienstes abgeleitet werden. Das 

bedeutet, dass ein bestimmter Dienst auf allen Computern dieselbe SID hat. Es bedeutet 

auch, dass Sie die SID für einen beliebigen Dienst selbst dann ermitteln können, wenn es 

diesen Dienst gar nicht gibt. Zum Beispiel können Sie sich ansehen, welche SID ein Dienst 

namens »foo« hätte, indem Sie den Befehl sc showsid ausführen: 

C:\>sc showsid foo 

NAME: foo 

DIENST-SID: S-1-5-80-2639291829-767035215-3510963033-3734144485-3832470211 

Wenn Sie das auf einem Ihrer Server probieren, bekommen Sie genau dieselbe SID. Falls 

Sie lieber den Anzeigenamen des Dienstes verwenden wollen, können Sie NT SERVICE\foo 

eingeben. 

Bekannte SIDs 

Wenn ein Entwickler ein Programm für Windows schreibt, muss er oft die SID eines Sicherheitsprinzipals 

kennen. Normalerweise lassen sich SIDs leicht zusammenstellen, wenn zumindest 

die RID bekannt ist, weil sie lediglich an die Computer- oder Domänen-SID angehängt 

wird (wie im Fall des Kontos Administrator). Oft ist es aber bequemer, wenn für bestimmte 

SIDs eine kürzere und immer gleiche Form zur Verfügung steht. Daher enthält das 

Sicherheitsmodell von Windows eine größere Zahl bekannter SIDs (engl. well-known SID). 

Das sind SIDs, die auf allen Computern stets gleich sind. Dank dieses Sicherheitsmodells 

sind einige bekannte SIDs auf allen Betriebssystemen identisch. Dies sind die SIDs, die mit 

S-1-1, S-1-2 oder S-1-3 beginnen. Einige davon wurden bereits weiter oben in diesem Kapitel 

erwähnt, zum Beispiel die SID für Ersteller-Besitzer: S-1-3-0. 

Daneben enthält Windows NT noch viele weitere Definitionen für bekannte SIDs. S-1-5-32 

zum Beispiel ist die bekannte SID für die integrierte Domäne. Sie kann wiederum mit einer 

bekannten RID kombiniert werden, um eine bekannte SID für ein bestimmtes Konto zu bilden. 

Zum Beispiel lautet die SID für die integrierte Gruppe Administratoren, egal ob in einer 

Domäne oder auf einem eigenständigen Computer, immer S-1-5-32-544. Tabelle 1.3 führt 

einige der wichtigsten domänenrelativen RIDs auf. Im Fall integrierter Gruppen können die 

domänenrelativen RIDs mit S-1-5-32 kombiniert werden, um eine SID zu bilden, die auf 

allen Computern gültig ist, auf denen dieser Benutzer oder die Gruppe relevant ist. Andere 

Konten werden an die Domäne angehängt, um die vollständige SID zu bilden. Das ist zum 

Beispiel der Fall bei Domänen-Admins, wo aus der bekannten RID 512 die SID S-1-5-21- 

1534169462-1651380828-111620651-512 gebildet wird. 

SIDs mögen auf den ersten Blick sehr kompliziert wirken, aber wenn Sie ihren Aufbau erst 

einmal kennen, sind sie ganz einfach zu entziffern. Mit etwas Übung können Sie problemlos 

erkennen, ob eine SID sich auf einen Dienst, einen bekannten Prinzipal oder einen Benutzer 

in einer Domäne bezieht. In Kapitel 3 sehen wir uns an, wie mit diesen SIDs Berechtigungen 

verwaltet werden.


Tabelle 1.3 Bekannte domänenrelative RIDs 

RID Beschreibung 

500 Administrator 

501 Gast 

502 Krbtgt 

512 Domänen-Admins 

513 Domänen-Benutzer 

514 Domänen-Gäste 

515 Domänencomputer 

516 Domänencontroller 

544 Integrierte Administratoren 

545 Integrierte Benutzer 

546 Integrierte Gäste 

Zusammenfassung 

Sicherheitsprinzipale und SIDs bilden die Basis für einen großen Teil der Windows- 

Sicherheit. Daher müssen Sie als Administrator zumindest die Grundlagen ihrer Funktionsweise 

verstehen. SIDs sind die grundlegenden Bausteine eines Tokens, das wiederum die 

grundlegende Entität bildet für die Prüfung, ob ein Zugriff erlaubt wird. Wenn Sie wissen, 

wie diese Komponenten zusammenwirken, und in der Lage sind, Berechtigungen mithilfe 

von Benutzern, Gruppen, Domänengruppen und den Anmeldetypen zuzuweisen, können Sie 

deutlich effektiver arbeiten und viele Überraschungen vermeiden, wenn Sie sich tiefer in 

die Windows-Sicherheit vorarbeiten. 

Weitere Informationen 

Libenson, E.: »Controlling Privileged Accounts to Comply with SOX Section 404«. 

http://www.s-ox.com/Feature/detail.cfm?articleID=2178. 

Microsoft Knowledge Base-Artikel »Empfehlungen zur Sicherheitskonfiguration«. 

http://support.microsoft.com/kb/885409.


Authentifizierung und 

Authentifizierungsprotokolle 



Etwas, das Sie wissen, und etwas, das Sie haben ............................. 17 

Speichern der Authentifizierer ........................................... 20 

Authentifizierungsprotokolle ............................................ 29 

Smartcardauthentifizierung ............................................. 38 

Angriffe auf Kennwörter ............................................... 39 

Verwalten von Kennwörtern ............................................ 47 



Aus Kapitel 1, »Subjekte, Benutzer und andere Akteure«, wissen Sie, dass die Akteure in 

einem Computer als Subjekte oder Prinzipale bezeichnet werden. Wenn Sie einen Prinzipal 

haben, braucht dieser Prinzipal irgendeine Möglichkeit zu beweisen, dass er wirklich ist, wer 

er zu sein behauptet. Sehen wir uns einen Fall aus der wirklichen Welt an: Sie wollen in 

einem Laden mit einer Kreditkarte etwas kaufen. Und die Verkäufer in diesem Laden wissen 

ausnahmsweise tatsächlich, was Sicherheit bedeutet. Sie haben Ihre Identität: Sie selbst. Das 

Personal im Laden weiß aber nicht, wer Sie sind. Daher fordern sie einen Beweis, also eine 

Authentifizierung, dass Sie wirklich sind, wer Sie zu sein behaupten. Als Beweis für Ihre 

Identität legen Sie irgendeinen Authentifizierer (engl. authenticator) vor, zum Beispiel Ihren 

Personalausweis oder den Reisepass. Das Vorzeigen des Ausweises läuft routinemäßig ab, 

als Authentifizierungsprotokoll. 

In der virtuellen Welt läuft es ganz ähnlich, allerdings weiß die Entität, bei der Sie sich 

authentifizieren müssen, dass eine Unterschrift auf der Rückseite einer Kreditkarte kein 

Authentifizierer ist, sie liefert nämlich keinerlei Beweis der Identität. Daher brauchen Sie 

eine stärkere Form der Authentifizierung. In diesem Kapitel sehen wir uns an, wie Windows 

Authentifizierer behandelt und welche Authentifizierer es unterstützt. 

Etwas, das Sie wissen, und etwas, das Sie haben 

Allgemein ausgedrückt gibt es drei Arten von Authentifizierern: 

Etwas, das Sie wissen 

Etwas, das Sie haben 

Etwas, das Sie sind 

17

18 Kapitel 2: Authentifizierung und Authentifizierungsprotokolle 

Etwas, das Sie wissen 

Ein Geheimnis, das Sie kennen und in vielen Fällen mit dem System teilen, auf das Sie 

zugreifen wollen, ist die einfachste und am weitesten verbreitete Form eines Authentifizierers. 

Ein Kennwort ist ein gutes Beispiel für etwas, das Sie wissen. 

Etwas, das Sie haben 

Ein Ding irgendeiner Art, das sich in Ihrem Besitz befindet, ist eine andere Art von Authentifizierer. 

Sie authentifizieren sich als Sie selbst, indem Sie beweisen, dass Sie dieses Ding 

besitzen. Ein Beispiel ist eine Smartcard (mehr dazu weiter unten in diesem Kapitel) oder 

ein RSA-SecurID-Einmalkennwortgerät (http://www.rsa.com/node.aspx?id=1156). Diese 

Dinge, die Sie besitzen, werden fast immer mit etwas kombiniert, das Sie wissen. Sie können 

die Qualität der Authentifizierungsbehauptungen stark verbessern. 

Etwas, das Sie sind 

Manche Systeme verwenden als Authentifizierer etwas, das Sie sind. Die bei Weitem wichtigsten 

Vertreter dieser Kategorie sind biometrische Authentifizierer: Dinge, die versuchen, 

etwas über Sie zu messen. Beispiele sind Retinascans, Fingerabdrücke, Blutproben und 

Stimmerkennung. Manche Leute betrachten es auch als biometrischen Authentifizierer, 

wenn der Tipprhythmus bei der Eingabe eines Kennworts ausgewertet wird. Darüber lässt 

sich aber streiten: Eigentlich werden nur mehr Parameter zu einem »Etwas, das Sie wissen«- 

Faktor ausgewertet. Somit kann die Eingabe leicht aufgezeichnet und von dem System, das 

die Eingabe abhört, erneut abgespielt werden, ohne das Subjekt zu verletzen oder Zwang 

auszuüben. Daher bietet diese Methode keine echte Zwei-Komponenten-Authentifizierung. 

Biometrische Systeme sind von Natur aus ungenau. DNA bietet zwar eine einwandfreie 

Identifizierung, aber die meisten Leute reagieren nicht mit Begeisterung, wenn sie sich Blut 

abzapfen lassen sollen, nur um einen Computer benutzen zu können. (Bei manchen Computern, 

mit denen ich arbeiten musste, hatte ich allerdings schon das Gefühl, dass sie mich bis 

auf den letzten Blutstropfen aussaugen.) Die meisten biometrischen Faktoren sind nicht 

besonders genau. Zum Beispiel gelten Fingerabdrücke als einmalig. Es ist aber fraglich, ob 

man genau dasselbe Ergebnis erhält, wenn man mehrere Abdrücke nimmt. Und ob ein Computer 

zweimal dasselbe Analyseergebnis zum selben Abdruck liefert, darf auch bezweifelt 

werden. Daher arbeiten biometrische Authentifizierungssysteme üblicherweise in einem 

Bereich akzeptabler Werte. Wenn Sie Ihre Authentifizierer speichern, sollten Sie sie daher 

mehrere Male messen. Auf Basis dieser Daten generiert das System den akzeptablen Bereich 

für Ihren Authentifizierer. Um sich erfolgreich zu authentifizieren, müssen die nachfolgenden 

Versuche innerhalb dieses Bereichs liegen. 

Biometrische Systeme weisen zahlreiche Probleme auf. Erstens: Abgesehen von der Messung 

des Tipprhythmus benötigen sie spezielle Hardwaregeräte auf jedem Client, die teilweise 

recht lästig sein können. Dasselbe gilt für »Etwas, das Sie haben«-Systeme, zum Beispiel 

Smartcards. 

Zweitens: Wie weiter oben erwähnt, sind biometrische Methoden ungenau, es wird lediglich 

eine annähernde Übereinstimmung benötigt. Bei manchen Methoden kann das verhängnisvoll 

sein. Falls sich Ihr biometrische Authentifizierer aus irgendwelchen Gründen geändert 

hat, schlägt die Authentifizierung fehl. Falls Sie zum Beispiel Stimmerkennung verwenden, 

müssen Sie unter Umständen draußen bleiben, falls Ihre Stimme aufgrund einer Erkältung

Etwas, das Sie wissen, und etwas, das Sie haben 19 

oder Erschöpfung anders klingt. Und eine Unachtsamkeit, während Sie am Wochenende 

Brennholz an der Kreissäge zuschneiden, könnte die Anmeldung mit dem Abdruck eines 

bestimmten Fingers am nächsten Montag schwierig machen. 

Drittens betrachten viele Leute die biometrische Authentifizierung als sehr lästig, manche 

sogar als gefährlich. Viele Menschen sehen es nicht sonderlich gern, wenn sehr persönliche 

Daten wie zum Beispiel Fingerabdrücke auf einem Computersystem gespeichert werden. 

Viertens stufen viele Sicherheitsexperten biometrische Verfahren als überbewertet ein. Die 

Firmen, die biometrische Systeme verkaufen, stellen vielfach Behauptungen auf, die sich 

einfach nicht halten lassen. Nehmen wir als Beispiel ein Unternehmen, das eine Softwarelösung 

zum Messen des Tipprhythmus anbietet. Es behauptet, die Kunden vor Geräten zu 

schützen, die Tastatureingaben aufzeichnen (sogenannte Keystroke-Logger), sodass es 

einem Angreifer nichts mehr nützt, wenn er Kennwörter ausspäht. Das ist unmöglich. Zum 

Beispiel muss der Benutzer nach wie vor das Kennwort auf dem Client eintippen, und ein 

Keystroke-Logger auf dem Client kann leicht so aufgerüstet werden, dass er genau dieselben 

Informationen aufzeichnet, die auch die Biometriesoftware auswertet. Diese Daten lassen 

sich später einfach abspielen, wodurch eine erfolgreiche Authentifizierung möglich ist. Diese 

Lösung scheitert nicht nur daran, irgendein Problem bei der Verwendung von Kennwörtern 

zu beseitigen, es kommt noch schlimmer: Sie verschärft das Problem, dass Benutzer ihre 

Kennwörter stets auswendig wissen müssen, denn dieses Verfahren hebelt Lösungen aus, die 

zufällig generierte Kennwörter clientseitig speichern, wie zum Beispiel das Tool Password 

Safe (http://passwordsafe.sourceforge.net/). 

Fünftens gibt es die verbreitete Fehleinschätzung, dass biometrische Systeme sicher sind, 

weil sie untrennbar mit dem Benutzer verknüpft sind und nicht wie ein Notizzettel mit Kennwörtern 

in der Gegend herumliegen können. Dabei wird aber vergessen, dass biometrische 

Authentifizierungsdaten nicht nur kopiert werden können (zum Beispiel Fingerabdrücke auf 

einem Glas), sondern auch die körperlichen Merkmale, die untersucht werden, sich definitiv 

entwenden lassen. Es sind bereits Fälle dokumentiert, in denen sich Diebe mit biometrischen 

Authentifizierern davongemacht haben (Kent, 2005). Auch weniger brutale Methoden, an 

Authentifizierer zu gelangen, werden genutzt. Zum Beispiel hat der deutsche Chaos Computer 

Club vor einigen Jahren ein Trainingsvideo veröffentlicht, das zeigt, wie man einen synthetischen 

Fingerabdruck erzeugt, indem man einen Abdruck von einer Flasche abnimmt. 

Und schließlich gibt es relativ wenige Auswahlmöglichkeiten für biometrische Authentifizierer. 

Zum Beispiel haben Sie bei einem System, das mit Fingerabdrücken arbeitet, nur 

zehn Finger zur Auswahl. Falls Sie einen davon nicht verwenden können, weil der Abdruck 

nicht deutlich ist oder Sie ein ungeschickter Heimwerker sind, bleiben nur neun. Das macht 

es schwierig, regelmäßig Ihre Authentifizierer zu wechseln, weil Sie bald keine mehr übrig 

haben. Weil die Gefahr, dass Anmeldeinformationen ausgespäht und erneut abgespielt werden, 

sehr real ist, stellt die begrenzte Auswahl von Authentifizierern eine Bedrohung dar, die 

Sie nicht ignorieren dürfen. 

Aus diesen Gründen verzichtet Windows auf eine eingebaute Unterstützung biometrischer 

Authentifizierung. Fremdhersteller bieten Add-On-Soft- und -Hardware für biometrische 

Authentifizierung an. Microsoft selbst verkauft ebenfalls ein Fingerabdruckgerät, weist aber 

deutlich darauf hin, dass dieses Gerät nicht ausreichend Sicherheit für den Unternehmenseinsatz 

bietet. Aus den weiter oben erläuterten Gründen gilt aber generell, dass biometrische 

Authentifizierer sich nicht für den Unternehmenseinsatz eignen und nicht benutzt werden 

sollten, um wichtige persönliche oder Firmendaten zu schützen. Für den Unternehmens-


einsatz können Smartcards und Kennwörter viel sicherer, flexibler und einfacher in die üblichen 

Abläufe zu integrieren sein. Die restlichen Abschnitte dieses Kapitels beschäftigen 

sich daher mit diesen zwei Technologien. 

Speichern der Authentifizierer 

Immer wenn Sie einen Authentifizierer einsetzen, müssen Sie ihn in irgendeiner Form speichern, 

damit er mit den Daten verglichen werden kann, die der Prinzipal während der Authentifizierung 

eingibt. Die Speichermethode hängt einerseits von der Art des Authentifizierers 

und andererseits davon ab, wie der Entwickler das System entworfen hat. In diesem 

Abschnitt sehen wir uns unterschiedliche Wege an, Authentifizierer in Windows zu speichern. 

Dabei konzentrieren wir uns auf Kennwörter, weil sie häufiger und in mehr Variationen 

eingesetzt werden als Smartcards. 

Smartcards arbeiten mit Zertifikaten. (Weitere Informationen über Zertifikate finden Sie in 

Kapitel 10, »Implementieren der Active Directory-Zertifikatdienste«.) Die Smartcard selbst 

enthält den geheimen Teil des Zertifikats. Das Authentifizierungssystem, in diesem Fall eine 

Active Directory-Domäne, enthält den öffentlichen Teil. Wenn Sie Smartcards verwenden, 

müssen daher keine geheimen Daten zur Smartcard in Domänencontrollern (Domain Controller, 

DC) gespeichert werden. Daher sind Smartcards in einigen Aspekten einfacher zu 

verwalten als Kennwörter. 

Hinweis Die meisten Systeme, die Smartcards nutzen, hinterlegen die geheimen Schlüssel an einer 

zentralen Stelle. Windows bietet ebenfalls diese Möglichkeit. Wenn Sie dieses Verfahren nutzen, verschaffen 

Sie sich die Möglichkeit, auf alle Geheimnisse zuzugreifen, die durch Smartcardanmeldeinformationen 

geschützt werden, zum Beispiel für forensische Maßnahmen. Das bedeutet aber auch, dass Sie wichtige 

Geheimnisse in Ihrem Netzwerk schützen müssen. 

In praktisch allen heute verfügbaren Implementierungen sind Kennwörter Geheimnisse, die 

mehreren Parteien bekannt sind. Das Geheimnis, mit dem sich der Benutzer anmeldet, ist 

dasselbe, mit dem der authentifizierende Server den Zugriff dieses Benutzers authentifiziert. 

Das bedeutet, dass Kennwörter wichtige Geheimnisse sind und geschützt werden müssen. 

Bei den ersten Computersystemen, an denen mehrere Benutzer arbeiten konnten, wurden 

Kennwörter einfach im Klartext in einer Textdatei gespeichert. Die Kennwörter in solchen 

Systemen waren niemals dazu gedacht, Personen den Zugang zu verwehren, weil ohnehin 

nur eine kleine Gruppe von Leuten Zugriff auf das System hatte. Sie sollten in erster Linie 

steuern, welche Umgebung Sie angezeigt bekamen. Schließlich wurden die Kennwörter in 

der Kennwortdatei aber verschlüsselt oder als Hashwerte gespeichert. 

Verschlüsselung und Hashwerte 

Das englische Wort für Verschlüsselung lautet »encryption«, und es ist vom Wort »cryptography« 

(dt. Kryptografie) abgeleitet. Kryptografie bedeutet wörtlich »verborgene 

Schrift«. Verschlüsselung ist der Vorgang, bei dem mithilfe von Kryptografie Text versteckt 

oder etwas aus einer lesbaren Form (normalerweise als Klartext oder engl. plaintext 

bezeichnet) in eine unverständliche Form (den sogenannten Ciphertext) konvertiert 

wird. Entschlüsselung ist der umgekehrte Vorgang, etwas wird von Ciphertext in Klartext 

konvertiert.

Speichern der Authentifizierer 21 

Verschlüsselung nutzt also Kryptografie, um etwas in eine unlesbare, aber wieder herstellbare 

Form zu konvertieren. Das Berechnen eines Hashwerts (engl. hashing) hängt 

damit eng zusammen. Dabei wird Klartext in eine unlesbare, hier aber nicht wieder herstellbare 

Form konvertiert. Ein Hash kann zum Beispiel als Prüfsumme verwendet werden, 

um zwei Klartextabschnitte zu vergleichen. Falls beide denselben Hashwert generieren, 

können Sie relativ sicher sein, dass die beiden Texte identisch sind. Ein Hashwert ist 

auch normalerweise kleiner (im Vergleich zum Klartext) als ein Ciphertext. Daher eignen 

sich Hashwerte sehr gut, um Dinge wie Kennwörter zu speichern. 

Die meisten Unix-Systeme verwenden diese Form der Kennwortspeicherung, allerdings mit 

zwei leichten Veränderungen. Erstens enthält die Kennwortdatei, normalerweise heißt sie 

/etc/passwd, jetzt keine Kennworthashwerte mehr, sondern nur Benutzernamen und -IDs. 

Die eigentlichen Hashwerte sind in der Shadow-Kennwortdatei gespeichert, zum Beispiel in 

/etc/passwd.shadow. Während die Kennwortdatei selbst von allen gelesen werden kann, ist 

der Zugriff auf die Shadow-Datei den Superusern vorbehalten. 

Und weil Kennworthashwerte ursprünglich für alle lesbar in der Datei /etc/passwd standen, 

mussten sie vor Vergleichsangriffen geschützt werden. Nehmen wir zum Beispiel an, Sie 

und ich haben Benutzerkonten auf demselben Computer. Mein Kennwort ist »pas$wort!«, 

und wie es der Zufall so will, haben Sie genau dasselbe Kennwort. Mit einem einfachen 

Hashwert würde für uns beide derselbe Kennworthashwert in der Datei /etc/passwd gespeichert. 

Ich könnte aus der Datei meinen Hashwert auslesen und dann nach anderen Konten 

suchen, die denselben Hashwert haben. Falls ich solche Konten finde, weiß ich, dass sie 

dasselbe Kennwort haben wie ich. Das darf nicht zugelassen werden. Die Lösung besteht 

darin, einen zufällig generierten Saltwert zum Kennwort hinzuzufügen, bevor der Hashwert 

berechnet wird. Ein Saltwert (engl. salt) ist einfach ein zufälliger Wert, der zum Kennwort 

hinzugefügt wird, bevor der Hash berechnet wird. Der Saltwert wird im Klartext in der 

Kennwortdatenbank gespeichert. Selbst wenn nun zwei Kennwörter identisch sind, haben 

sie unterschiedlich Saltwerte und liefern daher unterschiedliche Hashwerte. Abbildung 2.1 

zeigt diesen Ablauf. 

Abbildung 2.1 Weil das Kennwort vor dem Speichern in der Kennwortdatei 

mit einem Saltwert versehen wird, ist es vor Vergleichsangriffen geschützt


Windows nutzt Abwandlungen aller dieser Techniken, um Kennwörter zu speichern. In den 

folgenden Abschnitten beschreibe ich die fünf wichtigsten Methoden, wie Windows Kennwörter 

speichert, mit denen Benutzer in Windows selbst authentifiziert werden. 

LM-Hash 

Der LM-Hash ist genau genommen gar kein Hashwert, auch wenn er einige Eigenschaften 

damit gemeinsam hat. Es handelt sich um eine unidirektionale Funktion, die intern normalerweise 

als LMOWF (LanManager One-Way Function) bezeichnet wird. In Windows Vista 

und Windows Server 2008 wird der LM-Hash in der Standardeinstellung nicht gespeichert, 

und er wird auch nicht bei einer Netzwerkauthentifizierung benutzt. In älteren Windows- 

Versionen wurde der LM-Hash dagegen normalerweise gespeichert und übertragen. Daher 

sollten Sie wissen, wie der LM-Hash funktioniert. Beachten Sie, dass sowohl Windows Vista 

als auch Windows Server 2008 so konfiguriert werden können, dass sie den LM-Hash speichern 

und die Authentifizierung damit durchführen. Davon wird aber abgeraten, weil die 

Algorithmen Schwächen aufweisen. 

Direkt aus der Praxis: Geschichte von LM-Hash 

Der LM-Hash wurde von Microsoft erstmals im LAN-Manager-Netzwerkbetriebssystem 

verwendet, dessen letzte Version Anfang der 1990er erschien. LAN Manager lief über 

dem Betriebssystem OS/2 von IBM. Als 1993 die erste Version von Windows NT erschien, 

war es unverzichtbar, dass dieses neue Betriebssystem Interoperabilität mit LAN 

Manager bot, damit für die Organisationen, die in LAN Manager investiert hatten, diese 

Investitionen nicht plötzlich wertlos wurden. Das bedeutete aber auch, dass Windows NT 

trotz seiner weit besseren Sicherheitsstrukturen im Vergleich zu LAN Manager unter 

Schwächen von Entwurfsentscheidungen litt, die für LAN Manager Mitte der 1980er getroffen 

wurden. Im Jahr 2006 lieferte Microsoft das erste Betriebssystem aus, das den 

LAN-Manager-Kennworthashingmechanismus standardmäßig deaktivierte. Dieser 

Mechanismus kann aber nach wie vor aktiviert werden. Es dauerte 13 Jahre, bis dieses 

Feature in der Standardeinstellung als veraltet abgeschaltet wurde. 


Windows Security MVP 

Der LM-Hash wird mithilfe zahlreicher relativ komplizierter Schritte generiert, die Abbildung 

2.2 zeigt. Der Prozess beginnt, wenn ein Benutzer ein neues Kennwort anlegt. Das 

gesamte Kennwort wird sofort in Großbuchstaben konvertiert. Anders ausgedrückt: Bei 

Kennwörtern, die als LM-Hash gespeichert sind, wird nicht zwischen Groß- und Kleinschreibung 

unterschieden. 

Nachdem das Kennwort in Großbuchstaben konvertiert wurde, wird es auf eine Länge von 

14 Zeichen aufgefüllt. Falls das Kennwort bereits länger als 14 Zeichen ist, müsste es in 

diesem Schritt theoretisch verkürzt werden, aber in der Praxis schlägt der Prozess einfach 

fehl: Es wird kein LM-Hash generiert, falls das Kennwort länger ist als 14 Zeichen. Aus 

diesem Grund erhalten Sie eine Warnung, dass die Kompatibilität zu älteren Betriebssystemen 

nicht gewährleistet ist, wenn Sie ein Kennwort festlegen, das länger ist als 14 Zeichen.

Abbildung 2.2 Der LM-Hash wird mit einer Reihe komplizierter Schritte generiert 


Anschließend wird das Kennwort in zwei Teile zerlegt, die jeweils 7 Zeichen lang sind. Das 

ist nötig, weil diese Teile als Schlüssel in einer DES-Verschlüsselung (Data Encryption 

Standard) verwendet werden, und DEA (Data Encryption Algorithm), der in DES benutzte 

Algorithmus, arbeitet mit 56-Bit-Stücken. Diese Stücke werden als Schlüssel verwendet, um 

einen festen Wert zu verschlüsseln. 

Zuletzt werden die Ergebnisse der beiden DES-Operationen verbunden, und das Ergebnis 

wird als LM-Hash gespeichert. Der Hashwert wird entweder in der Datenbank der Sicherheitskontenverwaltung 

gespeichert (falls es das Kennwort für ein lokales Konto auf einem


eigenständigen oder Domänenmitgliedscomputer ist) oder im DBCS-Pwd-Attribut des Benutzerobjekts 

in Active Directory. 

Das erklärt, warum ein Angreifer in der Lage ist, das Kennwort eines Benutzers zu erschließen, 

wenn er den Hashwert kennt. Falls die zweite Hälfte des LM-Hash AAD3B435B51404EE 

lautet, ist die zweite Hälfte des Kennworts leer, und das Kennwort ist maximal 7 Zeichen 

lang. Falls beide Hälften AAD3B435B51404EE lauten, ist das Kennwort leer. 

NT-Hash 

Als 1993 die erste Version von Windows NT erschien, wurde eine neue Methode zum Speichern 

von Kennwörtern eingeführt. Dieser Mechanismus ist weit simpler als LM-Hash, wie 

Abbildung 2.3 zeigt. 

Abbildung 2.3 Der NT-Hash ist ein schlichter MD4-Hash 

Der NT-Hash (oder NTOWF, wie er intern bezeichnet wird) wird entweder in der SAM oder 

im Unicode-PWD-Attribut eines AD-Benutzers gespeichert. 

Beachten Sie, dass weder NTOWF noch LMOWF mit einem Saltwert versehen werden. 

Windows hat für Kennwörter niemals Saltwerte verwendet, aus dem einfachen Grund, weil 

die Kennwortdatenbanken niemals von anderen Personen gelesen werden konnten. Daher 

war ein Vergleichsangriff nie eine besonders interessante Angriffsart. Um die Datenbanken 

lesen zu können, muss der Angreifer ohnehin ein Administrator sein, sodass Computer oder 

Domäne bereits vollständig kompromittiert sind. Außerdem haben Authentifizierungssysteme, 

die mit einem gemeinsamen Geheimnis arbeiten, eine sehr interessante Eigenschaft, 

die wir uns in Kürze ansehen und die für diese Frage relevant ist.


Kennwortverifizierer 

Wenn Sie schon in einer Windows Active Directory-Umgebung gearbeitet haben, ist Ihnen 

wahrscheinlich aufgefallen, dass Sie ein Notebook, das Domänenmitglied ist, mitnehmen 

und sich auch dann mit einem Domänenkonto authentifizieren können, wenn Sie gar keine 

Verbindung zur Domäne haben. Diese erstaunliche Fähigkeit haben Sie dem sogenannten 

Kennwortverifizierer (engl. password verifier) zu verdanken. Der Kennwortverifizierer 

(auch oft als zwischengespeicherte Anmeldeinformationen oder engl. cached credentials 

bezeichnet) ist eine lokale Kopie des Hashwerts Ihres Domänenkennworts, mit dem Sie sich 

lokal anmelden können. In Betriebssystemversionen vor Windows Vista wurde der Hashwert 

mit dem Prozess generiert, der in Abbildung 2.4 dargestellt ist. 

Abbildung 2.4 In älteren Windows-Versionen war der Kennwortverifizierer einfach der 

Hashwert eines Hashwerts, bei dem der Benutzername als Saltwert verwendet wurde 

In den letzten Jahren haben sich Angreifer auf den Kennwortverifizierer konzentriert und 

mit der Entwicklung von Tools begonnen, die ihn knacken sollen. Auch wenn es sich um 

einen mit Saltwert berechneten Hashwert eines Hashwerts handelt, der somit schwierig zu 

knacken ist, kann der Kennwortverifizierer geknackt werden, falls das Kennwort relativ 

unsicher ist. Um dieser Gefahr vorzubeugen, wurde die Berechnung des Kennwortverifizie-


rers in Windows Vista und Windows Server 2008 geändert. Abbildung 2.5 zeigt das neue 

Verfahren. 

Abbildung 2.5 Der Kennwortverifizierer ist in Windows Vista und 

Windows Server 2008 viel sicherer als in älteren Versionen 

Es gibt zwar keine Möglichkeit, schwache Kennwörter zu schützen, aber die verbesserte 

Berechnung des Kennwortverifizierers liefert einen viel sichereren Verifizierer. Indem der 

alte Verifizierer durch eine große Zahl von PKCS #5-Operationen geschleust wird, könnte 

ein Angreifer, der eine Brute-force-Methode versucht, nur etwa 10 Versuche pro Sekunde 

berechnen. Das bietet ausreichenden Schutz, sofern es sich nicht um ein sehr unsicheres 

Kennwort handelt.


Im Speicher 

Wenn sich ein Benutzer interaktiv oder über Terminaldienste anmeldet, speichert Windows 

den Hashwert für das Kennwort des Benutzers (den NT-Hash und, sofern der Computer 

entsprechend konfiguriert ist, auch den LM-Hash) in einem Cache. Der Hashwert wird an 

einer Stelle im Speicher abgelegt, auf die nur das Betriebssystem und natürlich Prozesse, die 

als Betriebssystem agieren, Zugriff haben. Wenn ein Benutzer versucht, auf eine Netzwerkressource 

zuzugreifen, die eine Authentifizierung erfordert, verwendet das Betriebssystem 

diesen zwischengespeicherten Hashwert für die Authentifizierung. Das ermöglicht eine 

transparente Authentifizierung bei Netzwerkressourcen. Sobald sich der Benutzer abmeldet 

oder die Arbeitsstation sperrt, wird die entsprechende Speicherstelle automatisch gelöscht. 

Über diese Hashwerte wurde rege diskutiert, als ein bestimmter Fall demonstriert wurde: 

Falls ein Domänenadministrator angemeldet ist, kann jeder andere Benutzer, der ein Administrator 

ist, den Kennworthash des Domänenadministrators lesen und sich damit beim Domänencontroller 

als Domänenadministrator authentifizieren. Das sollte aber jedem, der sich 

mit der Materie beschäftigt, ohnehin klar sein, und ehrlich gesagt wäre ein solcher Angriff 

viel zu aufwendig. Falls ein Angreifer bereits eine Arbeitsstation kompromittiert hat, wäre es 

viel einfacher, einfach ein Subauthentifizierungspaket zu installieren, das Kennwörter während 

des Anmeldevorgangs im Klartext aufzeichnet. Solche Pakete werden unterstützt, um 

einmaliges Anmelden an Nicht-Windows-Netzwerkgeräten im Pass-through-Verfahren zu 

ermöglichen. Nach demselben Prinzip wird auch der NT-Hash zwischengespeichert, um das 

einmalige Anmelden an Windows-Geräten zu ermöglichen. Es wäre zwar möglich, die 

zwischengespeicherten Kennworthashwerte zu löschen, aber die meisten Benutzer würden 

rebellisch, müssten sie ihr Kennwort jedes Mal neu eingeben, wenn auf eine Netzwerkressource 

zugegriffen wird. Würden diese zwischengespeicherten Kennworthashwerte gelöscht, 

könnte sich der Computer nicht mehr transparent im Namen des Benutzers bei Nicht-Domänennetzwerkressourcen 

authentifizieren. 

Das Problem liegt somit nicht wirklich darin, wie Windows den NT-Hash zwischenspeichert, 

und auch nicht bei den Subauthentifizierungspaketen, sondern beim verwendeten Verfahren. 

Ein Domänenadministrator sollte sich niemals interaktiv an einer Arbeitsstation anmelden, 

an der ein Benutzer mit lokalen administrativen Privilegien angemeldet ist, sofern dieser 

Benutzer nicht von allen Domänen-Admins als vertrauenswürdig eingestuft wird. Wenn Sie 

sich an diese einfache Regel halten, können Sie verhindern, dass diese sinnvolle Funktionalität 

als Angriffsweg missbraucht wird. Weitere Informationen zu diesem Thema finden Sie 

in Kapitel 14, »Schützen des Netzwerks«. 

Umkehrbar verschlüsselt 

Schließlich bietet Windows noch die Möglichkeit, Kennwörter umkehrbar zu verschlüsseln. 

Wenn ein Kennwort umkehrbar verschlüsselt (engl. reversibly encrypted) gespeichert wird, 

kann es in Klartext zurückverwandelt werden. Offensichtlich heißt das, dass ein solches 

Kennwort nicht geknackt werden muss. In der Standardeinstellung ist die Speicherung von 

Kennwörtern im umkehrbar verschlüsselten Format deaktiviert. Diese Funktion wird gewöhnlich 

nur in zwei Situationen benötigt. Erstens, falls Sie bestimmte ältere Authentifizierungsprotokolle 

für Remotezugriff verwenden, zum Beispiel die CHAP- oder Digest-Protokolle. 

Zweitens, falls Sie eine erweiterte Analyse Ihrer Kennwörter durchführen wollen, 

nachdem sie festgelegt wurden. Zum Beispiel wollen manche Organisationen die Kennwör-


ter durchgehen und feststellen, ob sie bestimmte Wörter enthalten. Solche Organisationen 

müssen die Kennwörter mit umkehrbarer Verschlüsselung speichern. 

Um die umkehrbare Verschlüsselung zu aktivieren oder zu prüfen, ob sie tatsächlich deaktiviert 

ist, können Sie den Gruppenrichtlinien-Editor verwenden (Abbildung 2.6). 

Abbildung 2.6 Mit dieser Gruppenrichtlinieneinstellung können Sie einen Computer oder eine 

Domäne so konfigurieren, dass Kennwörter umkehrbar verschlüsselt gespeichert werden 

Die große Mehrheit von Organisationen benötigt keine umkehrbare Verschlüsselung. Und 

wenn Clients aktualisiert werden, sodass sie sicherere Authentifizierungsprotokolle unterstützen, 

dürfte es immer weniger Gründe geben, sie zu aktivieren. Die umkehrbare Verschlüsselung 

ist aber eine weitere Möglichkeit, wie Windows Kennwörter speichern kann, 

und es ist wichtig, dass Sie diese Methode kennen. 

Wichtig Viele Leute überfährt ein kalter Schauer, wenn sie hören, dass Windows Kennwörter umkehrbar 

verschlüsselt speichern kann. Schließlich weiß jeder, dass es ganz schrecklich ist, wenn Kennwörter im 

Klartext gespeichert werden. Aber das geht am eigentlichen Punkt vorbei. Bei jedem kennwortbasierten 

System, das heutzutage im Einsatz ist, sind Kennwörter klartextäquivalent ! Kennwortbasierte Systeme 

verwenden gemeinsame Geheimnisse. Beim Authentifizierungsprozess wird nur das Geheimnis benutzt, 

das auf dem authentifizierenden Server gespeichert ist. Falls ein Angreifer sich Zugriff auf die Kennwortdatenbank 

des authentifizierenden Servers verschafft oder auf andere Weise das gemeinsame Geheimnis 

in Erfahrung bringt, hat er alles, was er für eine erfolgreiche Authentifizierung benötigt. Er muss sich nur 

noch in den richtigen Schritt des Authentifizierungsprozesses einklinken, dann kann er statt des Kennworts, 

von dem das gemeinsame Geheimnis abgeleitet ist, gleich das gemeinsame Geheimnis senden. Im Internet 

stehen momentan mehrere Tools frei zur Verfügung, die auf diese Weise eine Windows- 

Authentifizierung über das Netzwerk durchführen. 

Die Tatsache, dass Kennwörter klartextäquivalent sind, ist an sich kein Sicherheitsproblem. Das wird es 

erst, wenn ein Angreifer einen Kennworthashwert ausspäht. Wie Ihnen inzwischen klar sein dürfte, sind die 

in Windows recht gut geschützt. Falls es ein Angreifer schafft, einen Kennworthashwert in Erfahrung zu 

bringen, hat er bereits den Computer so weit oder stärker kompromittiert, wie er es mithilfe dieses Kennworthashwerts 

schaffen könnte! Anders ausgedrückt: Der Kennworthashwert gibt ihm keine zusätzlichen 

Privilegien auf einem bereits kompromittierten Computer.

Authentifizierungsprotokolle 29 

Falls Kennwörter allerdings auf anderen Computern gültig sind, ist es möglich, dass ein Angreifer mithilfe 

von Kennworthashwerten weiter vordringen kann. Und weil Kennworthashwerte im Arbeitsspeicher zwischengespeichert 

werden, könnte ein Angreifer in der Lage sein, administrative Anmeldeinformationen für 

eine Domäne auf einem Mitgliedcomputer auszuspähen, falls sich ein Domänenadministrator dort angemeldet 

hat. Das ist in erster Linie aber ein Verfahrensproblem. Sie müssen für Ihr Netzwerk entsprechende 

Regeln festlegen; wenn Sie den Empfehlungen in Kapitel 12 folgen, können Sie sich gegen diese Gefahr 

ausreichend schützen. 

Authentifizierungsprotokolle 

Bisher haben wir uns angesehen, wie Kennwörter in Windows gespeichert werden. Möglicherweise 

noch wichtiger ist, wie sie benutzt werden. Kennwörter sind Authentifizierer, 

das heißt, sie werden verwendet, um einen Benutzer bei einem Computer zu authentifizieren. 

Falls der Benutzer sich interaktiv an einem lokalen Konto anmeldet, ist der Ablauf recht 

simpel: 

1. Der Benutzer betätigt die SAS (Secure Attention Sequence, auch als »Drei-Finger- 

Salut«, »Geierkralle« oder schlicht STRG+ALT+ENTF bekannt), um das Anmeldedialogfeld 

zu öffnen. Daraufhin startet das LSASS (Local Security Authority Sub-System) 

eine neue Sitzung und lädt WinLogon in dieser Sitzung. WinLogon wiederum lädt die 

LogonUI, die Benutzeroberfläche für die Anmeldung. 

2. Der Benutzer gibt den Benutzernamen und das Kennwort ein. 

3. Der WinLogon-Prozess nimmt das Kennwort, generiert daraus einen NT-Hash, sucht 

den Benutzernamen in der lokalen SAM und vergleicht den NT-Hash mit dem Wert, 

der für den Benutzer gespeichert ist. Falls die beiden Hashwerte übereinstimmen, ist 

die Anmeldung erfolgreich. 

4. Falls Subauthentifizierungspakete auf dem Computer installiert sind, werden die Anmeldeinformationen 

zur weiteren Verarbeitung an diese Pakete übergeben. Andernfalls wird 

user32.exe aufgerufen und die Umgebung des Benutzers geladen. 

Dieser Vorgang ist relativ überschaubar, weil es einen sicheren Kanal gibt, der von der LogonUI, 

in der ein Benutzer seine Anmeldeinformationen im Klartext eingibt, bis zum Vergleich 

der Anmeldeinformationen reicht. Wenn allerdings eine Authentifizierung über das 

Netzwerk durchgeführt werden muss, wird es ein wenig komplizierter, weil in diesem Fall 

wichtig ist, wie die Authentifizierungsansprüche zwischen dem Client, an dem der Benutzer 

arbeitet, und dem authentifizierenden Server übertragen werden, der die Kontendatenbank 

hostet. In Windows kann dieser Vorgang viele Formen annehmen, die ich in den folgenden 

Abschnitten beschreibe. 

Standardauthentifizierung 

Standardauthentifizierung (engl. basic authentication) ist die einfachste Form der Authentifizierung. 

Sie überträgt die unveränderten Anmeldeinformationen über das Netzwerk. Anders 

ausgedrückt: Benutzername und Kennwort werden entweder als Klartext durch das Netzwerk 

gesendet oder in einer Form, die diese Daten intakt lässt, zum Beispiel Base-64-kodiert. 

In manchen Implementierungen wird dies als PAP (Password Authentication Protocol) 

bezeichnet. Standardauthentifizierung ist in älteren Netzwerkprotokollen wie zum Beispiel 

Telnet, FTP, POP, IMAP und sogar HTTP recht verbreitet. Auch heutzutage wird es noch 

manchmal verwendet, zum Beispiel im RPC/HTTPS-Connector-Mechanismus, mit dem ein


Microsoft Office Outlook-Client über das Internet eine Verbindung zu einem Exchange Server 

herstellt. In diesem Fall werden die Anmeldeinformationen in einem verschlüsselten 

Kanal an den Exchange Server oder ISA Server übertragen, je nachdem, wo die Verbindung 

endet. Außerhalb eines verschlüsselten Kanals, wie er bei dem Outlook-Exchange-Beispiel 

verwendet wird, sollte die Standardauthentifizierung aber vermieden werden. 

Frage-Antwort-Protokolle 

Frage-Antwort-Protokolle (engl. challenge-response protocol) sollen es unnötig machen, ein 

Kennwort im Klartext über das Netzwerk zu senden. Im Prinzip arbeiten sie alle nach demselben 

Schema, das in Abbildung 2.7 dargestellt ist. 

Abbildung 2.7 Alle Frage-Antwort-Protokolle bauen auf demselben Modell auf 

Das grundlegende Modell für ein Frage-Antwort-Protokoll sieht folgendermaßen aus: Ein 

Benutzer leitet die Anmeldung ein, woraufhin der Client eine Anforderung an den Server 

sendet. Der Server generiert eine Frage (die challenge), die oft lediglich ein Zufallswert ist, 

und sendet sie an den Client. In der Zwischenzeit hat der Client die Anmeldeinformationen 

des Benutzers abgefragt. Die Anmeldeinformationen werden dann in einer kryptografischen 

Operation mit der Frage kombiniert. Das Ergebnis wird die Antwort (response). Die tatsächlichen 

Implementierungen können sich unterscheiden, aber die grundlegende Struktur ist 

immer dieselbe. Windows unterstützt als Frage-Antwort-Protokolle Digest-Authentifizierung, 

die LM/NTLM-Familie und Kerberos.


Digestauthentifizierung 

Digestauthentifizierung (engl. digest authentication) ist kein in Windows eingebautes Protokoll. 

Sie wird in erster Linie in den Internetinformationsdiensten (Internet Information Services, 

IIS) eingesetzt, um eine Web-Authentifizierung nach RFC 2617 durchzuführen, und 

für einige LDAP-Server (Lightweight Directory Access Protocol) von Fremdherstellern. 

Digestauthentifizierung wurde als Ersatz für Standardauthentifizierung entworfen. Sie gilt 

als relativ unsicher und geht auf dem authentifizierenden Server einige Kompromisse bezüglich 

der Sicherheit ein. 

Der Frage-Antwort-Ablauf bei der Digestauthentifizierung sieht folgendermaßen aus: 

1. Der Server generiert eine zufällige Nonce und sendet sie an den Client. Eine Nonce ist 

schlicht eine Zufallszahl. Sie wird in Authentifizierungsprotokollen oft als Wert verwendet, 

der von einem Authentifizierer verändert wird. Beispiele sehen Sie in diesem Abschnitt. 

2. Der Client berechnet einen MD5-Hash für Benutzername, Authentifizierungsbereich 

(Domäne in Windows) und Kennwort. 

3. Der Client berechnet einen MD5-Hash der Methode und des Digest-URI. 

4. Der Client berechnet einen MD5-Hash über das Ergebnis von Operation 2, die Server- 

Nonce, einen Anforderungszähler, eine Client-Nonce, einen Schutzcode und das Ergebnis 

von Operation 3. Dies ist der Antwortwert (response), der vom Client zurückgesendet 

wird. 

5. Der Server berechnet dieselben Werte. 

Das größte Problem bei der Digestauthentifizierung liegt in Schritt 2. Wie Sie sehen, wird 

die Antwort des Clients mit dem tatsächlichen Kennwort berechnet, nicht mit einem Hashwert 

des Kennworts. Das bedeutet, dass der Server in Schritt 5 Zugriff auf das Klartextkennwort 

braucht, um die Antwort des Clients auswerten zu können. Falls Sie Digestauthentifizierung 

unterstützen wollen, müssen Sie Ihre Domäne daher so konfigurieren, dass Kennwörter 

mit umkehrbarer Verschlüsselung gespeichert werden. 

LM und NTLM 

Im Gegensatz zur Digestauthentifizierung sind sowohl LM als auch NTLM native Protokolle 

in Windows. Sie sind sich sehr ähnlich, der Unterschied liegt im Wesentlichen nur im 

Hashwert, mit dem die Antwort berechnet wird. LM wurde erstmals im weiter oben erwähnten 

LanManager eingesetzt. NTLM wurde als Ersatz für LM entworfen und erstmals 1993 in 

Windows NT 3.1 verwendet. 

LM und NTLM werden für die Authentifizierung in Arbeitsgruppen von Windows NT- 

Betriebssystemen verwendet. Außerdem werden sie in einer Domänenumgebung verwendet, 

falls entweder der Client oder der Server kein Domänenmitglied ist oder falls die Ressource, 

auf die zugegriffen wird, anhand einer IP-Adresse statt eines Hostnamens angegeben ist. 

Andernfalls wird in Active Directory-Domänen Kerberos benutzt. LM/NTLM muss benutzt 

werden, wenn auf eine Ressource über eine IP-Adresse zugegriffen wird, weil Kerberos mit 

vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) arbeitet und es 

keinen Weg gibt, einen FQDN aus einer IP-Adresse zu erhalten, weil jeder Host mehrere 

Aliasnamen haben kann. 

Der Authentifizierungsablauf in LM und NTLM wird normalerweise kombiniert. Dieselbe 

Nachricht enthält beide Protokolle, und es findet keine Aushandlung statt, welches Protokoll


benutzt wird. Das ist einer der wenigen Fälle, in denen Windows vor einer Transaktion kein 

Protokoll aushandelt. Der kombinierte Ablauf ist in Abbildung 2.8 dargestellt. 

Abbildung 2.8 Die LM- und NTLM-Protokolle werden normalerweise zusammen übertragen 

Alle Windows NT-Betriebssysteme vor Windows Server 2003 arbeiten so, wie in Abbildung 

2.8 gezeigt, das heißt sie senden die LM- und NTLM-Antworten in der Standardeinstellung 

zusammen. In Windows Server 2003 wird standardmäßig nur die NTLM-Antwort 

gesendet, das Feld für die LM-Antwort bleibt meist leer. Beide Protokolle werden akzeptiert, 

wenn sie angefordert werden. Ab Windows Vista und Windows Server 2008 hat sich 

das geändert, wie ich gleich erkläre. 

NTLMv2 

Ab Windows Vista und Windows Server 2008 werden sowohl LM als auch NTLM in der 

Standardeinstellung nicht mehr verwendet. NTLM wird für eingehende Authentifizierung 

noch unterstützt, aber für ausgehende Authentifizierung wird in der Standardeinstellung 

stattdessen eine neuere Version von NTLM gesendet: NTLMv2. Ältere Windows-Versionen 

(schon seit Windows NT 4.0 Service Pack 4) konnten so konfiguriert werden, dass sie sich 

so verhalten, dies war aber nicht die Standardeinstellung. Konkret heißt das: Der Computer 

akzeptiert LM für die eingehende Authentifizierung, aber in der Standardeinstellung speichern 

weder Windows Vista noch Windows Server 2008 den LM-Hash. Daher haben sie 

keine Möglichkeit, eine eingehende LM-Antwort zu authentifizieren. 

Sie können das Authentifizierungsverhalten ab Windows NT 4.0 Service Pack 4 mit dem 

Registrierungswert LMCompatibilityLevel steuern. In den Gruppenrichtlinien wird die entsprechende 

Einstellung als Netzwerksicherheit: LAN Manager-Authentifizierungsebene 

angezeigt (Abbildung 2.9.) 

Der Standardwert für LMCompatibilityLevel in Windows Vista und Windows Server 2008 

ist 3 beziehungsweise Nur NTLMv2-Antworten senden. Die Tabellen 2.1 und 2.2 zeigen, 

welche Auswirkungen die möglichen Werte auf einen Computer haben, der als Client beziehungsweise 

authentifizierender Server arbeitet. Dabei ist wichtig, dass die Einstellungen in 

Tabelle 2.2 sich nur auf den Server beziehen, der die Authentifizierung durchführt, also den 

Server, der die Benutzerkontendatenbank enthält. Alle dazwischen liegenden Server leiten 

die Anforderung einfach an diesen Server weiter. Das bedeutet, dass Tabelle 2.2 für Domä-


nenmitglieder nur auf Domänencontrollern und Domänenmitgliedern relevant ist, die sich 

anhand ihrer lokalen Konten authentifizieren. 

Abbildung 2.9 Die Einstellung der LAN Manager-Authentifizierungsebene legt das 

Authentifizierungsverhalten bei der Nicht-Domänenauthentifizierung fest 

Tabelle 2.1 Auswirkungen von LMCompatibilityLevel auf das Clientverhalten 

Stufe Gruppenrichtlinienname Sendet Akzeptiert Verbietet das Senden von 

0 LM- und NTLM-Antworten senden LM, NTLM, NTLMv2. 

Sitzungssicherheit 

wird ausgehandelt. 

1 LM- und NTLM-Antworten senden 

(NTLMv2-Sitzungssicherheit verwenden, 

wenn ausgehandelt) 

LM, NTLM, NTLMv2. 



2 Nur NTLM-Antworten senden NTLM, NTLMv2. 



3 Nur NTLMv2-Antworten senden NTLMv2. Sitzungssicherheit 

wird immer 

verwendet 

LM, 

NTLM, 

NTLMv2 

LM, 

NTLM, 

NTLMv2 

LM, 

NTLM, 

NTLMv2 

LM, 

NTLM, 

NTLMv2 

NTLMv2-Sitzungssicherheit 

(auf Windows 2000 vor SRP1, 

Windows NT 4.0 und Windows 

9x) 

NTLMv2 

LM und NTLMv2 

LM und NTLM 

Tabelle 2.2 Auswirkungen von LMCompatibilityLevel auf das Verhalten des authentifizierenden Servers 

Stufe Gruppenrichtlinienname Sendet Akzeptiert Verbietet das 

eingehend Senden von 

4 Nur NTLMv2-Antworten senden. LM verweigern NTLMv2, 


5 Nur NTLMv2-Antworten senden. LM und NTLM 

verweigern 

NTLMv2, 


NTLM, 

NTLMv2 

LM 

NTLMv2 LM und NTLM 

In allen Windows-Versionen vor Windows Server 2003 war der Standardwert 0. In Windows 

Server 2003 ist der Standardwert 2. In Windows Vista und Windows Server 2008 ist der 

Standardwert 3.


NTLMv2 ist eine stark verbesserte Version von NTLM. Sie arbeitet ebenfalls mit dem 

NT-Hash. Allerdings nimmt sie zusätzlich eine Clientfrage in die Berechnung auf. Abbildung 

2.10 zeigt den Authentifizierungsablauf unter NTLMv2. 

Abbildung 2.10 Das Protokoll NTLMv2 verwendet HMAC-MD5 und eine Clientfrage 

Wie Abbildung 2.10 zeigt, verwendet das NTLMv2-Protokoll nicht nur eine Clientfrage, 

sondern berechnet auch zwei HMAC-MD5-Nachrichtenauthentifizierungscodes, um die 

Antwort zu erstellen. Außerdem enthält es einen Zeitstempel, um Replay-Angriffe abzuwehren. 

Abbildung 2.10 zeigt auch eine LMv2-Antwort, die in der Antwort enthalten ist. Die 

LMv2-Antwort hat im Gegensatz zur NTLMv2-Antwort eine feste Länge. Sie wird mit 

übertragen, um eine Pass-through-Authentifizierung für ältere Windows-Versionen wie zum 

Beispiel Windows 95 zu ermöglichen. Als NTLMv2 entworfen wurde, wurden diese Systeme 

weithin eingesetzt. 

Windows 9x bot keine native Unterstützung für NTLMv2, leitete aber die LM-Antwort weiter. 

Es schnitt aber Teile der unterschiedlich langen NTLMv2-Antwort ab, was die Authentifizierung 

verhinderte. Um dieses Problem zu vermeiden, wurde die LMv2-Antwort in das 

LM-Antwortfeld aufgenommen. Weil es dieselbe Länge hat wie die LM-Antwort, wird es 

unbeschädigt an den authentifizierenden Server weitergeleitet, sodass es verwendet werden 

kann, um die Authentifizierung abzuschließen. Auch heute noch wird es übergeben, wenn 

NTLMv2 benutzt wird. Der authentifizierende Server prüft beim Authentifizierungsprozess 

aber immer erst einmal, ob es eine NTLMv2-Antwort gibt, die sich erfolgreich validieren 

lässt. Falls es eine solche Antwort gibt, ist die Authentifizierung erfolgreich. Auch wenn es 

die LMv2-Antwort noch gibt, wird sie daher nur selten für die Authentifizierung eingesetzt.


NTLM++ 

Etwa zu der Zeit, als Windows 2000 entwickelt wurde, fügte Microsoft ein weiteres Protokoll 

der NTLM-Familie zu Windows hinzu. Dieses Protokoll hat keinen offiziellen Namen. 

In manchen Teilen der Implementierung wird es als NTLM2 bezeichnet. Das soll es von 

NTLM3 unterscheiden, das offiziell NTLMv2 heißt. An anderen Stellen wird es als NTLM++ 

bezeichnet. Es wurde niemals dokumentiert, aber extern von mehreren Leuten entdeckt, 

darunter Eric Glass, Christopher R. Hertel und Hidenobu Seki. Es wird sogar vom Ethereal- 

Netzwerkverkehranalyzer erkannt, der es als NTLM2 Session Security (NTLM2-Sitzungssicherheit) 

bezeichnet. Dieser Name entstand, weil es immer dann beobachtet wurde, wenn 

LMCompatibilityLevel den Wert 1 hatte, was die NTLMv2-Sitzungssicherheit aktiviert 

(über die ebenfalls nicht viel bekannt war). Microsoft fügte NTLM++ hinzu, um bestimmte 

Man-in-the-Middle-Angriffe zu erschweren, aber trotzdem die Fähigkeit zu bieten, eine Passthrough-Authentifizierung 

zu implementieren, wenn eine Verbindung zu Servern mit älteren 

Windows-Versionen hergestellt wird. NTLM++ ist gewissermaßen eine Zwischenstation in 

der Entwicklung von NTLM zu LMv2/NTLMv2. 

Bei NTLM++ wird das LM-Antwortfeld statt mit der LM-Antwort mit einer Clientfrage 

gefüllt, wie in Abbildung 2.11 gezeigt. 

Abbildung 2.11 Das Protokoll NTLM++ ändert die NTLM-Antwort und fügt eine Clientfrage hinzu 

Das NTLM-Antwortfeld enthält eine geänderte NTLM-Antwort, die genauso wie die ursprüngliche 

NTLM-Antwort berechnet wird, aber einen HMAC-MD5-Wert über die Clientfrage 

und die Server-Frage berechnet, nicht nur über die Serverfrage. 

Der Computer verwendet NTLM++ immer dann, wenn NTLMv2-Sitzungssicherheit aktiviert 

ist. Ab Windows 2000 Security Rollup Pack 1 (SRP 1) senden alle Computer im ersten 

Versuch automatisch die NTLM++-Antwort. Das bedeutet, dass ab dieser Version alle Computer 

arbeiten, als hätte LMCompatibilityLevel den Wert 1.


Übrigens bedeutet NTLMv2-Sitzungssicherheit, dass Sitzungsschlüssel auf sicherere Weise 

berechnet werden. Mit diesen Sitzungsschlüsseln arbeiten Anwendungen, wenn sie Sitzungssicherheit 

anfordern, sobald die Verbindung hergestellt ist. Mit Authentifizierungsprotokollen 

hat dies nur insoweit zu tun, als sie mit derselben Einstellung verwaltet werden. 

Kerberos 

Kerberos wird in Domänenumgebungen benutzt, wenn Hostnamen (inklusive vollqualifizierter 

Domänennamen) verwendet werden, um eine Verbindung herzustellen. Das ist gewöhnlich 

der Fall, sofern der Benutzer nicht explizit eine Verbindung zu einer IP-Adresse 

anfordert. Wie die NTLM-Familie implementiert Windows Kerberos als SSP (Security Support 

Provider), und Kerberos verwendet ebenfalls den NT-Hash für die Authentifizierung, 

aber hier enden die Ähnlichkeiten mit den anderen Protokollen. 

Kerberos bietet Authentifizierung sowohl für den Benutzer, der eine Verbindung herstellen 

will, als auch zwischen dem Client und dem Server. Das ist ein großer Unterschied zu 

NTLM, das dem Benutzer keinerlei Garantie bietet, dass der Server tatsächlich der Computer 

ist, mit dem er kommunizieren will. Kerberos ist auch mit den expliziten Annahmen 

entworfen worden, dass das Netzwerk eine feindselige Umgebung ist, dass irgendein Angreifer 

versucht, Verkehr abzuhören, und dass der Angreifer die Fähigkeit hat, den Verkehr, 

der über das Netzwerk gesendet wird, zu lesen, zu ändern oder zu löschen. 

Abbildung 2.12 Dieser Austausch findet statt, wenn ein Computer startet und eine Datei von einem 

Dateiserver anfordert


Um alle diese Ziele zu erreichen, nutzt Kerberos neben Verschlüsselung auch eine Zeitsynchronisierung. 

In der Standardeinstellung müssen in Windows die Uhren von Client und 

Server innerhalb eines Toleranzbereichs von 5 Minuten synchron laufen. Sie können diese 

Einstellung verändern, falls Sie in einer Umgebung mit wahrscheinlich starker Zeitabweichung 

arbeiten. In diesem Fall können Sie den Wert Max. Toleranz für die Synchronisation 

des Computertakts unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kerberos-Richtlinien 

in einem Gruppenrichtlinienobjekt anpassen, 

das auf die Computer angewendet wird, für die Sie die Toleranz für die Zeitabweichung 

einstellen wollen. Denken Sie aber daran, dass die effektive maximale Toleranz für die Zeitabweichung 

der niedrigste Wert in der Transaktion ist. Jeder der Computer kann die Transaktion 

zurückweisen, falls der Zeitstempel außerhalb des erlaubten Toleranzbereichs liegt. 

Um zu verstehen, wie Kerberos arbeitet, sehen wir uns in Abbildung 2.12 einen Austausch 

an. Dabei meldet sich ein Benutzer an einer Arbeitsstation an und fordert dann eine Datei 

von einem Dateiserver an. 

Der Austausch in Abbildung 2.12 besteht aus folgenden Elementen: 

1. Wenn der Computer gestartet ist, erstellt er einige Vorauthentifizierungsdaten, die unter 

anderem einen Zeitstempel umfassen. Diese Vorauthentifizierungsdaten werden mit 

einem Schlüssel verschlüsselt, der aus dem Kennwort des Computers abgeleitet ist. Die 

Daten werden zu einem KRB_AS_REQ-Paket (Kerberos Authentication Service Request) 

zusammengefasst und an den Authentifizierungsdienst (Authentication Service, AS) 

gesendet, der auf dem Schlüsselverteilungscenter (Key Distribution Center, KDC) läuft. 

Dieses Schlüsselverteilungscenter ist hier der Domänencontroller. 

2. Der AS erstellt ein TGT (Ticket Granting Ticket) und einen Sitzungsschlüssel, die der 

Client verwenden kann, um mit dem TGS (Ticket Granting Service) zu kommunizieren. 

Der TGS läuft in Windows ebenfalls auf dem Domänencontroller. Dieser Schlüssel ist in 

Abbildung 2.12 mit mit Keyclient,TGS bezeichnet. Er wird an den Client übertragen, nachdem 

er mit dem öffentlichen Schlüssel des Clients verschlüsselt wurde. Diese Nachricht 

wird als KRB_AS_REP zurückgesendet. 

3. Der Client sendet nun eine KRB_TGS_REQ-Nachricht an den TGS auf dem KDC, um ein 

Ticket für den Dateiserver anzufordern. Diese Anforderung enthält das TGT, außerdem 

gibt sie an, auf welchen Dienst der Client zugreifen will, und umfasst Informationen zum 

Client, die mit dem öffentlichen Schlüssel des TGS verschlüsselt sind. Die KRB_TGS_REQ- 

Nachricht enthält einen Authentifizierer, der im Wesentlichen ein Zeitstempel ist, der mit 

dem Sitzungsschlüssel verschlüsselt ist, den sich der Client mit dem TGS teilt. 

4. Der TGS antwortet mit einer KRB_TGS_REP-Nachricht, die ein Ticket für den Dienst umfasst, 

den der Client angefordert hat. Die Nachricht enthält dieselben Informationen, die 

der Client in seiner KRB_TGS_REQ-Nachricht gesendet hat, diesmal sind sie aber mit dem 

öffentlichen Schlüssel des Servers verschlüsselt. Anders ausgedrückt: Der Client kann 

diese Daten nicht lesen. Der TGS generiert außerdem einen Sitzungsschlüssel, den der 

Client mit dem Server teilen kann, und verschlüsselt ihn mit dem Sitzungsschlüssel, den 

der Client mit dem TGS teilt. 

5. Zuletzt sendet der Client sein Ticket für den Dienst an den Server. Dafür wird eine 

KRB_AP_REQ-Nachricht verwendet. Die Clientinformationen und der Client/Server- 

Sitzungsschlüssel werden mit dem öffentlichen Schlüssel des Servers verschlüsselt. 

Außerdem enthält die Nachricht den Authentifizierer des Clients, der mit dem gemeinsamen 

Sitzungsschlüssel verschlüsselt ist.


Wenn sich ein Benutzer am Client anmeldet, wird dieser Vorgang wiederholt, diesmal enthalten 

die Nachrichten aber Benutzerinformationen. Der Kerberos-Client sendet eine weitere 

KRB_AS_REQ-Nachricht, verschlüsselt die Vorauthentifizierungsdaten aber mit einem Schlüssel, 

der aus dem Kennwort des Clients abgeleitet ist – oder genauer gesagt: aus dem NT- 

Hash des Clients. Der KDC prüft die Authentifizierung anhand dieser Informationen. In der 

KRB_AS_REP-Nachricht empfängt der Client ein TGT, mit dem der Benutzer Kontakt zum 

TGS aufnehmen kann. Das TGT umfasst Sitzungsschlüssel für das KDC sowie Sicherheits- 

IDs (Security Identifier, SID) für den Benutzer und alle Gruppen, bei denen der Benutzer 

Mitglied ist. Künftig verwendet der Client dann das TGT des Benutzers, wenn er Anforderungen 

im Namen des Benutzers schickt. 

Kerberos ist offensichtlich ein recht kompliziertes Protokoll, aber es hat sich in Windows als 

bemerkenswert robust erwiesen. Es hat sich auch gezeigt, dass es erweiterbar ist, weil die 

Vorauthentifizierungsdaten des Benutzers genauso gut mit einem Geheimnis verschlüsselt 

werden können, das nicht von einem Kennwort abgeleitet ist. Das passiert bei der Smartcardauthentifizierung, 

die wir uns als Nächstes ansehen. 

Smartcardauthentifizierung 

Eine Smartcard ist in den meisten Fällen ein Gerät in der Größe einer Kreditkarte, das einen 

Speicherchip enthält. Diese Geräte sind vielseitig einsetzbar. Zum Beispiel werden sie verwendet, 

um die Identität eines Telefons bei der GSM-Kommunikation (Global System 

for Mobile) von Mobiltelefonen und den davon abgeleiteten Technologien bereitzustellen. 

Smartcards können auch für die Authentifizierung in Windows verwendet werden. In diesem 

Fall enthalten sie ein X.509-Zertifikat. (Kapitel 10 enthält weitere Informationen über Zertifikate.) 

Das Zertifikat enthält einen privaten Schlüssel, und der zugehörige öffentliche 

Schlüssel ist im Benutzerobjekt in Active Directory gespeichert. 

Wenn sich der Benutzer mit einer Smartcard authentifiziert, fragt WinLogon nicht nach 

einem Kennwort, sondern nach einer Geheimnummer, dem sogenannten PIN-Code. Dann 

nimmt es Kontakt zum Smartcardanbieter (engl. smartcard provider) auf und übergibt ihm 

den PIN-Code sowie die Vorauthentifizierungsdaten. Der Smartcardanbieter greift mithilfe 

des PIN-Codes auf die Smartcard zu, um die Vorauthentifizierungsdaten zu verschlüsseln, 

die der Kerberos-SSP in der KRB_AS_REQ-Nachricht verwendet. Ab diesem Punkt läuft bei 

einer Smartcardanmeldung fast alles genauso ab wie bei einer normalen Kennwortanmeldung, 

allerdings mit einem wichtigen Unterschied: Falls sich der Benutzer mit einer Smartcard 

anmeldet, gibt er niemals ein Kennwort ein. Falls der Benutzer daher versucht, auf 

irgendwelche Ressourcen zuzugreifen, die nicht mit dem Kerberos-System arbeiten können, 

muss der Computer das Kennwort vom Benutzer anfordern. Um das zu vermeiden, behandelt 

Windows Kennwörter bei einer Smartcardanmeldung etwas anders. 

Smartcards und Kennwörter 

Zu allen Konten wird auf dem Domänencontroller ein Kennworthashwert gespeichert. Sogar 

wenn sich der Benutzer mit einer Smartcard anmelden muss, gibt es einen Kennworthashwert. 

Wenn Sie ein Konto so konfigurieren, dass es eine Smartcardanmeldung erfordert, 

erstellt der Domänencontroller ein zufälliges Kennwort, berechnet dessen Hashwert und 

speichert ihn im Benutzerobjekt.

Angriffe auf Kennwörter 39 

Wenn sich ein Benutzer mit einer Smartcard anmeldet, stellt das KDC dem Client während 

des Anmeldevorgangs den Kennworthashwert des Benutzers zur Verfügung. Diese Anmeldeinformationen 

werden mit dem öffentlichen Schlüssel des Clients verschlüsselt, bevor sie 

übertragen werden. Der Kerberos-SSP auf dem Client entschlüsselt sie und speichert sie auf 

dieselbe Weise in einem Cache, wie er es täte, hätte der Benutzer das Kennwort selbst bei 

der Anmeldung eingegeben. Der Computer verwendet diese Anmeldeinformationen, um sich 

bei Computern anzumelden, die aus irgendwelchen Gründen nicht über Kerberos erreichbar 

sind. Auch wenn also eine Smartcardanmeldung erforderlich ist, sind die Hashwerte auf dem 

Client durch böswillige Software gefährdet, die als Administrator läuft. Auch wenn Smartcards 

eingesetzt werden, sind kennwortbasierte Anmeldeinformationen nicht besser geschützt 

als bei einer Kennwortanmeldung. Daher sollten Sie dieselben Vorsichtsmaßnahmen 

gegen die Angriffe treffen, die wir uns als Nächstes ansehen. 

Angriffe auf Kennwörter 

An diesem Punkt sollten wir einen kleinen Abstecher machen und uns mit Angriffen beschäftigen, 

schon aus dem Grund, weil sich so viele Leute deswegen Sorgen machen. Der 

wichtigste Punkt im Bezug auf Kennwörter besteht offensichtlich darin zu verhindern, dass 

die bösen Buben sie in die Finger bekommen. Wenn Angreifer die Kennwörter oder irgendeine 

abgeleitete Form einmal haben, ist die Frage, was sie damit tun. Sehen wir uns erst 

einmal an, wie ein potenzieller Angreifer ein Kennwort oder eine abgeleitete Form ausspähen 

kann. 

Ausspähen von Kennwörtern 

Angreifer haben verschiedene Möglichkeiten, an Ihre Kennwörter zu kommen. Die folgenden 

Abschnitte führen die wichtigsten Methoden auf, von den einfachsten und häufigsten 

Angriffen zu den schwierigeren und selteneren (natürlich etwas vereinfacht). 

Einfach fragen 

Eine erstaunliche Zahl von Leuten (bis zu 75% in manchen Untersuchungen) sind bereit, 

ihre Kennwörter im Tausch gegen etwas herauszugeben, dem sie mehr Wert beimessen. In 

einer Untersuchung war das zum Beispiel Schokolade (Wagner, 2004). 

Kennwörter direkt abfangen 

Sofern die Benutzer ihre Kennwörter nicht willig herausgeben, ist es heutzutage am erfolgreichsten, 

einfachsten und wahrscheinlich verbreitetsten, einen sogenannten Keystroke- 

Logger zu verwenden, der ein Kennwort als Klartext aufzeichnet, während der Benutzer es 

eingibt. Es gibt viele unterschiedliche Arten von Keystroke-Loggern. Eine unscheinbare 

Möglichkeit ist ein Hardwaregerät, das zwischen Tastatur und Computer eingeschleift wird 

und Speicher enthält, in dem alle Tastenbetätigungen aufgezeichnet werden. Es kann binnen 

Sekunden heimlich installiert und wieder entfernt werden. Ein solches Gerät verschafft 

Zugriff auf alles, was der Computer an Eingaben bekommt, inklusive aller Tastendrücke, 

Metadaten wie zum Beispiel der Tipprhythmus und so weiter. Ein Softwareprogramm, wie 

es heute oft in Malware und Spyware zu finden ist, kann ebenfalls alle Tastatureingaben 

aufzeichnen, üblicherweise auch inklusive der Metadaten. Das ist nicht auf Kennwörter 

beschränkt. Manche dieser Programme können die ausgespähten Daten automatisch auf eine


Website oder in einen IRC-Kanal (Internet Relay Chat) hochladen. Andere Software bringt 

gleich einen kleinen Webserver mit, über den der Angreifer die Daten abrufen kann. 

Der einfachste und direkteste Weg für einen Angreifer, der nur Kennwörter ausspähen will, 

besteht darin, ein Subauthentifizierungspaket zu schreiben. Wie alle professionellen Betriebssysteme 

bietet Windows Fremdherstellern die Möglichkeit, sein Authentifizierungssubsystem 

so zu erweitern, dass es eine Authentifizierung an anderen Netzwerkgeräten 

durchführt. Ein Angreifer kann mit wenigen Aufrufen der Programmierschnittstelle (Application 

Programming Interface, API) ein Subauthentifizierungspaket schreiben, das alle 

Kennwörter im Klartext aufzeichnet, während sich ein Benutzer anmeldet. Mit etwas mehr 

Aufwand kann der Angreifer das Paket mit denselben Features wie ein leistungsfähigerer 

Keystroke-Logger aufrüsten. Ein solches System liefert aber bei Weitem nicht so viele überflüssige 

Daten, weil es sich darauf spezialisiert, ausschließlich Kennwörter aufzuzeichnen. 

Bei beiden Softwaremethoden sind administrative Privilegien nötig, um das Programm zu 

installieren. Der Angreifer muss den Computer also vollständig kompromittiert haben. Physischer 

Zugriff auf den Computer reicht aus, um solche Tools zu installieren. Es gibt zu denken, 

dass Keystroke-Logger inzwischen regelmäßig auf öffentlich zugänglichen Computern 

zu finden sind, insbesondere auf Konferenzen. 

Abfangen der Frage-Antwort-Sequenz 

Es kommt heute nur noch selten vor, dass Kennwörter überhaupt durch das Netzwerk übertragen 

werden. Und noch seltener ist es, dass in neuen Implementierungen Klartextprotokolle 

wie FTP, POP und Telnet verwendet werden. Aber selbst wenn Frage-Antwort-Protokolle 

eingesetzt werden, kann der Angreifer oft sowohl die Frage als auch die Antwort abfangen 

und diese Kombination für seinen Angriff einsetzen. Dafür sind mehr Berechnungen notwendig 

als beim Angriff auf normale Hashwerte, aber falls das Kennwort schwach ist, kann 

der Angreifer durchaus Erfolg haben. 

Ausspähen der Hashwerte 

Dies ist der Angriff, den jeder fürchtet. Falls ein Angreifer Zugriff auf die Kennworthashwerte 

hat, kann er das Kennwort ermitteln oder die Hashwerte auf andere Weise nutzen. Es 

gibt mehrere Wege, Hashwerte zu knacken, wie wir in Kürze sehen werden. Am häufigsten 

spähen Angreifer die Hashwerte aus, indem sie den authentifizierenden Server kompromittieren, 

der die Kennwörter speichert. In Kapitel 14, »Schützen des Netzwerks«, werden Sie 

sehen, dass dieser Angriff umso leichter gelingt, je mehr Abhängigkeiten Sie in Ihrem Netzwerk 

haben. 

Eine andere Möglichkeit (weniger verbreitet, aber genauso machbar) besteht darin, einen 

Computer zu kompromittieren, während bereits jemand angemeldet ist. Wie weiter oben 

beschrieben, speichert Windows den NT-Hash eines Benutzers im Arbeitsspeicher, solange 

der Benutzer angemeldet ist. Ein Angreifer mit vollständiger Kontrolle über den Computer 

kann diesen Hashwert auslesen und auf dieselbe Weise wie jeden anderen Hashwert nutzen. 

Noch einmal: Dieses Problem muss in erster Linie über Verfahrensregeln gelöst werden. 

Wie Sie in Kapitel 14 sehen werden, können Sie dieses Problem ganz vermeiden, indem 

Sie besonders vertrauliche Hashwerte von Computern fernhalten, die weniger wichtig (und 

somit weniger sicher) sind. Und falls ein Verbrecher es schafft, einen Computer in diesem 

Ausmaß zu kompromittieren, kann er auch problemlos das Klartextkennwort ausspähen, wie 

wir im nächsten Abschnitt sehen.


Erraten von Kennwörtern 

Schließlich kann der Angreifer auch einfach versuchen, Kennwörter zu erraten. Diese Methode 

lässt sich am einfachsten abwehren. Sie bringt dem Angreifer am wenigsten Erfolg, 

oder zumindest sollte das so sein. Jeder, dessen Windows-Computer mit dem Internet verbunden 

ist und der sich tatsächlich die Protokolldateien ansieht, findet Hinweise auf entsprechende 

Versuche. Abbildung 2.13 zeigt einen fehlgeschlagenen Versuch auf einem meiner 

Computer, der durchgeführt wurde, während dieses Buch entstand. 

Abbildung 2.13 Jeder, dessen Windows-Computer mit dem Internet verbunden ist, 

findet fehlgeschlagene Anmeldungsversuche in seinen Ereignisprotokollen 

Die meisten Angreifer verwenden sogenannte »Grinder«, die automatisiert versuchen, sich 

über Terminaldienste oder das Windows-Netzwerk (Server Message Block, SMB) anzumelden. 

Der Anmeldungsversuch in Abbildung 2.13 wurde in Wirklichkeit bei den Internetinformationsdiensten 

durchgeführt. Das weiß ich nur deshalb, weil der Host nicht auf Terminaldienste- 

oder SMB-Kommunikation aus dem Internet reagiert. 

Die meisten automatisierten Kennwort-Grinder probieren verbreitete Benutzernamen, zum 

Beispiel Administrator, mit einem Wörterbuch von Kennwörtern durch. Es scheint unglaublich, 

aber offenbar sind sie mit diesem Ansatz so erfolgreich, dass die Methode sich lohnt. 

Viele Leute empfehlen, das Konto Administrator umzubenennen, um Angreifer zu täuschen. 

Manche schwören sogar darauf, als Ablenkungsmanöver ein spezielles Konto mit dem Namen 

Administrator anzulegen. Das hat nicht den geringsten Sinn. Die Fehlermeldung ist 

dieselbe, unabhängig davon, ob es gar kein Konto mit dem Namen Administrator gibt oder 

der Angreifer das falsche Kennwort probiert. Daher kann der Angreifer auf diese Weise gar 

nicht herausfinden, ob Sie ein Konto namens Administrator haben. Er stellt nur fest, dass er 

sich nicht anmelden konnte. Wenn Sie ein sicheres Kennwort wählen, können Sie sich sicher 

sein, dass ein Angreifer nicht in das Konto eindringen kann. Falls das Kennwort zum Beispiel 

15 Zeichen lang und quasi zufällig ist (das heißt, es sieht aus Sicht des Angreifers wie 

ein Zufallswert aus), muss der etwa 542.086.379.860.909.058.354.552.242.176 Versuche


durchführen, bevor er Erfolg hat. Es ist anzunehmen, dass er es woanders probiert, bevor er 

dieses Kennwort erraten hat. 

Es kann sinnvoll sein, leere Kennwörter zu verwenden 

Wie bei allen Windows-Versionen seit Windows XP können sich Benutzerkonten mit leerem 

Kennwort nicht aus dem Netzwerk an Windows Server 2008 anmelden. Das ist ein 

geradezu genialer Entwurf, der sich für das lokale Administratorkonto sinnvoll nutzen 

lässt. 

In einem typischen Datencenter befinden sich die Server in verschlossenen Schränken, 

den sogenannten Racks. In vielen Fällen haben nicht alle Personen Zugriff auf sämtliche 

Schränke. Nur Mitarbeiter, die an bestimmten Servern arbeiten müssen, können diese 

Schränke öffnen. Die Schränke selbst befinden sich in verschlossenen Räumen, in die nur 

gelangt, wer einen Ausweis hat und die zugehörige Geheimnummer kennt. Datencenter 

haben Wachpersonal (oft bewaffnet) an der Zufahrt und im Empfangsbereich. Um in den 

Gang zu kommen, der zum Serverraum führt, müssen Sie an der grimmig blickenden und 

sehr gelangweilten Wache vorbei, wobei Sie normalerweise durch eine Schleuse gehen, in 

der Sie auf beim Hinein- und Hinausgehen gewogen werden. (Was passiert übrigens, 

wenn Sie beim Verlassen weniger wiegen als beim Betreten?) Und um überhaupt an den 

Empfang zu gelangen, passieren Sie eine weitere, wahrscheinlich bewaffnete Wache in 

einem Häuschen an der Zufahrt zum Parkplatz. Sind Ihre Server in diesem Fall physisch 

sicher? Wahrscheinlich antworten Sie mit »Ja«. Warum sollten Sie dann nicht das Kennwort 

für das integrierte Konto Administrator leer lassen? Die einzigen Personen, die es 

nutzen können, sind bereits an zwei Wachen, der Personenschleuse und dem Ausweislesegerät 

vorbeigekommen, sie wissen den PIN-Code für den richtigen Raum und haben 

den Schlüssel für den richtigen Serverschrank. Wenn jemand all das schafft, gehört er 

wahrscheinlich zur Firma und muss dieses Konto im Rahmen seiner Arbeit benutzen. 

Und er hätte dann sicherlich eine Möglichkeit, das Kennwort zu ermitteln, sollte er es 

brauchen. Offensichtlich sollte er es nicht für die normale Arbeit nutzen, aber falls alles 

schiefgeht und er sich als integrierter Administrator anmelden muss, weiß er, wie das 

Kennwort lautet, und kann sich problemlos anmelden. 

Wenn Sie das Kennwort leer lassen, lösen Sie eines der großen Probleme für die Netzwerksicherheit: 

Wie verhindern Sie, dass das Administratorkonto auf allen Servern im 

Netzwerk dasselbe Kennwort hat? Es lässt sich kaum begründen, dass ein leeres Kennwort 

die Sicherheit auf irgendeine Weise gefährdet, solange die physische Sicherheit gewährleistet 

ist. Leider ist es wahrscheinlich viel schwieriger, einen inkompetenten Sicherheitsauditor 

zu überzeugen, dass ein leeres Kennwort sicherer ist als auf jedem einzelnen 

Server dasselbe 8 Zeichen lange Kennwort einzurichten. Falls Sie versprechen, es 

zu probieren, werde ich meinen Teil dazu beitragen. Ein Kennwort, das nur von jemand 

innerhalb des Datencenters benutzt werden kann, ist viel, viel sicherer als eine monumentale 

Sicherheitsabhängigkeit zwischen Tausenden von Servern, die alle mit der vom Auditor 

bevorzugten, aber unsinnigen Lösung arbeiten.


Nutzen der ausgespähten Informationen 

Nehmen wir an, der Angreifer hat irgendwelche Informationen bekommen. Wie nutzt er 

diese Daten? Falls er ein Klartextkennwort weiß, ist die Antwort offensichtlich. Er braucht 

nur einen Zugang, an dem er das Kennwort eingeben kann. Falls er dagegen eine Frage-Antwort-Sequenz 

oder einen Kennworthashwert in Erfahrung gebracht hat, ist das Problem 

etwas komplizierter. 

Knacken von Kennwörtern 

Der häufigste Angriff besteht darin, das Kennwort zu knacken. Mit »Knacken« ist in diesem 

Fall gemeint, dass der Angreifer aus einem simplen Kennwort einen Kennworthashwert oder 

eine Frage-Antwort-Sequenz berechnet und das Ergebnis mit dem ausgespähten Hashwert 

oder der aufgezeichneten Antwort vergleicht. Falls die Daten übereinstimmen, ist das probierte 

Kennwort richtig. 

Wie Sie weiter oben in diesem Kapitel gesehen haben, sind beim Berechnen einer Frage- 

Antwort-Sequenz mehr Berechungen nötig als beim Generieren eines normalen Hashwerts. 

Logischerweise dauert das Knacken einer aufgezeichneten Frage-Antwort-Sequenz daher 

deutlich länger als das Knacken eines Kennworthashwerts. Auf heutzutage üblicher Hardware 

können Sie etwa 3 bis 10 Millionen Hashwerte pro Sekunde berechnen, aber nur etwa 

ein Drittel so viele Frage-Antwort-Paare. Falls der Angreifer nur den Kennwortverifizierer 

besitzt, kann er lediglich ca. 10 pro Sekunde berechnen, sodass ein Knacken praktisch unmöglich 

ist, sofern das Kennwort nicht außergewöhnlich schwach ist. 

Es gibt verschiedene Ansätze, um das Knacken von Kennwörtern zu beschleunigen. Ein 

Angreifer kann ein Wörterbuch häufig verwendeter Wörter oder Kennwörter verwenden 

(Burnett, 2005). Der Angreifer kann auch einen Brute-force-Angriff mit allen möglichen 

Kennwörtern aus einem bestimmten Satz von Zeichen starten. Aus Leistungsgründen kann 

der Angreifer den Satz von Zeichen deutlich einschränken. Meine eigenen Untersuchungen 

haben gezeigt, dass Benutzer 80 Prozent der Zeichen, die in Kennwörtern verwendet werden, 

aus einem Satz von lediglich 32 Zeichen auswählen. Und schließlich kann der Angreifer 

einen kombinierten Ansatz verwenden, wobei er die durchprobierten Kennwörter aus 

irgendeinem Wörterbuch bezieht, aber bestimmte Zeichen ändert. Zum Beispiel kann der 

Angreifer häufig verwendete Ersetzungen probieren, zum Beispiel »!« oder »1« statt »i«, 

»@« statt »a« oder »at«, »3« statt »e« und so weiter. Um die Geschwindigkeit des Angriffs 

in der entscheidenden Phase wirklich zu beschleunigen, kann der Angreifer im Vorfeld eine 

Liste von Hashwerten generieren und diese Daten dann für einen Angriff mit vorberechneten 

Hashwerten verwenden. 

Angriffe mit vorberechneten Hashwerten 

Angriffe mit vorberechneten Hashwerten (engl. precomputed hash attack) folgen einem ganz 

simplen Prinzip. Auf breiter Basis wurden sie erstmals Ende der 1990er in einem Tool namens 

Gerald Quakenbush’s Password Appraiser eingesetzt. Das Tool wurde mit mehreren CDs 

voller Kennworthashwerte geliefert. Einige Jahre später entwickelten Cedric Tissieres und 

Philippe Oechslin das Programm Ophcrack, das LM-Hashwerte mithilfe vorberechneter 

Hashwerte knackte, aber einen Kompromiss zwischen Zeitaufwand und Speicherbedarf 

implementierte, um den benötigten Speicherplatz für die Hashwerte zu verringern. Statt alle 

Hashwerte zu speichern, wurde nur ein Teil davon zusammen mit allen Kennwörtern eingelesen, 

die diesen Hashwert generieren. Zur Laufzeit braucht der Cracker nur noch zu suchen,


welcher Satz von Kennwörtern möglicherweise den Hashwert generiert, den er knacken 

will, die Hashwerte für alle Optionen berechnen und die Ergebnisse mit dem Hashwert vergleichen. 

Das war deutlich langsamer als der Password Appraiser, aber um ein vielfaches 

schneller als eine Brute-force-Methode. Zhu Shuanglei implementierte dieselbe Technik im 

enorm beliebten Rainbow Crack Tool, das praktisch alle Hashformate knacken kann, die es 

gibt. Angriffe mit vorberechneten Hashwerten werden nach diesem Tool oft als Rainbow 

Cracks oder Rainbow-Table-Angriffe bezeichnet. 

Angriffe mit vorberechneten Hashwerten wurden in der Presse gewaltig breitgetreten, und 

viele Leute sowie selbsternannte »Sicherheitsexperten« haben sich darüber ausgelassen, wie 

schlimm sie sind und dass sie nur funktionieren, weil Windows so fehlerhaft ist, und dass 

Microsoft Windows verbessern muss, um den Erfolg solcher Tools zu verhindern. Üblicherweise 

werden solche Sprüche mit der Aussage garniert, dass Entwickler anderer Betriebssysteme 

(natürlich) so vorausschauend waren, einen Schutz vor diesen Angriffen zu implementieren. 

Diese Einschätzungen sind grobe Vereinfachungen, die durch keinerlei Erfahrungen 

oder Ereignisse gestützt werden. 

Erstens ist Windows nicht fehlerhaft, weil es keine Angriffe mit vorberechneten Hashwerten 

in seinem Entwurf berücksichtigt. Es stimmt, dass die Verwendung eines Saltwerts in der 

Berechung des Kennworthashwerts gegen Angriffe mit vorberechneten Hashwerten helfen 

kann. Aber dies war keine (und ist nach wie vor keine) signifikante Bedrohung, gegen die 

man sich schützen müsste. Ich habe es bereits vorher erwähnt: Falls ein Angreifer Zugriff 

auf Ihre Hashwerte hat, ist Ihr Computer oder das Netzwerk bereits verhängnisvoll kompromittiert. 

Sie wurden in diesem Fall bereits gehackt, und der Schaden ist bereits so groß, dass 

ein Angreifer kaum noch mehr Schaden anrichten kann, auch wenn er diese Kennworthashwerte 

knackt. 

Lassen Sie sich außerdem nicht einreden, dass die Entwickler von Konkurrenzbetriebssystemen 

die Voraussicht besaßen, einen Schutz vor solchen Angriffen zu verwirklichen. Saltwerte 

wurden als Schutz hinzugefügt, weil die Kennwortdatei von allen gelesen werden 

konnte. Angriffe mit vorberechneten Hashwerten waren irrelevant, als diese Plattformen 

entworfen wurden. Hunderte von Gigabyte oder sogar Terabyte an Kennworthashwerten 

bereitzuhalten, war einfach nicht praktikabel, als Computer 16 KByte Arbeitsspeicher und 

ein Bandlaufwerk hatten. 

Zweitens ist es absolut sinnlos, Windows-Kennworthashwerte mit Saltwerten zu versehen, 

um Angriffe mit vorberechneten Hashwerten abzuwehren. Sehen Sie sich doch an, wie die 

Authentifizierungsprotokolle arbeiten. Falls Sie die Hashmechanismen ändern, müssen Sie 

auch ein neues Authentifizierungsprotokoll einführen, weil die alten Protokolle die alten 

Hashwerte voraussetzen. Das letzte Mal wurde ein Authentifizierungsprotokoll tatsächlich 

aufgegeben, als in Windows Vista LM entfernt wurde. Das dauerte 13 Jahre ab der Einführung 

des Nachfolgers. Wenn der Hashmechanismus so geändert wird, dass ein Saltwert hinzugefügt 

wird, kann das Angriffe mit vorberechneten Hashwerten zweifellos verhindern. Es 

würde aber wieder einen Zeitraum wie etwa 13 Jahre erfordern, bis die alten NT-Hashwerte 

verschwunden sind. Und weil Kennworthashwerte unabhängig davon, ob sie mit oder ohne 

Saltwert berechnet werden, klartextäquivalent sind, würde diese Maßnahmen das eigentliche 

Problem ohnehin nicht beseitigen. Jeder, der behauptet, dass in Windows lediglich Kennwörter 

mit einem Saltwert versehen werden müssten, hat das Problem entweder nicht bis 

zum Ende durchdacht oder versteht es überhaupt nicht.


Warum das Knacken von Kennwörtern nicht Ihre größte Sorge 

zu sein braucht 

Es ist wichtig, nicht die Tatsache zu vergessen, dass der Angreifer in allen Fällen, wo 

Hashwerte kompromittiert wurden, sämtliche Sicherheitssysteme ausgeschaltet und vollständige 

Kontrolle über mindestens ein System hat, das ihm erweiterten Zugriff ermöglicht. 

Wahrscheinlich hat er sogar Zugriff auf ein System, das alle Geheimnisse speichert: 

den Domänencontroller. Anders ausgedrückt: Falls ein Angreifer sich an das Knacken 

von Hashwerten machen kann, wurden Sie bereits ernstlich gehackt und Angreifer mit 

Kennworthashwerten sollten Ihre kleinste Sorge sein. Unabhängig davon, ob der Angreifer 

es schafft, die Hashwerte direkt zu nutzen oder sie zu knacken, ist Ihr Netzwerk bereits 

so stark kompromittiert, dass radikale Maßnahmen erforderlich sind. Ihre einzige 

Lösung besteht darin, alle kompromittierten Computer neu aufzusetzen. Das umfasst das 

gesamte Netzwerk, falls die Gefahr besteht, dass ein Domänen- oder Organisationsadministratorkonto 

kompromittiert wurde. Sie müssen die System entweder von Grund auf 

neu installieren oder eine Datensicherung wiederherstellen, die nachweislich nicht kompromittiert 

ist. 

Pass-the-Hash-Angriffe 

Kennworthashwerte sind klartextäquivalent. Sie konnten das bereits mehrmals lesen, daher 

sollte es inzwischen mehr als deutlich sein. Das Geheimnis, mit dem der Server die Identität 

des Clients überprüft, ist dasselbe Geheimnis, mit dem der Client seine Identität beweist. 

Das gilt für alle Authentifizierungsprotokolle, die mit gemeinsamen Geheimnissen arbeiten, 

es ist nicht auf Windows beschränkt. Falls ein Verbrecher es schafft, dieses Geheimnis auszuspähen, 

kann er es missbrauchen, um eine Identität zu beweisen, ohne überhaupt das 

Kennwort zu wissen, mit dem dieses Geheimnis generiert wurde. 

Das ist ein wichtiger Punkt. Wenn wir uns darin einig sind, dass Kennworthashwerte klartextäquivalent 

sind, ändert sich die Art und Weise, wie wir über Kennwortsicherheit denken. 

Erstens können wir sofort sehen, warum es sinnlos ist, die aktuellen NT-Hashwerte durch 

Hashwerte zu ersetzen, die mit einem Saltwert berechnet wurden: Die mit Saltwert berechneten 

Hashwerte sind ebenfalls klartextäquivalent. Sich mit einem Saltwert gegen den Diebstahl 

von Hashwerten schützen zu wollen, hat fatale Ähnlichkeit mit dem Versuch, einen 

abgetrennten Arm mit einem Pflaster zu verarzten. Das eigentliche Problem lässt sich auf 

diese Weise kaum beheben. Zweitens können wir sehen, dass das Kernproblem nicht die 

Kennworthashwerte sind, sondern die Tatsache, dass Angreifer Zugriff darauf haben. Die 

einzige echte technische Lösung besteht darin, Frage-Antwort-Protokolle völlig durch 

Protokolle zu ersetzen, die mit öffentlichen Schlüsseln arbeiten. Das setzt aber eine durchgreifende 

Änderung an allen Plattformen voraus, daher ist kurzfristig wohl nicht damit zu 

rechnen. 

Die einzige Lösung besteht also darin, Angreifer daran zu hindern, auf Kennworthashwerte 

zuzugreifen. Zu diesem Zweck müssen wir die Zugriffsmöglichkeiten auf Kennworthashwerte 

einschränken und sicherstellen, dass wird unsere authentifizierenden Server ausreichend 

schützen. Kapitel 14 beschreibt diese Themen ausführlich.


Schützen Ihrer Kennwörter 

Alle bisher betrachteten Angriffe können Sie weitgehend abwehren, indem Sie entweder 

bessere Kennwörter verwenden oder Ihr Netzwerk sicherer verwalten und betreiben. Kapitel 

14 beschreibt im Detail, wie Sie bei Verwaltung und Betrieb eines Netzwerks mehr 

Sicherheit erreichen. Weil Kennworthashwerte klartextäquivalent sind, hilft die Verwendung 

sicherer Kennwörter offensichtlich nicht gegen alle bisher beschriebenen Angriffe. Viele 

davon lassen sich deutlich abschwächen. 

Wodurch zeichnet sich ein sicheres Kennwort aus? Simple Antwort: je länger, desto besser! 

Die Länge ist bei Weitem der wichtigste Faktor, wenn es um die Sicherheit eines Kennworts 

geht. Tabelle 2.3 zeigt, wie lang ein aus n Zeichen bestehendes Kennwort, dessen Zeichen 

zufällig aus einem Satz von 32 Zeichen ausgewählt wurden, Angriffen widersteht, bei denen 

das Kennwort erraten oder geknackt werden soll. 

Tabelle 2.3 Dauer eines erfolgreichen Angriffs auf Kennwörter, die aus einem Satz von 32 Zeichen 

ausgewählt werden 

Länge Tage, bis das Kennwort erraten ist Tage, bis das Kennwort geknackt ist 

6 10 0 

7 331 0 

8 10.605 1 

9 339.355 27 

10 10.859.374 869 

11 347.499.971 27.800 

12 11.119.999.080 889.600 

13 355.839.970.558 28.467.198 

14 11.386.879.057.845 910.950.325 

Wie Sie in Tabelle 2.3 sehen, steigt die Sicherheit eines Kennworts gewaltig an, je länger es 

wird. Ein 14-Zeichen-Kennwort, das zufällig ausgewählte Zeichen aus einem bekannten 

Satz von 32-Zeichen umfasst, widersteht Rateversuchen über 31 Milliarden (!) Jahre. Sogar 

ein 8 Zeichen langes Kennwort ist nicht in einem praktikablen Zeitraum zu erraten, solange 

der Angreifer keine heuristischen Methoden nutzen kann. Das 14 Zeichen lange Kennwort 

widersteht dem Versuch, es zu knacken, 2,5 Millionen Jahre lang. Aber natürlich gilt weiterhin, 

dass es klartextäquivalent ist. Daher ist die Widerstandsfähigkeit gegen das Knacken 

nur relevant, falls es im Rahmen einer Frage-Antwort-Sequenz aufgezeichnet wurde. 

Viele Leute stellen sich aber vor allem die Frage, wie wichtig der Satz der verwendeten 

Zeichen für die Sicherheit des Kennworts ist. Je größer der Satz der Zeichen ist, mit denen 

sich der Angreifer herumschlagen muss, desto sicherer ist das Kennwort offensichtlich. Die 

Wirkung ist aber bei Weitem nicht so nachhaltig wie bei der Länge. Tabelle 2.4 zeigt dieselben 

Daten wie Tabelle 2.3, aber für Kennwörter, die aus einem Satz von 95 Zeichen generiert 

werden.

Verwalten von Kennwörtern 47 

Tabelle 2.4 Dauer eines erfolgreichen Angriffs auf Kennwörter, die aus einem Satz von 95 Zeichen 

ausgewählt werden 

Länge Tage, bis das Kennwort erraten ist Tage, bis das Kennwort geknackt ist 

6 7.090 1 

7 673.551 54 

8 63.987.310 5.119 

9 6.078.794.461 486.304 

10 577.485.473.802 46.198.838 

11 54.861.120.011.233 4.388.889.601 

12 5.211.806.401.067.100 416.944.512.085 

13 495.121.608.101.375.000 39.609.728.648.110 

14 47.036.552.769.630.600.000 3.762.924.221.570.450 

Tabelle 2.4 zeigt, dass Kennwörter, die aus einem Satz von 95 Zeichen ausgewählt werden, 

zweifellos sicherer sind als Kennwörter, die aus einem Satz von nur 32 Zeichen generiert 

wurden. Aber ein 6 Zeichen langes Kennwort, das aus einem Satz von 95 Zeichen ausgewählt 

wurde, ist schwächer als ein 8-Zeichen-Kennwort aus einem Satz von 32-Zeichen. Da 

das Beherrschen von Komplexität eine verbreitete menschliche Schwäche ist, fällt es vielen 

Leuten wahrscheinlich leichter, sich ein 8 Zeichen langes Kennwort zu merken, das aus 

einem kleinem Satz häufig benutzter Zeichen besteht, als ein 6 Zeichen langes Kennwort, 

das aus kaum jemals verwendeten Zeichen besteht. Sie können diese Zahlen hernehmen, um 

eine geeignete Strategie für unterschiedliche Leute zu entwickeln, je nachdem, was sie bevorzugen. 

Die Daten zeigen aber deutlich, dass wir eine Menge Probleme im Zusammenhang 

mit Kennwörtern beseitigen können, wenn wir die Benutzer einfach dazu bringen, 

längere Kennwörter zu verwenden. Generell gilt: Kennwörter sind ein einwandfreier, sehr 

bequemer, verständlicher und einfach zu implementierender Authentifizierungsmechanismus. 

Ihr einziger Nachteil besteht darin, dass es Menschen schwerfällt, sich Kennwörter zu 

merken. Könnten wir die Menschen, die sie nutzen, aus dem System entfernen, wären Kennwörter 

wahrscheinlich die beste Möglichkeit, sich bei einem System zu authentifizieren. 

Glücklicherweise haben wir diese Möglichkeit. 

Hinweis Die Daten zur Widerstandsfähigkeit von Kennwörtern, die in den Tabellen 2.3 und 2.4 angegeben 

sind, basieren auf der Annahme, dass ein theoretischer Angreifer 600 Kennwörter pro Sekunde raten 

oder 7,5 Millionen Kennwörter pro Sekunde knacken kann. Diese Zahlen sind deutlich höher, als es ein 

einzelner Computer gegenwärtig erlaubt; das gilt sowohl für das Erraten von Kennwörtern als auch für das 

Knacken aufgezeichneter Frage-Antwort-Paare. 

Verwalten von Kennwörtern 

Benutzer wählen keine besonders guten Kennwörter, wenn sie völlig frei entscheiden dürfen. 

Aber wir müssen dafür sorgen, dass sie lange Kennwörter verwenden, um sich selbst 

wirksam zu schützen. Um dieses Dilemma zu lösen, müssen wir einige althergebrachte 

Konzepte neu bewerten, selbst wenn sie von vielen Leuten für absolute Wahrheiten gehalten 

werden.


Verwenden anderer Authentifizierer 

Erstens ist ein Kennwort, das der Benutzer nicht weiß, besser als eines, das der Benutzer 

weiß. Falls Sie Smartcards einsetzen und das System so konfigurieren, dass für die Anmeldung 

eine Smartcard erforderlich ist, besitzt jedes Konto weiterhin ein Kennwort, aber dies 

ist ein langes und zufälliges Kennwort. Sein Hashwert kann weiterhin von jedem Computer 

gestohlen werden, an dem sich der Benutzer anmeldet, sofern Malware als Betriebssystem 

auf diesem Computer ausgeführt wird, aber Sie können fast sicher sein, dass sich das Kennwort 

niemals erraten lässt. 

Kennwörter sicher notieren 

Diejenigen unter uns, die den Einsatz von Smartcards in unseren Netzwerken nicht vorschreiben 

können, müssen sich damit abfinden, dass die Benutzer ihr Kennwort wissen müssen. 

Damit sie sich ihre Kennwörter besser merken können, erfanden die Chinesen im zweiten 

Jahrhundert eine verblüffende Technologie, das sogenannte »Papier«. Sie haben richtig 

gelesen: Ich behaupte, dass sich die Benutzer ihre Kennwörter notieren sollen. Momentan 

haben die meisten Organisationen eine Kennwortrichtlinie, die Kennwörter mit mindestens 

8 Zeichen Länge erfordert und vorschreibt, dass sie wenigstens drei unterschiedliche Zeichengruppen 

enthalten. Das Ergebnis? Benutzer wählen Kennwörter wie »Seattle1«. Wie Sie bei 

genauem Hinsehen erkennen, entspricht dieses Kennwort der Richtlinie. »Test1234« ist 

ebenfalls gültig, genauso wie »Password1«, »Passw0rd« und »Pa$$word«. Wenn Sie die 

Wahl haben, wäre es Ihnen dann nicht lieber, ein Benutzer trägt einen kleinen Zettel in seinem 

Geldbeutel mit sich, auf dem »Trink einen großen Milchkaffee vor der Arbeit!« steht? 

Falls ein Unbefugter diesen Zettel in die Hände bekommt, merkt der Benutzer es recht 

schnell und kann entsprechende Maßnahmen treffen, um das Kennwort zurückzusetzen 

(wenn Sie ihm gezeigt haben, wie das geht). Und was könnte der böse Dieb überhaupt mit 

dem Zettel anfangen? Für welches System gilt dieses Kennwort? Ist es überhaupt ein Kennwort, 

oder vielleicht doch eine andere Notiz? Ein Kennwort, das der Benutzer notieren kann, 

ist viel leichter zu beherrschen als eines, das er sich merken muss, nachdem er es zweimal 

eingetippt hat. Und für all die anderen Kennwörter, die wir täglich benutzen, können Sie 

sogar ein elektronisches Kennwortverwaltungstool verwenden, zum Beispiel Password Safe 

(http://passwordsafe.sourceforge.net). Was ist wirklich schlechter: ein schwaches Kennwort, 

das sich der Benutzer merken kann, nachdem er es zweimal eingetippt hat, oder ein sehr 

starkes Kennwort, das an sicherer Stelle notiert wurde? Über welche Art von Gefahr machen 

wir uns denn hier Sorgen? 

Stellen Sie sich jetzt vor, Sie können Ihren Benutzern mitteilen, dass sie das Kennwort auf 

einem Zettel mit sich herumtragen können, bis sie es auswendig wissen. Danach sollten sie 

den Zettel in den Schredder stecken oder aufessen, ganz nach Belieben. Sie dürfen davon 

ausgehen, dass Sie in diesem Fall sogar eine Kennwortrichtlinie für 10 Zeichen lange 

Kennwörter durchsetzen können, ohne auf dem nächsten Scheiterhaufen zu landen. 

Nehmen Sie das »Wort« in »Kennwort« nicht zu wörtlich 

Im letzten Abschnitt lautete ein Beispielkennwort »Trink einen großen Milchkaffee vor der 

Arbeit!« Das ist kein Kennwort (oder Passwort). Es ist eine Passphrase. Es gibt keine Vorschrift, 

dass Kennwörter überhaupt Wörter sein müssen. Schon der Begriff Kennwort ist 

irreführend. Windows nimmt als Kennwort bereitwillig bis zu 127 Zeichen entgegen, die Sie


beliebig aus allen Feldern Ihrer Tastatur auswählen dürfen (inklusive Leertaste). Und Sie 

wissen aus dem letzten Abschnitt auch, dass ein Kennwort umso stärker ist, je länger es ist. 

Eine Passphrase zu verwenden, ist die perfekte Methode, Ihr Kennwort länger zu machen. 

Passphrasen sind lang und daher sicher. Sie sind einfacher einzutippen und auswendig zu 

lernen als seltsame, weil sichere Kennwörter, zum Beispiel »hG%'3m.^«. Einfach ausgedrückt: 

Passphrasen passen zur Denkweise von Menschen. Menschen fassen ihre Gedanken 

in Wörter. Ich habe siebenjährige Kinder erlebt, die kein Problem mit Passphrasen hatten. 

Außerdem ist ein Satz wie der mit dem Milchkaffee viel, viel länger und um Größenordnungen 

sicherer als das seltsame, starke Kennwort. Wenn wir pessimistisch davon ausgehen, 

dass der Angreifer weiß, dass wir Passphrasen verwenden, dass diese Passphrase sieben 

Wörter lang ist und dass er sogar ein Wörterbuch hat, aus dem alle Wörter ausgewählt wurden, 

dauert es wahrscheinlich trotzdem Millionen von Jahren, die Passphrase zu erraten. 

Und das gilt sogar für den Fall, dass der Angreifer ein Angriffstool verwendet, das komplette 

Wörter durchwechselt statt einzelner Zeichen. Der Satz von Möglichkeiten ist viele Male 

größer als der Satz der Zeichen auf einer Tastatur. Falls Sie die Stärke noch ein wenig 

verbessern wollen, können Sie irgendwo eine der üblichen Ersetzungen verwenden. Tauschen 

Sie zum Beispiel ein »a« gegen ein »@« aus, ein »l« (Kleinbuchstabe L) durch eine 

»1« (Zahl 1), ein »e« durch eine »3« oder ein »o« durch eine »0«. In unserem 8 Zeichen 

langen Kennwort können wir von Glück reden, wenn wir eine dieser Ersetzungsmöglichkeiten 

haben und die Zahl der Möglichkeiten gerade einmal verdoppeln können. Im Fall der 

Passphrase erhalten wir schon 11 mögliche Ersetzungen, selbst wenn wir uns auf die 4 genannten 

Beispiele beschränken. Der Suchraum vergrößert sich dadurch um den Faktor 

2.048! Passphrasen sind als Authentifizierer enorm wirksam. 

Festlegen von Kennwortrichtlinien 

Schließlich sollten Sie natürlich Kennwortrichtlinien haben. Sie brauchen sowohl schriftlich 

festgehaltene Unternehmensrichtlinien als auch technisch erzwungene Richtlinien. Eine 

ausführliche Behandlung der schriftlichen Richtlinien würde den Umfang dieses Buchs 

sprengen. Die Richtlinien sollten aber realistisch sein, anders ausgedrückt: Verbieten Sie es 

nicht, Kennwörter aufzuschreiben. Sie sollten auch einen Leitfaden zur Verfügung stellen, 

in dem die Benutzer erklärt bekommen, wie sie Kennwörter auswählen sollten. 

Technische Richtlinien sollten domänenweit erzwungen werden, aber auch auf Mitgliedscomputern, 

falls Sie lokale Konten auf Mitgliedscomputern verwenden. Sie sollten komplexe 

und lange Kennwörter (mindestens 10 Zeichen sind sehr empfehlenswert, wenn Sie 

bedenken, dass es eine Weile dauern dürfte, bis alle Benutzer gute Kennwörter wählen) erzwingen, 

die regelmäßig geändert werden müssen. Entwickeln Sie aber eine sinnvolle Kombination 

dieser Richtlinien. Falls Sie 10 Zeichen lange Kennwörter fordern, gibt es nichts 

dagegen einzuwenden, sie 6 Monate oder 1 Jahr lang zu behalten. 8 Zeichen lange Kennwörter 

sollten Sie alle 3 bis 6 Monate wechseln. Wenn die Kennwörter kürzer als 8 Zeichen 

sind, ist es wahrscheinlich sinnvoll, sie monatlich zu ändern. 

Richtlinien können mit Gruppenrichtlinien verwaltet werden. Abbildung 2.14 zeigt die entsprechenden 

Einstellungen im Gruppenrichtlinienverwaltungs-Editor. 

Kennwortrichtlinien, die auf eine Domäne angewendet werden, gelten für Domänenkonten. 

Kennwortrichtlinien, die auf eine Organisationseinheit angewendet werden, gelten für lokale 

Konten auf allen Mitgliedscomputern in dieser Organisationseinheit.


Abbildung 2.14 Kennwortrichtlinien können Sie über Gruppenrichtlinien verwalten 

Abgestimmte Kennwortrichtlinien 

Kunden haben immer wieder die Möglichkeit gefordert, Kennwortrichtlinien so zu verwalten, 

dass für unterschiedliche Benutzer in der Domäne jeweils andere Kennwortrichtlinien 

gelten. In Windows Server 2008 sind endlich solche abgestimmte Kennwortrichtlinien (engl. 

fine-grained password policies) verfügbar. Abgestimmte Kennwortrichtlinien stehen in allen 

Editionen von Windows Server 2008 zur Verfügung, aber nur wenn die Domänenfunktionsebene 

auf Windows Server 2008 gesetzt ist. Anders ausgedrückt: Sie müssen erst bei all 

Ihren Domänencontrollern ein Upgrade auf Windows Server 2008 durchführen, bevor Sie 

dieses Feature nutzen können. 

Abbildung 2.15 Diese Domäne verwendet unterschiedliche Kennwortrichtlinien für Administratoren 

und normale Benutzer


Abgestimmte Kennwortrichtlinien haben vor allem die Aufgabe, für privilegierte Konten 

strengere Einstellungen festzulegen, aber weniger strenge Einstellungen für Konten von 

normalen Benutzern. In anderen Fällen kann es sinnvoll sein, eine spezielle Kennwortrichtlinie 

für Konten festzulegen, deren Kennwörter mit anderen Datenquellen synchronisiert 

werden. 

Abgestimmte Kennwortrichtlinien gelten nur für Benutzerobjekte oder inetOrgPerson- 

Objekte, falls Sie solche Objekte statt Benutzerobjekten und globalen Sicherheitsgruppen 

einsetzen. Abgestimmte Kennwortrichtlinien sind mithilfe eines Kennworteinstellungscontainers 

(Password Settings Container, PSC) unter dem Container System der Domäne implementiert. 

(In Kapitel 9, »Optimieren der Active Directory-Domänendienste für Sicherheit«, 

finden Sie weitere Informationen über Active Directory.) Der PSC speichert ein oder mehrere 

Kennworteinstellungsobjekte (Password Settings Object, PSO), die die eigentlichen 

Richtlinien enthalten. Abbildung 2.15 zeigt einen PSC mit zwei PSOs. 

Leider hat Microsoft in Windows Server 2008 keine besonders gute Benutzeroberfläche zum 

Verwalten der abgestimmten Kennwortrichtlinien zur Verfügung gestellt. Gehen Sie folgendermaßen 

vor, um eine unterschiedliche Kennwortrichtlinie für Administratoren zu konfigurieren: 

1. Starten Sie den ADSI-Editor, indem Sie adsiedit.msc eingeben. 

2. Stellen Sie die Verbindung zu Ihrer Domäne her, indem Sie im linken Fensterabschnitt 

mit der rechten Maustaste auf den Knoten ADSI-Editor klicken und den Befehl Verbindung 

herstellen wählen. Geben Sie den Namen der Domäne ein. 

3. Erweitern Sie die Domäne, dann den DC-Knoten und den Knoten CN=System. Wählen 

Sie CN=Password Settings Container aus. 

4. Klicken Sie mit der rechten Maustaste auf CN=Password Settings Container, wählen Sie 

den Befehl Neu und dann Objekt. 

5. Wählen Sie den Eintrag msDS-PasswordSettings aus (Abbildung 2.16) und klicken Sie 

auf Weiter. 

Abbildung 2.16 Um eine abgestimmte Kennwortrichtlinie zu erstellen, 

müssen Sie ein neues msDS-PasswordSettings-Objekt erstellen


6. Geben Sie dem neuen Objekt einen aussagekräftigen Namen, zum Beispiel »Administrative 

Kennwortrichtlinie«. 

7. Klicken Sie auf Weiter und geben Sie den Vorrangwert für das Objekt an. Dieser Wert 

legt fest, welche Richtlinie Vorrang hat, falls zwei Richtlinien auf denselben Benutzer 

angewendet werden. Die Einstellung mit dem kleineren Vorrangwert gewinnt. 

8. Gehen Sie die übrigen Assistentenseiten durch und tragen Sie Werte für alle Elemente 

ein. Die möglichen Werte sind in Tabelle 2.5 aufgeführt. 

9. Wenn Sie die Sperrdauer (msDS-LockoutDuration) konfiguriert haben, wird die Seite 

aus Abbildung 2.17 angezeigt. Hier müssen Sie konfigurieren, auf welche Benutzer dieses 

PSO angewendet wird. Beginnen Sie diesen Konfigurationsvorgang, indem Sie auf 

Weitere Attribute klicken. 

Abbildung 2.17 Auf dieser Seite können Sie konfigurieren, 

auf wen das Objekt angewendet wird 

10. Wählen Sie in der Dropdownliste Anzuzeigende Eigenschaft den Eintrag 

msDS-PSOAppliesTo aus. 

11. Geben Sie den definierten Namen (Distinguished Name, DN) des Benutzers oder der 

globalen Sicherheitsgruppe ein, auf die Sie diese Richtlinie anwenden wollen. Zum Beispiel 

können Sie die Richtlinie auf die Gruppe Domänen-Admins anwenden, indem Sie 

die folgende Syntax verwenden, aber dabei die DC-Attribute für Ihre eigene Domäne 

eintragen: CN=Domänen-Admins,CN=Benutzer,DC=contoso,DC=com. Das Ergebnis 

sehen Sie in Abbildung 2.18. Klicken Sie auf OK. 

12. Klicken Sie auf Fertig stellen.

Abbildung 2.18 Mit dem Attribut msDS-PSOAppliesTo wenden 

Sie die Richtlinie auf eine Gruppe oder einen Benutzer an 

Tabelle 2.5 Werte für abgestimmte Kennwortrichtlinien 


Attributname Beschreibung Möglicher 

Wertebereich 

msDS-PasswordSettings- 

Precedence 

msDS-PasswordReversible- 

Encryption- 

Enabled 

msDS-PasswordHistory- 

Length 

msDS-PasswordComplexityEnabled 

msDS- 

Minimum- 

Password- 

Length 

Definiert, welche Richtlinie Vorrang hat, falls mehrere Richtlinien auf denselben 

Benutzer angewendet werden. Die Richtlinie mit dem kleinsten Vorrangwert 

gewinnt. 

Legt fest, ob Kennwörter mit umkehrbarer Verschlüsselung gespeichert 

werden. False bedeutet, dass sie nicht mit umkehrbarer Verschlüsselung 

gespeichert werden. 

Legt fest, wie viele Kennwörter das System für einen Benutzer aufzeichnet. 

Dies bedeutet in der Praxis, dass der Benutzer ein früher verwendetes 

Kennwort erst wieder hernehmen kann, wenn er mindestens so viele andere 

Kennwörter eingestellt hat, wie in diesem Attribut festgelegt sind. 

False, falls die Kennwortkomplexität für diese Benutzerkonten nicht erforderlich 

ist. True, falls Kennwortkomplexität erforderlich ist. 

Die minimale Länge für ein Kennwort. Kennwörter können bis zu 255 Zeichen 

lang sein, aber ältere Systeme unterstützen nur Kennwörter mit maximal 

127 Zeichen. 

Größer 0 

FALSE / TRUE 

0 bis 1024 

FALSE / TRUE 

0 bis 255


Attributname Beschreibung Möglicher 

Wertebereich 

msDS-MinimumPassword- 

Age 

msDS-MaximumPassword- 

Age 

msDS-Lockout- 

Threshold 

msDS-Lockout- 

Observation- 

Window 

msDS-Lockout- 

Duration 

Wie alt ein Kennwort mindestens sein muss, bevor es wieder geändert 

werden kann. Wenn Sie hier einen vernünftigen Wert einstellen, zum Beispiel 

1 oder 2 Tage, ist sichergestellt, dass ein Benutzer nicht automatisch 

durch die Kennwortchronik wechseln und das gerade erst verwendete 

Kennwort erneut verwenden kann. Dieser Wert (wie alle Zeitwerte) wird im 

Format Tage:Stunden:Minuten:Sekunden eingegeben. 02:00:00:00 steht 

also für zwei Tage. 

Legt fest, wie alt ein Kennwort sein darf, bevor es geändert werden muss. 

Wenn Kennwörter niemals ablaufen, können Sie den Wert (Nie) eintragen. 

Geben Sie andernfalls den Zeitraum im üblichen Zeitformat ein, zum Beispiel 

180:00:00:00. 

Legt fest, wie oft ein Benutzer das Kennwort falsch eingeben kann, bevor 

das Konto gesperrt wird. Mit dem Wert 0 können Sie die Kontosperrung 

deaktivieren. 

Das Zeitintervall, für das die Zahl falscher Kennworteingaben summiert wird. 

Falls dieser Wert zum Beispiel auf 00:00:30:00 gesetzt ist, hat der Benutzer 

msDS-LockoutThreshold Versuche innerhalb von 30 Minuten, danach wird 

der Zähler zurückgesetzt. 

Legt fest, wie lange das Konto gesperrt bleibt, bevor die Sperre automatisch 

aufgehoben wird. Wenn Sie den Wert (Nie) eintragen, muss das Konto von 

einem Administrator entsperrt werden. 

(Kein) 

00:00:00:00 bis 

msDS-Maximum- 

PasswordAge- 

Wert 

(Nie) 

msDS-Minimum- 

PasswordAge- 

Wert bis (Nie) 

msDS-Maximum- 

PasswordAge darf 

nicht 0 sein 

0 bis 65535 

(Kein) 

00:00:00:01 bis 

msDS-Lockout- 

Duration-Wert 

(Kein) 

(Nie) 

msDS-Lockout- 

Observation- 

Window-Wert bis 

(Nie) 

Tools zum Verwalten abgestimmter Kennwortrichtlinien 

Sie haben wahrscheinlich schon erraten, dass Microsoft nicht mehr genug Zeit hatte, um 

gute Tools zum Verwalten abgestimmter Kennwortrichtlinien zu entwickeln. Glücklicherweise 

stehen einige andere Möglichkeiten zur Verfügung. Joeware.net bietet unter 

http://www.joeware.net/freetools/tools/psomgr/index.htm ein Befehlszeilentool an. 

Es steht ein GUI-Tool für PowerGUI zur Verfügung, das auf der Windows PowerShell 

von Windows Server 2008 aufsetzt: 

http://powergui.org/entry.jspa?externalID=882&categoryID=46 

Ein weiteres kostenloses GUI-Tool stellt Special Operations Software zur Verfügung: 

http://www.specopssoft.com/wiki/index.php/SpecopsPasswordPolicybasic/SpecopsPass 

wordPolicybasic/

Weitere Informationen 55 

Vorrang bei abgestimmten Kennwortrichtlinien 

Ich habe weiter oben erwähnt, dass für abgestimmte Kennwortrichtlinien ein Vorrangwert 

festgelegt wird. Dieser Wert dient dazu, den Konflikt für den Fall zu lösen, dass zwei PSOs 

auf denselben Benutzer angewendet werden. Der Domänencontroller führt die Richtlinien 

nicht zusammen, daher muss ein Weg gefunden werden, den Konflikt zu beseitigen. Die 

Auflösung funktioniert nach folgendem Schema: 

1. Falls nur ein PSO mit dem Benutzerobjekt verknüpft ist, wird dieses PSO verwendet. 

Falls mehrere PSOs mit einem Benutzerobjekt verknüpft sind, wird eine Warnmeldung 

in das Ereignisprotokoll eingetragen und das PSO mit dem kleinsten Vorrangwert wird 

verwendet. 

2. Falls kein PSO mit dem Benutzerobjekt verknüpft ist, vergleicht das System die Vorrangwerte 

aller PSOs, die mit Gruppen verknüpft sind, bei denen der Benutzer Mitglied 

ist. Das PSO mit dem kleinsten Vorrangwert wird verwendet. 

3. Falls keine dieser Methoden ergibt, dass ein PSO ausgewählt wurde, gilt die Standarddomänenrichtlinie. 


Kennwörter und Authentifizierung sind ein kompliziertes, aber sehr interessantes Gebiet. Sie 

bilden die Basis für vieles, was wir in allen anderen Bereichen der Sicherheit tun. Sie brauchen 

zwar kein Experte für Authentifizierung zu sein, um Windows-Server zu verwalten, 

aber Sie müssen die grundlegenden Konzepte so weit verstehen, dass sie sinnvolle Entscheidungen 

bezüglich der Authentifizierung treffen können. Falls Sie sich schon einmal mit 

Consultants oder Auditoren herumschlagen mussten, haben Sie wahrscheinlich schon mit 

einem der wenigen, aber immer noch viel zu zahlreichen Leute zu tun gehabt, die nichts von 

Kennwörtern und Authentifizierung verstehen, aber trotzdem Forderungen aufstellen, wie 

sie verwaltet werden sollen. Schon etliche Netzwerke wurden entweder durch diese Änderungen 

direkt zerstört oder anschließend gehackt, weil die Änderungen keinen Schutz gegen 

schwerwiegende Angriffe boten. Nur wenn Sie genug davon verstehen, wie Authentifizierung 

funktioniert, können Sie sinnvolle Entscheidungen darüber treffen, wie Sie die »Schlüssel 

zur Stadt« verwalten wollen, oder in diesem Fall: die Authentifizierer, die Zugriff auf Ihr 

Netzwerk gewähren. 


Burnett, M.: Perfect Passwords: Selection, Protection, Authentication (Syngress, 2005). 

Johansson, J. M.: Protect Your Windows Network (Addison-Wesley, 2005). 

Johansson, J. M.: »The Most Misunderstood Security Setting of All Time«. TechNet 

Magazine. 

Kent, J.: »Malaysia Car Thieves Steal Finger« unter http://news.bbc.co.uk/2/hi/asiapacific/4396831.stm.


Microsoft Corporation: »Server Core Installation Option of Windows Server 2008 Stepby-Step 

Guide« unter http://technet2.microsoft.com/windowsserver2008/en/library/ 

47a23a74-e13c-46de-8d30-ad0afb1eaffc1033.mspx?mfr=true. 

Microsoft Corporation: »Step-by-Step Guide for Fine-Grained Password and Account 

Lockout Policy Configuration« unter http://go.microsoft.com/fwlink/?LinkID=91477. 

Wagner, M.: »The Password Is: Chocolate« unter http://informationweek.com/story/ 

showArticle.jhtml?articleID=18902123.


Objekte: Was Sie wollen 



Terminologie der Zugriffssteuerung ....................................... 57 

Tools zum Verwalten von Berechtigungen ................................... 81 

Wichtige Änderungen bei der Zugriffssteuerung in Windows Server 2008 ............. 84 

Benutzerrechte und Privilegien .......................................... 85 

RBAC/AZMAN ..................................................... 89 



Ich weiß, was Sie denken: Jetzt haben Sie schon zwei komplette Kapitel gelesen, und bisher 

ging es um nichts anderes als Benutzer! Menschen! Wen interessieren die schon? Ich habe 

jetzt eine gute und eine schlechte Nachricht für Sie. Die gute Nachricht ist, dass wir gleich 

damit beginnen werden, in abstrakte und mysteriöse technische Konzepte wie zum Beispiel 

Sicherheitsbeschreibungen einzutauchen. Die schlechte Nachricht ist, dass dies alles dazu 

dient, unseren Benutzern zu helfen und ihnen sicheren Datenzugriff bieten zu können. 

Wenn wir die Menschen eine Weile ignorieren (was alle Sicherheitsexperten gerne tun würden), 

sind Objekte die Dinge, die wir vor den Benutzern schützen wollen. (Falls Sie noch 

nicht so lange im Bereich Sicherheit arbeiten wie ich, können Sie auch diese naive Definition 

verwenden: auf die wir Benutzern den Zugriff ermöglichen wollen.) In diesem Kapitel 

sehen wir uns an, welche Technologien den Zugriff auf Objekte steuern. Das ist eines der 

technischer orientierten Kapitel in diesem Buch. Ich denke, es ist wichtig, dass ein Administrator 

die grundlegende Funktionsweise dieser Technologien kennt. Nur so ist er in der 

Lage, Windows sinnvoll zu verwalten. Wir beschäftigen uns hier mit Tools zum Verwalten 

und Objekten und sehen uns an, wie sich die Zugriffssteuerung in Windows Server 2008 

geändert hat. Ein kurzer Abschnitt zur rollenbasierten Zugriffssteuerung folgt am Ende. 

Bevor wir damit anfangen, muss ich aber sicherstellen, dass wir uns über die Terminologie 

einig sind. 

Terminologie der Zugriffssteuerung 

Falls Sie bisher noch nicht mit grundlegenden Konzepten der Windows-Sicherheit gearbeitet 

haben, müssen Sie eine Menge seltsamer Begriffe lernen. Und selbst wenn Sie die Sicherheitsinfrastruktur 

in anderen Betriebssystemen verwaltet haben, müssen Sie sich in Windows 

an einige neue Begriffe gewöhnen. Dieser Abschnitt definiert die wichtigsten Konzepte, die 

bei der Zugriffssteuerung in Windows verwendet werden. 

57

58 Kapitel 3: Objekte: Was Sie wollen 

Geschützte Objekte 

Der Grundbaustein für die Sicherheitsverwaltung in Windows ist ein geschütztes Objekt 

(engl. securable object). Ein geschütztes Objekt ist schlicht irgendeine Art von Objekt, auf 

das Berechtigungen angewendet werden können. Das geschützte Objekt, mit dem Sie vermutlich 

am häufigsten zu tun hatten, ist eine Datei. Im Dateisystem NTFS können sowohl 

auf Dateien als auch auf Verzeichnisse Berechtigungen angewendet werden. Die Berechtigungen 

werden übrigens in den Dateisystemmetadaten gespeichert, nicht in der Datei selbst, 

aber dieses technische Detail ist für einen Systemadministrator letztlich unerheblich. Unterschiedliche 

Typen geschützter Objekte sind: 

Dateien 

Verzeichnisse 

Registrierungsschlüssel 

Active Directory-Objekte 

Kernobjekte (Ereignisse, Semaphore, Mutexe) 


Threads 

Prozesse 

Firewallports (neu in Windows Vista und Windows Server 2008) 

Arbeitsstationen und Desktops 

Sicherheitsbeschreibungen 

Alle geschützten Objekte haben eines gemeinsam: Sie sind mit einer Sicherheitsbeschreibung 

(Security Descriptor, SD) verknüpft. Die SD ist das Konstrukt, das alle Sicherheitsinformationen 

enthält, die mit dem Objekt verknüpft sind. Eine Sicherheitsbeschreibung ist 

gar nicht sonderlich kompliziert. Abbildung 3.1 zeigt ihren Aufbau. 

Abbildung 3.1 Die Sicherheitsbeschreibung enthält im Wesentlichen Zeiger 

auf andere Sicherheitsobjekte 

Die Sicherheitsbeschreibung können Sie als Tabelle mit 5 Zeilen zu jeweils 32 Bits betrachten. 

Die erste Zeile in Abbildung 3.1 (wie auch in den weiteren Abbildungen) zeigt die Bitposition 

jedes Elements. Beachten Sie, dass die Nummern von links nach rechts kleiner 

werden. Die Ursache ist die Datenstruktur der Intel-Prozessoren, auf denen Windows läuft. 

Weitere Informationen finden Sie im Textkasten »Warum zählt Windows rückwärts?«

Terminologie der Zugriffssteuerung 59 

Warum zählt Windows rückwärts? 

Abbildung 3.1 und die nachfolgenden Abbildung zeigen Tabellen mit Bitstrukturen. Die 

Nummerierung ganz oben scheint dabei verkehrt herum zu laufen. Dies sind die Bitpositionen 

für die Objekte in der Struktur. Zum Beispiel umfasst die Versionsangabe einer SD 

8 Bits, die in den Bits 0 bis 7 der SD liegen. Der Zeiger auf den Besitzer beginnt bei Bitposition 

32 und so weiter. 

Die Spalten sind so nummeriert, weil Windows ein sogenanntes Little-endian-Betriebssystem 

ist. Alle Speicherstrukturen sind so gespeichert, dass die Bits von rechts nach links 

gezählt werden. Das ist eigentlich ein Artefakt der Prozessorarchitektur, im Fall von Windows 

basiert dies auf der x86-Architektur, die bis vor Kurzem die weitaus wichtigste Architektur 

für Windows war. Auch die x64-Architektur arbeitet im Little-endian-Format. 

Die Vor- und Nachteile des Little-endian-Formats und seinem Gegenstück, dem Bigendian-Format, 

haben geradezu religiöse Debatten unter den Leuten ausgelöst, die sich 

mit solchen Dingen beschäftigen. Beide Methoden haben Vorteile, und in der Praxis brauchen 

Sie sich ohnehin kaum darum zu kümmern, sofern Sie kein Entwickler sind. 

Die letzten vier Zeilen in der SD sind Zeiger auf etwas anderes. Die zweite Zeile in Abbildung 

3.1 ist ein Zeiger auf eine Sicherheits-ID (Security Identifier, SID), die für den Besitzer 

des Objekts steht. Die dritte Zeile ist ein Zeiger auf eine SID, die für die primäre Gruppe 

des Besitzers steht. Das Konzept der primären Gruppe wird ausschließlich für POSIX-Kompatibilität 

benötigt, nicht für native Windows-Operationen. In POSIX werden Berechtigungen 

nur drei Entitäten gewährt: dem Besitzer, der Gruppe des Besitzers und allen Benutzern. 

Damit es eine Gruppe gibt, der eine Berechtigung gewährt werden kann, verwendet Windows 

ein Konzept für eine primäre Gruppe. Dies ist der entsprechende Eintrag in einer SD. 

Die letzten zwei Zeilen sind Zeiger auf die SACL (System Access Control List, Systemzugriffssteuerungsliste) 

beziehungsweise DACL (Discretionary Access Control List, freigegebene 

Zugriffssteuerungsliste). 

Die erste Zeile enthält eine Versionsnummer, die momentan immer 1 ist, 8 reservierte Bits 

und ein Steuerfeld. Das Steuerfeld enthält eine Reihe von Flags, die die Aufgabe der Sicherheitsbeschreibung 

festlegen. Das Feld kann eine Kombination unterschiedlicher Flagwerte 

sein. Die meisten Werte sind in Tabelle 3.1 aufgeführt. Dort ist auch das SDDL-Flag (Security 

Descriptor Definition Language) für den Wert angegeben (sofern vorhanden). Die Aufgabe 

dieses Flags wird weiter unten in diesem Kapitel noch ausführlich erklärt. Vorerst können 

Sie es ignorieren. 

Tabelle 3.1 Steuerflags in einer Sicherheitsbeschreibung 

Flagname SDDL- 

Flag 

Flagwert Beschreibung 

SE_OWNER_DEFAULTED 0x0001 Die Sicherheits-ID (Security Identifier, SID), auf die das Besitzerfeld 

verweist, wurde durch einen Standardmechanismus 

bereitgestellt. 

SE_GROUP_DEFAULTED 0x0002 Die Sicherheits-ID, auf die das Gruppenfeld verweist, wurde 

durch einen Standardmechanismus bereitgestellt. 

SE_DACL_PRESENT 0x0004 Diese SD verweist auf eine DACL. Falls dieses Flag nicht 

gesetzt ist, hat die SD eine NULL-DACL.


Flagname SDDL- 

Flag 

Flagwert Beschreibung 

SE_DACL_DEFAULTED 0x0008 Die DACL wurde durch einen Standardmechanismus festgelegt, 

nicht explizit. Das ist üblich bei Systemobjekten, aber 

nicht bei Dingen wie Dateisystemobjekten, Registrierungsschlüsseln 

und so weiter. 

SE_SACL_PRESENT 0x0010 Diese SD enthält einen Zeiger auf eine SACL. 

SE_SACL_DEFAULTED 0x0020 Die SACL wurde durch einen Standardmechanismus eingetragen. 

SE_DACL_AUTO_INHERIT_ 

REQ 

SE_SACL_AUTO_INHERIT_ 

REQ 

AR 0x0100 Die DACL muss an untergeordnete Objekte vererbt werden. 

Falls dieses Flag zum Beispiel bei einem Verzeichnis gesetzt 

ist, erben Unterverzeichnisse und Dateien die DACL. Dieses 

Flag definiert einen alten Vererbungsmechanismus, der in 

erster Linie in Windows NT 4.0 und seinen Vorgängern verwendet 

wurde. Das Flag wird von den meisten modernen 

Tools ignoriert. Neuere Windows-Versionen unterstützen die 

Vererbung einzelner Einträge in der ACL. 

0x0200 Die SACL muss an untergeordnete Objekte vererbt werden. 

Wie beim entsprechenden DACL-Flag wird dieser Mechanismus 

nicht mehr verwendet. 

SE_DACL_AUTO_INHERITED AI 0x0400 Die DACL wurde von einem übergeordneten Objekt geerbt, 

zum Beispiel einem Verzeichnis. 

SE_SACL_AUTO_INHERITED 0x0800 Die SACL wurde von einem übergeordneten Objekt geerbt. 

SE_DACL_PROTECTED P 0x1000 Die DACL ist gegen Vererbung geschützt. Das bedeutet, dass 

die DACL eines übergeordneten Objekts die DACL des untergeordneten 

Objekts nicht überschreibt. 

SE_SACL_PROTECTED 0x2000 Die SACL ist geschützt. 

Zugriffsteuerungslisten 

Der vierte Zeiger in der Sicherheitsbeschreibung verweist auf eine DACL (Discretionary 

Access Control List). Eine DACL ist einer von drei unterschiedlichen Typen von Zugriffssteuerungslisten 

(Access Control List, ACL). Windows unterstützt zwei dieser drei Typen. 

Die drei ACL-Typen werden für unterschiedliche Zwecke verwendet. Eine ACL dient normalerweise 

dazu, Berechtigungen für ein Objekt zu definieren. DACLs und MACLs (Mandatory 

Access Control List) haben diesen Zweck. 

Normalerweise ist eine DACL gemeint, wenn wir über eine ACL in Windows reden. Eine 

DACL kann vom Administrator oder Objektbesitzer verwaltet werden. Der Administrator 

kann zum Beispiel einem anderen Benutzer die Berechtigung gewähren, in ein Objekt zu 

schreiben. Das System, das die Berechtigungen durchsetzt, sorgt dafür, dass die definierten 

Regeln eingehalten werden. Wenn der Administrator denkt, dass der andere Benutzer keinen 

Zugriff mehr auf das Objekt braucht, kann er die Berechtigungen ändern. Das System hat 

nur die Aufgabe, die Berechtigungen durchzusetzen, die der Administrator, der Besitzer oder 

ein anderer Benutzer, der die Berechtigung zum Ändern von Berechtigungen besitzt, festgelegt 

hat. Die Berechtigungen werden also immer von irgendwelchen Benutzern gesteuert.


Eine MACL wird dagegen nicht von einem Benutzer verwaltet. Alle Daten werden mit einer 

Kennzeichnung versehen, die angibt, wie wichtig oder vertraulich das jeweilige Objekt ist. 

Auf Basis dieser Kennzeichnung erzwingt das System die Zugriffssteuerung für dieses Objekt. 

Der große Unterschied besteht in diesem Fall darin, dass nicht von einem anderen Benutzer 

im System festgelegt wird, welche Operationen ein anderer Benutzer mit dem Objekt 

durchführen darf. Die Berechtigungen werden allein vom System erzwungen. Diese ACL ist 

also verpflichtend (engl. mandatory). Falls Sie die CISSP-Prüfung bestanden oder sich mit 

theoretischen Sicherheitsmodellen beschäftigt haben, sind Sie wahrscheinlich mit dem Bell- 

LaPadula-Modell der Sicherheit vertraut. Dieses Modell beschreibt ein System der verpflichtenden 

Zugriffssteuerung (Mandatory Access Control, MAC). Windows unterstützt 

MACLs nicht. 

Schließlich gibt es noch SACLs (System Access Control List). SACLs haben genau denselben 

Aufbau wie DACLs. Aber während DACLs steuern, wer was mit dem Objekt tun darf, 

steuern SACLs, welche Zugriffsversuche überwacht werden. Nehmen wir zum Beispiel an, 

wir haben eine ACL, die Administratoren Schreibzugriff zuweist. Falls diese ACL eine DACL 

ist, gewährt sie Administratoren die Berechtigung, in das Objekt zu schreiben. Falls die ACL 

eine SACL ist, bewirkt sie, dass jedes Mal, wenn ein Mitglied der Administratorengruppe in 

das Objekt schreibt, ein Überwachungsereignis aufgezeichnet wird. Weitere Informationen 

zu SACLs und Überwachung finden Sie in Kapitel 8, »Überwachung«. 

Aufbau einer ACL 

Wie bei einer Sicherheitsbeschreibung lässt sich der Aufbau einer ACL in Tabellenform 

darstellen. Den Header einer ACL sehen Sie in Abbildung 3.2. Aber während bei einer Sicherheitsbeschreibung 

der Inhalt variabler Länge (zum Beispiel DACL und SACL) als Zeiger 

definiert ist, sodass die Länge der Sicherheitsbeschreibung selbst immer gleich bleibt, eignet 

sich diese Struktur nicht für eine ACL, weil sie praktisch beliebig lang sein kann. 

Abbildung 3.2 Der ACL-Header enthält die Metadaten der ACL 

Der erste Teil einer ACL (von rechts nach links) ist ein 16-Bit-Wert, der die Größe der ACL 

in der Einheit Byte angibt. Das bedeutet, dass eine ACL maximal 64 KByte lang sein kann. 

Neben der Versionsnummer ist der einzige andere Teil die Zahl der ACEs (Access Control 

List Entry, Zugriffssteuerungseintrag). Die ACEs werden an die ACL angehängt, aber normalerweise 

werden sie als eigenständige Struktur betrachtet. 

Zugriffssteuerungseinträge 

Der ACE ist das Arbeitspferd der Zugriffssteuerung. Er definiert das Subjekt und welche 

Berechtigungen dieses Subjekt bezüglich des Objekts hat. Abbildung 3.3 zeigt den Aufbau 

des ACE.


Abbildung 3.3 Die Größe des ACE ist variabel, weil er eine SID enthält, deren Größe schwanken kann 

Der erste Teil eines ACE ist das Größenattribut. Dies ist wiederum ein 16-Bit-Wert, aber 

offensichtlich kann ein ACE nicht so groß sein, weil er dann nicht mehr in eine ACL passen 

würde. Der ACE hat aber eine variable Länge, weil er eine SID enthält, deren Größe nicht 

fest ist. Die SID definiert, für welches Subjekt der ACE gilt. Der ACE hat außerdem einen 

Satz von 8 Flags und 8 Bits, die den ACE-Typ definieren. Die Flags definieren, wie der ACE 

erstellt oder verarbeitet wurde. Tabelle 3.2 beschreibt die wichtigsten Flags, wiederum mit 

den SDDL-Verknüpfungen (Security Descriptor Definition Language). Diese SDDL-Verknüpfungen 

werden im Abschnitt »Security Descriptor Definition Language« weiter unten 

in diesem Kapitel genauer beschrieben. 

Tabelle 3.2 Wichtige ACE-Flags 

Flag SDDL-Verknüpfung 

Bedeutung 

OBJECT_INHERIT_ACE OI Dieser ACE sollte von untergeordneten Objekten geerbt werden. 

CONTAINER_INHERIT_ACE CI Dieser ACE sollte von untergeordneten Containern geerbt werden. 

NO_PROPAGATE_INHERIT_ACE NP Dieser ACE wird an untergeordnete Objekte vererbt, aber nur auf 

der nächsten Hierarchieebene. Sobald der ACE einmal vererbt 

wurde, löscht das System die OI- und/oder CI-Flags. 

INHERIT_ONLY_ACE IO Dieser ACE wird nur vererbt. Er steuert nicht den Zugriff auf das 

Objekt, für das der ACE ursprünglich definiert wurde. 

INHERITED_ACE ID Dieser ACE wurde von einem übergeordneten Objekt geerbt. 

SUCCESSFUL_ACCESS_ACE_ 

FLAG 

SA Dieser ACE gehört zu einer SACL und löst Überwachungsereignisse 

für erfolgreiche Zugriffsversuche aus. 

FAILED_ACCESS_ACE_FLAG FA Dieser ACE gehört zu einer SACL und löst Überwachungsereignisse 

für fehlgeschlagene Zugriffsversuche aus. 

Wie Sie in Tabelle 3.2 sehen, dienen die ACE-Flags in erster Linie dazu, das Vererbungsverhalten 

des ACE zu steuern. Sie werden aber auch dazu benutzt, das Verhalten eines ACE in 

einer SACL zu definieren. 

Wie bereits erwähnt, werden 8 Bits für den ACE-Typ verwendet. Tabelle 3.3 zeigt die wichtigsten 

ACE-Typen. 

Diese Flags und Typen mögen auf den ersten Blick seltsam wirken. Wenn wir aber weiter 

unten in diesem Kapitel zu SDDL kommen, wird klar werden, dass Sie wissen müssen, was 

alle diese Typen und Flags bedeuten. Nur dann können Sie Berechtigungen interpretieren 

und definieren.


Der letzte Teil des ACE, mit dem wir uns noch nicht beschäftigt haben, ist die Zugriffsmask. 

Die Zugriffsmaske definiert die eigentlichen Berechtigungen oder Überwachungseinstellungen 

für das Objekt. 

Tabelle 3.3 ACE-Typen 

Typ SDDL-Verknüpfung 

Beschreibung 

ACCESS_ALLOWED_ACE_TYPE A Die in diesem ACE definierten Berechtigungen legen fest, welchen 

Zugriff das in der SID angegebene Subjekt auf das Objekt hat. 

Diese ACE-Typen werden oft als Zugriff-erlaubt-ACEs (engl. 

access allowed ACE) bezeichnet. 

ACCESS_DENIED_ACE_TYPE D Dieser ACE verweigert den Zugriff auf das Objekt. Die im ACE 

definierten Berechtigungen werden mit dem Zugriffsversuch verglichen. 

Falls der Zugriffsversuch irgendeine der hier festgelegten 

Berechtigungen enthält, wird er verweigert. Diese ACE-Typen 

werden oft als Zugriff-verweigert-ACEs (engl. access denied ACE) 

bezeichnet. 

SYSTEM_AUDIT_ACE_TYPE AU Dieser ACE gehört zu einer SACL. 

ACCESS_ALLOWED_OBJECT_ 

ACE_TYPE 

ACCESS_DENIED_OBJECT_ 

ACE_TYPE 

SYSTEM_AUDIT_OBJECT_ 

ACE_TYPE 

SYSTEM_MANDATORY_LABEL_ 

ACE_TYPE 

OA Dieser ACE-Typ ähnelt dem Typ A, gilt aber für ein Active Directory-Objekt, 

nicht für ein Dateisystemobjekt. 

OD Dieser ACE-Typ ähnelt dem Typ D, gilt aber für ein Active Directory-Objekt, 

nicht für ein Dateisystemobjekt. 

OU Dies ist ein Überwachungs-ACE in einer SACL für ein Active Directory-Objekt. 

Dieser ACE wird nicht für Zugriffssteuerung oder Überwachung 

genutzt, sondern definiert die Integritätsebene des Objekts, für das 

der ACE gilt. Weitere Informationen zu Integritätsebenen finden Sie 

im Abschnitt »Integritätsebenen« weiter unten in diesem Kapitel. 

Zugriffsmasken 

Eine Zugriffsmaske (engl. access mask) ist eine 32-Bit-Struktur. Sie ist in drei Hauptabschnitte 

untergliedert (Abbildung 3.4). 

Abbildung 3.4 Eine Zugriffsmaske definiert die eigentlichen Berechtigungen in einer 32-Bit-Struktur 

Jedes Bit in der Zugriffsmaske kann entweder ein oder aus sein (1 oder 0). Wenn ein Bit auf 

1 gesetzt ist, wird die entsprechende Berechtigung gewährt. Wenn das Bit auf 0 gesetzt ist, 

wird die Berechtigung nicht gewährt. Falls die Zugriffsmaske zu einem Zugriff-erlaubt-ACE 

gehört und die Berechtigung nicht explizit gewährt wird, wird sie implizit verweigert. 

Die vier obersten Bits in der Zugriffsmaske definieren die sogenannten generischen Berechtigungen 

(engl. generic permission). Dies sind im Grunde Auflistungen der Berechtigungen, 

die Sie in Betriebssystemen mit einfacheren Zugriffssteuerungsmodellen finden. GR (Generic 

Read) steht für eine generische Leseberechtigung. In einem Zugriff-erlaubt-ACE gewährt


sie dem Subjekt den Lesezugriff auf das Objekt, und zwar unabhängig vom Objektstyp. 

Diese Berechtigung kann auch als FR (für FILE_GENERIC_READ, generischer Lesezugriff auf 

eine Datei) oder KR (für KEY_GENERIC_READ, generischer Lesezugriff auf einen Schlüssel) 

lauten, um generische Berechtigungen zum Lesen von Dateien beziehungsweise Registrierungsschlüsseln 

zu gewähren. Entsprechend definiert GW (Generic Write) eine generische 

Berechtigung für den Schreibzugriff und GX (Generic eXecute) für das Ausführen. GA ist 

eine Kurzform für die Kombination aller drei. Welche Bedeutung diese Einstellungen im 

konkreten Fall haben, hängt vom Objekt ab. Falls Sie zum Beispiel die GX-Berechtigung für 

ein Verzeichnis setzen, geben Sie dem Subjekt das Recht, das Verzeichnis bis zu einem Unterverzeichnis 

oder einer Datei hin zu durchlaufen, auf das dieses Subjekt Zugriff hat. 

Das macht einen sehr wichtigen Punkt bezüglich Zugriffsmasken deutlich. Der Kurzname 

der Berechtigung, zum Beispiel GR und FR, ist nur insofern wichtig, als er definiert, welches 

Bit in der Zugriffsmaske gesetzt ist. Falls eine Zugriffsmaske erstellt und darin FR 

gesetzt wird, diese Zugriffsmaske dann aber auf einen Registrierungsschlüssel angewendet 

wird, wird die Berechtigung KEY_GENERIC_READ gewährt, weil Bit 31 gesetzt wurde. Das 

klingt etwas unlogisch, aber wenn Sie sich die Berechtigungen in der Form von SDDL- 

Zeichenfolgen ansehen, stellen Sie sehr oft fest, dass generische Dateiberechtigungen auf 

Registrierungsschlüssel angewendet werden, Objektberechtigungen auf Dateien und so weiter. 

Sie dürfen nie vergessen, dass alle diese Berechtigungen Bitmasken definieren. Die tatsächliche 

Bedeutung dieser Bitmaske wird auf Basis des Objekttyps ausgewertet, wenn die 

Zugriffsprüfung durchgeführt wird. 

Die 8 Bits mit den Standardrechten in Abbildung 3.4 werden ähnlich benutzt, allerdings 

werden nur die unteren 5 Bits tatsächlich verwendet. Die Standardrechte sind: 

DELETE: Die Fähigkeit, das Objekt zu löschen. Diese Berechtigung ist als 0x10000 

definiert, in Abbildung 3.4 ist also Bit 16 auf 1 gesetzt. 

READ_CONTROL: Die Fähigkeit, die Sicherheitsbeschreibung des Objekts zu lesen 

(ausgenommen die SACL). Diese Berechtigung ist als 0x20000 definiert, in Abbildung 

3.4 ist also Bit 17 auf 1 gesetzt. 

WRITE_DAC: Die Fähigkeit, Berechtigungen für dieses Objekt zu ändern (die DACL 

zu schreiben). Diese Berechtigung ist als 0x40000 definiert, in Abbildung 3.4 ist also Bit 

18 auf 1 gesetzt. 

WRITE_OWNER: Die Fähigkeit, den Besitzer eines Objekts zu ändern. Diese Berechtigung 

ist als 0x80000 definiert, in Abbildung 3.4 ist also Bit 19 auf 1 gesetzt. 

SYNCHRONIZE: Das Recht, das Objekt für die Synchronisierung zu verwenden. Falls 

zum Beispiel ein Prozess informiert werden muss, wenn ein Objekt seinen Zustand ändert, 

erstellt er ein Synchronisierungshandle für das Objekt. Er wird dann benachrichtigt, 

sobald sich der Zustand des Objekts ändert. Diese Berechtigung ist als 0x100000 definiert, 

in Abbildung 3.4 ist also Bit 20 auf 1 gesetzt. 

Es gibt auch Kombinationen der Standardrechte, aber sie sind in erster Linie für Programmierer 

interessant. Sie kommen nur damit in Berührung, falls Sie Entwicklerdokumentationen 

lesen. Daher ignorieren wir diese Kombinationen vorerst. 

Schließlich haben wir 16 Bits für objektspezifische Rechte in der Zugriffsmaske. Mit den 

objektspezifischen Rechten können Sie Berechtigungen konfigurieren, die nur für bestimmte 

Objekte gültig sind. Tabelle 3.4 erklärt die objektspezifischen Rechte für Dateisystemobjekte. 

Nur 8 der Bits werden tatsächlich für Dateisystemobjekte verwendet. Falls Sie sich die ob-


jektspezifischen Rechte für andere Objekttypen ansehen wollen, können Sie die Entwicklerdokumentation 

unter http://msdn.microsoft.com lesen. Suchen Sie dort nach den objektspezifischen 

Rechten und dem gewünschten Objekttyp. 

Tabelle 3.4 Objektspezifische Rechte für Dateisystemobjekte 

Definition Wert Bit Beschreibung 

FILE_READ_DATA 0x1 0 Leseberechtigung. Bei einer Datei gewährt das Flag das Recht, die 

Datei zu lesen. 

FILE_LIST_DIRECTORY 0x1 0 Bei einem Verzeichnis gewährt dieses Flag das Recht, den Inhalt des 

Verzeichnisses aufzulisten. 

FILE_WRITE_DATA 0x2 1 Dateischreibberechtigung. Bei einer Datei gewährt das Flag das Recht, 

in die Datei zu schreiben. 

FILE_ADD_FILE 0x2 1 Dieses Recht wird für ein Verzeichnis benutzt. Das Flag erlaubt dem 

Subjekt, eine Datei im Verzeichnis zu erstellen. 

FILE_APPEND_DATA 0x4 2 Bei einer Datei erlaubt das Flag einem Benutzer, Daten an eine Datei 

anzuhängen. 

FILE_ADD_SUB- 

DIRECTORY 

0x4 2 Bei einem Verzeichnis erlaubt das Flag dem Subjekt, ein neues Unterverzeichnis 

anzulegen. 

FILE_READ_EA 0x8 3 Bei einer Datei gewährt das Flag die Berechtigung, die erweiterten 

Dateiattribute zu lesen. Erweiterte Dateiattribute werden in Windows 

normalerweise nicht mehr benutzt. Sie wurden ursprünglich eingeführt, 

um Kompatibilität zu Anwendungen zu gewährleisten, die für OS/2 

geschrieben wurden. 

FILE_WRITE_EA 0x10 4 Bei einer Datei gewährt das Flag die Berechtigung, erweiterte Attribute 

zu schreiben. 

FILE_EXECUTE 0x20 5 Ausführungsberechtigung. Bei einer ausführbaren Binärdatei gewährt 

das Flag das Recht, die Datei auszuführen. 

FILE_TRAVERSE 0x20 5 Berechtigung zum Durchlaufen von Verzeichnissen. Diese Berechtigung 

erlaubt es dem Subjekt, ein Verzeichnis zu durchlaufen, auf das 

dieses Subjekt keinen Zugriff hat. So kann das Subjekt zu einem Unterverzeichnis 

gelangen, auf das es Zugriff besitzt. Allerdings haben alle 

Subjekte in Windows das Privileg Auslassen der durchsuchenden Überprüfung 

(SeChangeNotify), das ihnen dieses Recht ganz unabhängig 

von dieser Berechtigung gewährt. 

FILE_DELETE_CHILD 0x40 6 Bei einem Verzeichnis erlaubt das Flag dem Subjekt, das Verzeichnis 

mit seinem gesamten Inhalt zu löschen. 

FILE_READ_ATTRIBUTES 0x80 7 Bei einer Datei gewährt das Flag das Recht, die normalen Dateiattribute 

zu lesen. 

FILE_WRITE_ATTRIBUTES 0x100 8 Bei einer Datei gewährt das Flag das Recht, Dateiattribute zu schreiben. 

Jetzt fragen Sie sich wahrscheinlich, ob Sie alle diese Details wirklich müssen wissen, um 

Windows zu administrieren. Klare Antwort: Nein, das müssen Sie nicht. Viele Administratoren 

kennen diese Details nicht und schaffen es dennoch, ihren Benutzern die benötigten 

Dienste problemlos zur Verfügung zu stellen. Falls Sie allerdings Berechtigungen verwalten 

wollen, sollten Sie wirklich wissen, wie alle diese Strukturen miteinander verbunden sind.


Abbildung 3.5 Um beliebige Berechtigungen zu analysieren, müssen Sie den hexadezimalen Wert auf 

die Zugriffsmaske abbilden


Und falls Sie Berechtigungen in Server Core-Installationen verwalten oder die für Verzeichnisse 

eingestellten Berechtigungen verstehen wollen, müssen Sie sich fast zwangsläufig mit 

diesen Details beschäftigen. Dasselbe gilt, falls Sie die Berechtigungsverwaltung für irgendein 

Objekt an einen Benutzer delegieren wollen, der kein vollgültiger Administrator sein 

soll. 

Die Definitionen in den Tabellen sind in einem bestimmten Format aufgelistet. Dieses Format 

wird von Entwicklern verwendet, es ist im Software Development Kit (SDK) definiert. 

Statt neue Definitionen zu erfinden, ist es sinnvoll, diese vorhandenen Bezeichnungen zu 

verwenden, wenn im Rest dieses Kapitels und des Buchs auf Berechtigungen verwiesen 

wird. 

Sie können die Berechtigungen natürlich auch in der grafischen Benutzeroberfläche des 

ACL-Editors (kurz ACL-UI für Access Control List User Interface) betrachten. Dort finden 

Sie intuitiv aufbereitete Darstellungen dieser Daten. Das ist aber eine sehr ineffiziente Methode, 

und sie hilft Ihnen nicht, wenn Sie zum Beispiel Sicherheitsvorlagen oder bei einer 

Problembehandlung die im SDDL-Format aufgelisteten Berechtigungen interpretieren müssen. 

In diesen Fällen müssen Sie wissen, wie diese Berechtigungen aufgebaut sind. Zum 

Beispiel könnten Sie auf die Berechtigung 0x1200a9 stoßen. Wie Sie sich inzwischen wohl 

denken können, steht dieser Wert für eine Kombination aus den Bits in den vorherigen 

Tabellen. 0x1200a9 ist binär 100100000000010101001. Wenn wir dieses Muster in Abbildung 

3.4 eintragen, erhalten wir so etwas wie Abbildung 3.5. 

Abbildung 3.5 demonstriert, wie wir gewährte Berechtigungen wie zum Beispiel 0x1200a9 

analysieren müssen. Der Wert verrät, welche Bits in der Zugriffsmaske gesetzt sind. Um 

herauszufinden, was das bedeutet, müssen wir den hexadezimalen Wert (Basis 16) in einen 

Binärwert konvertieren. Dafür können Sie den Windows-Rechner verwenden, wenn sie ihn 

in den wissenschaftlichen Modus schalten. Den Binärwert bilden wir auf die Zugriffsmaske 

ab, wie in Abbildung 3.5 gezeigt. Die gesetzten Bits geben an, welche Berechtigungen gewährt 

wurden. 

Abbildung 3.6 0x1200a9 ist einer der ACEs für das Stammverzeichnis eines Laufwerks


Damit Sie jetzt nicht denken, dass dies ein künstlich konstruiertes Beispiel einer DACL ist, 

die es in der Praxis gar nicht gibt, präsentiere ich in Abbildung 3.6 die ACL-UI-Darstellung 

mit genau diesem ACE. 

Wie Sie in Abbildung 3.6 sehen, kommt die Berechtigung 0x1200a9 in der Praxis gar nicht 

so selten vor. Sie erlaubt Standardbenutzern, auf einem gesamten Volume Dateien zu lesen 

und Verzeichnisse aufzulisten. Vielleicht ist Ihnen aufgefallen, dass die ACL-UI in Abbildung 

3.6 nicht ganz richtig ist, es fehlt die Synchronisierungsberechtigung. Diese Berechtigung 

können Sie in der GUI überhaupt nicht festlegen. 

Abbildung 3.7 Die verschiedenen Zugriffssteuerungsstrukturen haben genau festgelegte Beziehungen


Beziehung zwischen Zugriffssteuerungsstrukturen 

Bevor wir das Thema Zugriffssteuerungsstrukturen verlassen und zur weiteren Terminologie 

im Bereich der Objektsicherheit übergehen, ist es sinnvoll, uns noch einmal im Überblick 

anzusehen, welche Beziehungen zwischen den Strukturen bestehen. Abbildung 3.7 zeigt 

diese Beziehungen. 

Eine Sicherheitsbeschreibung enthält zwei Zeiger auf SIDs, die Besitzer- und Gruppen- 

SIDs. Außerdem enthält sie Zeiger auf zwei ACLs. In der Praxis ist es nicht ungewöhnlich, 

wenn einer oder mehrere dieser Zeiger Nullzeiger sind (nur aus Nullen besteht). In diesem 

Fall fehlen dem Objekt die entsprechenden Strukturen. Das sehen wir uns weiter unten genauer 

an. Am häufigsten hat die SACL einen Nullzeiger, weil viele Objekte keine SACL 

haben. Falls einer der anderen Zeiger ein Nullzeiger ist, können interessante Bugs auftreten. 

Zum Beispiel können sogar integrierte Tools spektakulär fehlschlagen, falls der DACL- 

Zeiger ein Nullzeiger ist. 

Beachten Sie in Abbildung 3.7 außerdem, dass zwar nur ein ACE in jeder ACL aufgeführt 

ist, aber zusätzliche ACEs hinzugefügt werden können. In diesem Fall wird die ACL länger. 

Vererbung 

ACLs können von übergeordneten Objekten an untergeordnete Objekte vererbt werden. 

Zum Beispiel kann ein Verzeichnis eine ACL enthalten, die auf das Verzeichnis angewendet 

wird, aber zusätzlich auf Dateien und Unterverzeichnisse. Heutzutage sollten wir allerdings 

genauer sagen: Die ACEs werden vererbt, nicht die ACL. 

Vor Windows 2000 wurde tatsächlich die ACL vererbt. Die Steuerungsflags der Sicherheitsbeschreibung, 

zum Beispiel SE_DACL_AUTO_INHERIT_REQ (in einer SDDL-Zeichenfolge oft als 

AR aufgeführt), sind ein Überbleibsel aus dieser Zeit. Seit Windows 2000 werden die *AUTO_ 

INHERIT_REQ-Flags aber de facto ignoriert. Genauso wird das AI-Flag (SE_DACL_AUTO_INHERI- 

TED) praktisch ignoriert. Stattdessen werden jetzt die Vererbungsflags in den einzelnen ACEs 

verwendet, was die Flexibilität bei der Vererbung gewaltig steigert, die Sache für den Systemadministrator 

aber auch deutlich komplizierter macht. 

Die Vererbungsflags wurden weiter oben in Tabelle 3.2 aufgelistet. Dies sind die Flags, die 

Sie kennen müssen, um eine SDDL-Zeichenfolge auszuwerten oder um Software zu schreiben, 

die das für Sie erledigt. Falls Sie ausschließlich in der GUI arbeiten, sehen Sie die Vererbungsflags 

wie in Abbildung 3.8. 

In Abbildung 3.8 sehen Sie ein Verzeichnis, das sowohl geerbte als auch nichtgeerbte ACEs 

hat. Die Spalte Geerbt von zeigt an, woher sie stammen. Die Spalte Übernehmen für gibt an, 

wie sie weitervererbt werden. Der erste ACE (für System) gilt offensichtlich nur für Ordner. 

Es gibt einen Vollzugriff-ACE für System, der auch weitervererbt wird. Diese Redundanz 

kommt in ACLs recht häufig vor. 

Außerdem sehen Sie zwei Kontrollkästchen unten in Abbildung 3.8. Sie sind praktisch dynamische 

Darstellungen der ACL-Flags aus Tabelle 3.1. Vererbbare Berechtigungen des übergeordneten 

Objektes einschließen bewirkt, dass alle vererbbaren Berechtigungen an dieses 

Objekt weitergegeben werden. Falls dieses Kontrollkästchen deaktiviert ist, entspricht das 

einem gesetzten P-Flag in der Sicherheitsbeschreibung. Das zweite Kontrollkästchen, Bestehende 

vererbbare Berechtigungen aller untergeordneten Objekte durch vererbbare Berechtigungen 

dieses Objektes ersetzen, steht nicht für irgendein Flag. Es bewirkt, dass Berechtigungen 

erneut vererbt werden. Manche Tools interpretieren das AI-Flag aus Tabelle 3.1 in


derselben Weise, insbesondere der Sicherheitskonfigurations-Editor (Security Configuration 

Editor, SCE). Falls Sie daher in Gruppenrichtlinien die Vererbung für ein Objekt oder einen 

Container auslösen wollen, können Sie in einer Sicherheitsvorlage das AI-Flag verwenden, 

wobei Sie keine anderen ACEs angeben. 

Abbildung 3.8 Die ACL-UI macht die Vererbungsflags mithilfe mehrerer Mechanismen sichtbar 

Abbildung 3.9 zeigt eine andere Möglichkeit, wie die ACL-UI das Vererbungsverhalten 

darstellt. 

Abbildung 3.9 Wenn Sie einen ACE erstellen oder ändern, 

können Sie sein Vererbungsverhalten auswählen


Das Vererbungsverhalten des ACE wird beim Erstellen festgelegt. Die Dropdownliste Übernehmen 

für in Abbildung 3.9 stellt Kombinationen der bekannten Vererbungsflags bereit. 

Tabelle 3.5 führt die angebotenen Kombinationen auf. 

Tabelle 3.5 Vererbungsmöglichkeiten in der ACL-UI und die zugehörigen Flagkombinationen 

ACL-UI-Begriff Flags 

Nur diesen Ordner 

Diesen Ordner, Unterordner und Dateien OI CI (Objekt erben, Container erben) 

Diesen Ordner, Unterordner CI 

Diesen Ordner, Dateien OI 

Nur Unterordner und Dateien OI CI IO (nur erben) 

Nur Unterordner CI IO 

Nur Dateien OI IO 

Berechtigungen nur für Objekte und/oder Container 

in diesem Container übernehmen 

NP (keine Vererbungsweitergabe für ACE) 

Es dauert etwas, um sich in die Vererbung einzuarbeiten, aber wenn Sie erst einmal die 

Grundkonzepte verstanden haben, wird das Thema beherrschbar. Die größte Schwierigkeit 

besteht darin zu wissen, wie die Folgen für große Hierarchien aussehen. Sie müssen die 

folgenden Kernkonzepte kennen: 

Containervererbung bewirkt, dass ACEs von Containern geerbt werden. Die Objektvererbung 

bewirkt dagegen, dass ACEs von Objekten geerbt werden. Außerdem müssen Sie 

wissen, wie für einen bestimmten Objekttyp die Definition von Container und Objekt 

aussieht. 

Eine geschützte ACL überschreibt die gesamte Vererbung von ihren übergeordneten 

Objekten. 

Ein ACE, der nur vererbt wird, steuert nicht den Zugriff auf den Container, in dem er 

definiert wurde. 

Ein ACE, der nicht vererbt wird, gilt nur für den Container, in dem der definiert ist. 

Damit Sie das Thema Vererbung wirklich beherrschen, müssen Sie allerdings auch wissen, 

wie die eigentlichen ACEs bei einer Zugriffsprüfung ausgewertet werden. Daher beschäftigen 

wir uns als Nächstes mit diesem Thema. Zuerst müssen wir dafür das Konzept eines 

Sicherheitstokens verstehen. 

Sicherheitstoken 

Wenn sich ein Benutzer an einem Windows-Computer anmeldet, erstellt das Betriebssystem 

ein Token für diesen Benutzer. Das Token gibt an, wer der Benutzer (das Subjekt) ist, bei 

welchen Gruppen er Mitglied ist und welche Privilegien er hat. In manchen Fällen erstellt 

das Betriebssystem sogar zwei Token für das Subjekt, wenn die Benutzerkontensteuerung 

(User Account Control, UAC) aktiv ist. Mehr dazu finden Sie in Kapitel 4, »Grundlagen der 

Benutzerkontensteuerung«. 

Sie können sich die Token im Microsoft-Tool Process Explorer ansehen, das Sie unter 

http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx 

herunterladen können (dieses Tool steht nur in englischer Sprache zur Verfügung). Abbil-


dung 3.10 zeigt das gefilterte Standardbenutzertoken für einen Administrator, der unter der 

UAC arbeitet. Abbildung 3.11 zeigt das vollständige administrative Token für denselben 

Benutzer. 

Abbildung 3.10 Bei einem gefilterten Token wurden fast alle Privilegien 

entfernt, und für die Gruppe Administratoren ist Deny eingetragen 

Abbildungen 3.10 und 3.11 demonstrieren mehrere wichtige Punkte. Erstens: Im gefilterten 

Token ist für die Administratoren-SID Deny (Verweigern) eingetragen. Das bedeutet, dass 

sie nur verwendet werden kann, um den Zugriff auf etwas zu verweigern. Anders ausgedrückt: 

Falls eine ACL einen Zulassen-ACE für Administratoren enthält, gibt es keine Übereinstimmung 

mit dem gefilterten Token. Nur wenn der ACE ein Verweigern-ACE ist, ergibt 

sich eine Übereinstimmung. 

Zweitens: Viele Privilegien in beiden Token sind deaktiviert. Das bedeutet nicht, dass der 

Benutzer diese Privilegien nicht einsetzen kann. Es bedeutet lediglich, dass ein Prozess, der 

diese Privilegien braucht, sie erst aktivieren muss. Dazu reicht oft ein einfacher Funktionsaufruf 

aus. Wenn die Privilegien deaktiviert werden, schützt das den Benutzer nur vor einer 

unbeabsichtigten Nutzung der Privilegien. Es bedeutet keinen Sicherheitsvorteil. 

Drittens: Sehen Sie sich die beeindruckende Zahl von SIDs im Token an. Auch wenn Sie nur 

zwei Gruppen sehen, während Sie die Gruppenmitgliedschaft des Benutzers untersuchen (in 

diesem Fall Benutzer und Administratoren), geben eine Menge weiterer SIDs unter anderem 

an, wie der Benutzer sich angemeldet hat. Alle Subjekte außer anonymen Benutzern haben 

standardmäßig die Jeder-SID in ihrem Token. Alle Subjekte, die sich authentifiziert haben 

(also keine anonymen Benutzer oder Gäste), haben auch das Authentifizierte Benutzer-SID 

in ihrem Token. Weil das Konto Gast in der Standardeinstellung deaktiviert ist, sind Jeder


und Authentifizierte Benutzer daher funktional identisch. Das ist seit Windows Server 2003 

und Windows XP so. 

Abbildung 3.11 Im vollständigen administrativen Token wird 

der gesamte Privilegiensatz des Benutzers aufgeführt 

Die Token in den Abbildungen 3.10 und 3.11 zeigen auch mehrere SIDs, die den Anmeldungstyp 

angeben. Erstens ist dies die LOKAL-SID, das bedeutet, dass sich der Benutzer an 

einem Terminal angemeldet hat, das direkt an den Computer angeschlossen ist. Außerdem 

sehen Sie den Eintrag Logon SID, eine ID für die Anmeldungssitzung, die diesem Benutzer 

zugewiesen ist. Die meisten Fenster in einer Benutzersitzung werden anhand der Logon-SID 

geschützt. Weiterhin gibt es die INTERAKTIV-SID, die verrät, dass dieser Benutzer sich 

interaktiv am Computer angemeldet hat, also nicht über das Netzwerk. Der Unterschied 

zwischen dieser SID und der LOKAL-SID besteht darin, dass Terminalserverbenutzer die 

INTERAKTIV-SID haben, aber nicht die LOKAL-SID. Eine weitere SID, NTLM-Authentifizierung, 

definiert, dass der Benutzer sich über NTLM angemeldet hat, nicht über Kerberos. 

Die SID Diese Organisation bedeutet, dass der Benutzer in derselben Organisation wie das 

Computerkonto definiert ist. Offensichtlich ist diese SID auf einem eigenständigen Computer 

immer vorhanden. Schließlich sehen Sie noch die SID None. Das ist eigentlich keine 

SID, die tatsächlich verwendet wird. Ihre RID ist 513, was für Domänen-Benutzer steht. Sie 

dient auf Computern, die (wie in diesem Beispiel) keine Domänenmitglieder sind, als eine 

Art Platzhalter für die Domänen-Benutzer-SID.


Ablauf der Zugriffsprüfung 

Wenn ein Prozess versucht, auf ein geschütztes Objekt zuzugreifen, vergleicht das Betriebssystem 

das Zugriffstoken erst mit der DACL und dann (sofern vorhanden) mit der SACL des 

Objekts. Der Vergleich mit der DACL konzentriert sich auf drei Faktoren: 

Der geforderte Zugriff (zum Beispiel Lesen, Schreiben, Ausführen, Löschen) 

Die SIDs im Token 

Die ACEs in der DACL des Objekts 

Der Vergleichsprozess beginnt damit, dass alle SIDs im Token ausgewertet werden, die auf 

Verweigern gesetzt sind. Falls irgendeine dieser SIDs einer SID in einem Verweigern-ACE 

entspricht, vergleicht das Betriebssystem den angeforderten Zugriff mit der Zugriffsmaske 

im ACE. Falls irgendwelche Bits in beiden auf 1 gesetzt sind, wird der Zugriffsversuch an 

diesem Punkt verweigert. Weitere Vergleiche werden nicht mehr durchgeführt. 

Falls keine Übereinstimmungen mit Verweigern-SIDs gefunden werden, wertet der Prozess 

als Nächstes jeden einzelnen ACE aus. Es gibt drei mögliche Bedingungen, die bewirken, 

dass die Auswertung abgebrochen wird. Erstens wird die Auswertung sofort beendet, falls 

irgendein ACE oder eine Kombination von ACEs irgendeiner Kombination der SIDs im 

Token den geforderten Zugriff vollständig gewährt. Falls das passiert, wird der Zugriff erlaubt. 

Zweitens: Falls irgendein Verweigern-ACE gefunden wird, der irgendeiner SID im Token 

irgendeines der geforderten Zugriffsrechte verweigert, wird die Auswertung abgebrochen 

und der Zugriffsversuch wird verweigert. 

Drittens und letztens: Falls das Ende der ACL erreicht ist, wird die Auswertung abgebrochen. 

Falls an diesem Punkt nicht alle geforderten Zugriffsrechte von irgendeinem ACE 

gewährt wurden, wird der Zugriffsversuch verweigert. 

Unabhängig davon, wie die Zugriffsprüfung ausgeht, wertet das Betriebssystem als Nächstes 

die SACL aus (sofern vorhanden) und prüft, ob ein Überwachungsereignis generiert werden 

soll. 

Wie Sie sich nach der bisherigen Beschreibung der Zugriffsprüfung bestimmt schon denken 

können, ist wichtig, in welcher Reihenfolge die ACEs ausgewertet werden. Nehmen wir an, 

Sie haben ein Verweigern-ACE, das dem Benutzer Zugriff auf das Objekt verbietet, sowie 

einen ACE, das einer der SIDs im Token des Benutzers entspricht und alle geforderten Zugriffsrechte 

gewährt. Wenn dieser Zulassen-ACE zuerst abgearbeitet wird, wird die Auswertung 

abgebrochen und der Zugriffsversuch wird gewährt. Aus diesem Grund müssen ACEs 

in einer ACL in einer bestimmten Reihenfolge gespeichert sein: 

1. Nichtgeerbte Verweigern-ACEs 

2. Nichtgeerbte Zulassen-ACEs 

3. Geerbte Verweigern-ACEs 

4. Geerbte Zulassen-ACEs 

Verschiedene Tools, zum Beispiel die ACL-UI, speichern die ACEs in dieser Reihenfolge. 

Sie korrigieren auch eine ACL, deren Reihenfolge nicht stimmt, sobald sie geöffnet wird. 

Außerdem stellt das Befehlszeilentool icacls.exe das Argument /verify zur Verfügung, mit 

dem Sie prüfen können, ob ACLs die richtige Reihenfolge haben. Das Betriebssystem erzwingt 

diese Reihenfolge aber nicht automatisch, und es kommt erschreckend oft vor, dass


Entwickler ACLs erstellen, deren ACEs in der falschen Reihenfolge vorliegen. Das kann 

dazu führen, dass Zugriffsversuche, die eigentlich verweigert werden müssten, gewährt 

werden. 

Und falls explizit definierte Zulassen-ACEs einem Benutzer Zugriff gewähren, haben diese 

ACEs Vorrang gegenüber geerbten Verweigern-ACEs. Das hat in der Vergangenheit ebenfalls 

immer wieder für Verwirrung bei Administratoren gesorgt. 

Eingeschränkte Token 

Die Standardzugriffsprüfung kann auf mehrere Arten verändert werden. Ein solcher Fall 

liegt zum Beispiel vor, wenn der Benutzer ein Privileg besitzt, das ein Überschreiben der 

Zugriffsprüfung erlaubt. Zum Beispiel kann ein Benutzer, der das Recht zum Sichern von 

Dateien besitzt, jegliche ACL umgehen, um die Daten zu lesen. Und ein Benutzer mit dem 

Recht, Dateien wiederherzustellen, kann alle ACLs umgehen, um die Daten zu schreiben. 

Eine andere Methode, die in Windows Vista und Server 2008 deutlich häufiger genutzt wird 

als in der Vergangenheit, ist der Einsatz von eingeschränkten Token. 

Ein eingeschränktes Token (engl. restricted token) wird mit der API-Funktion (Application 

Programming Interface) CreateRestrictedToken erstellt. Falls ein Prozess ein Zugriffstoken 

vorweist, das eingeschränkt ist, führt das Betriebssystem zwei getrennte Zugriffsprüfungen 

durch. Die erste Zugriffsprüfung ist die normale. Sie stellt sicher, dass die ACL des Objekts 

einer Kombination der SIDs im Token alle angeforderten Zugriffsmethoden gewährt. Die 

zweite Zugriffsprüfung funktioniert genauso, überprüft die ACL aber ausschließlich auf die 

einschränkenden SIDs. An einem Beispiel lässt sich das besser verstehen: Nehmen wir an, 

ein Zugriffstoken hat Administratoren als normale SID und Benutzer als eingeschränkte 

SID. Nehmen wir außerdem an, dass es ein Objekt gibt, das Administratoren Vollzugriff und 

Benutzer Lesezugriff gewährt. Falls ein Prozess mit einem solchen Token versucht, das Objekt 

zum Lesen und Ausführen zu öffnen, schlägt der Zugriffsversuch fehl, weil die Zugriffsprüfung 

anhand der einschränkenden SID durchgeführt wird, und das ist die Benutzer-SID. 

In diesem Fall hat Benutzer nur die Berechtigung Lesen, und der Zugriffsversuch hat Lesen, 

Ausführen angefordert. 

Eingeschränkte Token umfassen eine spezielle SID: S-1-5-12, falls es ein normales eingeschränktes 

Token ist, und S-1-5-33, falls es ein schreibeingeschränktes Token ist (zu sehen 

in Abbildung 3.12). Normal eingeschränkte Token gibt es schon lange. In Windows Vista 

und Windows Server 2008 wurde eine neue Variante eingeführt, das schreibeingeschränkte 

Token (engl. write-restricted token). Bei einem schreibeingeschränkten Zugriffstoken wird 

die zweite Zugriffsprüfung nur für Schreibzugriff durchgeführt. Nehmen wir an, das Token 

in unserem letzten Beispiel war schreibeingeschränkt, nicht nur eingeschränkt. In diesem 

Fall wird der Zugriff trotzdem gewährt, weil die zweite Zugriffsprüfung nicht durchgeführt 

wird (der Zugriffsversuch betraf keine Schreiboperation). Nehmen wir nun an, der Zugriffsversuch 

wurde stattdessen für Lesen und Schreiben durchgeführt. In diesem Fall führt ein 

schreibeingeschränktes Zugriffstoken dazu, dass der Zugriffsversuch fehlschlägt, weil diesmal 

die zweite Zugriffsprüfung fehlschlägt, denn Benutzer ist schreibeingeschränkt und hat 

nur die Berechtigung Lesen für das Objekt.


Abbildung 3.12 Ein Prozess mit einem eingeschränkten Token 

unterliegt einer geänderten Zugriffsprüfung 

Schreibeingeschränkte Token werden in erster Linie für Dienste verwendet, aber auch wenn 

Sie in älteren Windows-Versionen das Kontrollkästchen Computer und Daten vor nicht autorisierter 

Programmaktivität schützen beim Verwenden des Befehls Ausführen als aktivieren. 

In Windows Vista und Windows Server 2008 haben aber einige Dienste, zum Beispiel 

der Prozess Svchost.exe, der die verschiedenen Firewalldienste und das Basisfilterungsmodul 

hostet, schreibeingeschränkte Token. Ein solches Token umfasst die schreibeingeschränkte 

SID, S-1-5-33 (NT-AUTORITÄT\SCHREIBEN EINGESCHRÄNKT). Die eigentlichen 

einschränkenden SIDs sind die Dienst-SIDs (bei einem Svchost.exe-Prozess mehrere, 

deren Dienst-SIDs alle schreibeingeschränkt sind), die Logon-SID und die Jeder-SID. Anders 

ausgedrückt: Ein schreibeingeschränkter Dienst kann nur in Objekte schreiben, in die 

Jeder schreiben kann oder für die diesem Dienst explizit eine Schreibberechtigung gewährt 

wurde. 

Integritätsebenen 

In den Abbildungen 3.10, 3.11 und 3.12 ist Ihnen wahrscheinlich die Integritätsebene (engl. 

integrity label) aufgefallen. Jeder Prozess hat jetzt eine Beschriftung, die seine Integritätsebene 

definiert. Integritätsebenen sind normalerweise eine Komponente der verbindlichen 

Zugriffssteuerung (engl. mandatory access control). Sie definieren aber die Integrität, 

die mit dem Prozess verknüpft ist. Ein Prozess auf einer bestimmten Integritätsebene kann in 

Objekte schreiben, die auf seiner oder einer niedrigeren Integritätsebene liegen, und er kann 

Objekte lesen, die auf seiner eigenen oder einer höheren Integritätsebene liegen.


Tabelle 3.6 zeigt die Integritätsebenen, die in Windows Server 2008 (und Windows Vista) 

zur Verfügung stehen. Die meisten Objekte im Betriebssystem haben in der Standardeinstellung 

eine mittlere Integrität. Ein Standardbenutzertoken hat ebenfalls eine mittlere Integrität. 

Daher unterscheidet sich die Funktionalität in weiten Bereichen nicht von den vorherigen 

Windows-Versionen. Der Internet Explorer im geschützten Modus läuft aber mit einer niedrigeren 

Integritätsebene. Das bedeutet, dass der Internet Explorer standardmäßig nicht in der 

Lage ist, in die meisten Teile des Betriebssystems zu schreiben. Beachten Sie, dass dieser 

Sicherheitsvorteil verloren geht, wenn die UAC deaktiviert ist! 

Tabelle 3.6 Integritätsebenen in Windows Server 2008 

Integritätsebenen-SID 

Name 

S-1-16-0 Nicht vertrauenswürdiger Prozess. Wird in manchen Konfigurationen für anonyme Prozesse verwendet. 

S-1-16-4096 Verbindliche Beschriftung\Niedrige Verbindlichkeitsstufe. Diese Ebene wird standardmäßig für den 

Internet Explorer im geschützten Modus verwendet. 

S-1-16-8192 Verbindliche Beschriftung\Mittlere Verbindlichkeitsstufe. Dies ist die Standardeinstellung für Standardbenutzer 

und das eingeschränkte Token für Administratoren im Administratorbestätigungsmodus. 

S-1-16-12288 Verbindliche Beschriftung\Hohe Verbindlichkeitsstufe. Wird für das vollständige Token von Administratoren 

im Administratorbestätigungsmodus verwendet. 

S-1-16-16384 Verbindliche Beschriftung\Systemverbindlichkeitsstufe. Wird für Systemprozesse und -dienste verwendet. 

S-1-16-20480 Geschützter Prozess. Wird für bestimmte geschützte Prozesse verwendete, zum Beispiel Digital 

Rights Management-Prozesse. 

Die Integritätsebenen sind als ACE für die in Tabelle 3.6 aufgeführte SID in der SACL des 

Objekts gespeichert. Wenn ein Benutzer die Beschriftungen ändern will, muss er daher die 

Berechtigung haben, die SACL zu ändern. Dazu sind Besitzer und Administratoren in der 

Lage. 

Leere und Null-DACLs 

Wie bereits erwähnt, kann es sein, dass ein Prozess keine DACL hat. Dies wird als Null- 

DACL (engl. NULL DACL) bezeichnet. Eine Null-DACL ist ein sehr wichtiges Konstrukt, 

weil es bedeutet, dass für das Objekt keine Zugriffssteuerung definiert ist. Dies ist daher so, 

als würde jedem Subjekt Vollzugriff auf das Objekt gewährt. 

Normalerweise sind Null-DACLs das Ergebnis eines Programmierfehlers. Zum Beispiel war 

das Updateprogramm für einige Microsoft-Spiele defekt und erstellte Dateien mit einem 

Null-DACL. Null-DACLs waren auch zu der Zeit, als Windows NT 4.0 im Einsatz war, bei 

Systemobjekten recht verbreitet. Das war, bevor das Verhalten für diese Objekte so geändert 

wurde, dass direkt beim Erstellen eine Standard-DACL hinzugefügt wurde. 

Eine leere DACL (engl. empty DACL) ist etwas anderes als eine Null-DACL. Bei einer 

Null-DACL ist keine Zugriffssteuerung für das Objekt definiert. Bei der leeren DACL ist 

schon eine Zugriffssteuerung definiert, aber niemandem wurde Zugriff auf das Objekt gewährt. 

Das ist also so, als ob niemand auf irgendeine Weise auf das Objekt zugreifen dürfte.


Glücklicherweise kann der Besitzer des Objekts die Berechtigungen normalerweise überschreiben 

und ändern. 

Security Descriptor Definition Language 

Weiter oben in diesem Kapitel habe ich zum ersten Mal die SDDL (Security Descriptor Definition 

Language) erwähnt, die Sicherheitsbeschreibungsdefinitionssprache. SDDL wurde ursprünglich 

entwickelt, damit Entwickler Berechtigungen im Textformat definieren können. 

Im Lauf der Zeit wurde sie in vielen Tools eingesetzt, vor allem in Befehlszeilentools und 

dem Sicherheitskonfigurations-Editor, mit dem in Gruppenrichtlinien Berechtigungen festgelegt 

werden. Daher sollte man voraussetzen dürfen, dass ein Windows-Systemadministrator 

mit der Sprache vertraut ist. 

SDDL hält sich eng an das Format einer Sicherheitsbeschreibung. Sie hat folgendes Format: 

Besitzer-SID 

Gruppen-SID 

DACL-Flags und alle DACL-ACEs im Zeichenfolgenformat 

SACL-Flags und alle SACL-ACEs im Zeichenfolgenformat 

Oft sehen Sie auch eine Kurzfassung, bei der Besitzer- und Gruppen-SIDs fehlen. Das ist 

der Fall bei den SDDL-Zeichenfolgen, die von den Befehlszeilentools Cacls und Icacls erstellt 

werden. Wenn Sie sich die gesamte SDDL-Zeichenfolge ansehen wollen, brauchen Sie 

ein Tool wie zum Beispiel Subinacl, das Sie von http://download.microsoft.com herunterladen 

können. Abbildung 3.13 zeigt die SDDL-Zeichenfolge, die die Berechtigungen für das 

Stammverzeichnis des Laufwerks C: definiert. 

Abbildung 3.13 Das Tool Subinacl zeigt die vollständige SDDL-Zeichenfolge eines Objekts an 

Abbildung 3.13 zeigt, dass der Besitzer eine SID ist: S-1-5-80-956008885-3418522649- 

1831038044-1853292631-2271478464. Dies ist die SID für den Dienst TrustedInstaller, den 

Windows-Modulinstaller. Er besitzt alle Betriebssystemobjekte im Dateisystem. Trusted- 

Installer ist auch als primäre Gruppe für diese Objekte konfiguriert. 

Möglicherweise erkennen Sie auch die SDDL-Zeichenfolge in Abbildung 3.13, in der Form 

O:TIG:TI. Dabei ist TI ein Kurzname für TrustedInstaller, die Entität, deren SID in Abbildung 

3.13 aufgeführt ist. Weil diese Version etwas einfacher zu lesen ist, verwenden wir sie 

bei unserer Analyse. Beachten Sie, dass sie zwei Token enthält: O:TI und G:TI. Die Parame-


ter werden ohne Leerzeichen aneinandergehängt, deshalb ist die SDDL-Zeichenfolge etwas 

schwierig zu lesen. Das führt oft zu Verwirrung, daher müssen Sie beim Auswerten dieser 

Zeichenfolgen daran denken, dass das Präfix O: für den Besitzer (engl. owner) und G: für 

die Gruppe steht. 

Beachten Sie auch den Beginn der DACL in Abbildung 3.13, die mit »D:PARAI« beginnt. 

Das »D:« ist das Präfix für DACL, auch wenn es mit der TI-SID verknüpft zu sein scheint. 

»P« bedeutet, dass die DACL davor geschützt ist, ACEs von übergeordneten Objekte zu 

erben (auch wenn es in diesem Beispiel gar keine übergeordneten Objekte gibt). »AR« ist 

das alte Flag, das angibt, dass Vererbung erforderlich ist. Es wird nicht mehr benutzt, in 

Sicherheitsbeschreibungen ist es aber noch oft enthalten. Und »AI« bedeutet, dass die DACL 

geerbt wurde. Weil das offensichtlich nicht der Fall ist, muss sie von Programmcode aus so 

geschrieben worden sein, dass alle diese Flags gesetzt sind. Falls die ACL nicht von Hand geändert 

wurde, dürften Sie diese Flags nie zusammen sehen, insbesondere nicht P in Kombination 

mit AI. 

Der Rest der Sicherheitsbeschreibung ist viel einfacher zu lesen, wenn wir sie umformatieren. 

Es ist sinnvoll, wenn wir uns ihre Bedeutung genauer ansehen. 

Interpretieren einer SDDL-Zeichenfolge 

In ihre Komponenten untergliedert sieht die DACL für das Stammverzeichnis des Laufwerks 

C: so aus: 

1. (A;OICI;FA;;;SY) 

2. (A;OICI;FA;;;BA) 

3. (A;OICI;0x1200a9;;;BU) 

4. (A;CI;LC;;;BU) 

5. (A;CIIO;DC;;;BU) 

6. (A;OICIIO;GA;;;CO) 

Der erste ACE gilt für SYSTEM (SY). Dies ist ein ACE, der an Objekte und Container vererbt 

wird und Vollzugriff (FA, für Full Access) gewährt. 

Der zweite ACE gleicht weitgehend dem ersten, gilt aber für die integrierte Gruppe Administratoren 

(BA, für Built-in Administrators). 

Der dritte ACE ist der erste von drei Benutzer-ACEs. Diesen hier haben wir bereits weiter 

oben in diesem Kapitel analysiert und festgestellt, dass er Lese- und Ausführungsberechtigungen 

sowie READ_CONTROL und SYNCHRONIZE gewährt. 

Der vierte ACE ist ein weiterer Benutzer-ACE. Er wird über Ordner vererbt (CI), verwendet 

aber eine unbekannte Berechtigung: LC. LC ist in Wirklichkeit eine Abkürzung, die in Active 

Directory verwendet wird. Sie steht für »List Children«, also »Auflisten der untergeordneten 

Objekte«. Das verrät uns zumindest die Erklärung der ACE-Zeichenfolgen unter http://msdn2. 

microsoft.com/en-us/library/aa374928.aspx. Um allerdings zu verstehen, welche Berechtigungen 

dadurch für eine Datei gewährt werden, müssen wir sie in eine Bitmaske konvertieren. 

Dazu müssen wir wissen, was die Konstante ADS_RIGHT_ACTRL_DS_LIST bedeutet, deren 

Abkürzung LC ist. Dazu sehen wir uns unter http://msdn2.microsoft.com/en-us/library/ 

aa772285.aspx die Enumeration ADS_RIGHTS_ENUM an. Sie verrät uns, dass ADS_RIGHT_ACTRL_ 

DS_LIST für den Wert 0x4 steht. 0x4 entspricht Bit 3 in Abbildung 3.5. Wenn dieses Bit bei 

einem Verzeichnis (um das es sich hier handelt) gesetzt ist, hat das Subjekt das Recht, ein 

Unterverzeichnis anzulegen.


SDDL zeigt verzeichnisspezifische Abkürzungen, wenn Sie sich die Berechtigungen für eine 

Datei ansehen, weil das Modul, das die SDDL generiert, nichts über Objekttypen weiß. Es 

liest einfach die Zugriffsmaske und gibt dafür die am besten passenden Berechtigungsangaben 

aus einer Enumeration aus. Die verzeichnisspezifischen Berechtigungen stehen in der 

Enumeration schlicht am Anfang, und daher bekommen wir sie hier angezeigt. 

Dasselbe passiert im fünften ACE. Hier ist DC angegeben, die Abkürzung für ADS_RIGHT_ 

DS _DELETE_CHILD. Diese Konstante steht für 0x2, es wird als Bit 2 gesetzt. Bei einem Active 

Directory-Objekt gibt Ihnen das das Recht, ein untergeordnetes Objekt zu löschen. In einem 

Verzeichnis gibt Ihnen Bit 2 dagegen das Recht, eine Datei im Verzeichnis anzulegen. Zusammen 

geben diese beiden ACEs Benutzern das Recht, neue Unterverzeichnisse zu erstellen 

und Dateien in Unterverzeichnissen anzulegen. 

Schließlich haben wir noch einen ACE für den Ersteller/Besitzer (CO für Creator/Owner). 

Dies ist ein weiterer ACE, der nur vererbt wird und auf alle untergeordneten Objekte angewendet 

wird. Er gewährt dem Subjekt, das ein untergeordnetes Objekt erstellt, Vollzugriff 

(GA) für das untergeordnete Objekt. 

Abbildung 3.14 zeigt, wie die Kombination dieser ACEs in der Benutzeroberfläche angezeigt 

wird. 

Abbildung 3.14 In der ACL-UI können Sie prüfen, ob Sie die SDDL-Zeichenfolge 

richtig interpretiert haben 

Sie sollten jetzt besser als die meisten verstehen, wie die Zugriffssteuerung in Windows 

funktioniert. Sie haben sogar eine Reihe von Tools kennengelernt, mit denen Sie Berechtigungen 

verwalten können. Im nächsten Abschnitt arbeiten wir uns etwas tiefer in das Thema 

ein, wobei wir uns auf die Tools konzentrieren.

Tools zum Verwalten von Berechtigungen 81 

Direkt von der Quelle: Ändern von ACLs kann die Gesundheit Ihres 

Netzwerks und Ihre Karriere gefährden 

Wenn Sie versuchen, einen Computer zu schützen, können ACLs Verbündete oder Gegner 

sein. Ich bin Mitglied des Solution Accelerator Teams bei Microsoft. Unter anderem 

erstellt mein Team die Sicherheitsratgeber für viele Microsoft-Produkte. ACLs sind ein 

Aspekt der Sicherheit, mit dem wir uns immer beschäftigen, den wir aber selten in größerem 

Maßstab verwenden. Viele Fremdhersteller empfehlen, die Standard-ACLs eines 

Systems zu ändern. Manche beschreiben kleinere Anpassungen, andere eine große Zahl 

von Änderungen. Vor einigen Jahren veröffentlichten wir KB885409, um die Probleme zu 

beschreiben, die sich aufgrund solcher Änderungen ergeben können. 

Eines der größten Probleme beim Ändern von ACLs für Systemdateien und Dienstprogramme 

ist die unbekannte (aber oft deutliche) Auswirkung auf Anwendungskompatibilität. 

Vor einigen Jahren hatten wir einen Kunden, der die ACLs im Stammverzeichnis des 

Laufwerks C:\ änderte und diese Änderungen an alle Unterordner weitergab. Diese Konfiguration 

wurde dann in allen Umgebungen der Firma bereitgestellt, was dazu führte, 

dass Tausende von Computern nicht mehr benutzbar waren. Unabsichtlich hatten sie die 

Sicherheit verringert und Dutzende von Dienstprogrammen und Anwendungen lahmgelegt. 

Änderungen an den ACLs einzelner Dateien können diese Gefahr verringern, aber trotzdem 

die gewünschten Ergebnisse bringen. Die Dienstprogramme, die in jedem Betriebssystem 

oder Produkt enthalten sind, bringen den Administratoren große Vorteile. Oft kann 

auch ein Angreifer diese Dienstprogramme nutzen, um Details über die Umgebung auszuforschen, 

diverse Untaten zu begehen oder seine Spuren zu verwischen. Sie sollten 

sorgfältig überlegen, ob Sie die Nutzung dieser Ressourcen einschränken. Einerseits verringern 

Sie dadurch möglicherweise bestimmte Bedrohungen für das System, es kann 

aber auch reichlich lästig werden, wenn Sie das System warten oder mitten in der Nacht 

eine Problembehandlung durchführen müssen. 

Im Lauf der Jahre hat sich Microsoft mit großer Sorgfalt um dieses Detail gekümmert, 

und unser Team hat festgestellt, dass deutlich weniger Bedarf besteht, die Standard-ACLs 

zu verändern. Trotzdem sind solche Änderungen immer ein Faktor, den Sie im Rahmen 

einer Risikoanalyse für ein System beachten müssen. Das gilt insbesondere für Bereiche 

und Anwendungen, die sensible Daten enthalten. 

Chase Carpenter, Product Unit Manager 

Solution Accelerators – Security and Compliance 

Tools zum Verwalten von Berechtigungen 

Es gibt drei große Klassen von Tools zum Verwalten von Berechtigungen: integrierte GUI 

Tools, zum Beispiel die ACL-UI, integrierte Befehlszeilentools (Command-Line Interface, 

CLI), zum Beispiel Icacls, und andere Tools, zum Beispiel Subinacl. In diesem Abschnitt 

sehen wir uns kurz die wichtigsten dieser Tools an. Die ACL-UI ist relativ selbsterklärend 

und wir haben uns bereits weiter oben damit beschäftigt. Daher konzentriert sich dieser Abschnitt 

auf die beiden anderen Kategorien.


Cacls und Icacls 

Cacls (change ACLs) ist seit vielen Jahren in Windows integriert. Es ist ein Befehlszeilentool, 

das in Windows 2000 nicht vollständig aktualisiert wurde, als sich das Vererbungsmodell 

änderte. Daher führte Microsoft in Windows Vista und Windows Server 2008 Icacls 

(improved cacls) ein. Es ist zwar ein viel leistungsfähigeres Tool als Cacls, aber Icacls leidet 

noch unter einigen Kinderkrankheiten und weist einen deutlichen Nachteil auf: Es bietet 

keine Möglichkeit, einfach eine ACL als SDDL-Zeichenfolge auszugeben. Dieses Problem 

wird hoffentlich bald beseitigt, weil Cacls gerade ausgemustert wird, früher oder später wird 

es wohl ganz aus dem Betriebssystem verschwinden. 

Neben der grundlegenden Funktionalität bringt Icacls einige erweiterte Features mit, die 

vorher nicht in integrierten Tools zur Verfügung standen: 

Speichern und Wiederherstellen von ACLs. Mit den Befehlszeilenargumenten /save und 

/restore kann Icacls eine ACL speichern. Sie können die ACL in einer Datei speichern 

und diese Datei sogar ansehen. Diese Datei ist aber keine Textdatei, auch wenn sie so 

aussieht. Sie hat in Wirklichkeit ein binäres Format, das einer Unicode-Textdatei ähnelt, 

bei dem aber die entsprechende Zwei-Byte-Markierung am Anfang fehlt. Wenn Sie die 

Datei daher im Windows-Editor öffnen, fügt der Editor diese Markierung ein. Das führt 

dazu, dass Ihre ACLs nicht mehr aus der Datei wiederhergestellt werden können. Es 

kann daher sinnvoll sein, beim Speichern Ihrer Dateien die Erweiterung .bin anzuhängen, 

damit sie als Binärdateien interpretiert werden. 

Ersetzen von SIDs. Die Fähigkeit, Berechtigungen, die einer SID gewährt wurden, auf 

eine andere SID zu übertragen, ist ein sehr nützliches Feature in Icacls. Geben Sie dazu 

zusammen mit /restore das Befehlszeilenargument /substitute an, wenn Sie eine ACL 

wiederherstellen. 

Ändern des Besitzers. Mit dem Befehlszeilenargument /setowner kann Icacls den Besitzer 

eines Objekts ändern. 

Alle Berechtigungen für einen bestimmten Benutzer finden. Es kommt recht häufig vor, 

dass Sie eine Liste aller Berechtigungen brauchen, die einem bestimmten Benutzer gewährt 

werden. Mit dem Befehlszeilenargument /findsid ist das ganz einfach. Diese 

Funktion kann zum Beispiel bei der Überwachung nützlich sein. 

Zurücksetzen von ACLs. Falls eine ACL aus irgendwelchen Gründen zerstört wurde, 

können Sie sie mit dem Argument /reset auf die geerbte ACL zurücksetzen. Denken Sie 

aber daran, dass Ihnen dies nicht hilft, wenn Sie die Berechtigungen auf ihre Standardeinstellungen 

zurücksetzen wollen, falls Sie Berechtigungen für wichtige Betriebssystemdateien 

zerstört haben. Diese Dateien verwenden normalerweise keine geerbten Berechtigungen. 

Es gibt keine Möglichkeit, die Standardberechtigungen wiederherzustellen. 

Aus diesem Grund wird der Support verweigert, falls Sie Berechtigungen für wichtige 

Betriebssystemdateien ändern. Weitere Informationen finden Sie in KB 885409. 

Zulassen/Verweigern/Entfernen. Sie können natürlich Berechtigungen für beliebige SIDs 

gewähren, verweigern und entfernen. 

Einstellen der Integritätsebene. Icacls bietet auch die Fähigkeit, Integritätsebenen zu 

verwalten. Ich habe es bereits einige Male erlebt, dass Benutzer Objekte nicht löschen 

konnten, weil sie mit mittlerer Integrität (Standardwert) angemeldet waren und das Objekt 

eine hohe Integritätsebene hatte. Das Befehlszeilenargument /setintegritylevel 

kann ein solches Problem beseitigen.

SC 

Tools zum Verwalten von Berechtigungen 83 

Anzeigen von SDDL. Wie bereits erwähnt, ist Icacls nicht in der Lage, die SDDL- 

Zeichenfolge auszugeben, aber Cacls beherrscht diese Fähigkeit. Verwenden Sie cacls 

Objekt /s. 

Entfernen geerbter Berechtigungen. Icacls bietet auch keine Möglichkeit, geerbte Berechtigungen 

zu entfernen. Dazu müssen Sie Cacls ohne das Argument /E aufrufen. 

Warnung Es gibt einen Bug in der Komponente, auf der Cacls, Icacls und externe Tools wie zum Beispiel 

Subinacl aufbauen. Dieser Bug kann eine Menge Verwirrung stiften. Sie können ihn beobachten, indem Sie 

eine Eingabeaufforderung im Verzeichnis %SystemRoot%\system32\ öffnen und icacls c: ausführen. 

Führen Sie dann icacls c:\ aus und vergleichen Sie die Ergebnisse. Sie sind unterschiedlich. C: ist kein 

gültiges Verzeichnis. Daher meldet die Komponente, die die ACL abruft, einen Fehler und ruft stattdessen 

die ACL für das aktuelle Verzeichnis ab. Denken Sie daran, dass Sie alle Pfade in diesen drei Befehlszeilentools 

immer mit einem Backslash (\) abschließen müssen. 

SC, das Befehlszeilenprogramm für die Dienstkonfiguration, kann ACLs von Diensten anzeigen 

und verwalten. Es zeigt sie allerdings nur in SDDL an. Rufen Sie dazu sc sdshow 

Dienstname auf. Mit sc sdset Dienstname SD-im-SDDL-Format können Sie die ACL für einen 

Dienst festlegen. 

Subinacl 

Weiter oben haben Sie gesehen, wie mit Subinacl eine Sicherheitsbeschreibung angezeigt 

wird. Subinacl ist leistungsfähiger als alle integrierten CLI-Tools zusammen, aber auch entsprechend 

kompliziert. Es ist aber das einzige Tool, das Berechtigungen für alle folgenden 

Objekte verwalten kann: 


Dateien 

Clusterfreigaben 

Drucker 

Freigaben 

Registrierungsschlüssel 

SAM-Objekte 

Die IIS-Metabasis (wird in IIS 7.0 nicht mehr benutzt) 

Prozesse 

Kernobjekte 

Offensichtlich eignet sich Subinacl in erster Linie für sehr erfahrene Administratoren. Es 

kann aber unverzichtbar sein, wenn Sie bestimmte erweiterte Operationen mit ACLs durchführen 

müssen.


Wichtige Änderungen bei der Zugriffssteuerung 

in Windows Server 2008 

Windows Server 2008 und Windows Vista führen gegenüber älteren Windows-Versionen 

einige Änderungen bei der Zugriffssteuerung ein. Einige dieser Änderungen sind recht subtil, 

aber zwei sind für viele Administratoren sehr wichtig. Sehen wir uns erst einmal die 

subtilen an. 

TrustedInstaller-Berechtigungen 

Wie Sie bereits gesehen haben, ist der Dienst TrustedInstaller nun Besitzer vieler Objekte in 

Windows. Das bedeutet, dass sogar Administratoren auf eine Menge Objekte stoßen, die sie 

nicht ändern können, ohne vorher ihre Berechtigungen zu ändern. Als Administrator werden 

Sie natürlich niemals völlig ausgesperrt, aber irgendwann kommt es sicherlich vor, dass Sie 

versuchen, ein Objekt zu ändern, und Ihnen der Zugriff verweigert wird. Dann sollten Sie 

sich fragen, ob Sie dieses Objekt tatsächlich ändern sollten. Diese Einschränkungen sollen 

dafür sorgen, die Stabilität zu verbessern. 

Netzwerkstandort-SIDs 

Wie Sie in den Abbildungen 3.10 und 3.11 gesehen haben, enthalten die Sicherheitstoken 

Netzwerkstandort-SIDs. Weil in einer ACL SIDs für INTERAKTIV, NETZWERK und so 

weiter enthalten sind, kann ein Administrator den Zugriff auf ein bestimmtes Objekt abhängig 

von der Zugriffsmethode steuern. In Windows Server 2008 und Windows Vista wurden 

zwei neue Netzwerkstandort-SIDs hinzugefügt: DIALUP und INTERNET. Die SID DIALUP 

gilt für Benutzer, die eine DFÜ-Verbindung herstellen, INTERNET für jeden, der sich über 

eine Netzwerkverbindung anmeldet, die nicht als der lokale Standort eingestuft wird. 

Änderungen beim Dateisystemnamespace 

Es fällt gleich auf, dass das Verzeichnis Dokumente und Einstellungen (beziehungsweise 

Documents and Settings in der englischen Version), das wir seit Windows 2000 kennen, jetzt 

%SystemDrive%\Users heißt, und dass beträchtliche Teile davon in %SystemDrive%\ProgramData 

verschoben wurden. Diese Änderung hat Microsoft durchgeführt, um den Dateisystemnamespace 

zu vereinfachen. Allerdings verwenden viele alte Anwendungen die vollständigen 

Pfade mit den alten Verzeichnisnamen, statt Umgebungsvariablen auszuwerten. 

Um zu vermeiden, dass solche Anwendungen lahmgelegt werden, hat Microsoft Abzweigungspunkte 

und Symlinks vom alten Namespace in den neuen angelegt. Für die Migration 

wurden alle diese Abzweigungspunkte und Symlinks mit einem Verweigern-ACE versehen, 

der das Auflisten des Verzeichnisses verbietet. Anders ausgedrückt: Sie können eine Datei 

im alten Dokumente und Einstellungen-Verzeichnis angeben, aber Sie können dieses Verzeichnis 

nicht in Windows-Explorer öffnen. Falls Sie versuchen, es zu öffnen, bekommen 

Sie eine Fehlermeldung, dass der Zugriff verweigert wurde. Viele Leute haben sich darüber 

beklagt, seit Windows Vista herauskam. Es sollte darauf hingewiesen werden, warum das 

der Fall ist.

Benutzerrechte und Privilegien 85 

Berechtigungen für Hauptbenutzer entfernt 

Eine der auffälligeren Änderungen ist, dass fast alle Berechtigungen für Hauptbenutzer entfernt 

wurden. Es gibt hier und da noch einige Überbleibsel, aber alles in allem sind Hauptbenutzer 

nicht mehr leistungsfähiger als Standardbenutzer. Dies soll den Weg bereiten, um 

die Gruppe Hauptbenutzer irgendwann ganz zu entfernen. Ursprünglich sollte Hauptbenutzer 

eine Gruppe für Leute sein, die einige kritische Operationen durchführen können, aber 

keine richtigen Administratoren sind. Als aber alle Berechtigungen hinzugefügt waren, die 

erforderlich waren, um die Gruppe nutzbar zu machen, waren ihre Mitglieder beinahe vollständige 

Administratoren. In der Praxis lief es auf dasselbe hinaus, ob Sie einen Benutzer 

zum Hauptbenutzer oder Administrator machten. Weil die Gruppe keinen Nutzen brachte, 

aber Verwirrung stiften konnte, hat sich Microsoft daran gemacht, die Gruppe zu deaktivieren. 

Die UAC erfüllt jetzt die Aufgabe, an der Hauptbenutzer letztlich immer scheiterte. 

EIGENTÜMERRECHTE und Besitzerrechte 

Die letzte Änderung ist wahrscheinlich die interessanteste. Bisherige Windows-Versionen 

hatten immer die ERSTELLER-BESITZER-SID. ERSTELLER-BESITZER wird normalerweise 

in vererbbaren ACEs benutzt, um dem Subjekt, das ein untergeordnetes Objekt anlegt, 

bestimmte Berechtigungen zu geben. Die SID wird beim Erstellen des Objekts durch die 

SID des tatsächlichen Erstellers ersetzt. 

In Windows Vista und Windows Server 2008 gibt es in diesem Bereich eine neue SID: 

EIGENTÜMERRECHTE. Während ERSTELLER-BESITZER beim Erstellen des Objekts 

ersetzt wird, gilt das für EIGENTÜMERRECHTE nicht. EIGENTÜMERRECHTE wurde 

eingeführt, weil sich etwas an den Berechtigungen für Besitzer geändert hat. In älteren 

Versionen hatte der Besitzer eines Objekts immer die implizite Berechtigung, die DACL 

des Objekts zu ändern. Viele Administratoren forderten die Fähigkeit, dieses Verhalten zu 

ändern, damit Benutzer die Berechtigungen ihrer eigenen Dateien nicht mehr verändern 

können. Diese Funktionalität wird nun in Windows Vista und Windows Server 2008 mithilfe 

der SID EIGENTÜMERRECHTE verwirklicht. Falls die SID EIGENTÜMERRECHTE auf 

das Objekt angewendet wird, hat sie Vorrang vor den impliziten Rechten des Besitzers. 

Wenn Sie also einen EIGENTÜMERRECHTE-ACE mit Ändern-Berechtigungen zu einem 

Objekt hinzufügen, kann der Besitzer die Berechtigungen des Objekts nicht mehr verändern. 

Falls der Besitzer des Objekts ausgetauscht wird, wird der EIGENTÜMERRECHTE-ACE so 

markiert, dass er nur noch vererbt wird. Das gilt sogar dann, wenn es sich um eine Datei 

handelt. Der ACE wird dadurch de facto deaktiviert, bis der Administrator sicherstellen 

kann, dass die Berechtigungen nicht alle aussperren. 

Benutzerrechte und Privilegien 

Wir haben einen letzten Aspekt der Zugriffssteuerung bereits mehrmals erwähnt, aber noch 

nicht richtig erklärt: Benutzerrechte und Privilegien. Die Begriffe Benutzerrechte (engl. user 

right) und Privilegien (engl. privilege) werden oft durcheinandergewürfelt, viele glauben, 

beide wären dasselbe. Sie sind aber in Wirklichkeit ganz unterschiedliche Konstrukte. Benutzerrechte 

steuern nur, auf welche Art sich ein Benutzer anmelden kann. Privilegien legen 

dagegen fest, was Benutzer tun können, sobald sie einmal angemeldet sind. In den Abbildungen 

3.10 und 3.11 haben Sie Privilegien in einem Token gesehen. Privilegien werden


in Gruppenrichtlinien unter dem Knoten Zuweisen von Benutzerrechten verwaltet (Abbildung 

3.15). 

Abbildung 3.15 Sie können Privilegien in Gruppenrichtlinien verwalten 

In vielen Tools (zum Beispiel bei den Tokens, die im Process Explorer aufgelistet werden) 

werden Privilegien in einem anderen Format als in den Gruppenrichtlinien angezeigt. Tabelle 

3.7 führt beide Zeichenfolgen für alle Privilegien auf und beschreibt, was das Privileg 

bedeutet. Fettgedruckte Privilegien in Tabelle 3.7 sind sehr kritische Privilegien, die dem, 

der sie gewährt bekommt, sehr mächtige Rechte auf dem Computer geben. 

Tabelle 3.7 Privilegien in Windows Server 2008 

Konstante/Wert Anzeigename Beschreibung 

SeAssign- 

PrimaryToken- 

Privilege 

Ersetzen eines Tokens 

auf Prozessebene 

SeAuditPrivilege Generieren von Sicherheitsüberwachungen 

SeBackup- 

Privilege 

SeChangeNotify- 

Privilege 

Sichern von Dateien 

und Verzeichnissen 

Auslassen der durchsuchenden 

Überprüfung 

Erlaubt es, jedem beliebigen Prozess ein neues Token zuzuweisen. 

Dieses Privileg kann sehr kritisch sein, falls es in Kombination mit 

einem Privileg vergeben wird, das es erlaubt, ein Prozesstoken 

abzurufen. 

Erlaubt es, beliebige Sicherheitsereignisprotokollereignisse zu erstellen. 

Ein Angreifer kann damit beliebige Daten in das Ereignisprotokoll 

schreiben. 

Erlaubt es, auf alle Teile von beliebigen Dateien oder Objekten 

zuzugreifen, unabhängig von der ACL des Objekts. Anders 

ausgedrückt: Es gewährt Lesezugriff auf alle Objekte. 

Dieses Privileg ist für alle Benutzer aktiviert. Es bewirkt, dass das 

System ein Durchlaufen von Verzeichnishierarchien erlaubt, auf die 

der Benutzer keinen Zugriff hat. Wie der Name der Konstante andeutet, 

erlaubt es dem Benutzer auch, Benachrichtigungen über Änderungen 

an einem geschützten Objekt zu empfangen.


SeCreateGlobal- 

Privilege 

SeCreatePagefilePrivilege 

SeCreatePermanentPrivilege 

SeCreateSymbolicLinkPrivilege 

SeCreateToken- 

Privilege 

SeDebugPrivilege 

SeEnableDelegationPrivilege 

SeImpersonate- 

Privilege 

SeIncreaseBase- 

PriorityPrivilege 

Erstellen globaler Objekte 

Erstellen einer Auslagerungsdatei 

Erstellen von dauerhaft 

freigegebenen Objekten 

Erstellen symbolischer 

Verknüpfungen 

Erstellen eines Tokenobjekts 

Debuggen von Programmen 

Ermöglichen, dass 

Computer- und Benutzerkonten 

für Delegierungszwecke 

vertraut 

wird 

Annehmen der Clientidentität 

nach Authentifizierung 

Anheben der Zeitplanungspriorität 


Erlaubt es, Objekte (zum Beispiel symbolische Links) in einem Objekt-Manager-Namespace 

zu erstellen, der einer anderen Sitzung 

zugewiesen ist. 

Gewährt das Recht, eine Auslagerungsdatei zu erstellen. 

Ein dauerhaftes Objekt wird nicht gelöscht, wenn es von niemandem 

mehr benötigt wird. Dieses Privileg ist recht kritisch, weil es einem 

böswilligen Benutzer erlauben könnte, Ressourcen auf dem Computer 

zu verbrauchen und im Vorfeld Objekte anzulegen, die von wichtigen 

Prozessen benötigt werden. 

Die Fähigkeit, symbolische Verknüpfungen (symbolische Links) zu 

erstellen, ist in Unix-Betriebssystemen schon lange eine Ursache für 

Sicherheitslücken. Ein böswilliger Benutzer kann eine symbolische 

Verknüpfung unter demselben Namen wie eine Betriebssystemdatei 

erstellen, die aber auf ein böswilliges Programm verweist. Falls ein 

Administrator die symbolische Verknüpfung aufruft, wird der böswillige 

Code ausgeführt, nicht die gewünschte Betriebssystemdatei. Um 

diese Gefahr zu verringern, stellt Windows dieses Privileg bereit. 

Dies ist ein äußerst kritisches Privileg. Es erlaubt dem Benutzer, 

Sicherheitstoken für beliebige Benutzer mit beliebiger Gruppenmitgliedschaft 

zu erstellen. Ein Subjekt kann auf diese Weise 

ein beliebiger anderer Benutzer auf dem Computer werden. 

Dies ist eines der kritischsten Privilegien im Betriebssystem. Es 

erlaubt es, beliebige Prozesse zu debuggen, auch Prozesse, die 

anderen Benutzern gehören. Mit diesem Privileg kann ein Benutzer 

Code in andere Prozesse einschleusen und im Kontext 

des Subjekts ausführen lassen, das den Prozess gestartet hat. 

Auf diese Weise arbeiten zum Beispiel alle Programme, die 

Kennworthashwerte ausspähen. 

Dies ist ein weiteres sehr kritisches Privileg, aber nur in einer 

Domänenumgebung. Es ermöglicht es, Konten zu konfigurieren, 

denen für Delegierungszwecke vertraut wird. Konten, denen für 

Delegierungszwecke vertraut wird, können Sicherheitstoken 

erstellen. 

Erlaubt es, ein Identitätswechseltoken für einen Benutzer zu erstellen. 

Vor einigen Jahren gab es öfters Angriffe, bei denen eine Named 

Pipe mit einem ähnlichen Namen wie eine häufig verwendete Freigabe 

eingerichtet wurde. Wenn ein Benutzer mit der Pipe verbunden 

ist, kann das böswillige Programm, das die Pipe angelegt hat, sich 

für den Benutzer ausgeben und alle Aktionen ausführen, die dem 

Benutzer erlaubt sind. In Windows Server 2008 kann nur ein Subjekt, 

das SeImpersonatePrivilege besitzt, den Identitätswechsel durchführen. 

Erlaubt es, die Priorität eines Prozesses zu ändern. Ein Subjekt, das 

dieses Privileg besitzt, könnte dem System die benötigten Ressourcen 

vorenthalten, indem er einem einzigen Prozess so hohe Priorität 

gibt, dass er alle Prozessorzyklen mit Beschlag belegt.



SeIncrease- 

QuotaPrivilege 

SeIncrease- 

WorkingSet- 

Privilege 

SeLoadDriver- 

Privilege 

SeLockMemory- 

Privilege 

SeMachine- 

AccountPrivilege 

SeManage- 

VolumePrivilege 

SeProfileSingle- 

ProcessPrivilege 

SeRelabelPrivilegeSeRemoteShutdownPrivilege 

SeRestorePrivilege 

SeSecurityPrivilege 

SeShutdown- 

Privilege 

SeSyncAgent- 

Privilege 

SeSystem- 

Environment- 

Privilege 

SeSystemProfile- 

Privilege 

SeSystemtime- 

Privilege 

Anpassen von Speicherkontingenten 

für einen 

Prozess 

Arbeitssatz eines Prozesses 

vergrößern 

Laden und Entfernen 

von Gerätetreibern 

Sperren von Seiten im 

Speicher 

Hinzufügen von Arbeitsstationen 

zur Domäne 

Durchführen von Volumewartungsaufgaben 

Erstellen eines Profils für 

einen Einzelprozess 

Verändern einer Objektbezeichnung 

Erzwingen des Herunterfahrens 

von einem Remotesystem 

aus 

Wiederherstellen von 

Dateien und Verzeichnissen 

Verwalten von Überwachungs- 

und Sicherheitsprotokollen 

Herunterfahren des 

Systems 

Synchronisieren von 

Verzeichnisdienstdaten 

Verändern der Firmwareumgebungsvariablen 

Erlaubt es zu ändern, wie viel Arbeitsspeicher einem Prozess zugewiesen 

ist. 

Dieses Privileg ist relativ neu. Früher wurde dieses Verhalten durch 

SeIncreaseQuotaPrivilege gesteuert. SeIncreaseWorkingSetPrivilege 

erlaubt es, die Arbeitsseiten für eigene Prozesse zu ändern. Es ist 

daher weniger kritisch. 

Erlaubt es, einen Gerätetreiber zu laden. Dies ist ein sehr kritisches 

Privileg, weil es erlaubt, Code zu laden, der im Kernel 

ausgeführt wird, also ohne irgendwelche Sicherheitseinschränkungen. 

Erlaubt es, Seiten im Speicher zu sperren, sodass sie nicht auf 

Festplatte ausgelagert werden. 

Erlaubt es, Computer in einer Domäne hinzuzufügen. Dieses Privileg 

hat auf einem eigenständigen Computer keine Auswirkungen. 

Erlaubt es, bestimmte Aufgaben direkt auf einem Datenträgervolume 

durchzuführen, zum Beispiel das Volume zu defragmentieren. 

Erlaubt es, bestimmte Leistungsdaten im Zusammenhang mit dem 

Datei-Prefetching in einem Prozess zu sammeln. 

Erlaubt einem Benutzer, die Beschriftung (label) eines Objekts zu 

ändern, selbst wenn der Benutzer dessen SACL nicht ändern darf. 

Wie der Name andeutet, erlaubt dieses Privileg, das System im 

Remotezugriff herunterzufahren. 

Ein sehr kritisches Privileg, das es erlaubt, in beliebige Dateien 

oder Registrierungsschlüssel zu schreiben. 

Erlaubt es, das Sicherheitsereignisprotokoll zu verwalten, zum Beispiel 

die Größe zu ändern, das Protokoll zu leeren und seine Ereignisse 

anzusehen. 

Erlaubt es, den Computer normal herunterzufahren. 

Erlaubt es, alle Objekte und Eigenschaften in Active Directory 

zu lesen. 

Manche Computer speichern Systemkonfigurationsparameter in 

nichtflüchtigem RAM. Dieses Privileg erlaubt es, diese Parameter zu 

ändern. 

Erstellen eines Profils der Erlaubt es, Leistungsdaten zum gesamten System abzurufen. 

Systemleistung 

Ändern der Systemzeit Erlaubt es, die Systemuhr zu ändern. Das gilt als kritische Operation, 

denn wenn ein Benutzer die Systemuhr verstellen kann, ist er in der 

Lage, die Reihenfolge von Überwachungsereignissen zu verfälschen.


SeTakeOwnershipPrivilege 

Übernehmen des Besitzes 

von Dateien und 

Objekten 

SeTcbPrivilege Einsetzen als Teil des 

Betriebssystems 

SeTimeZone- 

Privilege 

SeTrustedCred- 

ManAccess- 

Privilege 

SeUndock- 

Privilege 

RBAC/AZMAN 89 

Erlaubt es, den Besitz eines beliebigen Objekts zu übernehmen, 

unabhängig von der DACL des Objekts. 

Wer dieses Privileg besitzt, kann einige sehr kritische Operationen 

durchführen, zum Beispiel Prozesstoken mit beliebigen 

SIDs erstellen. 

Ändern der Zeitzone Ein neues Privileg in Windows Vista und Windows Server 2008. 

Dieses Privileg wurde hinzugefügt, um Standardbenutzern zu erlauben, 

die Zeitzone des Betriebssystems zu ändern, auch wenn sie 

nicht berechtigt sind, die Systemuhr zu verstellen. 

Auf Anmeldeinformations-Manager 

als vertrauenswürdigemAufrufer 

zugreifen 

Entfernen des Computers 

von der Dockingstation 

Erlaubt erweiterten Zugriff auf das Anmeldeinformationsverwaltungs-Subsystem, 

in erster Linie für die Datensicherung. Das 

Privileg erlaubt, alle Einträge in der Anmeldeinformationsverwaltung 

zu sichern und wiederherzustellen. Dieses Privileg wird 

normalerweise überhaupt keinem Benutzer zugewiesen, aber 

einige Prozesse, zum Beispiel WinLogon und LSASS (Local 

Security Authority Subsystem), haben es in der Standardeinstellung. 

Erlaubt es, ein Notebook ordnungsgemäß aus einer Dockingstation 

zu entfernen. Allerdings kann jemand auch ohne dieses Privileg 

einfach die Auswurftaste der Dockingstation drücken oder die Dockingstation 

samt Computer stehlen. 

Sie müssen unbedingt wissen, wie die Privilegien aus Tabelle 3.7 funktionieren. Genauso 

wichtig ist, dass Sie wissen, welcher Gefahr Sie sich aussetzen, wenn Sie Privilegien von 

Gruppen ändern (insbesondere entfernen), die sie in der Standardeinstellung haben. Das 

kann sich negativ auf die Stabilität Ihres Computers auswirken – und so mancher Administrator 

musste schon feststellen, dass es auch der Karriere einen Dämpfer versetzen kann. 

Falls Sie diese Privilegien richtig verwalten, können Sie die Sicherheit Ihres Computers 

verbessern, indem Sie die Zuweisung von Privilegien anpassen. Falls Sie dabei Fehler 

machen, können Sie einen oder mehrere Computer unbenutzbar machen (wenn Sie Glück 

haben) oder ernste Sicherheitslücken schaffen (wenn Sie Pech haben). 

RBAC/AZMAN 

Bevor wir das Thema Zugriffssteuerung hinter uns lassen und zu anderen Themen weitergehen, 

sollte ich kurz den Autorisierungs-Manager (Authorization Manager, AZMAN) erwähnen. 

AZMAN ist nicht neu in Windows Server 2008, aber er ist relativ unbekannt. Er soll es 

den Entwicklern von Fremdherstellern ermöglichen, eigene Zugriffssteuerungsmechanismen 

zu implementieren, unabhängig von denen, die das Betriebssystem zur Verfügung stellt. Insbesondere 

können Entwickler AZMAN nutzen, um ein rollenbasiertes Zugriffssteuerungssystem 

(Role-Based Access Control, RBAC) zu implementieren. 

Was wir bisher beschrieben haben, ist eine identitätsbasierte Zugriffssteuerung. Statt die 

Zugriffssteuerung von der Identität des Subjekts abhängig zu machen, arbeitet RBAC auf 

Basis einer Rollenmitgliedschaft. Im Prinzip ist sie nicht inkompatibel zur identitätsbasierten 

Zugriffssteuerung, aber die in der RBAC verwendeten Konstrukte leiten sich aus dem


Konzept der Rolle in der realen Welt ab. Zum Beispiel kann ein Benutzer die Rolle »Spesenabrechungsprüfer« 

haben, die ihm erlaubt, Spesenabrechnungen zu genehmigen. 

Dieser Teil der rollenbasierten Zugriffssteuerung kann mithilfe der herkömmlichen Zugriffssteuerungsmechanismen 

implementiert werden. RBAC erlaubt es aber auch, Einschränkungen 

für die Rollen festzulegen, bei denen ein Benutzer Mitglied sein kann. Eine statische 

Einschränkung verhindert, dass ein Benutzer gleichzeitig zwei Rollen einnehmen kann. Ein 

Beispiel für eine statische Einschränkung ist, dass ein Schalteraufseher in der Bank niemals 

selbst als Schaltermitarbeiter tätig sein darf. RBAC unterstützt auch dynamische Einschränkungen, 

die dem Benutzer erlauben, zwei verschiedene Rollen wahrzunehmen, aber nicht 

gleichzeitig. In unserem vorigen Beispiel kann ein Schaltermitarbeiter also ein Schalteraufseher 

sein, aber er kann niemals beide Rollen gleichzeitig wahrnehmen. 

Das war eine ganz kurze Einführung in RBAC, und Windows unterstützt es nicht für die 

Verwaltung von Windows selbst. Falls Sie allerdings Branchensoftware für Windows verwalten 

oder entwickeln, müssen Sie sich unter Umständen eingehender mit RBAC beschäftigen. 

Weitere Informationen finden Sie im White Paper unter http://technet2.microsoft.com/ 

windowsserver/en/library/72b55950-86cc-4c7f-8fbf-3063276cd0b61033.mspx?mfr=true. 


Zugriffssteuerung ist ein Thema, bei dem sich viele Administratoren weniger gut auskennen, 

als sie sollten. Zum Beispiel sind die Vererbungsmechanismen in Windows recht komplex 

und sehr leistungsfähig. Mangelnder Respekt gegenüber der Komplexität sowie fehlendes 

Verständnis dafür, wie die Zugriffssteuerung funktioniert, hat viele Administratoren veranlasst, 

DACLs großflächig auszutauschen. Oft wurden sie dazu von Auditoren gedrängt, die 

noch weit weniger davon verstehen, wie Windows arbeitet. Dabei werden immer wieder 

Computer völlig unbrauchbar gemacht. Ich war einmal bei einem Kunden im Einsatz, der 

ein Gruppenrichtlinienobjekt bereitgestellt hatte, das Jeder durch Authentifizierte Benutzer 

ersetzte. Wie ich weiter oben erwähnt habe, sind die beiden von der Funktion her praktisch 

identisch. Das Ergebnis war, dass das Profil des Administrators von allen gelesen werden 

konnte, der Papierkorb nicht funktionierte und sich kein Benutzer mehr anmelden konnte. 

Wenn der Kunde das nur auf einem einzigen Computer gemacht hätte, wäre es schon 

schlimm genug gewesen, aber die Richtlinie wurde auf über 10.000 Computern bereitgestellt, 

bevor sie deaktiviert wurde. Jeder einzelne dieser Computer musste von einem Abbild 

wiederhergestellt werden, damit der normale Betrieb wieder möglich war. Hätte der Kunde 

verstanden, wie DACLs wirklich funktionieren, wäre es unter Umständen möglich gewesen, 

die beabsichtigte Änderung durchzuführen. Noch besser wäre es allerdings gewesen, er hätte 

gleich erkannt, dass sie ohnehin unnötig war. 


Microsoft Knowledge Base-Artikel 885409, »Empfehlungen zur Sicherheitskonfiguration« 

unter http://support.microsoft.com/?kbid=885409.


Grundlagen der Benutzerkontensteuerung 

Von Darren Canavor 


Was ist Benutzerkontensteuerung? ....................................... 91 

So funktioniert die Tokenfilterung ......................................... 93 

Komponenten der Benutzerkontensteuerung ................................. 94 

UAC-Gruppenrichtlinieneinstellungen ...................................... 108 

Was hat sich bei der UAC in Windows Server 2008 und Windows Vista SP1 geändert? .... 111 

Empfehlungen für die UAC ............................................. 112 



Computer werden heute anders verwendet als noch vor einigen Jahren. Zum Beispiel geben 

Benutzer Banküberweisungen auf, kaufen online Waren und speichern persönliche Daten. 

Infolgedessen haben sich neue Sicherheitsbedrohungen entwickelt. Ein großer Teil der Windows-Benutzer 

arbeitete ständig mit administrativen Privilegien. Falls der Benutzer versehentlich 

böswillige Software (Malware) auf einem solchen Computer installierte, konnte 

diese Malware (die Administratorzugriff hatte) praktisch alles tun. In Windows Vista und 

Windows Server 2008 soll die neue Benutzerkontensteuerung (User Account Control, UAC) 

das Prinzip der »geringmöglichsten Privilegien« durchsetzen: Es soll nur gerade so viel 

Zugriff gewährt werden, wie unbedingt erforderlich ist, um die Aufgabe durchzuführen; 

dabei sollen möglichst wenig Unterbrechungen auftreten, um die Benutzerfreundlichkeit 

nicht zu gefährden. Das betrifft alle interaktiven Benutzer, mit Ausnahme des integrierten 

Kontos Administrator. Das mag einfach klingen, aber dafür musste eine Lösung entwickelt 

werden, die umfassende Änderungen am Kernbetriebssystem erforderte, die Wahrnehmung 

des Standardbenutzerdesktops veränderte und durchsetzen musste, dass die Softwarefremdhersteller 

auf breiter Basis Verfahrensempfehlungen für Standardbenutzer befolgten. 

Hinweis Die UAC steht zwar in Windows Server 2008 zur Verfügung, in erster Linie wird sie aber als 

Clientfeature eingestuft. Für einen Systemadministrator konzentriert sich die Auswirkung der UAC auf 

Windows Server 2008 darauf, mithilfe von Gruppenrichtlinien UAC-Richtlinien für Windows Vista-Clients zu 

verwalten. 

Was ist Benutzerkontensteuerung? 

Die UAC kann helfen, unautorisierte Änderungen an einem Computer zu verhindern, indem 

sie dem Benutzer erlaubt, Aktionen zu bestätigen, bevor sie durchgeführt werden. Wenn ein 

Benutzer, der erhöhte Privilegien besitzt, sich an Windows Vista oder Windows Server 2008 

anmeldet, werden zwei Zugriffstoken ausgestellt: ein vollständiges Zugriffstoken und ein 

91

92 Kapitel 4: Grundlagen der Benutzerkontensteuerung 

gefiltertes Standardbenutzer-Zugriffstoken. Der Filterungsprozess entfernt die administrativen 

Privilegien und deaktiviert die Sicherheits-IDs (Security Identifier, SID) der Administratorgruppe, 

wodurch ein gefiltertes Standardbenutzer-Zugriffstoken entsteht. Das Standardbenutzertoken 

wird dann verwendet, um den Windows-Desktop (explorer.exe) und danach 

alle untergeordneten Prozesse zu starten. Folglich laufen alle Anwendungen in der Standardeinstellung 

mit dem Standardbenutzertoken, und nur wenn ein Administrator die Genehmigung 

erteilt, läuft eine Anwendung mit einem vollständigen Zugriffstoken. Anwendungen 

erben die Privilegebene des übergeordneten Prozesses. Falls daher der übergeordnete Prozess 

mit einem vollständigen Zugriffstoken läuft, erbt der neue untergeordnete Prozess dieses 

Token und wird ausgeführt, ohne dass die Genehmigung des Administrators angefordert 

wird. Falls Sie zum Beispiel eine Eingabeaufforderung als Administrator starten, läuft auch 

jeder Prozess, den Sie innerhalb der Eingabeaufforderung ausführen, als Administrator. 

Auf der CD Elevating Explorer 

Standardmäßig wurde Explorer.exe nicht dafür entworfen, erhöhte Privilegien anzufordern. Wenn Sie daher 

mit der rechten Maustaste auf die ausführbare Datei klicken und Als Administrator ausführen wählen, wird 

zwar ein neues Fenster geöffnet, aber im selben Kontext wie das Original. Auf der Begleit-CD finden Sie 

einen Satz von Anhebungstools, darunter eines, das die Kontextmenüs aller Ordner durch den Befehl 

Elevate Explorer Here ergänzt (das Tool steht nur in englischer Sprache zur Verfügung). Mit diesem Tool 

können Sie an jeder beliebigen Stelle eine Windows-Explorer-Instanz mit erhöhten Privilegien öffnen. 

Tabelle 4.1 UAC-Liste der eingeschränkten RIDs 

Eingeschränkte RIDs Beschreibung 

DOMAIN_GROUP_RID_ADMINS Administratives Domänenbenutzerkonto 

DOMAIN_GROUP_RID_CONTROLLERS Gruppe Domänencontroller 

DOMAIN_GROUP_RID_CERT_ADMINS Gruppe Zertifikatherausgeber 

DOMAIN_GROUP_RID_SCHEMA_ADMINS Gruppe Schema-Admins 

DOMAIN_GROUP_RID_ENTERPRISE_ADMINS Gruppe Organisations-Admins 

DOMAIN_GROUP_RID_POLICY_ADMINS Gruppe Richtlinien-Ersteller-Besitzer 

DOMAIN_ALIAS_RID_ADMINS Administratives lokales Benutzerkonto 

DOMAIN_ALIAS_RID_POWER_USERS Gruppe Hauptbenutzer 

DOMAIN_ALIAS_RID_ACCOUNT_OPS Gruppe Konten-Operatoren, nur für Server 

DOMAIN_ALIAS_RID_SYSTEM_OPS Gruppe Server-Operatoren, nur für Server 

DOMAIN_ALIAS_RID_PRINT_OPS Gruppe Druck-Operatoren, nur für Server 

DOMAIN_ALIAS_RID_BACKUP_OPS Gruppe Sicherungs-Operatoren 

DOMAIN_ALIAS_RID_RAS_SERVERS Gruppe RAS- und IAS-Server 

DOMAIN_ALIAS_RID_PREW2KCOMPACCESS Gruppe Prä-Windows 2000 kompatibler Zugriff 

DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS Gruppe Netzwerkkonfigurations-Operatoren 

DOMAIN_ALIAS_RID_CRYPTO_OPERATORS Gruppe Kryptografie-Operatoren

So funktioniert die Tokenfilterung 93 

So funktioniert die Tokenfilterung 

Wenn sich ein Benutzer an einem Windows Vista- oder Windows Server 2008-Computer 

anmeldet, untersucht das Betriebssystem die RIDs (Relative ID) und Privilegien des Benutzers. 

Der Benutzer erhält zwei Token (gefiltert und vollständig), sofern sein Konto irgendeine 

der RIDs besitzt, die in Tabelle 4.1 aufgeführt sind, oder irgendeines der Privilegien aus 

Tabelle 4.2. 

Tabelle 4.2 UAC-Liste der eingeschränkten Windows-Privilegien 

Eingeschränkte 

Windows-Privilegien 

Beschreibung 

SeCreateTokenPrivilege Wird benötigt, um ein primäres Token anzulegen. 

SeTcbPrivilege Legt fest, dass das Subjekt Mitglied der vertrauenswürdigen Computerbasis ist. 

SeTakeOwnershipPrivilege Kann den Besitz eines Objekts übernehmen, ohne DACL-Zugriff zu haben. 

SeBackupPrivilege Erforderlich, um systemweite Datensicherungsaufgaben durchzuführen. 

SeRestorePrivilege Erforderlich, um systemweite Wiederherstellungsaufgaben durchzuführen. 

SeDebugPrivilege Kann den Arbeitsspeicher eines Prozess debuggen, dessen Besitzer ein anderes 

Konto ist. 

SeImpersonatePrivilege Erforderlich, um die Identität eines Clients nach der Authentifizierung anzunehmen. 

SeRelabelPrivilege Erforderlich, um die verbindliche Integritätsebene eines Objekts zu ändern. 

Beim gefilterten Standardbenutzertoken werden alle Windows-Privilegien außer den Windows-Standardprivilegien 

entfernt, die in Tabelle 4.3 aufgeführt sind. 

Tabelle 4.3 UAC-Liste der Windows-Standardprivilegien 

Windows-Standardprivilegien Beschreibung 

SeChangeNotifyPrivilege Erforderlich, um Benachrichtigungen über Änderungen an Dateien oder Ordnern 

zu empfangen. 

SeShutdownPrivilege Erforderlich, um ein System im Remotezugriff herunterzufahren. 

SeUndockPrivilege Erforderlich, um ein Notebook aus der Dockingstation zu entfernen. 

SeReserveProcessorPrivilege Erforderlich, um das Benutzerprozessorprivileg zu ändern. 

SeTimeZonePrivilege Erforderlich, um die Zeitzone des Computers zu verstellen. 

Beim gefilterten Zugriffstoken sind alle RIDs aus Tabelle 4.1 (sofern vorhanden) als USE_ 

FOR_DENY_ONLY markiert. Die Privilegien aus Tabelle 4.2 werden entfernt. Das unveränderte 

vollständige Administrator-Zugriffstoken ist mit dem gefilterten Zugriffstoken verknüpft. 

Es wird benutzt, wenn versucht wird, Anwendungen mit einem vollständigen Administrator- 

Zugriffstoken auszuführen. 

Weitere Informationen über RIDs finden Sie in Kapitel 1, »Subjekte, Benutzer und andere 

Akteure«, weitere Informationen über Windows-Privilegien in Kapitel 3, »Objekte: Was Sie 

wollen«.


Komponenten der Benutzerkontensteuerung 

Benutzer nehmen die UAC in erster Linie als Anhebungseingabeaufforderung wahr. Aber 

obwohl dieser Teil am deutlichsten sichtbar ist, ist es nicht der wichtigste Teil der UAC. Die 

UAC umfasst in Wirklichkeit eine ganze Reihe von Komponenten, die erst in ihrer Kombination 

bewirken, dass mehr Benutzer als Nicht-Administratoren arbeiten, was letztendlich 

das Ziel der UAC ist. Dieser Abschnitt beschreibt die verschiedenen Komponenten der 

UAC. Wir beginnen mit den verschiedenen Typen von Anhebungsdialogen. 

Benutzeroberfläche der Benutzerkontensteuerung 

Die deutlichsten Auswirkungen auf die Benutzerzufriedenheit zeigen sich bei Benutzern, die 

Mitglieder der lokalen Gruppe Administratoren sind. Standardbenutzer erhalten durch die 

Benutzerkontensteuerung die Fähigkeit, administrative Aufgaben auszuführen, ohne sich 

abmelden zu müssen. Die Eingabeaufforderung für Standardbenutzer sieht ganz ähnlich aus 

wie die administrative Eingabeaufforderung, allerdings müssen Standardbenutzer ein Kennwort 

eingeben. 

Die Eingabeaufforderung für Anmeldeinformationen 

Mit Ausnahme des integrierten Kontos Administrator starten in Windows Vista und Windows 

Server 2008 alle Benutzer ihre Anwendungen ohne Administratorprivilegien. Wenn 

eine bestimmte Aufgabe Administratorprivilegien erfordert, bekommt der interaktive Standardbenutzer 

eine Anhebungseingabeaufforderung angezeigt, in der er seine Anmeldeinformationen 

eingeben muss (Abbildung 4.1). Dort muss er einen gültigen Benutzernamen 

und das zugehörige Kennwort eines Benutzers angeben, der Mitglied der lokalen Gruppe 

Administratoren ist. 

Abbildung 4.1 Wenn ein Standardbenutzer eine administrative Aktion ausführen will, bekommt 

er eine Eingabeaufforderung angezeigt, in der er Anmeldeinformationen eingeben muss

Komponenten der Benutzerkontensteuerung 95 

Die Zustimmungs-Eingabeaufforderung 

In der Standardeinstellung wird die Zustimmungs-Eingabeaufforderung (Abbildung 4.2) 

angezeigt, wenn ein Benutzer, der Mitglied der lokalen Gruppe Administratoren ist, versucht, 

eine Aufgabe durchzuführen, die Administratorprivilegien erfordert. Diese Zustimmungs-Eingabeaufforderung 

bekommen nur lokale Administratoren angezeigt, die im 

Administratorbestätigungsmodus arbeiten. 

Abbildung 4.2 Ein Administrator bekommt eine Zustimmungs-Eingabeaufforderung 

angezeigt, wenn er versucht, eine administrative Aktion auszuführen 

Damit die Benutzer sinnvolle Entscheidungen treffen können, verwenden die UAC-Anhebungsaufforderungen 

Farbcodes und weisen mit unterschiedlichen Texten auf das potenzielle 

Sicherheitsrisiko einer Anwendung hin. Zum Beispiel weisen das vierfarbige Schildsymbol 

auf blau-grünem Hintergrund und der Text in Abbildung 4.2 darauf hin, dass eine Windows 

Vista- oder Windows Server 2008-Anwendung administrativen Zugriff braucht. Das ist zum 

Beispiel bei der Microsoft Management Console der Fall. 

Wenn eine Anwendung versucht, unter dem vollständigen Zugriffstoken eines Administrators 

zu laufen, analysieren Windows Vista und Windows Server 2008 die ausführbare Datei 

und ermitteln ihren Herausgeber. Anhand dieser Informationen legen sie fest, welcher Dialog 

angezeigt wird. 

Die Abbildungen 4.3 bis 4.5 zeigen verschiedene Eingabeaufforderungen, die sich jeweils in 

Farbe und Text unterscheiden. Zum Beispiel weisen in Abbildung 4.3 das gelbe Schildsymbol 

auf grauem Hintergrund und der Text darauf hin, dass die Anwendung, die administrativen 

Zugriff benötigt, Authenticode-signiert ist und auf dem lokalen Computer als vertrauenswürdig 

gilt; ein Beispiel ist der Microsoft Firewall-Client für ISA Server. In Abbildung 4.4 

bedeuten das gelbe Schildsymbol vor gelbem Hintergrund und der Text, dass die Anwendung, 

die administrativen Zugriff braucht, nicht identifiziert werden konnte und keine gültige 

Authenticode-Signatur vom Herausgeber hat; überlegen Sie in einem solchen Fall genau, 

ob Sie es erlauben sollten, die Anwendung auszuführen. Und in Abbildung 4.5 weisen das 

rote Schildsymbol auf rotem Hintergrund und der Text darauf hin, dass die Anwendung, die 

administrativen Zugriff braucht, von einem explizit blockierten oder nichtvertrauenswürdigen 

Herausgeber stammt. Ein Administrator kann das Signaturzertifikat eines Herausgebers 

in den Speicher Nicht vertrauenswürdige Zertifikate des lokalen Computers legen, um diesen 

Herausgeber zu blockieren. Diese Einstellung kann auch über Gruppenrichtlinien konfiguriert 

werden.


Abbildung 4.3 Diese UAC-Eingabeaufforderung wird angezeigt, wenn 

die Anwendung, die administrativen Zugriff braucht, mit Authenticode signiert 

ist und auf dem lokalen Computer als vertrauenswürdig eingestuft wird 

Abbildung 4.4 Diese UAC-Eingabeaufforderung wird angezeigt, wenn 

die Anwendung, die administrativen Zugriff braucht, nicht identifiziert werden 

kann und keine gültige Authenticode-Signatur für den Herausgeber hat 

Abbildung 4.5 Diese UAC-Eingabeaufforderung wird angezeigt, 

wenn die Anwendung, die administrativen Zugriff braucht, von einem 

explizit blockierten oder nichtvertrauenswürdigem Herausgeber stammt 

Die UAC-Dialogfelder zeigen auch unterschiedliche Details zu Name und Pfad der ausführbaren 

Datei an, je nachdem, welche Vertrauensebene die Authenticode-Signatur des 

Herausgebers hat. Zum Beispiel versucht der Benutzer in Abbildungen 4.3 und 4.5, dieselbe


Anwendung zu starten. Der Unterschied besteht darin, dass der Herausgeber in Abbildung 

4.3 als vertrauenswürdig eingestuft ist, in Abbildung 4.5 dagegen explizit blockiert ist. Wenn 

ein Herausgeber als vertrauenswürdig gilt, ändert sich nicht nur die Farbe des Dialogfelds, 

sondern auch der angezeigte Text klingt viel positiver. 

In Windows Vista und Windows Server 2008 bedeutet das Schildsymbol aus Abbildung 4.6, 

dass die UAC eine Eingabeaufforderung für die Autorisierung anzeigt, falls der Benutzer die 

Ausführung des entsprechenden Steuerelements oder Programms genehmigt. 

Abbildung 4.6 Das Schildsymbol kennzeichnet in Windows Vista 

und Windows Server 2008 eine administrative Aktion 

Manche Systemsteuerungskomponenten, zum Beispiel Datum und Uhrzeit, enthalten sowohl 

Administrator- als auch Standardbenutzeroperationen. Zum Beispiel können Standardbenutzer 

die Uhrzeit ablesen und die Zeitzone ändern, aber um die lokale Systemzeit zu ändern, 

ist ein vollständiges Administrator-Zugriffstoken nötig (Abbildung 4.7). Das hat unter anderem 

den Grund, dass ein Benutzer, der die Systemzeit ändert, die Reihenfolge der Ereignisse 

im Ereignisprotokoll verändern oder es dem Computer unmöglich machen kann, sich bei 

einer Windows-Domäne zu authentifizieren. 

Abbildung 4.7 Das Systemsteuerungsmodul Datum und Uhrzeit dient dazu, 

die lokale Computeruhr und die Zeitzone zu konfigurieren 

Anwendungsinformationsdienst 

Der Anwendungsinformationsdienst (Application Information Service, AIS) ist ein neuer 

Systemdienst in Windows Vista und Windows Server 2008. Er steuert den Start von Programmen, 

die zum Ausführen erhöhte Privilegien, beschränkte Rechte oder privilegierte 

Integritätsebenen benötigen. AIS ist die Komponente, die diese Prozesse tatsächlich startet


und mit dem richtigen Token verknüpft. In gewisser Weise ist AIS das Herz der UAC. Beachten 

Sie, dass AIS im abgesicherten Modus deaktiviert ist; daher melden sich Benutzer, 

die Mitglieder der lokalen Gruppe Administratoren sind, mit ihren vollständigen administrativen 

Token an. Windows verwendet diesen Ansatz, weil der abgesicherte Modus ohnehin 

nur für Wiederherstellung und Wartung genutzt werden sollte. 

Datei- und Registrierungsvirtualisierung 

Windows Vista und Windows Server 2008 führen eine Datei- und Registrierungsvirtualisierung 

durch. Dies ist eine neue Anwendungskompatibilitätstechnologie, die Probleme mit 

alten Anwendungen beseitigen soll, die ein Administratorzugriffstoken für die Ausführung 

benötigen. Die Virtualisierung hilft, diese Anwendungen lauffähig zu machen, auch wenn 

der Hersteller keine Änderung vornimmt. Eine große Zahl von alten Anwendungen, die 

bisher ohne Administratorzugriffstoken nicht lauffähig waren, funktioniert nun in Windows 

Vista und Windows Server 2008. Dafür ist die Virtualisierung verantwortlich. 

Wenn eine alte Anwendung, die unter einem gefilterten Standardbenutzer-Zugriffstoken 

läuft, versucht, in ein geschütztes Verzeichnis wie zum Beispiel Program Files zu schreiben, 

bekommt die Anwendung eine virtualisierte Ansicht der Ressource präsentiert, die sie zu 

ändern versucht. Die virtualisierte Kopie wird unter dem Profil (Registrierung) des Benutzers 

verwaltet. Jeder Benutzer hat eine völlig unabhängige Kopie der virtualisierten Datei. 

Das bedeutet, dass zwei Benutzer, die auf demselben Computer dasselbe Spiel spielen, möglicherweise 

nicht dieselbe Bestenliste angezeigt bekommen, weil jeder Benutzer seine eigene 

virtualisierte Ansicht der Datei %ProgramFiles%\Spiel\highscores.txt zu sehen bekommt. 

Daher müssen IT-Administratoren die Datei- und Registrierungsvirtualisierung verstehen. In 

manchen Fällen ist es nötig, die Virtualisierungseinstellungen innerhalb des Unternehmens 

anzupassen, um Anwendungskompatibilitätsprobleme zu beseitigen. Die folgenden Abschnitte 

beschreiben die Datei- und Registrierungsvirtualisierung. 

Dateivirtualisierung 

Dateivirtualisierung soll Probleme lösen, die entstehen, wenn eine Anwendung Dateien 

anlegen oder ändern muss, für die nur Administratoren Schreibzugriff haben. Das kann zum 

Beispiel eine Konfigurationsdatei in einem geschützten Speicherort wie %ProgramFiles%, 

%ProgramData% oder %SystemRoot% sein. Wird ein solches Programm unter einem gefilterten 

Standardbenutzertoken ausgeführt, kann das zu unerwarteten Fehlern führen. In manchen 

Fällen kann das Programm überhaupt nicht ausgeführt werden, weil es nicht auf unbedingt 

benötigte Dateien oder Registrierungsschlüssel zugreifen kann. 

Wenn ein Programm in einen geschützten Systemspeicherort schreibt, wird die Operation 

vom Dateivirtualisierungsfiltertreiber (%SystemRoot%\System32\Drivers\Luafv.sys) »abgefangen« 

und auf einen benutzerspezifischen Speicherort innerhalb des Verzeichnisses VirtualStore 

umgeleitet, das in %LocalAppData%\VirtualStore liegt. Wenn das Programm die 

Datei später liest, fängt Luafv.sys die Operation wieder ab und leitet sie erneut auf den virtuellen 

Speicher des Benutzers um. Falls die Datei nicht im virtuellen Speicher gefunden wird, 

ruft Luafv.sys den nichtvirtualisierten Speicherort ab. Weil die Dateivirtualisierung automatisch 

durchgeführt wird, glaubt das Programm, es hätte erfolgreich in %ProgramFiles%\ 

geschrieben. Aus Sicherheitsgründen erlaubt die Dateivirtualisierung 

standardmäßig keine Umleitung bekannter ausführbarer Dateitypen wie .exe, .dll, .sys, .bat 

und .cmd. Falls das Programm aufgrund von Anwendungskompatibilitätseinschränkungen


eine .bat-Datei virtualisieren muss, können Sie den Dateivirtualisierungsfilter so konfigurieren, 

dass dies unterstützt wird. Die folgenden Beispiele demonstrieren, wie Sie die Dateivirtualisierung 

konfigurieren. 

Hinweis Der Registrierungszweig FileList ist in der Standardeinstellung nicht vorhanden. Sie müssen ihn 

von Hand erstellen, um die Dateivirtualisierung zu konfigurieren. 

Hier ein Beispielszenario: Ein Unternehmen braucht eine alte Buchhaltungsanwendung, die 

eine Protokolldatei in den eingeschränkten Programmordner der Anwendung schreibt. Um 

die Virtualisierung für den Ordner C:\Programme\ des Buchhaltungsprogramms 

zu aktivieren, müssen Sie unter dem folgenden Registrierungsschlüssel einen 

neuen DWORD-Eintrag namens Exclude erstellen und auf den Wert 0 setzen: 

[HKLM\SYSTEM\CurrentControlSet\Services\luafv\Parameters\FileList\Device\\ 

] 

Ein anderes Szenario: Ein Unternehmen zwingt alle Benutzer, ihre Daten in einem bestimmten 

Speicherort abzulegen, indem es den Benutzern die Schreibberechtigung für alle Speicherorte 

außer dem gewünschten Datensicherungsort entzieht. Wenn die Virtualisierung 

aktiviert ist, kann ein Benutzer Daten potenziell an jedem Speicherort ablegen, für den die 

Virtualisierung eingeschaltet ist. Um die Virtualisierung für den Ordner C:\Programme\ 

zu deaktivieren, können Sie im folgenden Registrierungsschlüssel 

einen neuen DWORD-Wert namens Exclude erstellen und auf 1 setzen: 

[HKLM\SYSTEM\CurrentControlSet\Services\luafv\Parameters\FileList\Device\\ 

Program Files\AnwendungsnameY] 

Ein letztes Szenario: Ein Unternehmen nutzt eine alte Buchhaltungsanwendung, die eine 

.bat-Datei in den eingeschränkten Programmordner der Anwendung schreibt. Um die Virtualisierung 

für Dateien mit der Erweiterung .bat zu aktivieren, müssen Sie unter dem folgenden 

Registrierungsschlüssel einen neuen REG_MULTI_SZ-Wert namens ExcludedExtensionsRemove 

erstellen und als Wert »bat« eintragen: 

[HKLM\SYSTEM\CurrentControlSet\Services\luafv\Parameters] 

Hinweis Sie können sich virtuelle Dateien und Ordner ansehen, indem Sie im Windows-Explorer den 

virtualisierten Dateispeicherort öffnen und in der Explorer-Symbolleiste auf Kompatibilitätsdateien klicken. 

Registrierungsvirtualisierung 

Registrierungsvirtualisierung ähnelt der Dateivirtualisierung, betrifft aber Registrierungsschlüssel 

unter HKLM\SOFTWARE. Dieses Feature erlaubt Anwendungen, die Konfigurationsinformationen 

in HKLM\SOFTWARE speichern müssen, weiterhin lauffähig zu bleiben, 

wenn sie ohne administrative Privilegien ausgeführt werden. Die Schlüssel und Daten werden 

in HKEY_CLASSES_ROOT\VirtualStore\SOFTWARE umgeleitet. Der Zweig VirtualStore 

wird erst bei Bedarf erstellt, wenn zum ersten Mal eine Anwendung Virtualisierung nutzt. 

Wie bei der Dateivirtualisierung verfügt jeder Benutzer über ein virtualisiertes Exemplar der 

Werte, die eine Anwendung in HKLM gespeichert hat. Falls ein Programm aufgrund von 

Anwendungskompatibilitätseinschränkungen die Registrierungsvirtualisierung konfigurieren 

muss, wird dies unterstützt. Die folgenden Beispiele demonstrieren, wie Sie die Registrierungsvirtualisierung 

konfigurieren.


Konfigurieren der Registrierungsvirtualisierung zum Verbessern 

der Anwendungskompatibilität 

Ein Beispielszenario: Ein Unternehmen will die Virtualisierung von Registrierungswerten 

unter dem Schlüssel DontVirtMe verhindern. Führen Sie dazu an einer Eingabeaufforderung 

mit erhöhten Rechten den folgenden Befehl aus: 

Reg.exe flags HKLM\Software\DontVirtMe SET DONT_VIRTUALIZE 

Ein anderes Beispiel: Ein Unternehmen will die Virtualisierung aller Registrierungswerte 

und Unterschlüsselwerte unter dem übergeordneten Registrierungsschlüssel DontVirtMe 

verhindern. Führen Sie dazu an einer Eingabeaufforderung mit erhöhten Rechten den folgenden 

Befehl aus: 

Reg.exe flags HKLM\Software\DontVirtMe RECURSE_FLAG DONT_VIRTUALIZE 

Die Virtualisierung erlaubt es zwar, die große Mehrheit von Anwendungen auszuführen, die 

vor Windows Vista entwickelt wurden, aber dies ist eine Übergangs-, keine Dauerlösung. 

Außerdem gibt es einige Anwendungen, die nicht lauffähig sind. Das sind zum Beispiel 

Anwendungen, die gezielt prüfen, ob bestimmte Benutzerprivilegien vorhanden sind. Zum 

Beispiel prüfen viele Prozesssteuerungsanwendungen, ob der Benutzer ein Administrator ist; 

sie beenden sich sofort, wenn das nicht der Fall ist. Sie können solche Anwendungen unter 

Windows Vista ausführen, indem Sie ein Anwendungsmanifest hinzufügen, das aussagt, 

dass die Anwendung mit administrativen Privilegien ausgeführt werden muss, und die Anwendung 

dann erneut bereitstellen. Entwickler sollten alle Anwendungen so anpassen, dass 

sie die Anforderungen des Windows Vista- und Windows Server 2008-Logoprogramms 

erfüllen, statt sich auf Datei- und Registrierungsvirtualisierung zu verlassen. 

Manifeste und angeforderte Ausführungsebenen 

Anwendungen, die unter Windows Vista und Windows Server 2008 laufen, können mithilfe 

von Anwendungsmanifesten Anforderungen an das Betriebssystem während der Laufzeit 

beschreiben oder deklarieren. Administrative Anwendungen können ihre Privilegienanforderungen 

im Anwendungsmanifest deklarieren, das System fordert dann beim Benutzer die 

entsprechende Genehmigung an. Die meisten administrativen Anwendungen, die vor Windows 

Vista entwickelt wurden, laufen aber auch problemlos ohne Anpassungen, wenn sie 

keinen Eintrag im Anwendungsmanifest haben. Das ist den umfangreichen Anwendungskompatibilitätskorrekturen 

in Windows Vista und Windows Server 2008 zu verdanken, die 

allerdings nur wirksam werden, wenn die UAC aktiviert ist. Anwendungskompatibilitätskorrekturen 

ermöglichen es, Anwendungen auszuführen, die ohne administrativen Zugriff normalerweise 

nicht lauffähig wären. Stellen Sie sich zum Beispiel ein Spiel vor, das beim Start 

prüft, ob der Benutzer Mitglied der lokalen Gruppe Administratoren ist. Wird dieses Programm 

unter einem gefilterten Standardbenutzer-Zugriffstoken ausgeführt, schlägt diese 

Prüfung fehl, sodass die Anwendung sich beendet. Anhand der Anwendungskompatibilitätsdatenbank 

kann das Betriebssystem feststellen, dass die Anwendung mit einem vollständigen 

Token ausgeführt werden muss, und beim Benutzer die entsprechende Erlaubnis anfordern. 

Oder die Anwendungskompatibilitätsdatenbank verrät, dass die Anwendung auch ohne 

vollständiges Token einwandfrei läuft. Dann spiegelt das System der Anwendung nur vor, 

dass sie mit einem vollständigen Token läuft. Diese Arten von Anwendungskompatibilitätskorrekturen 

werden als Shims (dt. Ausgleichsscheibe) bezeichnet.


Alle Anwendungen, die die Anforderungen des Windows Vista- und Windows Server 2008- 

Logos erfüllen, müssen ein gültiges Manifest haben, in dem die geforderte Ausführungsebene 

definiert ist. Die Anwendung deklariert ihre Zugriffsanforderungen mit dem Attribut 

requestedExecutionLevel. Falls die Anwendung administrativen Zugriff benötigt, gibt das 

Anwendungsmanifest die geforderte Ausführungsebene requireAdministrator an. So ist 

sichergestellt, dass das System dieses Programm als administrative Anwendung erkennt und 

die erforderliche Eingabeaufforderung für die Privilegienanhebung anzeigt. Eine Anwendung 

kann abhängig vom Benutzer auch unterschiedliche Funktionalität haben: eine Version 

für Administratoren und eine für Standardbenutzer. Zum Beispiel ist die Microsoft Management 

Console (MMC) mit highestAvailable markiert. Falls ein Standardbenutzer die MMC 

ausführt, startet sie mit Standardbenutzerprivilegien und zeigt keine Eingabeaufforderung 

an. Falls der Benutzer ein gefiltertes Zugriffstoken hat, zum Beispiel ein lokaler Administrator 

oder ein Netzwerkoperator, zeigt das Betriebssystem eine Eingabeaufforderung an, mit 

der er die MMC mit den höchstmöglichen verfügbaren Privilegien starten kann. So kann ein 

Administrator eine andere Zugriffsebene haben als der Netzwerkoperator oder der Standardbenutzer. 

Installererkennungstechnologie 

Installationsprogramme sind Anwendungen, die Software bereitstellen. Die meisten davon 

schreiben in Systemverzeichnisse und Computerregistrierungsschlüssel. Diese geschützten 

Systemspeicherorte erfordern normalerweise Administratorprivilegien, das bedeutet, dass 

Standardbenutzer keinen ausreichenden Zugriff haben, um die meisten Programme zu installieren. 

Windows Vista und Windows Server 2008 erkennen mit heuristischen Methoden 

Installationsprogramme, Updater und Deinstallationsprogramme, die Administratorzugriff 

erfordern. Die Installererkennung ist eine Schlüsselkomponente im UAC-Entwurf. Sie sorgt 

dafür, dass die passende Eingabeaufforderung angezeigt wird, und verhindert, dass Installationen 

ohne Wissen des Benutzers ausgeführt werden. 

Die Installererkennung gilt nur für folgende Elemente: 

Ausführbare 32-Bit-Dateien 

Anwendungen ohne requestedExecutionLevel 

Interaktive Prozesse, die als Standardbenutzer ausgeführt werden, während die UAC 

aktiviert ist 

Das Betriebssystem stellt mithilfe heuristischer Methoden fest, ob eine Anwendung ein 

Installer ist. Dabei werden folgende Attribute ausgewertet: 

Schlüsselwörter im Dateiname, zum Beispiel Install, Setup, Update und äquivalente 

Wörter in anderen Sprachen 

Schlüsselwörter in den folgenden Versionsressourcenfeldern der ausführbaren Datei: 

Vendor, Company Name, Product Name, File Description, Original Filename, Internal Name 

und Export Name 

Schlüsselwörter im Side-by-side-Manifest, das in die ausführbare Datei eingebettet ist 

Schlüsselwörter in bestimmten StringTable-Einträgen, die in die ausführbare Datei eingebunden 

sind 

Schlüsselattribute in den RC-Daten, die mit der ausführbaren Datei verknüpft sind


UIPI 

Falls Sie zum Beispiel eine Anwendung namens Setup.exe oder Install.exe haben, wird sie 

als Installer erkannt, sodass automatisch eine Eingabeaufforderung angezeigt wird. Allgemeine 

Informationen und einen Überblick zum Microsoft Windows Installer finden Sie im 

MSDN unter http://go.microsoft.com/fwlink/?LinkId=30197. 

User Interface Privilege Isolation (UIPI, Benutzeroberflächen-Rechteisolierung) ist eine 

neue Technologie in Windows Vista und Windows Server 2008. Sie hilft dabei, Prozesse, die 

auf Administratorebene laufen, von Prozessen zu isolieren, die auf demselben interaktiven 

Desktop mit geringeren Privilegien ausgeführt werden. UIPI verhindert, dass eine Anwendung 

mit geringeren Privilegien Windows-Nachrichten missbraucht, um Eingaben an einen 

Prozess mit höheren Privilegien zu senden. Wenn ein Prozess Eingaben an einen anderen 

sendet, kann er Eingaben in den anderen »einschleusen«, ohne dass der Benutzer dafür seine 

Zustimmung gegeben hat. 

UIPI definiert einen Satz erlaubter Windows-Nachrichtenoperationen, die von den höchsten 

der unterschiedlichen Prozessebenen erlaubt werden. Höhere Privilegebenen können Windows-Nachrichten 

an Anwendungen senden, die auf niedrigeren Ebenen laufen, aber umgekehrt 

können niedrigere Ebenen bestimmte Windows-Nachrichten nicht an Anwendungsfenster 

senden, die unter höheren Ebenen laufen. UIPI hat keinen Einfluss auf die Funktion 

oder das Verhalten des Fensternachrichtenaustauschs zwischen Anwendungen derselben 

Privilegebene. UIPI kommt ins Spiel, wenn ein Benutzer, der Mitglied der Gruppe Administratoren 

ist, auf demselben interaktiven Desktop Anwendungen als Administrator und Standardbenutzer 

ausführt. 

Anhebungsaufforderungen auf dem sicheren Desktop 

Eingabeaufforderungen für Anmeldeinformationen und Anhebungszustimmung werden in 

Windows Vista und Windows Server 2008 standardmäßig auf dem sicheren Desktop angezeigt. 

Jede Anwendung muss auf einem Desktop laufen, und jeder interaktive Benutzer bekommt 

bei der Anmeldung einen Desktop zugewiesen, auf dem alle seine Anwendungen 

laufen. Der sichere Desktop wird vom Betriebssystem für Dienste und kritische Benutzeroberflächen 

verwendet, zum Beispiel die Anmeldungsoberfläche. 

Indem das Betriebssystem die Anhebungseingabeaufforderung auf dem sicheren Desktop 

anzeigt, garantiert das Betriebssystem, dass die dort angezeigten Informationen nicht manipuliert 

werden können. Wenn eine ausführbare Datei eine Anhebung anfordert, wird der 

Benutzer von seinem interaktiven Desktop auf den sicheren Desktop umgeschaltet. Der 

sichere Desktop zeichnet einen abgeblendeten Hintergrund des Benutzerdesktops und zeigt 

hervorgehoben die Anhebungseingabeaufforderung an. Wenn der Benutzer auf Fortsetzen 

oder Abbrechen klickt, schaltet der Desktop automatisch zurück zum interaktiven Desktop 

des Benutzers. Malware kann zwar den interaktiven Desktop übermalen und eine Imitation 

des sicheren Desktops anzeigen (das sogenannte Spoofing), aber selbst wenn der Benutzer 

eine solche gefälschte Eingabeaufforderung autorisiert, bekommt die Malware keine Anhebung. 

Falls die UAC so konfiguriert ist, dass sie Anmeldeinformationen vom Benutzer anfordert, 

könnte Malware, die eine entsprechende Eingabeaufforderung vortäuscht, die Anmeldeinformationen 

des Benutzers ausspähen. Die Malware kann diese Anmeldeinformationen 

aber im Remotezugriff nicht nutzen, um sich Administratorprivilegien zu verschaffen. 

Malware gewinnt letztlich also überhaupt nichts dadurch, dass sie das Dialogfeld für den


Administratorbestätigungsmodus fälscht. Malware kann Benutzername und Kennwort nicht 

in ein gültiges UAC-Dialogfeld eingeben, das auf dem sicheren Desktop angezeigt wird, und 

sie kann nicht Runas.exe verwenden, um einen Prozess mit erhöhten Privilegien auszuführen, 

oder ein echtes UAC-Dialogfeld automatisieren. 

Remoteunterstützung 

In Windows Vista und Windows Server 2008 kann ein Domänenbenutzer als Standardbenutzer 

arbeiten, wobei eine zentrale IT-Gruppe alle Verwaltungsaufgaben erledigt. Microsoft 

stellt für unterschiedliche Administrationszwecke einerseits den Remotedesktop (Remote 

Desktop, RD) und andererseits die Remoteunterstützung (Remote Assistance, RA) zur Verfügung, 

um auf Computer zuzugreifen. RD-Sitzungen sind nützlich, wenn ein Administrator 

keine Endbenutzerinteraktion benötigt, aber vollständige Kontrolle über den Remotecomputer 

braucht. RA ist nützlich für Diagnose und Problembehandlung, wenn der Endbenutzer 

einem IT-Experten sein Problem demonstrieren muss. Auf die RA hat die UAC einige Auswirkungen. 

Es ist wichtig, dass Sie diese Auswirkungen kennen. 

IT-Experten bekommen es im Zusammenhang mit der RA vor allem mit zwei Problemen zu 

tun. Erstens: In der Standardeinstellung verwenden die UAC-Eingabeaufforderungen den 

sicheren Desktop, daher kann der Remotebenutzer sie nicht bedienen. Zweitens: Falls die 

UAC-Richtlinie Verhalten der Benutzeraufforderung mit erhöhten Rechten für Standardbenutzer 

auf die Einstellung Anforderungen für erhöhte Rechte automatisch ablehnen gesetzt 

ist, werden Anhebungsanforderungen völlig verweigert. 

Windows Vista SP1 hat eine neue UAC-Richtlinie, die das Problem mit der Eingabeaufforderung 

auf dem sicheren Desktop beseitigen soll: Benutzerkontensteuerung: UIAccess-Anwendungen 

können erhöhte Rechte ohne sicheren Desktop anfordern. Wenn diese Richtlinie 

konfiguriert ist, deaktiviert AIS dynamisch den sicheren Desktop für Anwendungen mit UI- 

Access-Zugriffsebene (zum Beispiel Remoteunterstützung) und aktiviert ihn wieder, sobald 

das Programm beendet wurde. Weitere Informationen finden Sie im Abschnitt »Was hat sich 

bei der UAC in Windows Server 2008 und Windows Vista SP1 geändert« weiter unten in 

diesem Kapitel. 

Falls die Richtlinie Verhalten der Benutzeraufforderung mit erhöhten Rechten für Standardbenutzer 

auf Anforderungen für erhöhte Rechte automatisch ablehnen gesetzt ist, kann der 

IT-Experte, der die Verbindung über RA herstellt, keine Anwendung mit administrativen 

Privilegien starten. Um dieses Problem zu umgehen, kann der IT-Experte mit Runas.exe ein 

Eingabeaufforderungsfenster unter seinem eigenen Benutzernamen und dem zugehörigen 

Kennwort starten und dort einen Prozess starten, der die Anhebung erfordert. Die UAC verwendet 

dann die UAC-Eingabeaufforderungsrichtlinie des IT-Experten. 

Als IT-Experte können Sie zum Beispiel folgendermaßen vorgehen, um den Registrierungs- 

Editor mit Administratorprivilegien auszuführen: 

1. Öffnen Sie eine Eingabeaufforderung und geben Sie runas /user:Domäne\ITExperte 

cmd.exe ein. 

2. Geben Sie im daraufhin geöffneten Eingabeaufforderungsfenster den Befehl regedit.exe 

ein. 

3. Bestätigen Sie die UAC-Anhebungseingabeaufforderung.


UAC-Remoteeinschränkungen 

Wenn sich ein Administrator im Remotezugriff über die normalen Windows-Netzwerkfunktionen 

an einem Windows Vista- oder Windows Server 2008-Computer anmeldet, arbeitet er 

im Administratorbestätigungsmodus, genau wie bei einer lokalen Anmeldung. Um dieses 

Verhalten zu ergänzen, beschränkt die UAC die Remoteverwaltung, was Administrator- 

Loopback-Angriffe verhindern soll. Außerdem dient dies als Schutz vor böswilliger Software, 

die lokal läuft, aber im Remotezugriff administrative Privilegien erlangt. Zum Beispiel 

tritt ein Administrator-Loopback auf, wenn ein Benutzer sich mit einem gefilterten Zugriffstoken 

anmeldet und Malware dann einfach den Befehl net use \\127.0.0.1\c$ ausführt, um 

administrativen Zugriff auf das Dateisystem zu erlangen. Wenn die UAC-Remoteeinschränkungen 

aktiviert sind, erhält auch das Loopback nur ein gefiltertes Zugriffstoken, keinen 

vollständigen administrativen Zugriff. Dieses Verhalten arbeitet jeweils anders für unterschiedliche 

Typen von Benutzerkonten, wie in den folgenden Abschnitten beschrieben. 

Lokale Benutzerkonten 

Nehmen wir an, ein Benutzer arbeitet lokal auf dem Server und ist Mitglied der lokalen 

Gruppe Administratoren auf diesem Server. Er baut mit net use * \\Server\Freigabe eine 

Remoteverbindung auf. Anders als bei älteren Windows-Versionen ist das Token, das auf 

dem Server für den Benutzer verwendet wird, in diesem Fall kein vollständiges administratives 

Token. Der Benutzer kann auf dem Remotecomputer keine Anhebung durchführen und 

keine administrativen Aufgaben erledigen. Falls der Benutzer die Arbeitsstation mit einem 

lokalen Konto administrieren will, muss er sich interaktiv am Remotecomputer anmelden, 

zum Beispiel über Remoteunterstützung oder Remotedesktop. 

Domänenbenutzerkonten 

Wenn ein Benutzer, der ein Domänenbenutzerkonto hat, sich im Remotezugriff an einem 

Computer anmeldet und Mitglied der lokalen Gruppe Administratoren ist, arbeitet dieser 

Domänenbenutzer auf dem Remotecomputer mit einem vollständigen Administrator-Zugriffstoken. 

Die UAC ist in diesem Fall nicht wirksam. 

Verwalten der UAC-Remoteeinschränkungen 

Sie können die UAC-Remoteeinschränkungen für lokale Konten deaktivieren und das Verhalten 

wie unter Windows XP und Windows Server 2003 einstellen, indem Sie unter dem 

folgenden Registrierungsschlüssel einen DWORD-Eintrag namens LocalAccountTokenFilterPolicy 

erstellen und auf den Wert 1 setzen: 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system 

Zuordnen von Netzlaufwerken im Administratorbestätigungsmodus 

Wenn ein Administrator, der im Administratorbestätigungsmodus arbeitet, ein Netzlaufwerk 

zuordnet, wird diese Zuordnung nur mit der aktuellen Anmeldesitzung für das aktuelle Prozesszugriffstoken 

verknüpft. Falls also ein Benutzer eine Eingabeaufforderung (Cmd.exe) 

mit einem gefilterten Zugriffstoken ausführt und darin explizit eine Netzwerkfreigabe zuordnet, 

steht diese Netzwerkfreigabe nicht in irgendwelchen angehobenen Cmd.exe-Instanzen 

zur Verfügung, die unter einem vollständigen Administrator-Zugriffstoken laufen. Nur 

im Fall von UNC-Pfaden werden die Sitzungen automatisch vom System verknüpft.


Sie können einen Registrierungswert definieren, um festzulegen, dass Netzwerkverbindungen 

von Prozessen gemeinsam genutzt werden, die mit gefiltertem oder vollständigem Zugriffstoken 

laufen. Das gilt aber nur für Mitglieder der Gruppe Administratoren. Wenn Sie 

diese Registrierungseinstellung aktivieren und eine Netzwerkressource einem Zugriffstoken 

zugeordnet ist, prüft die LSA, ob ein anderes Zugriffstoken mit der aktuellen Benutzersitzung 

verknüpft ist. Falls die LSA feststellt, dass es ein verknüpftes Zugriffstoken gibt, fügt 

sie die Netzwerkfreigabe zur verknüpften Position hinzu. 

Sie können ein verknüpftes Netzlaufwerk aktivieren, indem Sie unter dem folgenden Registrierungsschlüssel 

einen DWORD-Eintrag namens EnableLinkedConnections erstellen und 

auf den Wert 1 setzen: 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 

Direkt aus der Praxis: Welche Konten können angehoben werden? 

Vor Kurzem bat mich eine Freundin, einige Probleme im Zusammenhang mit der Privilegienanhebung 

zu beseitigen. Es war ihr nicht möglich, eine Anhebung durchzuführen, um 

einige Netzwerkparameter auf ihrem Notebook zu ändern. Das Notebook war ein Domänenmitglied, 

aber der Domänencontroller war zu diesem Zeitpunkt nicht verfügbar. Nach 

einigen Minuten Problembehandlung notierte ich das folgende Szenario, das meiner Meinung 

nach demonstriert, wie verwirrend die UAC bisweilen sein kann und welche Wechselwirkungen 

sie mit anderen Features von Windows hat: 

Der Computer hat den Namen Denise-PC. 

Der Computer ist Mitglied der Domäne example.com. 

Der Domänencontroller von example.com ist offline. Anders ausgedrückt: Denise-PC 

arbeitet ohne Domänenverbindung. 

Bisher hat sie sich an Denise-PC nur unter EXAMPLE\Denise angemeldet. 

EXAMPLE\Denise ist Mitglied von VORDEFINIERT\Benutzer. 

VORDEFINIERT\Administratoren auf Denise-PC hat die Mitglieder VORDEFI- 

NIERT\Administrator und DENISE-PC\Denise. 

Wenn sie versucht, eine administrative Aktion auszuführen, erhält sie eine Anhebungseingabeaufforderung, 

in der sie Anmeldeinformationen eines Administratorkontos 

eingeben soll. 

Es stehen mehrere Möglichkeiten zur Auswahl, eine Anhebung durchzuführen: 

1. Anhebung auf VORDEFINIERT\Administrator 

2. Anhebung auf EXAMPLE\Denise 

3. Anhebung auf EXAMPLE\Administrator 

4. Anhebung auf EXAMPLE\Foo, wobei Foo Mitglied von EXAMPLE\Domänen- 

Admins ist 

5. Anhebung auf DENISE-PC\Denise 

Option 1 schlägt fehl, weil VORDEFINIERT\Administrator in Windows Vista standardmäßig 

deaktiviert ist, sofern es ein anderes lokales Administratorkonto gibt. Weil 

DENISE-PC\Denise ein lokales Administratorkonto ist und auch aktiviert ist, steht 

VORDEFINIERT\Administrator nicht zur Verfügung.


Option 2 schlägt ebenfalls fehl. EXAMPLE\Denise ist nur Mitglied von Benutzer. Es ist 

kein Administratorkonto, daher ist keine Anhebung möglich. 

Option 3 schlägt fehl, denn obwohl EXAMPLE\Administrator (indirekt) Mitglied von 

VORDEFINIERT\Administratoren ist, hat sich dieses Konto noch nie auf Denise-PC angemeldet. 

Weil der Computer offline ist, muss die Authentifizierung von Domänenkonten 

anhand des Kennwortverifizierers durchgeführt werden. (In Kapitel 2, »Authentifizierung 

und Authentifizierungsprotokolle«, finden Sie Informationen zu zwischengespeicherten 

Anmeldeinformationen.) Zwischengespeicherte Anmeldeinformationen gibt es nur für 

Benutzer, die sich vorher interaktiv angemeldet haben. Daher gibt es keine Daten, anhand 

derer EXAMPLE\Administrator authentifiziert werden könnte. Außerdem sollte erwähnt 

werden, dass es äußerst leichtsinnig wäre, auf einer Mitgliedarbeitsstation eine Anhebung 

auf einen Domänenadministrator durchzuführen. Die Gründe sind in Kapitel 14, »Schützen 

des Netzwerks«, beschrieben. 

Option 4 schlägt aus denselben Gründen fehl wie Option 3. 

Option 5 funktioniert. DENISE-PC\Denise ist ein lokales Konto. Daher werden keine 

zwischengespeicherten Anmeldeinformationen benötigt. Es ist Mitglied von VOR- 

DEFINIERT\Administratoren, daher kann eine Anhebung auf dieses Konto durchgeführt 

werden. Und es ist nicht deaktiviert, daher kann eine Anmeldung damit vorgenommen 

werden. 

Ich meine, dass dieser Bericht gut erklärt, welche Konten für eine UAC-Anhebung genutzt 

werden können und welche Beziehung zwischen Domänenkonten, Kennwortverifizierern 

und UAC besteht. 


Windows Security MVP 

Blockierte Anwendungsanhebungen bei Anmeldung 

Windows Vista und Windows Server 2008 blockieren administrative Anwendungen, die 

versuchen, im Anmeldungsstartpfad des Benutzers zu starten. Viele Fremdhersteller legen 

Programme in den Anmeldungsstartpfad des Benutzers, um sicherzustellen, dass sie jedes 

Mal ausgeführt werden, wenn sich der Benutzer anmeldet. Diese Lösung mag bequem sein, 

sie verursacht aber oft Anwendungskompatibilitätsprobleme, wenn der Benutzer, der sich 

anmeldet, kein Administrator ist, die Anwendung dies aber voraussetzt. Dieses Verhalten ist 

auch praktisch für Malware, die sich einfach im Anmeldungsstartpfad des Benutzers einnisten 

kann. Künftig wird jedes Mal, wenn sich der Benutzer anmeldet, die Malware unbemerkt 

mit Administratorzugriff ausgeführt, ohne dass der Benutzer zugestimmt hat. Um dieses 

Verhalten zu blockieren, bieten Windows Vista und Windows Server 2008 dem Benutzer die 

Möglichkeit, die Liste der blockierten Programme zu verwalten. Eine Anhebungsmeldung 

benachrichtigt den Benutzer (Abbildung 4.8), und das Symbol in der Taskleiste erlaubt dem 

Benutzer, das blockierte Programm auszuführen oder die Verwaltungsoberfläche zu öffnen 

(Abbildung 4.9).

Abbildung 4.8 Meldung, dass Windows irgendwelche 

automatisch startenden Programme blockiert hat 


Abbildung 4.9 Über das Taskleistensymbol können blockierte Autostartprogramme 

ausgeführt oder entfernt werden 

Mit der UAC werden Anwendungen, die Administratorprivilegien benötigen, blockiert, falls 

sie von folgenden Orten gestartet werden: 

Benutzerspezifischer Autostart-Ordner %UserProfile%\Start Menu\Programs\ 

Startup 

Computerspezifischer Autostart-Ordner %AllUsersProfile%\Start Menu\Programs\ 

Startup 

Benutzerspezifischer RUN-Schlüssel HKEY_USERS\*\Software\Microsoft\Windows\ 

CurrentVersion\Run 

Computerspezifischer RUN-Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\ 

Microsoft\Windows\CurrentVersion\Run 

Hinweis Der Stern (»*«) in den Registrierungspfaden steht hier für alle Sicherheits-IDs des Benutzers, 

inklusive der .Default-SID. 

Dabei ist wichtig, dass Gruppenrichtlinien ein Benutzeranmeldeskript unterstützen, das unter 

dem höchstmöglichen Zugriffstoken des momentan angemeldeten Benutzers ausgeführt 

wird. Falls der Benutzer Mitglied der lokalen Gruppe Administratoren ist, führt das Skript 

eine Anhebung durch, ohne dass der Administrator im Administratorbestätigungsmodus eine 

Eingabeanforderung angezeigt bekommt. 

Konfigurieren der UAC-Kompatibilität für ältere Anwendungen 

Der letzte und wichtigste Schritt beim Konfigurieren der UAC besteht darin sicherzustellen, 

dass Ihre Software entweder UAC-kompatibel entworfen wurde (das heißt, sie erfüllt die 

Logoanforderungen) oder so konfiguriert ist, dass sie unter Windows Vista oder Windows 

Server 2008 läuft. 

Neue Anwendungen, die die Anforderungen des Windows Vista- und Windows Server 2008- 

Logos erfüllen, müssen entweder unter Standardbenutzerprivilegien laufen oder, wenn es 

sich um eine administrative Anwendung handelt, mit einem Anwendungsmanifesteintrag


markiert sein. Weitere Informationen finden Sie auf der Microsoft Windows-Logoseite unter 

http://www.microsoft.com/whdc/winlogo/hwrequirements.mspx. 

Bei der Bereitstellung von Windows Vista und Windows Server 2008 stellen IT-Abteilungen 

unter Umständen fest, dass einige vorhandene Unternehmensanwendungen nicht richtig 

funktionieren. In den meisten Fällen ist die Ursache eine Anwendungsinkompatibilität aufgrund 

der Verbesserungen in den neuen Betriebssystemen. Microsoft stellt ein Application 

Compatibility Toolkit zur Verfügung, das dabei hilft, die Ursache für Kompatibilitätsprobleme 

aufzuspüren und Anwendungskompatibilitätskorrekturen oder Shims zu erstellen. 

Manche Programme müssen unter Umständen administrative Operationen ausführen. Damit 

solche Anwendungen in Windows Vista und Windows Server 2008 unter der UAC richtig 

laufen, muss das Programm dem Betriebssystem diese Tatsache bekannt geben, sodass der 

Benutzer eine Anhebungsaufforderung angezeigt bekommt, bevor die Anwendung mit 

einem vollständigen Administrator-Zugriffstoken ausgeführt wird. Das Application Compatibility 

Toolkit 5.0 mit dem Standard User Analyzer bietet die Fähigkeit, Einträge für die 

Anwendungskompatibilitätsdatenbank zu testen, erstellen und installieren, wodurch der 

Mechanismus zum Markieren der geforderten Ausführungsebene implementiert wird. 

Informationen über Anwendungskompatibilität und das Application Compatibility Toolkit 5.0 

mit dem Standard User Analyzer finden Sie in TechNet unter http://go.microsoft.com/ 

fwlink/?LinkId=23302. 

UAC-Gruppenrichtlinieneinstellungen 

Der folgende Abschnitt beschreibt die 11 UAC-Gruppenrichtlinien, die in Windows Vista 

und Windows Server 2008 unterstützt werden. Diese Einstellungen können lokal mit dem 

Editor Lokale Sicherheitsrichtlinie oder im gesamten Unternehmen mithilfe von Gruppenrichtlinien 

angewendet werden. 

UAC-Richtlinieneinstellungen unter Sicherheitsoptionen 

Die folgenden 9 UAC-Einstellungen finden Sie im Gruppenrichtlinien-Editor oder in der 

Konsole Lokale Sicherheitsrichtlinie unter dem Zweig Richtlinien für lokaler Computer\ 

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen. 

Benutzerkontensteuerung: Administratorbestätigungsmodus für das 

integrierte Administratorkonto 

Diese Sicherheitseinstellung steuert das Verhalten des integrierten Kontos Administrator. 

Falls Sie das integrierte Konto Administrator für tägliche administrative Aufgaben nutzen, 

kann es sinnvoll sein, diese Einstellung zu deaktivieren. In diesem Fall geht Ihnen allerdings 

der geschützte Modus des Internet Explorers verloren. Alle Anwendungen laufen als vollständiger 

Administrator. In der Standardeinstellung ist diese Richtlinie aktiviert. 

Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten 

Rechten für Administratoren im Administratorbestätigungsmodus 

Wenn eine Operation Administratorprivilegien erfordert, legt diese Richtlinie fest, welche 

UAC-Eingabeaufforderung Administratoren im Administratorbestätigungsmodus angezeigt 

bekommen. Die Standardkonfiguration, in der ein Klick auf Fortsetzen genügt, kann recht

UAC-Gruppenrichtlinieneinstellungen 109 

bequem sein, aber manchmal ist es sinnvoller, den Administrator zu zwingen, Anmeldeinformationen 

einzugeben. Falls zum Beispiel Mutter und Tochter dasselbe Benutzerkonto 

verwenden, kann die Tochter keine administrativen Aufgaben durchführen, wenn sie das 

Kennwort nicht weiß. Und in manchen Fällen wollen Administratoren Anhebungsaufforderungen 

abschalten, ohne gleich die ganze UAC zu deaktivieren; dann können die erhöhten 

Privilegien ohne Anhebungseingabeaufforderung gewährt werden. Auf diese Weise bleibt 

der geschützte Modus im Internet Explorer erhalten, aber es müssen keine Anhebungsaufforderungen 

mehr bestätigt werden. In der Standardeinstellung hat diese Richtlinie die Einstellung 

Aufforderung zur Eingabe der Zustimmung. 

Benutzerkontensteuerung: Verhalten der Anhebungsaufforderung 

für Standardbenutzer 

Die UAC öffnet bei Bedarf eine Anhebungseingabeaufforderung, und falls der Benutzer 

Benutzername und Kennwort eines gültigen Administratorkontos eingeben kann, kann die 

Operation durchgeführt werden. In Unternehmen, die nicht wollen, dass ihre Benutzer eine 

Anhebung durchführen, können Sie diese Richtlinie so einstellen, dass alle Anhebungsanforderungen 

automatisch abgelehnt werden. Standardeinstellung für diese Richtlinie ist Aufforderung 

zur Eingabe der Anmeldeinformationen. 

Benutzerkontensteuerung: Anwendungsinstallationen erkennen 

und erhöhte Rechte anfordern 

Diese Einstellung aktiviert oder deaktiviert die Erkennung von Anwendungsinstallern. Am 

besten lassen Sie diese Einstellung aktiviert, was auch die Standardeinstellung ist. 

Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, 

die signiert und validiert sind 

Diese Einstellung erzwingt die Authenticode-Signaturüberprüfung bei allen interaktiven 

Anwendungen, die eine Anhebung anfordern. Falls ein Unternehmen nur Authenticodesignierte 

Programme verwendet, kann diese Einstellung die Sicherheit erhöhen, weil kontrolliert 

wird, welche Anwendungsherausgeber ihre Programme mit erhöhten Privilegien 

ausführen dürfen. Bei den meisten Benutzern dürften aber erhebliche Anwendungskompatibilitätsprobleme 

auftreten, falls diese Einstellung verwendet wird. Daher ist sie in der Standardeinstellung 

deaktiviert. 

Benutzerkontensteuerung: Nur erhöhte Rechte für UIAccess-Anwendungen, 

die an sicheren Orten installiert sind 

UIAccess-Anwendungen sind meist Programme für erleichterte Bedienung, die direkt mit 

den Windows-UAC-Anhebungsdialogen kommunizieren müssen. UAC-Anhebungsdialoge 

sind in Windows Vista und Windows Server 2008 mit einer hohen Integritätsebene geschützt. 

Damit für UIAccess-Anwendungen eine Interaktion möglich wird, müssen Sie diese 

Anforderung im Anwendungsmanifest deklarieren. Wenn das Programm startet, bekommt es 

eine spezielle Integritätsebene, die Interaktion zulässt. Weil UIAccess-Anwendungen sehr 

mächtig sind, erzwingt diese Einstellung, dass solche Programme nur aus sicheren Dateipfaden 

gestartet werden können. UIAccess-Anwendungen müssen außerdem eine gültige und 

vertrauenswürdige Authenticode-Signatur haben. In der Standardeinstellung ist diese Einstellung 

aktiviert.


Benutzerkontensteuerung: Alle Benutzer (inkl. Administratoren) 

als Standardbenutzer ausführen 

Dies ist der Ein-/Ausschalter für die UAC. Deaktivieren Sie die UAC nicht! Falls die UAC 

deaktiviert ist, werden auch alle dazugehörigen Features deaktiviert. Datei- und Registrierungsvirtualisierung 

arbeiten nicht mehr, und für den Benutzer sieht es aus, als wären alle 

virtualisierten Daten verloren gegangen. Benutzer, die im Administratorbestätigungsmodus 

gearbeitet haben, werden nun mit vollständigen Administratorrechten angemeldet, und alle 

Anwendungen laufen völlig stillschweigend mit Administratorprivilegien! Auch Anwendungskompatibilitäts-Shims, 

die die Kompatibilität zu alten Anwendungen sicherstellen 

sollen, sind deaktiviert. Der geschützte Modus im Internet Explorer ist deaktiviert, sodass 

der Internet Explorer mit administrativen Privilegien ausgeführt wird. Haben wir Sie ausreichend 

abgeschreckt, sodass Sie die UAC eingeschaltet lassen? In der Standardeinstellung ist 

diese Einstellung aktiviert. 

Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten 

zum sicheren Desktop wechseln 

Diese Einstellung legt fest, ob Anhebungsanforderungen auf dem interaktiven Desktop des 

Benutzers oder auf dem sicheren Desktop angezeigt werden. Der sichere Desktop verhindert 

eine Fälschung der angezeigten Daten (spoofing). Das bedeutet, dass nicht manipuliert werden 

kann, was der Benutzer auf dem sicheren Desktop angezeigt bekommt. UAC-Dialogfelder 

auf dem interaktiven Desktop des Benutzers können gefälscht werden, daher sind sie 

weniger sicher als die im sicheren Desktop. In der Standardeinstellung ist diese Richtlinie 

aktiviert. 

Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler 

an Einzelbenutzerstandorte virtualisieren 

Diese Einstellung aktiviert oder deaktiviert die Umleitung von fehlgeschlagenen Schreibversuchen 

in Dateisystem und Registrierung. Deaktivieren Sie dieses Feature, falls Sie ausschließlich 

Software verwenden, die die Anforderung an das Windows Vista- oder Windows 

Server 2008-Logo erfüllen. Wie Sie Virtualisierungseinstellungen anpassen können, ist im 

Abschnitt »Konfigurieren der Registrierungsvirtualisierung zum Verbessern der Anwendungskompatibilität« 

weiter oben in diesem Kapitel beschrieben. In der Standardeinstellung 

ist diese Richtlinie aktiviert. 

Zugehörige UAC-Richtlinien 

Windows Vista und Windows Server 2008 haben zwei ergänzende Richtlinieneinstellungen: 

Vertrauenswürdiger Pfad für Anmeldeinformationseintrag erforderlich und Bei Ausführung 

mit erhöhten Rechten Administratorkonten auflisten. Sie finden beide Einstellungen im 

Gruppenrichtlinien-Editor unter dem Knoten Richtlinien für lokaler Computer\Computerkonfiguration\Administrative 

Vorlagen\Windows-Komponenten\Benutzerschnittstelle für 

Anmeldeinformationen. 

Vertrauenswürdiger Pfad für Anmeldeinformationseintrag erforderlich 

Diese Einstellung steuert, ob der Benutzer Windows-Anmeldeinformationen über einen 

vertrauenswürdigen Pfad eingeben muss. Der vertrauenswürdige Pfad ist eine sichere Tastenkombination, 

die auch als Secure Attention Sequence (SAS) bezeichnet wird. Sie soll

Was hat sich bei der UAC in Windows Server 2008 und Windows Vista SP1 geändert? 111 

verhindern, dass Malware Ihre Windows-Anmeldeinformationen ausspäht. Wenn ein Standardbenutzer 

versucht, eine Aufgabe durchzuführen, die Administratorprivilegien erfordert, 

zwingt das System den Benutzer, die Tastenkombination STRG+ALT+ENTF zu drücken, 

bevor er auf den sicheren Desktop umgeleitet wird, wo er Benutzername und Kennwort 

eines gültigen Administratorkontos eingibt, um die Operation abzuschließen. Die Eingabe 

dieses vertrauenswürdigen Pfads verhindert das Fälschen von Ein- und Ausgaben, daher ist 

dies die sicherste Methode zur Eingabe von Windows-Anmeldeinformationen. In der Standardeinstellung 

ist diese Richtlinie deaktiviert. 

Bei Ausführung mit erhöhten Rechten Administratorkonten auflisten 

Diese Einstellung aktiviert die automatische Auflistung der lokalen Administratorkonten in 

der UAC-Eingabeaufforderung (Abbildung 4.10). Beachten Sie, dass diese Einstellung in 

Domänenumgebungen unerwartete Verzögerungen auslösen kann, falls die Netzwerkverbindung 

Probleme verursacht. In der Standardeinstellung ist diese Richtlinie deaktiviert. 

Abbildung 4.10 Lokale Administratorkonten werden im UAC- 

Anmeldeinformationendialog automatisch aufgelistet 

Was hat sich bei der UAC in Windows Server 2008 

und Windows Vista SP1 geändert? 

Gegenüber der ersten Version von Windows Vista wurden in Windows Server 2008 und 

Windows Vista SP1 einige kleinere Änderungen an der UAC vorgenommen. Die folgenden 

Abschnitte fassen diese Änderungen zusammen. 

Neue Gruppenrichtlinieneinstellung: UIAccess-Anwendungen können 

erhöhte Rechte ohne sicheren Desktop anfordern 

Diese Einstellung ermöglicht es UIAccess-Anwendungen, zum Beispiel Remoteunterstützung, 

die Verwendung des sicheren Desktops für Anhebungsaufforderungen zu deaktivieren.


Wenn die UIAccess-Anwendung beendet ist, wird die Verwendung des sicheren Desktops für 

Anhebungsaufforderungen automatisch wieder aktiviert. Der Endbenutzer braucht daher dem 

Helfer nicht mehr zu erlauben, Anhebungsaufforderungen zu bestätigen (Abbildung 4.11.) 

Wie weiter oben in diesem Kapitel beschrieben, ist das eine nützliche Einstellung für Unternehmen, 

in denen der Helpdesk mithilfe der Remoteunterstützung Support für Endbenutzer 

anbietet. In der Standardeinstellung ist diese Richtlinie deaktiviert. 

Abbildung 4.11 Windows-Remoteunterstützung: Bestätigen von Eingabeaufforderungen 

der Benutzerkontensteuerung zulassen 

Nur eine Bestätigung bei Dateioperationen im Windows-Explorer 

Wenn ein Benutzer einen neuen Ordner in einem geschützten Speicherort anlegt, muss er 

nur eine Eingabeaufforderung bestätigen, um den Ordner zu erstellen und mit einem Namen 

zu versehen. In Windows Vista RTM erschienen bei dieser Operation zwei Eingabeaufforderungen. 

Über 40 neue Anwendungskompatibilitäts-Shims 

Das UAC-Team hat in Zusammenarbeit mit dem Anwendungskompatibilitätsteam über 40 

neue Anwendungs-Shims erstellt, um die Kompatibilität zu Windows Vista und Windows 

Server 2008 zu verbessern. 

Empfehlungen für die UAC 

Das Verwalten der UAC ist nicht so schwierig, wie es auf den ersten Blick aussieht. Welche 

Einstellungen Sie in einer Organisation vornehmen, hängt in erster Linie von den Sicherheitsanforderungen 

Ihrer Organisation ab. Außerdem muss eine sinnvolle Balance im Bezug 

auf die Benutzerfreundlichkeit gefunden werden. Die Liste der folgenden Lösungen ist nach 

zunehmender Sicherheit sortiert. 

Gut 

Lassen Sie Benutzer im Administratorbestätigungsmodus arbeiten. Falls ein administrativer 

Benutzer erhöhte Privilegien benötigt, sollte die UAC-Richtlinie des Unternehmens erzwingen, 

dass der Benutzer Name und Kennwort eines gültigen Administratorkontos eingibt, und 

nicht einfach auf Fortsetzen klicken kann. Diese Konfiguration verhindert unautorisierte 

Anhebungen für den Fall, dass ein Benutzer seine Arbeitsstation unbeaufsichtigt lässt. Um 

die Sicherheit zu verbessern, können Sie außerdem fordern, dass bei allen Anhebungen die 

Tastenkombination STRG+ALT+ENTF verwendet werden muss. Das macht es wesentlich 

sicherer, administrative Anmeldeinformationen einzugeben.

Zusammenfassung 113 

Besser 

Schreiben Sie vor, dass alle Benutzer, die Administratorprivilegien brauchen, zwei Konten 

haben: ein Standardbenutzerkonto für alltägliche Tätigkeiten wie das Lesen von E-Mail, und 

eines für die seltener ausgeführten administrativen Operationen. Der Benutzer kann sich als 

Standardbenutzer anmelden, und bei Bedarf kann er über eine UAC-Eingabeaufforderung 

seine Anmeldeinformationen eingeben und so eine Anhebung durchführen. Das ist nicht die 

beste Lösung, weil der Benutzer in derselben interaktiven Sitzung Anwendungen mit Standardbenutzer- 

und Administratorprivilegien ausführt. Um die Sicherheit zu verbessern, kann 

ein Unternehmen erzwingen, dass der Benutzer immer die schnelle Benutzerumschaltung 

(Fast User Switching, FUS) verwendet, wenn er eine Operation mit erhöhten Privilegien 

durchführen will. Die schnelle Benutzerumschaltung ist zwar sicherer, sie ist aber weniger 

benutzerfreundlich. Um die Sicherheit zu verbessern, können Sie außerdem auch hier fordern, 

dass bei allen Anhebungen die Tastenkombination STRG+ALT+ENTF verwendet werden 

muss. 

Am besten 

Lassen Sie alle Benutzer als Standardbenutzer arbeiten. Die IT-Abteilung muss dann davon 

ausgehen, dass Standardbenutzer im Allgemeinen keine Anwendungen installieren können. 

Daher muss sie Software für die Benutzer bereitstellen. Windows stellt dafür einen Installationsdienst 

zur Verfügung, den MSI-Dienst (Microsoft Software Installer). Außerdem erlaubt 

die GPSI-Erweiterung (Group Policy Software Installation) es, Anwendungen auf den Computer 

eines Benutzers zu verteilen, ohne dass dafür eine Interaktion des Benutzers erforderlich 

ist. Weitere Informationen finden Sie in der Dokumentation der GPSI-Erweiterung unter 

http://go.microsoft.com/fwlink/?LinkId=71356. 


UAC ist wahrscheinlich das am meisten diskutierte Feature in Windows Vista. Sie wird 

sogar in Werbeanzeigen konkurrierender Softwarehersteller erwähnt. Es ist schwer zu sagen, 

ob man es als schmeichelhaft oder ärgerlich empfinden sollte, wenn Microsofts Konkurrenz 

ihre Produkte als besser anpreist, weil Windows zu sicher ist. Die UAC ist auf jeden Fall ein 

bedeutender Schritt für Windows. Der frühere Zustand, in dem Benutzer ganz normale Aufgaben 

als Administratoren ausführten, ist jedenfalls inakzeptabel und hat zu einer gewaltigen 

Verbreitung von Malware geführt. Nur wenn wir den Benutzern helfen, ihre Aufgaben als 

Nicht-Administratoren auszuführen, können wir hoffen, die Flut von Malware aufzuhalten 

und die Betriebskosten für Desktopsysteme zu senken. 

In der Zukunft setzen die Benutzer administrative Privilegien nur noch bei Bedarf ein. Die 

UAC ist ein Schritt in diese Richtung. Das kann aber nur funktionieren, wenn Benutzer sie 

auch einsetzen und von den Softwareherstellern verlangen, dass ihre Programme als Standardbenutzer 

ausgeführt werden können. Sie können Ihren Teil dazu beitragen, das IT-Ökosystem 

zu schützen, indem Sie die UAC nutzen, Software kaufen, die damit funktioniert. 

und Software zurückweisen, die dazu nicht in der Lage ist.



Microsoft Corporation (2006): »The Windows Vista and Windows Server 2008 Developer 

Story: Windows Vista Development Requirements for User Account Control (UAC)« 

unter http://msdn2.microsoft.com/en-us/library/aa905330.aspx. 

Mark Russinovich (2007): »Inside Windows Vista User Account Control« unter 

http://www.microsoft.com/technet/technetmag/issues/2007/06/UAC/. 

Raymond Chen (2006): »An Administrator Is Not the Administrator« unter http://www. 

microsoft.com/technet/technetmag/issues/2006/03/WindowsConfidential/?related= 

/technet/technetmag/issues/2006/03/WindowsConfidential. 

Wole Moses (2007): »Services Hardening in Windows Vista« unter http://www.micro 

soft.com/technet/technetmag/issues/2007/01/SecurityWatch/?related=/technet/technet 

mag/issues/2007/01/SecurityWatch.


Firewall und Netzwerkzugriffsschutz 

Von Kurt Dillard 


Windows-Filterplattform ............................................... 116 

Windows-Firewall mit erweiterter Sicherheit . ................................. 118 

Routing- und RAS-Dienste ............................................. 130 

Internet Protocol Security .............................................. 133 

Netzwerkzugriffsschutz ............................................... 139 



Falls Sie wie ich in jener lang vergangenen Ära geboren wurden, als Musik analog auf Vinylplatten 

gepresst wurde, haben Sie vielleicht noch mit Computern gearbeitet, die keinen 

ständigen Internetzugriff hatten, möglicherweise sogar überhaupt keine Netzwerkverbindung. 

Als die heutigen Netzwerktechnologien ihren Weg aus den Labors in die Wohnzimmer 

genommen hatten, begannen die Leute zu sehen, welche Auswirkungen nichtauthentifizierter 

Zugriff und Klartext-Kommunikationsprotokolle hatten. Es sieht aus, als hätten wir seitdem 

ein unglaublich schwieriges Katz- und Mausspiel mit den bösen Buben gespielt. Leider 

enden die Guten allzu oft als die Mäuse. 

Die ersten Firewalls wurden Ende der 1980er als Reaktion auf Sicherheitsprobleme wie zum 

Beispiel den Morris-Wurm eingeführt. Frühe Firewalls waren simpel verglichen mit ihren 

heutigen Nachfahren: Sie erlaubten oder blockierten eingehenden Verkehr abhängig von 

Informationen im Paketheader, zum Beispiel Quell-IP-Adresse und Portnummer. Sie verfolgten 

nicht den Status einer Kommunikationssequenz zwischen dem vertrauenswürdigen 

Host im internen Netzwerk und dem anonymen Computer irgendwo da draußen. Firewalls 

entwickelten sich aber ständig weiter. Zunächst wurden Firewalls statusbehaftet (engl. stateful), 

das bedeutet, sie erkennen die normale Sequenz von Paketen, mit denen Kommunikation 

zwischen zwei Hosts hergestellt und aufrechterhalten wird. Dann erschienen Firewalls, 

die Anwendungsschichtprotokolle verstanden: Sie untersuchten die eigentlichen Nutzdaten 

innerhalb eines Pakets, um nach böswilligem Verkehr zu suchen. Zum Beispiel kann eine 

Firewall, die einen Webserver schützt, die von einem Remoteclient gesendete HTTP-Anforderung 

untersuchen und feststellen, ob sie eine gültige Anforderung nach Daten enthält oder 

einen Versuch darstellt, den Server zu kompromittieren. Anwendungsschichtfirewalls sind 

seitdem sehr leistungsfähig geworden. Wer weiß, wie Microsofts Internet Security and Acceleration 

Server (ISA Server) vorgeht, wenn er einen Server schützt, der Microsoft Office 

Outlook-Webzugriff zur Verfügung stellt, wird sich vorstellen können, wie leistungsfähig 

diese Technologien geworden sind. 

Bisher haben wir uns damit beschäftigt, wie Organisationen ihre Netzwerkgrenzen mithilfe 

von Unternehmensnetzwerkfirewalls schützen. Aber inzwischen sind sehr viele mobile 

115

116 Kapitel 5: Firewall und Netzwerkzugriffsschutz 

Geräte und komplexe Netzwerkarchitekturen im Einsatz, und kritische Unternehmensdaten 

werden über das öffentliche Internet für den gemeinsamen Zugriff durch Geschäftspartner 

bereitgestellt. Daher stellen die meisten Organisationen auch hostbasierte Firewalls bereit. 

Authentifizierungs- und Verschlüsselungstechnologien haben sich seit den Zeiten von 

Gopher und Veronica deutlich weiterentwickelt. Remotehosts können sichere Kommunikationskanäle 

über TLS (Transport Layer Security), IKE (Internet Key Exchange) und andere 

Protokolle herstellen. Sie können Benutzer auf viele unterschiedliche Arten authentifizieren 

und sie können den Netzwerkverkehr mit IPsec (Internet Protocol Security), HTTPS (Secure 

Hypertext Transport Protocol) und vielen anderen Protokollen verschlüsseln. Windows Server 

2008 bietet Unterstützung für viele dieser Protokolle. Dieses Kapitel konzentriert sich 

besonders auf die Windows-Firewall mit erweiterter Sicherheit, IPsec, Netzwerkzugriffsschutz 

(Network Access Protection, NAP) und einige neue Fähigkeiten, die zum Routing- 

und RAS-Dienst (Routing And Remote Access Service, RRAS) hinzugefügt wurden. 

Uralte Protokolle: Das Internet vor dem Webzeitalter 

Manche Leser werden geschockt sein: Millionen von Leuten nutzten das Internet für 

Kommunikation und Informationsabruf, lange bevor Sir Tim Berners-Lee und Robert 

Cailliau HTTP (Hypertext Transport Protocol) und HTML (Hypertext Markup Language) 

entwickelten. Es stimmt wirklich: Leute konnten ganz ohne Browser andere Leute finden 

und online auf nützliche Informationen zugreifen! E-Mail wurde schon vor dem Internet 

verwendet, sie half sogar, seine Entwicklung zu beschleunigen. Leute stellten Informationen 

online zur Verfügung, indem sie Dokumente und andere Datentypen auf FTP-Servern 

(File Transfer Protocol) veröffentlichten, aber wenn man den Speicherort der gewünschten 

Datei nicht wusste, war es recht schwierig, sie zu finden. Gopher (ein verteiltes Dokumentensuch- 

und -abrufsystem) war der Vorläufer des World Wide Web. Veronica, eine 

der ersten Suchmaschinen im Internet, konnte Informationen anhand des Namens von 

Menüelementen in Gopher-Sites finden. WAIS (Wide Area Informationen Servers) war 

ein frühes Client/Server-Suchsystem, das Volltextsuche in Gopher-Servern beherrschte. 

Ja, ich habe unter anderem mit all diesen Technologien gearbeitet, als mir USENET und 

Forensysteme langweilig wurden. Das war über ein 2400-Baud-Modem. Ich bin ein 

Dinosaurier. 

Windows-Filterplattform 

Um die Entwicklung von Netzwerkverkehrfilterprodukten voranzutreiben, entwickelte 

Microsoft die Windows-Filterplattform (Windows Filtering Platform, WFP). Sie steht sowohl 

in Windows Vista als auch Windows Server 2008 zur Verfügung. WFP ist keine Firewall, 

sondern ein Satz von Systemdiensten und Anwendungsprogrammierschnittstellen 

(Application Programming Interface, API), die von Entwicklern bei Microsoft und Fremdherstellern 

genutzt werden können. WFP ermöglicht eine völlig neue Qualität des Zugriffs 

auf den TCP/IP-Stack (Transmission Control Protocol/Internet Protocol), sodass ein- und 

ausgehende Netzwerkpakete untersucht oder geändert werden können, bevor ihnen der Weitertransport 

erlaubt wird. Entwickler können mit WFP eine Vielzahl von Diagnose- und 

Sicherheitstools erstellen, zum Beispiel Firewalls und Antivirensoftware. Abbildung 5.1 

bietet einen Überblick über die WFP-Architektur und zeigt, wo sich Tools von Fremdherstellern 

einklinken können.

Abbildung 5.1 Die Architektur der Windows-Filterplattform 

WFP umfasst folgende Architekturkomponenten: 

Windows-Filterplattform 117 

Die RPC-Schnittstelle bietet Zugriff auf die WFP. Firewalls und andere Anwendungen 

rufen die WFP-API auf, die diese Aufrufe an das Basisfilterungsmodul (Base Filtering 

Engine, BFE) weiterleitet. 

Das BFE ist die Benutzermoduskomponente, die zwischen Anwendungen, die Filterungsanforderungen 

stellen, und der GFE (Generic Filter Engine) vermittelt, die innerhalb 

des Treibers läuft, der den neuen TCP/IP-Stack implementiert. Die BFE fügt Filter 

zum System hinzu und entfernt sie, speichert die Filterkonfiguration und erzwingt die 

WFP-Konfigurationssicherheit. 

Die GFE ist die Kernmoduskomponente, die Filterinformationen von der Base Filtering 

Engine empfängt, mit Callout-Treibern kommuniziert und mit dem TCP/IP-Stack zusammenarbeitet. 

Wenn ein- oder ausgehende Pakete im neuen TCP/IP-Stack verarbeitet 

werden, werden sie von der Generic Filter Engine ausgewertet, die überprüft, ob einem 

Paket die Weiterbeförderung erlaubt werden soll. Die Generic Filter Engine führt diese 

Analyse durch, indem sie jedes Paket mit den zuständigen Filtern und Callout-Modulen 

vergleicht. 

Callout-Module werden benutzt, wenn eine Anwendung Pakete detailliert untersuchen 

oder ihre Daten verändern will. Zum Beispiel kann ein Antivirentool den Verkehr auf der 

Anwendungsschicht untersuchen, bevor er tatsächlich an die Zielanwendung weitergeleitet 

wird, um sicherzustellen, dass sich keine Malware in die Daten eingeschmuggelt 

hat.


Windows-Firewall mit erweiterter Sicherheit 

Konnektivität ist allgegenwärtig. Die meisten Computer sind nicht nur mit einem internen 

Unternehmensnetzwerk verbunden, sondern auch mit dem Internet. Hochgeschwindigkeits- 

Drahtlosnetzwerke und mobile Benutzer sind überall, oft direkt an das Internet mit seinen 

gigantischen Botnets angeschlossen, in denen sich alle Arten von Viren tummeln und die 

Unmassen von Spam ausspucken. Sogar Server, die in verwalteten Unternehmensnetzwerken 

liegen, sind Gefahren ausgesetzt: Mitarbeiter kommen von einer Dienstreise und verbinden 

ihre Notebooks wieder mit dem internen Netzwerk, nachdem sie außerhalb infiziert 

wurden, Besucher wie Consultants und Kunden wollen Ihr Netzwerk benutzen und natürlich 

gibt es böswillige Insider, die aus irgendwelchen Gründen denken, sie müssten Ihre Geschäftssysteme 

kompromittieren. 

Aus diesen Gründen ist es sinnvoll, die in Windows Server 2008 enthaltene Hostfirewall zu 

aktivieren. So ziehen Sie eine weitere Schutzschicht in Ihre gestaffelte Verteidigung ein. Die 

Windows-Firewall mit erweiterter Sicherheit bietet bidirektionale Filterung, um zu verhindern, 

dass unerwünschter Verkehr zu den Diensten gelangt, die auf dem System laufen. Und 

sie verhindert, dass kompromittierte Server Ihr übriges Netzwerk angreifen. Die Verwaltung 

von Windows-Firewall und IPsec (Internet Protocol Security) ist in einer einzigen MMC- 

Konsole (Microsoft Management Console) integriert, sodass die Firewall ein Eckpfeiler für 

die Isolationsstrategie Ihres Netzwerks wird. 

Verbesserungen an der Windows-Firewall 

Bevor wir uns genau ansehen, wie Sie mithilfe der neuen Windows-Firewall Ihre Windows 

Server 2008-Hosts schützen, wollen wir uns kurz einen Überblick über die wichtigsten Verbesserungen 

gegenüber den Vorgängerversionen verschaffen. 

Bessere Verwaltungsschnittstelle 

Die deutlichste Verbesserung ist eine neue grafische Benutzeroberfläche, in der Sie die Windows-Firewall 

lokal und über Gruppenrichtlinien für Active Directory-Domänen verwalten 

können. Das alte Systemsteuerungsmodul, Windows-Firewall, bietet nach wie vor Zugriff 

auf grundlegende Einstellmöglichkeiten. Die neue Benutzeroberfläche ist ein Microsoft 

Management Console-Snap-In. Wenn Sie lokale Einstellungen konfigurieren wollen, können 

Sie die Konsole Windows-Firewall mit erweiterter Sicherheit aus dem Ordner Verwaltung 

starten. Dieses Snap-In ist auch in der Konsole Gruppenrichtlinien-Editor enthalten, sodass 

Sie die Firewall über Active Directory-Domänengruppenrichtlinien verwalten können. Verbesserungen 

wurden auch an Netsh.exe vorgenommen, dem Befehlszeilentool zum Verwalten 

von Firewall und IPsec. Der Befehl Netsh hat jetzt einen neuen Kontext, advfirewall, 

mit dem Sie die Konfiguration der Firewall über ein Skript anpassen oder in einer Server 

Core-Installation verwalten können. 

Windows-Diensthärtung 

Es wurde zwar viel getan, um die Dienste selbst zu schützen, aber es ist denkbar, dass ein 

Angreifer immer noch einen Weg findet, einen Windows-Systemdienst zu kompromittieren. 

Falls ein Dienst kompromittiert wird, hilft die Windows-Diensthärtung (engl. service hardening), 

die Auswirkungen gering zu halten: Die Firewall blockiert anormales Verhalten, zum 

Beispiel wenn ein Dienst, der nicht auf das Netzwerk zugreifen muss, plötzlich HTTP- 

Verkehr aussendet. Kapitel 6, »Dienste«, beschreibt die Windows-Diensthärtung genauer.

Windows-Firewall mit erweiterter Sicherheit 119 

Ausgehende Filterung 

Nachdem ich viele Jahre lang Händeringen, Hyperventilation und meterlange Bücherregale 

mit Ratschlägen von Herstellern, Administratoren und Sicherheitsexperten (sowohl echte als 

auch selbsternannte) beobachten durfte, bin ich zu dem Schlusss gekommen, dass ausgehende 

Filterung von Netzwerkverkehr auf Hostfirewalls in den meisten Fällen sinnlos ist. Ich 

schreibe bewusst »in den meisten Fällen«. Etwas weiter unten komme ich darauf zurück und 

beschreibe, wann ich ausgehende Filterung für angebracht halte. Um einen bekannten Ausspruch 

von Bruce Schneier zu zitieren, den ich für einen echten Experten halte (auch wenn 

ich öfters anderer Meinung bin als er): Ausgehende Filterung ist üblicherweise lediglich 

»Sicherheitstheater«. Es ist die eingehende Filterung, die böswilligen Netzwerkverkehr 

stoppt, zum Beispiel Nimda, Slammer, Sasser, Blaster oder was auch immer unerwünschten 

Netzwerkverkehr an Ihren Server sendet. 

Als Microsoft in Service Pack 2 für Windows XP die stark verbesserte Firewall einführte, 

wurde eine Menge Geschwafel produziert, weil sie keine ausgehende Filterung enthielt. Ich 

sage es Ihnen ganz unverblümt: Die meisten dieser Beschwerden kamen von Leuten, die 

(gelinde gesagt) nicht allzu viel davon verstehen, was beim Thema Computersicherheit 

sinnvoll ist, oder von Unternehmen, die ihre eigenen Clientfirewallprodukte anpriesen. Falls 

ein Angreifer (oder Malware) die Kontrolle über Ihren Computer übernommen hat, was soll 

ihn dann hindern, die Firewall so umzukonfigurieren, dass sie Verkehr von beliebigen Anwendungen 

durchlässt? Der Angreifer braucht wahrscheinlich nicht einmal die Firewall 

umzukonfigurieren, er kann einfach Ports nutzen, die bereits erlaubt sind, oder die Kontrolle 

über eine Anwendung übernehmen, die bereits Verkehr hinaussenden kann. Ein anderer 

bedenklicher Aspekt der meisten Clientfirewalllösungen ist, dass ausgehende Filterung jegliche 

Benutzerfreundlichkeit in Grund und Boden stampft: Nachdem Sie das verdammte 

Ding installiert haben, werden Sie mit Hunderten von Popupdialogen bombardiert, die Sie 

fragen, ob der Internet Explorer wirklich eine Verbindung zu www.microsoft.com öffnen darf 

oder ob Sie wirklich absolut sicher sind, dass der MSN Web Messenger Verkehr an msn.com 

senden darf. Nachdem sich ein Benutzer eine Woche lang durch Unmassen dieser Dialogfelder 

geklickt hat, neigen selbst paranoide Systemadministratoren und Sicherheitsexperten 

dazu, das Ding völlig zu deaktivieren. Oder sie gewöhnen sich an, sofort ohne Hinsehen auf 

Ja oder Zulassen zu klicken, damit sie eine Chance haben, ihre Arbeit auf dem Computer 

erledigt zu bekommen! 

Microsofts neuestes Serverbetriebssystem nutzt die ausgehende Filterung auf intelligente 

Weise, indem sie Systemdienste daran hindert, Netzwerkverbindungen aufzubauen, sofern 

sie diese Verbindungen nicht benötigen, um ihre Funktion zu erfüllen. Falls ein Dienst kompromittiert 

wird, ist er nicht in der Lage, die Firewall umzukonfigurieren, ohne den Benutzer 

darüber zu informieren. Sie können nämlich keine Firewalleinstellungen ändern. In der 

Standardeinstellung erlaubt die neue Firewall alle anderen ausgehenden Netzwerkpakete. 

Sie können das Standardverhalten so ändern, dass der gesamte ausgehende Verkehr blockiert 

wird, aber ich rate davon ab, weil Sie dann viele Stunden, Tage und möglicherweise Wochen 

dafür aufwenden müssen, jede Ausnahme auszutüfteln, die Sie konfigurieren müssen, damit 

Ihre Server alle ihre vorgesehenen Aufgaben erfüllen können. 

Detaillierte Regeln 

In Windows Server 2008 und Windows Vista ist die Firewall sowohl für eingehende als auch 

ausgehende Verbindungen aktiviert. Die Standardrichtlinien blockieren den meisten eingehenden 

Verkehr und erlauben den meisten ausgehenden Verkehr. Die Firewall unterstützt die


Filterung aller IP-Protokollnummern (Abbildung 5.2). Bei der Windows XP-Firewall war 

das anders, sie konnte nur TCP- (Transmission Control Protocol), UDP- (User Datagram 

Protocol) und ICMP-Verkehr (Internet Control Message Protocol) blockieren. Sie können 

spezifische Regeln konfigurieren, um Verkehr anhand von IP-Adressen, IP-Protokollnummern, 

Active Directory-Verzeichnisdienstkonten und -gruppen, Systemdiensten, UDP- und 

TCP-Quell- und -Zielports, bestimmten Schnittstellentypen und ICMP anhand von Typ und 

Code zu blockieren oder zu erlauben. 

Abbildung 5.2 Einige der Filterungsoptionen in der Windows-Firewall mit erweiterter Sicherheit 

Standortabhängige Profile 

Die Windows-Firewall nutzt die Fähigkeit des neuen TCP/IP-Stacks, automatisch zu verfolgen, 

an welches Netzwerk er angeschlossen ist. Sie können Regeln und Einstellungen für 

jedes der drei Profile konfigurieren: Domäne, Privat und Öffentlich. Das Domänenprofil 

wird verwendet, wenn alle Netzwerke des Computers Active Directory-Domänencontroller 

für die Domäne enthalten, zu der dieser Computer gehört. Das private Profil wird verwendet, 

wenn alle aktiven Netzwerkverbindungen von einem Administrator als private Netzwerke 

eingestuft wurden, die durch eine Firewall geschützt sind. Das öffentliche Profil wird 

verwendet, wenn der Computer direkt mit dem Internet oder einem Netzwerk verbunden ist, 

das nicht als privates oder Domänennetzwerk eingestuft wurde.


Authentifizierte Umgehung 

Sie können Regeln konfigurieren, die es bestimmten Computern oder Computergruppen 

erlauben, andere Firewallregeln mithilfe von IPsec-Authentifizierung in diesen Regeln zu 

umgehen. Das bedeutet, dass Sie bestimmte Verkehrstypen auf allen anderen Hosts blockieren, 

aber einigen ausgewählten Systemen erlauben können, diese Einschränkungen zu umgehen 

und auf den blockierten Dienst zuzugreifen. Die Regeln können sogar noch spezifischer 

sein, indem sie festlegen, welche Ports oder Programme den Verkehr empfangen dürfen. 

Unterstützung für Active Directory-Benutzer, -Computer und -Gruppen 

Regeln können Benutzer, Computer und Gruppen verwenden, die in Active Directory definiert 

sind. Sie müssen Verbindungen, die von derartigen Regeln betroffen sind, aber mit 

IPsec schützen und dabei Anmeldeinformationen eines Active Directory-Kontos verwenden. 

IPv6-Unterstützung 

Die Windows-Firewall mit erweiterter Sicherheit bietet vollständige Unterstützung für IPv6. 

IPsec-Integration 

In Windows XP und Windows Server 2003 werden Regeln für die Windows-Firewall und 

IPsec getrennt voneinander konfiguriert. Weil beide eingehenden Verkehr blockieren oder 

erlauben können, konnte es passieren, dass Sie versehentlich redundante oder sogar widersprüchliche 

Regeln erstellen. Solche Konfigurationsfehler können schwierig aufzuspüren 

sein. Die neue Windows-Firewall fasst die Konfiguration von Firewall und IPsec in denselben 

grafischen und Befehlszeilentools zusammen. Das vereinfacht die Verwaltung und verringert 

die Gefahr einer Fehlkonfiguration. 

Direkt von der Quelle: Ausgehende Filterung ist Sicherheitstheater 

Welche Aufgabe hat eine Firewall? Sie soll eingehenden Verkehr blockieren, den Sie 

nicht angefordert haben. Ist es vielleicht auch sinnvoll, wenn eine Firewall ausgehenden 

Verkehr blockiert, den Sie nicht genehmigt haben? Die Hersteller vieler Firewallprodukte 

glauben das. Sie behaupten, dass der Entwurf der Windows-Firewall nicht genug Funktionsumfang 

für eine Clientfirewall bietet. Ihr Argument ist, dass eine brauchbare Clientfirewall 

den gesamten Verkehr – ein- und ausgehend – blockieren soll, sofern der Benutzer 

ihn nicht explizit genehmigt hat. 

Denken wir mal einen Moment darüber nach. Zwei Szenarien drängen sich auf. Falls Sie 

als lokaler Administrator arbeiten und Ihr Computer mit Malware infiziert wird, deaktiviert 

die Malware einfach die Firewall. Sie sind »0wn3d«. Falls Sie nicht als lokaler Administrator 

arbeiten und Ihr Computer mit Malware infiziert wird, bewirkt die Malware, 

dass die Firewall eines Fremdherstellers einen Dialog voller unverständlicher Details 

über Ports sowie IP-Adressen öffnet, die eine sehr ernste Frage stellt: »Wollen Sie das 

erlauben?« Die einzige Antwort ist natürlich: »Ja, du blöder Computer, nerv mich nicht!« 

Und sobald dieser Dialog geschlossen ist, ist auch Ihre Sicherheit futsch. Noch häufiger 

kommt es allerdings vor, dass die Malware einfach die vorhandene Sitzung eines Programms 

übernimmt, die Sie bereits autorisiert haben. Dann bekommen Sie nicht einmal 

den Dialog zu sehen. Und wieder: Sie sind »0wn3d«.


Es gibt ein wichtiges Axiom in der Sicherheit, das Sie verstehen müssen: Schutz gehört 

auf das Objekt, das Sie schützen wollen, nicht auf das Ding, vor dem Sie sich schützen 

wollen. Der richtige Ansatz lautet, auf allen Computern in Ihrer Organisation die schlanke, 

aber effektive Windows-Firewall auszuführen. So schützen Sie jeden Computer vor 

allen anderen Computern in der Welt. Falls Sie versuchen, ausgehende Verbindungen von 

einem Computer zu blockieren, der bereits kompromittiert ist, wie können Sie dann 

sicher sein, dass der Computer wirklich tut, was Sie ihm befehlen? Simple Antwort: 

Das können Sie nicht. Ausgehender Schutz ist Sicherheitstheater – ein Gimmick, das nur 

vorspiegelt, Ihre Sicherheit zu verbessern. In Wirklichkeit wird Ihre Sicherheit überhaupt 

nicht verbessert, mit einer Ausnahme, wie weiter oben in diesem Kapitel erwähnt: 

Die Diensthärtung in Windows Vista und Windows Server 2008 verbessert tatsächlich 

die Sicherheit. 

Steve Riley, Security Evangelist 

Microsoft Corporation 

Verwalten der Windows-Firewall 

Mit dem Systemsteuerungsapplet Windows-Firewall können Sie zwar einige grundlegende 

Einstellungen konfigurieren, aber für die erweiterten Features brauchen Sie die MMC-Konsole 

Windows-Firewall mit erweiterter Sicherheit, die MMC-Konsole Gruppenrichtlinien- 

Editor oder das Befehlszeilentool Netsh. Mit der Konsole Windows-Firewall mit erweiterter 

Sicherheit können Sie nicht nur Einstellungen auf dem lokalen Host konfigurieren, sondern 

auch auf Remotecomputern. 

Abbildung 5.3 Verwalten der Windows-Firewall mit erweiterter Sicherheit über Gruppenrichtlinien


Sie können die neue Windows-Firewall über Gruppenrichtlinien verwalten, indem Sie im 

Snap-In Gruppenrichtlinien-Editor den Knoten Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Windows-Firewall 

mit erweiterter Sicherheit öffnen (Abbildung 

5.3). Gruppenrichtlinieneinstellungen für die neue Windows-Firewall werden von 

Computern ignoriert, die unter Windows XP oder Windows Server 2003 laufen. Sie wenden 

weiterhin die Einstellungen an, die unter Computerkonfiguration\Administrative Vorlagen\ 

Netzwerk\Netzwerkverbindungen\Windows-Firewall definiert sind. Das mag verwirrend 

sein, aber wegen der grundlegenden Entwurfsänderungen und der IPsec-Integration war es 

nötig, eine neue Position in den Gruppenrichtlinien festzulegen, um die neue Firewall zu 

verwalten. 

Grafische Verwaltung 

Die Konsole Windows-Firewall mit erweiterter Sicherheit und das entsprechende Snap-In, 

das in der Konsole Gruppenrichtlinien-Editor enthalten ist, sind praktisch identisch. Der 

Hauptunterschied besteht darin, dass die eigenständige Konsole einen Knoten namens 

Überwachung anzeigt, in dem Sie Echtzeitinformationen über den Status der Firewallfilterregeln, 

IPsec-Verbindungssicherheitsregeln sowie Hauptmodus- und Schnellmodussicherheitszuordnungen 

angezeigt bekommen (Abbildung 5.4). 

Abbildung 5.4 Die MMC-Konsole Windows-Firewall mit erweiterter Sicherheit 

In einer Regel können viele Elemente angegeben werden, zum Beispiel Quell- und Ziel-IP- 

Adressen, IP-Protokollnummern, Quell- und Ziel-TCP- und -UDP-Ports, Active Directory- 

Computer- und -Benutzerkonten, Active Directory-Gruppen, Programme, Systemdienste, 

ICMP-Typen und -Codes und Schnittstellentypen, zum Beispiel Drahtlos, Kabel oder 

Remotezugriff. Eingehende, ausgehende und Verbindungssicherheitsregeln werden mithilfe 

von Assistenten erstellt. Wie in Abbildung 5.5 zu sehen, stehen beim Erstellen einer neuen 

eingehenden Regel vier Typen zur Auswahl: Programm, Port, Vordefiniert oder Benutzerdefiniert. 

Der Assistent für ausgehende Regeln sieht fast genauso aus.


Abbildung 5.5 Der Assistent für neue eingehende Regel 

Auf der ersten Seite des Assistenten geben Sie an, welche Art von Regel Sie erstellen wollen: 

Programm Wählen Sie Programm, falls Sie eine Regel anhand des Namens eines 

Programms definieren wollen. Sie müssen anschließend angeben, welche Aktion durchgeführt 

werden soll: Verbindung zulassen, Verbindung zulassen, wenn sie sicher ist oder 

Verbindung blocken. Und Sie müssen wählen, für welche Profile die Regel gelten soll 

(Domäne, Privat oder Öffentlich), und einen Namen für die Regel angeben. 

Port Wählen Sie Port aus, wenn Sie eine Regel anhand von TCP- oder UDP-Portnummern 

erstellen wollen. Sie müssen dann angeben, welche Aktion durchgeführt werden 

soll: Verbindung zulassen, Verbindung zulassen, wenn sie sicher ist oder Verbindung 

blocken. Und Sie müssen wählen, für welche Profile die Regel gelten soll (Domäne, 

Privat oder Öffentlich), und einen Namen für die Regel angeben. 

Vordefiniert Wählen Sie Vordefiniert, falls Sie eine Regel erstellen wollen, die auf 

einem der vordefinierten Dienste basiert. Sie müssen anschließend angeben, welche 

Aktion durchgeführt werden soll: Verbindung zulassen, Verbindung zulassen, wenn sie 

sicher ist oder Verbindung blocken. 

Benutzerdefiniert Wählen Sie Benutzerdefiniert, wenn Sie eine Regel erstellen wollen, 

die nicht einem der drei anderen Typen entspricht. Sie können die Merkmale beliebig 

kombinieren, zum Beispiel Programmname, Systemdienst, Protokolltyp und -nummer, 

lokale und Remoteports, lokale IP-Adressen und Remote-IP-Adressen. Sie müssen 

anschließend angeben, welche Aktion durchgeführt werden soll: Verbindung zulassen, 

Verbindung zulassen, wenn sie sicher ist oder Verbindung blocken. Und Sie müssen wählen, 

für welche Profile die Regel gelten soll (Domäne, Privat oder Öffentlich), und einen 

Namen für die Regel angeben.


Sie können sich die Eigenschaften von Regeln ansehen und sie ändern. Viele Einstellungen 

der vordefinierten Regeln lassen sich aber nicht ändern. Sie können die erweiterten Eigenschaften 

konfigurieren, indem Sie mit der rechten Maustaste auf den Namen der Regel klicken 

und den Befehl Eigenschaften wählen. Daraufhin öffnet sich ein Dialogfeld, das wie in 

Abbildung 5.6 aussieht. 

Abbildung 5.6 Erweiterte Eigenschaften einer Firewallregel 

Im Eigenschaftendialogfeld von ein- oder ausgehenden Regeln können Sie auf den folgenden 

Registerkarten verschiedene Einstellungen konfigurieren: 

Allgemein Hier können Sie den Namen der Regel sowie ihre Beschreibung definieren 

und einstellen, ob sie aktiviert ist und welche Aktion sie durchführt (Verbindungen zulassen, 

Nur sichere Verbindungen zulassen oder Verbindungen blockieren). 

Programme und Dienste Hier können Sie einstellen, ob die Regel für alle oder nur 

für bestimmte Programme, und für welchen Dienst sie gilt. 

Benutzer und Computer Falls die Aktion der Regel Nur sichere Verbindungen zulassen 

ist, können Sie hier angeben, welche Konten und Gruppen die geschützte Verbindung 

herstellen dürfen. 

Protokoll und Ports Hier können Sie Protokolltyp und -nummer der Regel, Quell- 

und Zielportnummern und ICMP-Einstellungen der Regel definieren. 

Bereich Hier können Sie die Quell- und Ziel-IP-Adressen der Regel festlegen. 

Erweitert Hier legen Sie die Profile und Schnittstellentypen für die Regel fest und 

stellen ein, ob Randüberquerung für die Regel erlaubt ist. 

Sie können eine neue Computerverbindungssicherheitsregel erstellen, indem Sie in der 

Strukturansicht mit der rechten Maustaste auf Verbindungssicherheitsregeln klicken und den 

Befehl Neue Regel wählen. Daraufhin wird der Assistent für neue Verbindungssicherheitsregel 

gestartet (Abbildung 5.7).


Abbildung 5.7 Der Assistent für neue Verbindungssicherheitsregel 

Geben Sie auf der ersten Seite des Assistenten an, welche Art von Verbindungssicherheitsregel 

Sie erstellen wollen: 

Isolierung Wählen Sie Isolierung, um die Verbindungen anhand des Integritätsstatus 

oder der Domänenmitgliedschaft des anderen Computers einzuschränken. Sie müssen 

auch angeben, ob Sie Authentifizierung für ein- und ausgehenden Verkehr anfordern 

oder verpflichtend machen, welche Authentifizierungsmethode benutzt werden soll, 

für welche Profile die Regel gelten soll (Domäne, Privat oder Öffentlich) und welchen 

Namen die Regel bekommt. Isolierung auf Basis des Integritätsstatus eines Computers 

können Sie nur nutzen, wenn Sie Netzwerkszugriffsschutz (Network Access Protection, 

NAP) in Windows Vista und Windows Server 2008 bereitstellen. NAP wird weiter unten 

in diesem Kapitel genauer behandelt. 

Authentifizierungsausnahme Wählen Sie Authentifizierungsausnahme, wenn Sie 

eine Liste mit den IP-Adressen der Hosts definieren wollen, die ihren Verkehr nicht 

authentifizieren oder schützen müssen. Sie müssen dann wählen, für welche Profile die 

Regel gelten soll (Domäne, Privat oder Öffentlich), und einen Namen für die Regel 

angeben. 

Server-zu-Server Wählen Sie Server-zu-Server aus, wenn Sie erzwingen wollen, dass 

Netzwerkverkehr zwischen bestimmten Hosts geschützt wird. Sie müssen die Endpunkte 

angeben, die den geschützten Verkehr austauschen, ob Authentifizierung für ein- und 

ausgehenden Verkehr angefordert oder verpflichtend gemacht wird, die Authentifizierungsmethode, 

für welche Profile die Regel gilt (Domäne, Privat oder Öffentlich) und 

einen Namen für die Regel. Solche Regeln werden üblicherweise bei der Bereitstellung


der Serverisolierung verwendet. Weitere Informationen dazu finden Sie in Kapitel 14, 

»Schützen des Netzwerks«. 

Tunnel Diese Regel dient normalerweise dazu, Verkehr zu schützen, der zwischen 

zwei Gatewaycomputern über das Internet ausgetauscht wird. Sie müssen die Tunnelendpunkte 

anhand der IP-Adresse definieren, die Authentifizierungsmethode, für welche 

Profile die Regel gilt (Domäne, Privat oder Öffentlich) und einen Namen für die Regel. 

Benutzerdefiniert Wählen Sie Benutzerdefiniert, um eine Regel zu erstellen, die sich 

nicht mit einem der anderen Typen definieren lässt. Sie müssen die Endpunktcomputer 

anhand ihrer IP-Adresse angeben, ob Authentifizierung für ein- und ausgehenden Verkehr 

angefordert oder verpflichtend gemacht wird, die Authentifizierungsmethode, für 

welche Profile die Regel gilt (Domäne, Privat oder Öffentlich) und einen Namen für die 

Regel. 

Sie können die Eigenschaften von Verbindungssicherheitsregeln anzeigen und ändern, indem 

Sie mit der rechten Maustaste auf den Namen der Regel klicken und den Befehl Eigenschaften 

wählen. Daraufhin öffnet sich ein Dialogfeld, das ähnlich wie in Abbildung 5.8 

aussieht. 

Abbildung 5.8 Erweiterte Eigenschaften einer Verbindungssicherheitsregel 

Im Eigenschaftendialogfeld einer Regel können Sie auf den folgenden Registerkarten verschiedene 

Einstellungen konfigurieren: 

Allgemein Auf dieser Registerkarte können Sie den Namen der Regel sowie ihre Beschreibung 

ändern und festlegen, ob sie aktiviert ist. 

Computer Hier können Sie festlegen, bei welchen Computern (angegeben über ihre 

IP-Adressen) der Verkehr geschützt wird. 

Authentifizierung Auf dieser Registerkarte können Sie definieren, welche Authentifizierung 

für den geschützten Verkehr erforderlich ist. 

Erweitert Hier legen Sie die Profile und Schnittstellentypen für die Regel fest und 

stellen ein, ob die Regel IPsec-Tunneling erfordert.


Die Firewall verarbeitet Regeln in folgender Reihenfolge: 

1. Diensteinschränkungen 

2. Verbindungssicherheitsregeln 

3. Authentifizierte Umgehung 

4. Blocken-Regeln 

5. Zulassen-Regeln 

6. Standardregeln 

Befehlzeilenverwaltung 

Netsh ist ein Befehlszeilentool, das eine Textshell zum Verwalten von Netzwerkkomponenten 

zur Verfügung stellt. In Windows Server 2008 können Sie die Windows-Firewall mit 

erweiterter Sicherheit mit den Befehlen konfigurieren, die im Kontext advfirewall zur Verfügung 

stehen. In Netsh wechseln Sie in einen bestimmten Kontext, wenn Sie die Komponenten 

innerhalb dieses Kontextes ändern wollen. Neben advfirewall stehen noch viele 

andere Kontexte zur Verfügung, zum Beispiel interface, nap, ras und rpc. Eine vollständige 

Beschreibung aller Fähigkeiten von Netsh würde den Umfang dieses Kapitels sprengen. Wir 

konzentrieren uns auf den Kontext zum Verwalten der Firewall. 

Sie müssen Netsh in einer Eingabeaufforderung aufrufen, die administrative Privilegien 

besitzt. Die UAC ist in Windows Server 2008 zwar in der Standardeinstellung nicht aktiviert, 

unter Umständen ist sie auf Ihren Servern aber aktiv; manche Leser führen vielleicht 

auch Verwaltungsaufgaben auf Windows Vista-Computern durch, wo die UAC standardmäßig 

aktiviert ist. Gehen Sie folgendermaßen vor, um eine Eingabeaufforderung mit 

erhöhten Rechten zu öffnen: 

1. Klicken Sie auf Start. 

2. Geben Sie im Suchfeld des Startmenüs Eingabeaufforderung ein. 

3. Klicken Sie mit der rechten Maustaste auf das Symbol Eingabeaufforderung und wählen 

Sie den Befehl Als Administrator ausführen. 

4. Klicken Sie auf Fortsetzen, falls sich eine UAC-Eingabeaufforderung öffnet. Je nachdem, 

wie die UAC in Ihrer Umgebung konfiguriert ist, müssen Sie möglicherweise auch 

Anmeldeinformationen für ein Konto mit administrativen Privilegien eingeben. 

5. Geben Sie in der Eingabeaufforderung den Befehl netsh ein, um das Tool zu starten. 

Geben Sie an der Netsh-Eingabeaufforderung advfirewall ein, um in den Kontext für die 

erweiterte Firewall zu wechseln. Hier stehen viele Befehle zur Verfügung. Sie können 

entweder ein Fragezeichen (?) oder help eingeben, um sich eine Liste der Befehle anzeigen 

zu lassen, die in Ihrem momentan ausgewählten Kontext zur Verfügung stehen. 

Folgende Befehle stehen im Kontext advfirewall zur Verfügung: 

Dump Zeigt ein Konfigurationsskript an. 

Export Exportiert die aktuelle Richtlinie in eine Datei. 

Import Importiert eine Richtliniendatei in den aktuellen Richtlinienspeicher. 

Reset Setzt die Richtlinie auf die Standardrichtlinie zurück. 

Set Legt profilspezifische oder globale Einstellungen fest. 

Show Zeigt Profil- oder globale Eigenschaften an.


Außerdem stehen einige Unterkontexte zur Verfügung. Sie können in einen solchen Unterkontext 

wechseln, indem Sie seinen Namen an der netsh advfirewall-Eingabeaufforderung 

eingeben. 

Consec Wechselt in den netsh advfirewall consec-Kontext, wo Sie Verbindungssicherheitsregeln 

konfigurieren können. 

Firewall Wechselt in den netsh advfirewall firewall-Kontext, wo Sie ein- und ausgehende 

Firewallregeln anzeigen und konfigurieren können. 

Monitor Wechselt in den netsh advfirewall monitor-Kontext, wo Sie Sicherheitszuordnungen 

anzeigen und überwachen können. 

Sie können mit Netsh ausgefeilte Skripts erstellen, um Konfigurationsvorgänge zu automatisieren, 

die Sie auf mehreren Computern durchführen müssen. Das kann für Computer sehr 

nützlich sein, die keine Domänenmitglieder sind, zum Beispiel Computer in einem Testlabor 

oder einem geschützten Subnetz, das für Besucher aus dem Internet erreichbar ist. 

Abbildung 5.9 Das Konfigurationsfenster der Windows-Firewall zeigt an, dass automatisch 

das Domänenetzwerkprofil angewendet wurde 

Netzwerkprofile 

Die Fähigkeit, sich Netzwerke zu merken und sie zu erkennen, ist zwar auf mobilen Computern 

wichtiger, aber es ist immer nützlich, wenn Sie genau wissen, wie Windows festlegt, mit 

welcher Art Netzwerk es verbunden ist. Wenn ein Domänencomputer sich erfolgreich an 

seiner Domäne angemeldet hat, wird automatisch das Domänenprofil angewendet (Abbildung 

5.9). Dieses Profil können Sie nicht explizit auswählen. Wenn der Computer mit einem 

Netzwerk verbunden ist, das durch eine äußere Firewall geschützt ist, können Sie das private 

Profil auswählen, sofern Sie administrative Privilegien besitzen. Wenn der Computer direkt 

ans Internet angeschlossen ist, sollten Sie das öffentliche Profil wählen. Wahrscheinlich ist


Ihnen aufgefallen, dass das Dialogfeld drei Auswahlmöglichkeiten bietet. Wenn Sie Arbeitsplatz 

oder Zu Hause auswählen, wird jeweils das private Profil angewendet. 

Im Fall einer Netzwerkänderung, wenn zum Beispiel eine neue IP-Adresse oder eine neue 

Netzwerkschnittstelle eingestellt wird, bemerkt der NLA-Dienst (Network Position Awareness) 

diese Änderung. NLA verwaltet eine Datenbank mit vorher benutzten Netzwerken, 

sodass er sie erkennen kann, wenn der Computer erneut mit einem davon verbunden wird. 

Die Datenbank enthält Informationen darüber, welche Schnittstelle mit dem Netzwerk verbunden 

ist, ob der Computer bei einem Domänencontroller authentifiziert wurde und die 

MAC-Adresse des Standardgateways. Falls NLA das Netzwerk wiedererkennt, wird das 

passende Profil automatisch ausgewählt und die Firewall wendet die entsprechende Richtlinie 

an. NLA versucht, das am stärksten eingeschränkte Profil zu verwenden. Falls Sie also 

gleichzeitig mit dem Unternehmensnetzwerk und über ein Modem mit Ihrem Mobilfunkanbieter 

verbunden sind, wird das öffentliche Profil angewendet, nicht das Domänenprofil. 

Wenn Sie eine VPN-Verbindung in Ihr Unternehmensnetzwerk herstellen, wird das öffentliche 

oder private Profil angewendet, je nachdem, welches Profil Sie angegeben haben, als 

Sie das System an Ihr Heimnetzwerk (oder Ihren momentanen Standort) angeschlossen 

haben. Das bedeutet, dass Regeln, die für die Remoteverwaltung des Systems eingerichtet 

wurden, durch das restriktivere aktive Profil überschrieben werden. Es ist wichtig zu wissen, 

dass immer nur jeweils ein Profil aktiv sein kann. Es ist immer das am stärksten eingeschränkte 

Profil aktiv, falls der Computer mit mehreren Netzwerken verbunden ist, die 

unterschiedliche Profile nutzen. 

Vorsicht Falls Sie mithilfe von Gruppenrichtlinien ausgehende Verbindungen blockieren, sollten Sie alle 

Ihre Anwendungen sorgfältig testen, andernfalls könnten sie lahmgelegt werden. Computer können nicht 

einmal ihre Domänengruppenrichtlinien aktualisieren, falls Sie ausgehende Regeln falsch konfiguriert 

haben. 

Routing- und RAS-Dienste 

Dieses Kapitel setzt voraus, dass Sie bereits mit Vorgängerversionen der Routing- und RAS- 

Dienste (Routing and Remote Access Services, RRAS) vertraut sind. Daher konzentriert es 

sich darauf, was in Windows Server 2008 neu ist und was sich verändert hat. Dieses Kapitel 

beschäftigt sich insbesondere mit dem neuen Feature, das ich für die wichtigste Ergänzung 

halte: SSTP (Secure Socket Tunneling Protocol), eine SSL-VPN-Technologie. Technologien 

wie diese waren bereits vorher als separate Produkte von Microsoft und Fremdherstellern 

verfügbar. Falls Sie sich erst in die Grundlagen von RRAS einarbeiten müssen, sollten Sie 

sich die Links im Abschnitt »Weitere Informationen« am Ende dieses Kapitels ansehen. 

Wichtig Sie könnten übersehen, wie Sie RRAS mit dem Assistenten "Rollen hinzufügen" installieren 

können, wenn Sie sich nicht die Beschreibungen aller Serverrollen durchlesen. RRAS ist Teil der Rolle 

Netzwerkrichtlinien- und Zugriffsdienste. Wenn Sie diese Rolle installieren, wird RRAS unter der Bezeichnung 

Routing- und RAS-Dienste als einer der verfügbaren Rollendienste aufgeführt.

Routing- und RAS-Dienste 131 

Verbesserungen in RRAS 

Die folgenden Abschnitte fassen kurz die neuen und verbesserten Fähigkeiten in RRAS von 

Windows Server 2008 zusammen. 

Unterstützung für IPv6 

Sowohl der Remotezugriffsclient als auch RRAS bieten vollständige Unterstützung für IPv6 

bei PPP- (Point-to-Point Protocol) und L2TP/IPsec-VPN-Verbindungen (Layer Two Tunneling 

Protocol mit IPsec). Zusätzliche Unterstützung für IPv6 ist im DHCPv6-Relay-Agent, 

RADIUS und statischen Paketfiltern verfügbar. 

NAP-Erzwingung für Remotezugriff-VPN-Verbindungen 

RRAS kann jetzt NAP-Anforderungen auf eingehenden VPN-Verbindungen erzwingen. 

Weitere Informationen finden Sie im Abschnitt »Netzwerkzugriffsschutz« weiter unten in 

diesem Kapitel. 

Überarbeiteter Assistent zum Herstellen von Verbindungen 

Die Konfiguration von DFÜ-, Breitbandinternet- und VPN-Verbindungen wurde im Assistenten 

zum Herstellen von Verbindungen vereinfacht. 

SSTP 

Windows Server 2008 unterstützt einen neuen Typ VPN-Tunnel, der meist als SSL-VPN 

bezeichnet wird. SSTP (Secure Socket Tunneling Protocol) erlaubt es, Verkehr durch Firewalls, 

Proxyserver und NAT-Geräte (Network Address Translation) zu leiten, die PPTP- und 

L2TP/IPsec-Verbindungen blockieren. PPP-Verkehr wird im SSL-Kanal des Protokolls 

HTTPS gekapselt. Das bedeutet, dass der Verkehr durch weniger Netzwerksicherheitsgeräte 

blockiert und durch starke Verschlüsselung und Integritätsprüfung geschützt wird. Wenn ein 

Benutzer, der unter Windows Server 2008 oder Windows Vista mit Service Pack 1 arbeitet, 

eine SSTP-VPN-Verbindung aufbaut, finden folgende Vorgänge statt: 

1. Der Client fordert eine SSL-Sitzung mit dem SSTP-Server an. 

2. Der SSTP-Server sendet sein Computerzertifikat an den Client. 

3. Der Client überprüft das Computerzertifikat, legt die Verschlüsselungsmethode fest, 

generiert einen Sitzungsschlüssel, verschlüsselt den Sitzungsschlüssel mit dem öffentlichen 

Schlüssel des SSTP-Servers aus dem Zertifikat und sendet den verschlüsselten 

Sitzungsschlüssel an den SSTP-Server. 

4. Der SSTP-Server entschlüsselt den Sitzungsschlüssel mit dem privaten Schlüssel, der 

dem Computerzertifikat zugeordnet ist. Der gesamte künftige Verkehr wird mit dem 

SSL-Sitzungsschlüssel verschlüsselt. 

5. Der Client handelt einen SSTP-Tunnel mit dem SSTP-Server aus. 

6. Der Client fordert eine PPP-Verbindung mit dem SSTP-Server über den SSTP-Tunnel 

an. Während der Aushandlung stellt der Benutzer seine Anmeldeinformationen bereit, 

und die IPv4- oder IPv6-Einstellungen werden festgelegt. 

7. Der Client beginnt, IPv6- oder IPv4-Verkehr über die PPP-Verbindung zu senden.


Unterstützung für mehrere Standorte im Verbindungs-Manager-Verwaltungskit 

Das Verbindungs-Manager-Verwaltungskit (Connection Manager Administration Kit, 

CMAK) erlaubt es, Verbindungs-Manager-Profile auf einem Server mit beliebigen Lokalisierungseinstellungen 

zu entwickeln, die dann auf Clients mit beliebigen Lokalisierungseinstellungen 

bereitgestellt werden können. Das vereinfacht die Verwaltung mit dem Verbindungs-Manager-Verwaltungskit. 

Unterstützung für dynamische DNS-Updates im Verbindungs-Manager 

Verbindungs-Manager-Clients unterstützen jetzt die Registrierung von Clientnamen und 

-adressen mit Dynamic DNS. 

Unterstützung für das Netzwerkdiagnose-Framework 

RRAS unterstützt jetzt das Netzwerkdiagnose-Framework für Clientverbindungen, was die 

Verwaltung und Problembehandlung von RRAS einfacher macht. 

Verbesserte WinLogin-Unterstützung 

Zugriffsanbieter von Fremdherstellern können ihre Verbindungen so konfigurieren, dass sie 

automatisch Remotezugriffsverbindungen aufbauen, wenn sich ein Benutzer anmeldet. 

Zusätzliche kryptografische Algorithmen 

L2TP/IPsec-Verbindungen unterstützen jetzt AES (Advanced Encryption Standard) mit 128- 

und 256-Bit-Schlüsseln. Schwächere Algorithmen wie zum Beispiel 40- und 56-Bit-MPPE 

(Microsoft Point-to-Point) für PPTP und DES mit MD5 (Message Digest 5) für L2TP/IPsec 

sind standardmäßig deaktiviert. Sie können 40- und 56-Bit-MPPE für PPTP-Verbindungen 

aktivieren, indem Sie den DWORD-Wert HKEY_LOCAL_MACHINE\System\Current- 

ControlSet\Services\Rasman\Parameters\AllowPPTPWeakCrypto auf 1 setzen und den 

Computer neu starten. DES mit MD5 für L2TP/IPsec-Verbindungen können Sie aktivieren, 

indem Sie den DWORD-Wert HKEY_LOCAL_MACHINE\System\CurrentControlSet\ 

Services\Rasman\Parameters\AllowL2TPWeakCrypto auf 1 setzen und den Computer neu 

starten. Natürlich sollten Sie erwägen, Ihre geistige Gesundheit untersuchen zu lassen, wenn 

Sie einen Schalter aktivieren, der »WeakCrypto« (schwache Kryptografie) heißt. 

Robuste Zertifikatsprüfung für VPN-Verbindungen 

RRAS unterstützt eine sorgfältigere Zertifikatsprüfung, mit der Man-in-the-Middle-Angriffe 

verhindert werden sollen. Der VPN-Client prüft zusätzlich, ob die Felder Antragsteller 

oder Alternativer Antragstellername im Zertifikat des VPN-Servers dem Namen oder der 

IP-Adresse des VPN-Servers entsprechen, die in der VPN-Verbindung benutzt werden. Sie 

können diese zusätzliche Zertifikatprüfung auf dem VPN-Client folgendermaßen deaktivieren: 

Öffnen Sie das Eigenschaftendialogfeld für die Verbindung, klicken Sie auf die Registerkarte 

Netzwerk und dort auf die Schaltfläche IPSec-Einstellungen und deaktivieren Sie 

das Kontrollkästchen Die Namen- und Verwendungsattribute des Serverzertifikats überprüfen 

(Abbildung 5.10).

Abbildung 5.10 Deaktivieren der erweiterten Zertifikatprüfung bei einer VPN-Verbindung 

Internet Protocol Security 133 

Internet Protocol Security 

Dieser Abschnitt beginnt mit einer kurzen Wiederholung der Grundlagen von IPsec (Internet 

Protocol Security), beschäftigt sich dann ausführlich mit den neuen Fähigkeiten von IPsec 

in Windows Server 2008 und zeigt Ihnen schließlich, wie Sie mithilfe dieser Technologie 

Server und Domänen isolieren, was die Grundlage für Ihre NAP-Architektur bildet. 

Grundlagen von IPsec 

IPsec ist ein offener Standard, mit dem Informationen, die durch Netzwerke befördert werden, 

vor unautorisiertem Zugriff und Manipulation geschützt werden. Dazu kann eine Kombination 

von Authentifizierungsprotokollen, Datenverschlüsselung und digitalen Signaturen 

eingesetzt werden. Wenn zwei Hosts beginnen, mit IPsec zu kommunizieren, richten sie erst 

einmal zwei Sicherheitszuordnungen (engl. security association) ein. In Phase 1 oder dem 

Hauptmodus (engl. main mode) authentifizieren sich die Hosts gegenseitig. In Phase 2 oder 

dem Schnellmodus (engl. quick mode) handeln die Hosts aus, welche Protokolle sie einsetzen, 

um den Netzwerkverkehr digital zu signieren oder zu verschlüsseln. Jedes Paket kann 

signiert werden, damit der Empfänger sicher sein kann, dass es vom vertrauenswürdigen 

Host stammt und nicht manipuliert wurde. Jedes Paket kann verschlüsselt werden, um die 

Daten zu schützen, sodass niemand außer dem Empfänger darauf zugreifen kann. Sie können 

IPsec-Regeln konfigurieren, um einen oder beide Schutzmechanismen zu implementieren.


IPsec-Authentifizierung 

Sicherheitszuordnungen werden mit dem IKE-Protokoll (Internet Key Exchange) ausgehandelt, 

das wiederum drei andere Protokolle umfasst: ISAKMP, Oakley und SKEME. Über 

IKE einigen sich die beiden Hosts, wie Authentifizierungsnachrichten aufgebaut und ausgetauscht 

werden. (Die vollständigen Details sind recht komplex und würden den Umfang 

dieses Kapitels sprengen.) Die Hosts können sich über eine Reihe unterschiedlicher Methoden 

authentifizieren. Unter anderem stehen zur Wahl: 

Kerberos Version 5 Falls beide Hosts in derselben Active Directory-Gesamtstruktur 

liegen, können Sie Kerberos für die gegenseitige Authentifizierung einsetzen. Kerberos 

ist ideal, wenn Sie keine Infrastruktur für öffentliche Schlüssel (Public Key Infrastructure, 

PKI) haben und keine Vertrauensstellungen mit Hosts außerhalb Ihrer Gesamtstruktur 

eingerichtet wurden. 

Digitale Zertifikate Falls die Hosts Zugriff auf eine robuste PKI haben, können digitale 

Zertifikate die ideale Authentifizierungsmethode sein. Windows XP und neuere Versionen 

der Microsoft-Betriebssysteme unterstützen die automatisierte Verteilung von 

Computerzertifikaten, was eines der größten Probleme beim Verwalten einer großen PKI 

beseitigt: das Verteilen der Zertifikate. Solange jeder Host ein Zertifikat hat, das von 

einer Zertifizierungsstelle (Certificate Authority, CA) signiert wurde, der der andere 

Host vertraut, authentifizieren sie sich gegenseitig. 

Vorinstallierte Schlüssel Unterstützung für vorinstallierte Schlüssel (engl. preshared 

keys) ist nur enthalten, weil der IPsec-Standard es vorschreibt. Diese Methode ist eigentlich 

nur sinnvoll, während Sie Ihre IPsec-Richtlinien entwickeln und testen. Jeder Host, 

der Teil der Richtlinie ist, muss denselben Schlüssel haben. Genauso wie es unsinnig ist, 

wenn mehrere Benutzer dasselbe Kennwort verwenden, ist es auch unsinnig, wenn mehrere 

Computer denselben Schlüssel für die Authentifizierung einsetzen. 

Weiter unten in diesem Abschnitt wird beschrieben, welche neuen Authentifizierungsfähigkeiten 

Windows Server 2008 zur Verfügung stellt. 

IPsec-Kommunikationsmodi 

IPsec-Kommunikation findet in einem von zwei Modi statt: Transportmodus oder Tunnelmodus. 

Der Transportmodus (engl. transport mode) wird verwendet, wenn Sie wollen, dass mehrere 

Computer untereinander mit IPsec kommunizieren. In diesem Modus authentifizieren sich 

die beiden Hosts in Phase 1 gegenseitig und einigen sich dann auf Signierungs- und Verschlüsselungsverfahren 

für den Verkehr. Auch wenn der Name genau das Gegenteil zu behaupten 

scheint, wird genau dieser Modus für L2TP-VPNs zwischen Remoteclient und 

VPN-Server verwendet. 

Der Tunnelmodus (engl. tunnel mode) eignet sich, um Standort-zu-Standort-Verbindungen 

zu schützen, die ein nichtvertrauenswürdiges Netzwerk wie das Internet durchlaufen. Anders 

ausgedrückt: Die beiden Hosts sind jeweils Gateways, die Verkehr zwischen den Standorten 

weiterleiten. Im Gateway wird ausgehender Verkehr verschlüsselt und an das Remotegateway 

gesendet, wo er entschlüsselt und über das interne Netzwerk an sein endgültiges Ziel 

weitergeleitet wird.


IPsec-Methoden 

Falls eine IPsec-Regel fordert, dass die Hosts Sicherheit aushandeln, stehen dafür zwei 

Methoden zur Verfügung, die einzeln oder kombiniert verwendet werden können: ESP 

(Encapsulated Security Payload) oder AH (Authentication Header). 

ESP kann sowohl Vertraulichkeit (mithilfe von Verschlüsselung) als auch Integrität (mithilfe 

von Signaturen) gewährleisten. Verschlüsselung und Signatur betreffen die Nutzdaten und 

TPC/UDP-Header jedes Pakets, aber nicht die IP-Adresse. Das bedeutet, dass ESP-Verkehr 

mithilfe von Unterstützungstechnologien wie zum Beispiel NAT-Traversal (NAT-T) über 

NAT-Geräte geleitet werden kann. Es ist auch möglich, in ESP eine Nullverschlüsselung zu 

nutzen, das bedeutet, dass alle Pakete signiert, aber nicht verschlüsselt werden. Ähnlich wie 

bei AH heißt das, dass Sie sicher sein können, dass Verkehr nicht manipuliert wurde, während 

er zwischen den Hosts unterwegs war. Dies ist die Standardmethode, wenn Sie Sitzungen 

zwischen zwei Hosts authentifizieren lassen. 

AH stellt die Nachrichtenintegrität mit digitalen Signaturen sicher, die über das gesamte 

Paket inklusive IP-Header berechnet werden (also mit Quell- und Ziel-IP-Adressen). AH hat 

zwei wichtige Einschränkungen: Es bietet keine Vertraulichkeit, weil es keine Datenverschlüsselung 

unterstützt, und AH-Verkehr kann keine NAT-Geräte durchqueren, weil diese 

Geräte die IP-Adresse des internen Hosts in jedem Paket austauschen, bevor sie es weiterleiten. 

Wichtig AH wird in Windows Server 2008 nicht mehr unterstützt. Diese Methode wird nur aus Gründen 

der Vollständigkeit beschrieben. 

IPsec-Regeln und -Richtlinien 

Eine IPsec-Richtlinie besteht aus einer oder mehreren IPsec-Regeln. Jeder Host kann nur 

eine einzige IPsec-Richtlinie haben. Jede Regel hat eine Filterliste und eine Filteraktion. 

Filterlisten legen die Merkmale des Verkehrs fest, für den die Regel gilt, zum Beispiel 

Adressen, Ports und Protokolle. Filteraktionen definieren, was die Regel mit dem Verkehr 

macht: zulassen, blockieren oder Sicherheit aushandeln. Die ersten beiden Aktionen ähneln 

dem, was eine Firewall bei der Portfilterung tut. Einige Sicherheitsleitfäden für Windows 

2000, Windows XP und Windows Server 2003 beschrieben auch, wie sich mithilfe der 

IPsec-Filterung eine hostbasierte Firewall nachbilden lässt. Aber die IPsec-Filterung arbeitet 

nicht statusbehaftet, das bedeutet, dass ihre Leistungsfähigkeit als Firewallersatz recht beschränkt 

ist. Wenn Sicherheit ausgehandelt wird, teilt die Regel dem Host mit, ob ESP oder 

AH benötigt wird, ob ESP oder AH angefordert werden, aber ungeschützter Verkehr erlaubt 

wird, und die Details der zu benutzenden Authentifizierungs-, Verschlüsselungs- und Signierungsprotokolle. 

Neue Fähigkeiten in Windows Server 2008 

Die folgenden Abschnitte beschreiben, welche Verbesserungen in Windows Server 2008 an 

IPsec vorgenommen wurden. 

Integrierte Firewall- und IPsec-Konfiguration 

In Windows XP und Windows Server 2003 werden Regeln für die Windows-Firewall und 

IPsec getrennt voneinander konfiguriert. Weil beide eingehenden Verkehr blockieren oder 

erlauben können, kann es passieren, dass versehentlich redundante oder sogar widersprüch-


liche Regeln erstellt werden. Diese Arten von Konfigurationsfehlern können schwierig aufzuspüren 

sein. Die neuen grafischen und Befehlszeilenverwaltungstools fassen die Konfiguration 

von Firewall und IPsec zusammen. Das vereinfacht die Verwaltung und verringert die 

Gefahr einer Fehlkonfiguration. In der Vergangenheit unterstützten Firewall und IPsec unterschiedliche 

Merkmale für die Elemente in Regeln. Zum Beispiel konnten Sie eine Firewallausnahme 

anhand des Anwendungsnamens erstellen, aber IPsec bot diese Möglichkeit 

nicht. 

Vereinfachte IPsec-Richtlinienkonfiguration 

Vor Windows Vista und Windows Server 2008 mussten Sie einen Satz Regeln konfigurieren, 

um Verkehr zu schützen, und einen Satz Regeln, um Ausnahmen für geschützten Verkehr zu 

definieren, die für Infrastrukturserver wie DHCP, DNS und Domänencontroller benötigt 

wurden. Während der Startphase konnte der Clientcomputer nicht auf diese Dienste zugreifen, 

falls der Server IPsec erforderte. Die neue Version von IPsec kann dieses Problem beseitigen, 

indem sie gleichzeitig IPsec-geschützte und Klartextverbindungen aufbaut. Falls 

der andere Host nicht auf die IPsec-Anforderung antwortet, setzt der Host die Kommunikation 

im Klartext fort. Falls er eine Antwort auf die IPsec-Anforderung empfängt, setzt er die 

Kommunikation im Klartext nur so lange fort, bis die Aushandlung abgeschlossen ist, danach 

ist der gesamte weitere Verkehr geschützt. Das passiert offensichtlich nur, falls IPsec 

angefordert, aber nicht verpflichtend gemacht wird. Dieses Verhalten ist zwar optional, wird 

aber empfohlen, weil es die IPsec-Richtlinien in einem Unternehmen gewaltig vereinfacht. 

Dieses neue Verhalten ermöglicht auch schnellere Netzwerkverbindungen, weil Windows 

XP- und Windows Server 2003-Hosts, die IPsec anfordern, aber auch Klartextkommunikation 

erlauben, bis zu 3 Sekunden warten, ob die IPsec-Kommunikation fehlschlägt, bevor sie 

auf ungeschützte Kommunikation umschalten. 

Verbesserte IPsec-Authentifizierung 

Neben der Authentifizierung mit Kerberos, digitalen Zertifikaten und vorinstallierten Schlüsseln 

können Windows Server 2008-Systeme auch eine Authentifizierung mit Integritätszertifikaten 

durchführen. Integritätszertifikate werden an Clients von einer Integritätsregistrierungsstelle 

(Health Registration Authority, HRA) vergeben, wenn der Client bewiesen hat, 

dass sein Integritätsstatus die Anforderungen der aktuellen Richtlinie erfüllt. Dies ist eine 

Komponente von NAP, das im Abschnitt »Netzwerkzugriffsschutz« weiter unten in diesem 

Kapitel beschrieben wird. Für IPsec stehen unter anderem folgende Authentifizierungsmethoden 

zur Verfügung: 

Computerintegritätszertifikat 

Benutzerzertifikat 

NTLMv2-Anmeldeinformationen des Computers 

NTLMv2-Anmeldeinformationen des angemeldeten Benutzers 

Kerberos-Anmeldeinformationen des angemeldeten Benutzers 

Das bedeutet, dass Sie für die anfängliche Computerauthentifizierung Kerberos-Anmeldeinformationen 

und danach ein Integritätszertifikat fordern können. Die zweite Authentifizierung 

kann auch ohne die erste genutzt werden.


Verbesserte Unterstützung für Lastausgleich und Clusterserver 

Ältere Versionen von IPsec brauchen üblicherweise 3 bis 6 Sekunden, um nach einer Administrationsänderung 

die Kommunikation wieder aufzunehmen. Wenn ein Clusterknoten ausfiel, 

konnte es sogar bis zu 2 Minuten dauern. In Windows Server 2008 und Windows Vista 

ist die Zeitüberschreitungsschwelle viel kürzer. Normalerweise ist sie so schnell, dass die 

Anwendung weiterlaufen kann. Statt darauf zu warten, dass ein ausgefallener Clusterknoten 

aufgrund der Zeitüberschreibung entdeckt wird, überwacht IPsec TCP-Verbindungen aktiv 

nach eingerichteten Sicherheitszuordnungen (Security Association, SA). Falls die SA beginnt, 

Pakete erneut zu senden, handelt IPsec neue SAs aus, um zu versuchen, die Verbindung 

zu einem anderen Knoten im Cluster wiederherzustellen. 

IPsec-Schutz zwischen Client und Domänencontroller 

Windows Server 2008 unterstützt IPsec zwischen Domänencontrollern und Mitgliedscomputern 

in zwei Modi. Erstens können Sie eine Richtlinie konfigurieren, die IPsec anfordert, 

aber nicht verpflichtend macht; Domänencontroller schützen dann den meisten Verkehr mit 

Domänenmitgliedern, erlauben aber auch Klartextkommunikation für Domänenbeitritte und 

andere Verkehrstypen. Zweitens können Sie eine Richtlinie konfigurieren, die IPsec vorschreibt 

und NTLMv2-Authentifizierung erlaubt; in diesem Fall wird die gesamte Kommunikation 

mit Domänencontrollern geschützt. Diese restriktivere Konfiguration funktioniert, 

weil NTLMv2-Benutzeranmeldeinformationen für die Authentifizierung verwendet werden 

können. Wenn ein Computer, der unter Windows Server 2008 oder Windows Vista läuft, versucht, 

der Domäne beizutreten, wird der Benutzer aufgefordert, Benutzernamen und Kennwort 

eines Domänenkontos einzugeben, das Computerkonten hinzufügen darf. Dieses neue 

Verhalten steht nur auf Clientcomputern zur Verfügung, die unter Windows Vista oder Windows 

Server 2008 laufen, und auf Domänencontrollern, die unter Windows Server 2008 

laufen. 

Integrierte IPv4- und IPv6-Unterstützung 

Die Unterstützung für IPsec mit IPv6 ist identisch mit der Unterstützung für IPsec mit IPv4, 

was vor Windows Vista und Windows Server 2008 noch nicht der Fall war. IPsec-Richtlinienregeln 

für IPv6 und IPv4 werden auf dieselbe Weise mit denselben Tools konfiguriert, 

zum Beispiel in der Konsole Windows-Firewall mit erweiterter Sicherheit. 

Integration mit Netzwerkzugriffsschutz 

Sie können NAP verwenden, um zu erzwingen, dass Hosts eine zweite Authentifizierung mit 

einem Integritätszertifikat durchführen. So wird sichergestellt, dass jeder Host die Integritätsanforderungen 

Ihrer Organisation erfüllt. Weitere Informationen finden Sie im Abschnitt 

»Netzwerkzugriffsschutz« weiter unten in diesem Kapitel. 

Weitere Konfigurationsoptionen für geschützte Kommunikation 

Verbindungssicherheitsregeln unterstützen folgende neue Einstellungen: 

Bereiche von IP-Adressen Sie können jetzt numerische Bereiche angeben, zum Beispiel 

192.168.10.15 bis 192.168.10.68. 

Für alle Drahtlosadapter Drahtlosadapter sind ein weiterer Schnittstellentyp, den Sie 

für eine Regel angeben können.


Neue Kryptografieunterstützung 

Während sich die Techniken der Kryptografie weiterentwickeln, fügt Microsoft ständig 

Unterstützung für neuere, robustere Algorithmen zu seinen Betriebssystemen hinzu. Windows 

Server 2008 und Windows Vista bieten erstmals Unterstützung für folgende Algorithmen, 

um Masterschlüsselmaterial während der Hauptmodusaushandlung abzuleiten: 

Diffie-Hellman (DH) Group 19 Dies ist ein auf elliptischen Kurven beruhender Algorithmus, 

der eine 256 Bit lange zufällige Kurvengruppe verwendet (NIST-ID P-256). 

DH Group 20 Dies ist ein auf elliptischen Kurven beruhender Algorithmus, der eine 

384 Bit lange zufällige Kurvengruppe verwendet (NIST-ID P-384). 

Windows Server 2008 und Windows Vista unterstützen jetzt folgende neue Datenverschlüsselungsalgorithmen: 

AES (Advanced Encryption Standard) mit CBC (Cipher Block Chaining) und 128-Bit- 

Schlüssellänge (AES 128) 

AES mit CBC und 192-Bit-Schlüssellänge (AES 192) 

AES mit CBC und 256-Bit-Schlüssellänge (AES 256) 

Vorsicht Ältere Windows-Versionen, zum Beispiel Windows 2000, Windows XP und Windows Server 

2003, implementieren einige dieser Algorithmen für andere Funktionen, sie unterstützen sie aber nicht für 

den Einsatz von IPsec. 

Unterstützung für das Netzwerkdiagnose-Framework 

IPsec unterstützt jetzt das Netzwerkdiagnose-Framework (Network Diagnostics Framework, 

NDF). NDF ist eine Infrastruktur sowie ein Satz integrierter Komponenten, die versuchen, 

Verbindungsprobleme automatisch zu diagnostizieren und zu reparieren. Wenn ein Problem 

auftaucht, bietet NDF dem Benutzer seine Hilfe an, um festzustellen, wo der Fehler liegt, 

und das Problem zu beseitigen. Dies geschieht direkt in dem Kontext, in dem das Problem 

aufgetreten ist. Das bedeutet, dass der Benutzer die Meldungen von NDF in der Anwendung 

angezeigt bekommt, in der das Problem aufgetreten ist. 

Erweiterte Ereignisse und Systemmonitor-Leistungsindikatoren 

Es wurden neue IPsec-spezifische Überwachungsereignisse hinzugefügt, und der Text vorhandener 

Ereignisse wurde aktualisiert, sodass er mehr nützliche Informationen enthält, die 

Ihnen bei der Behandlung von IPsec-Problemen helfen. Außerdem wurden IPsec-Leistungsindikatoren 

hinzugefügt. 

Erweiterte Authentifizierungsumgehung 

Sie können Umgehungsregeln konfigurieren, sodass Verbindungen von bestimmten Computern 

die anderen IPsec-Regeln umgehen können. Das bedeutet, dass Sie den Verkehr von 

allen Hosts blockieren können, aber den authentifizierten Computern erlauben, diese Blockierung 

zu umgehen. Das ist nützlich, wenn Sie Sicherheitslückenscannern oder anderen 

Verwaltungstools erlauben wollen, auf geschützte Hosts zuzugreifen.

Netzwerkzugriffsschutz 139 

Netzwerkzugriffsschutz 

Netzwerkzugriffsschutz (Network Access Protection, NAP) ist eine Plattform, mit der Sie 

erzwingen können, dass Hosts bestimmte Integritätsanforderungen erfüllen, bevor sie Zugriff 

auf Netzwerkressourcen erhalten. NAP kann sicherstellen, dass das System bestimmte 

Updates enthält und bestimmte Konfigurationsanforderungen erfüllt sind, zum Beispiel der 

Firewallstatus. NAP kann auch sicherstellen, dass bestimmte Software, zum Beispiel Antimalware, 

installiert und auf dem neuesten Stand ist. 

Windows Server 2008 enthält die Serverkomponenten, die für NAP erforderlich sind. Es 

kann auch als NAP-Client agieren, ebenso wie Windows Vista, Windows XP und Windows 

Server 2003 – die beiden Letzteren erfordern allerdings Updates von Microsoft, die 2008 

veröffentlicht werden. Integritätsrichtlinien definieren, welche Updates, Antimalwaresignaturen, 

Softwareversionen, Sicherheitseinstellungen und andere Einstellungen auf dem NAP- 

Client vorhanden sein müssen, damit er Zugriff auf Netzwerkressourcen erhält. Inkompatible 

Systeme (also Systeme, die diese Anforderungen nicht erfüllen) können Zugriff auf ein 

eingeschränktes Netzwerk bekommen, wo sie alle Änderungen vornehmen können, die gebraucht 

werden, um die Anforderungen zu erfüllen. Nachdem Sie im letzten Abschnitt einiges 

über IPsec gelesen haben, machen Sie sich vielleicht Gedanken darüber, wie Sie NAP in 

Ihre Isolierungsstrategie integrieren können. 

Hinweis NAP zwar ein leistungsfähiges Verwaltungs- und Richtlinienerzwingungstool, es kann aber keine 

Benutzer mit unlauteren Absichten (insbesondere böswillige Insider) davon abhalten, unerwünschte Aktionen 

in Ihrem Netzwerk auszuführen. 

Windows Server 2008 bringt zwar die Grundlagen mit, die Sie brauchen, um NAP bereitzustellen 

und zu verwalten, aber Microsoft rechnet auch damit, dass viele Fremdhersteller ihre 

Sicherheitslösungen in diese Architektur integrieren wollen. NAP enthält einen Satz APIs, 

über die sich andere Tools einklinken können, um Integritätsrichtlinien zu überprüfen, den 

Zugriff auf das Netzwerk zu steuern, Wartungsaktionen durchzuführen und die dauerhafte 

Erfüllung der Anforderungen sicherzustellen. Microsoft ist Mitglied in mehreren Herstellerkonsortien 

und arbeitet mit zahlreichen Partnern zusammen, um sicherzustellen, dass Interoperabilität 

mit möglichst vielen ergänzenden Technologien möglich ist. 

Architektur 

Es gibt bereits Unternehmenslösungen, die Netzwerke vor Computern schützen sollen, die 

die Sicherheitsanforderungen nicht erfüllen. Die aktuellen Lösungen wirken oft einschüchternd. 

Einige Analysten und Experten haben an diesen Lösungen ihre Komplexität, Verwaltungsprobleme 

und schlechte Interoperabilität kritisiert. Windows Server 2008 und Windows 

Vista gehen diese Probleme mit einfach bedienbaren Assistenten, leistungsfähigen Verwaltungstools 

und der Möglichkeit zur Interoperabilität mit Lösungen vieler Partner an. Die 

NAP-Architektur besteht aus einer Reihe von Server- und Netzwerkkomponenten, die mit 

NAP-Clients zusammenarbeiten, um Integritätsrichtlinien zu verteilen und zu erzwingen 

sowie Lösungsmöglichkeiten für den Fall anzubieten, dass ein Client die Anforderungen 

nicht erfüllt. Abbildung 5.11 zeigt diese Komponenten.


Abbildung 5.11 NAP-Komponenten für VPN-, DHCP- und 802.1-Erzwingung 

Netzwerkrichtlinienserver 

Der Netzwerkrichtlinienserver (Network Policy Server, NPS) ist die Microsoft-Implementierung 

eines RADIUS-Servers (Remote Authentication Dial-In User Service) in Windows 

Server 2008. Er ersetzt IAS (Internet Authentication Server) aus Windows Server 2003. NPS 

führt die Integritätsprüfung durch und entscheidet, welchen Zugriff NAP-Clients erhalten. 

Wenn eine Zugriffsanforderung eintrifft, extrahiert NPS das SoH (Statement of Health) des 

Clients und leitet es an den NAP-Administrationsserver weiter. Abhängig von den SoHRs 

(Statement of Health Response) von den Systemintegritätsprüfungen (System Health Validator, 

SHV) und den Integritätsrichtlinien generiert NPS ein SSoHR (System Statement of 

Health Response), das angibt, ob der Client die Anforderungen erfüllt. 

Hinweis Sicherlich sind Ihnen die vielen Akronyme im letzten Absatz aufgefallen. Eine stillschweigende 

Forderung an jede neue Technologie lautet, dass sie neue Akronyme einführen muss, und NAP erfüllt diese 

Aufgabe mit Begeisterung. Es empfiehlt sich, eine Liste zur Hand zu haben, wenn Sie sich mit NAP beschäftigen. 

Im Abschnitt »Akronyme für IPSec, Firewall, RRAS und NAP« weiter unten in diesem Kapitel 

sind die wichtigsten Akronyme aufgelistet.


NAP-Administrationsserver 

Der NAP-Administrationsserver erledigt die Kommunikation zwischen den SHVs und dem 

NPS-Server. Der Administrationsserver empfängt über den NPS-Dienst das SSoH vom NAP- 

Erzwingungsserver (Enforcement Server, ES), verteilt die SoHs im SSoH an die SHVs und 

sammelt die SoHRs von den SHVs ein, die dann vom NPS-Dienst ausgewertet werden. 

Integritätsregistrierungsstelle 

Die Integritätsregistrierungsstelle (Health Registration Authority, HRA) empfängt SSoHRs 

für NAP-Clients, wenn sie bewiesen haben, dass sie die Anforderungen erfüllen. Das SSoHR 

wird benutzt, um NAP-Clients zu authentifizieren, wenn sie über IPsec die Verbindung zu 

anderen NAP-Clients herstellen. 

Host Credential Authorization-Protokoll 

HCAP (Host Credential Authorization Protocol) wird bereitgestellt, um die Interoperabilität 

mit der Network Access Control-Technologie von Cisco zu gewährleisten. NPS stellt für die 

Cisco-Integration die Attribute Extended State und Policy Expiration in der Netzwerkrichtlinie 

bereit. 

Wartungsserver 

Wartungsserver (engl. remediation server) werden verwendet, um Clients so zu aktualisieren, 

dass sie die Anforderungen erfüllen können, falls sie nicht beweisen konnten, dass ihr 

Integritätsstatus die Richtlinien der Organisation erfüllt. Wartungsserver können die neuesten 

Antimalwaresignaturen, Updates und Service Packs für Windows, Konfigurationsskripts 

und andere Ressourcen hosten, die ein Client nutzen kann, um die Anforderungen zu erfüllen. 

Erzwingungskomponenten 

Ein NAP-ES steuert den Netzwerkzugriff des NAP-Clients, leitet das SoH des Clients zur 

Auswertung an den NPS weiter und stellt dann abhängig von der Antwort des NPS-Servers 

entweder eingeschränkten oder vollständigen Zugriff zur Verfügung. Windows Server 2008 

hat vier integrierte Erzwingungsserver: IPsec, VPN, Terminalservergateway und DHCP. 

Erzwingungsmethoden 

Es stehen folgende Möglichkeiten zur Wahl, um Netzwerkeinschränkungen für inkompatible 

Hosts zu erzwingen: 

IPsec Dies ist die bevorzugte Methode, weil jeder verwaltete Host sich selbst vor Hosts 

schützt, die nicht die Integritätsanforderungen Ihrer Organisation erfüllen. Unabhängig 

davon, wie und wo der potenziell gefährliche Computer verbunden ist, ignorieren alle 

verwalteten Computer seine Kommunikation, bis er bewiesen hat, dass er die Richtlinien 

erfüllt. 

IEEE 802.1x Diese Technik steuert den Zugriff mithilfe von Einschränkungen, die 

von Netzwerk-Switches und Drahtloszugriffspunkten erzwungen werden. Bis der Host 

bewiesen hat, dass sein Integritätsstatus die Anforderungen erfüllt, kann er mit der ID 

eines virtuellen LANs oder einem Satz von IP-Paketfiltern eingeschränkt werden. 

VPN VPN ist eine gute Methode, um Richtlinien auf Remoteclients zu erzwingen. Wenn 

der Benutzer seine Identität bewiesen hat, wird sein Zugriff so lange eingeschränkt, bis


der Computer, mit dem er arbeitet, bewiesen hat, dass er die Anforderungen Ihrer Integritätsrichtlinien 

erfüllt. Falls Sie mit der Netzwerkzugriffquarantäne in Windows Server 

2003 vertraut sind, dürften Ihnen Ähnlichkeiten zu NAP auffallen. NAP basiert aber auf 

einer völlig neu entwickelten Technologie. 

Terminalservergateway Terminalservergateway (TS Gateway) schränkt den Zugriff 

für Remoteterminaldiensteclients ein, wenn diese mit RDP (Remote Desktop Protocol) 

über HTTPS auf interne Ressourcen zugreifen. 

DHCP DHCP-Erzwingung mag einfach bereitzustellen sein, es ist aber auch die unsicherste 

Lösung. Bei diesem Ansatz wird der Zugriff über die IPv4-Adresskonfiguration 

und -Routingtabellen des Hosts gesteuert. Ein findiger Benutzer mit administrativen Privilegien 

kann das einfach umgehen, indem er seine TCP/IP-Einstellungen von Hand 

konfiguriert. Falls Sie im selben Netzwerk Hosts unterstützen, die nicht NAP-fähig sind 

oder das zumindest behaupten, kann jeder den Schutz umgehen, indem er einfach behauptet, 

keine NAP-Fähigkeit zu bieten. 

Systemintegritätsprüfungen 

Eine Systemintegritätsprüfung (System Health Validator, SHV) ist ein Element, das 

einem Systemintegritätsagenten (System Health Agent, SHA) auf dem NAP-Client zugeordnet 

ist. Ein SHA ist mit einem oder mehreren Integritätsanforderungsservern verknüpft. 

Antivirensoftware ist ein gutes Beispiel. Sie haben einen SHA für das Antivirenprogramm 

und eine SHV, die die Antivirensignaturen auf dem Client mit dem Server 

vergleicht, der aktuelle Signaturdateien hostet. Windows Server 2008 enthält die Windows-Sicherheitsintegritätsprüfung. 

Microsoft und andere Hersteller können weitere 

SHVs entwickeln, die sich in die NAP-Plattform einklinken. Die Windows-SHV kann 

folgende Szenarien für NAP-Clients erzwingen: 

Auf dem Clientcomputer ist Firewallsoftware installiert und aktiviert. 

Auf dem Clientcomputer ist Antivirensoftware installiert und wird ausgeführt. 

Auf dem Clientcomputer sind aktuelle Antivirenupdates installiert. 

Auf dem Clientcomputer ist Antispywaresoftware installiert und wird ausgeführt. 

Auf dem Clientcomputer sind Antispywareupdates installiert. 

Die Microsoft Update-Dienste sind auf dem Clientcomputer aktiviert. 

Systemintegritätsagenten 

SHAs überwachen den Integritätsstatus des Clients, sodass der NPS weiß, ob der NAP- 

Client die Anforderungen erfüllt. Zum Beispiel kann der Windows-Systemintegritätsagent 

(Windows System Health Agent, WSHA), das Gegenstück zur vorher beschriebenen 

Windows-SHV, die Windows-Firewall überwachen. Der WSHA kann Folgendes 

feststellen: 

Ob Antivirensoftware installiert, aktiviert und auf dem neuesten Stand ist. 

Ob Antispywaresoftware installiert, aktiviert und auf dem neuesten Stand ist. 

Ob die Microsoft Update-Dienste aktiviert sind. 

Ob auf dem Host die neuesten Sicherheitsupdates installiert sind. 

Andere Hersteller können weitere SHAs für andere Sicherheitslösungen entwickeln.


NAP-Agent 

Der NAP-Agent sammelt Integritätsdaten, verarbeitet SoHs von SHAs und meldet den Integritätsstatus 

an Erzwingungsclients. Er meldet die Zusammenfassung der Systemintegrität 

mithilfe eines SSoH (System Statement of Health). 

NAP-Erzwingungsclients 

Um NAP nutzen zu können, muss auf den Clientcomputern ein NAP-Erzwingungsclient 

(Enforcement Client, EC) laufen. Einzelne NAP-ECs sind den weiter oben vorgestellten 

Erzwingungsmethoden zugeordnet, zum Beispiel IPsec und Terminaldienstegateway. Der 

NAP-EC fordert Netzwerkzugriff an, kommuniziert mit dem NPS-Server und meldet den 

Status des NAP-Clients an andere Komponenten in der NAP-Clientarchitektur. 

Implementieren von NAP 

NAP ist flexibel. Sie können es so konfigurieren, dass es den Anforderungen und Fähigkeiten 

Ihrer Organisation entspricht. Daher unterscheiden sich die Implementierungen von 

Netzwerk zu Netzwerk. Dieser Abschnitt demonstriert, wie NAP in einem Beispielnetzwerk 

arbeitet: Hosts, die Zugriff auf Netzwerkressourcen anfordern, erhalten eingeschränkten 

Zugriff, falls sie inkompatible NAP-Clients sind oder Clients, die sich nicht bei der NAP- 

Infrastruktur authentifizieren können. Den Hosts wird vollständiger Zugriff gewährt, falls 

sie NAP-Clients sind, die entsprechend der Integritätsrichtlinie konfiguriert sind. Dies wird 

im Folgenden genauer beschrieben. 

Wenn der NAP-Client versucht, auf Netzwerkressourcen zuzugreifen, sammelt der NAP- 

Agent auf dem Client SoHs von allen SHAs und fasst sie zu einem SSoH zusammen. Dann 

erstellt er eine RADIUS-Access-Request-Nachricht, die er an den NAP-EC sendet. Der 

NAP-EC sendet die Access-Request-Nachricht an den NAP-ES, der sie wiederum an den 

NPS-Dienst auf dem NAP-Integritätsrichtlinienserver sendet. Der NPS-Dienst weist alle 

RADIUS-Nachrichten von Clients zurück, für deren Verwaltung er nicht konfiguriert ist. 

Der NPS-Dienst prüft, ob die Access-Request-Nachricht seinem Satz von Verbindungsanforderungsrichtlinien 

entspricht. Die Access-Request-Nachricht sollte einer Richtlinie entsprechen, 

die erfordert, dass der NPS-Dienst Authentifizierung und Autorisierung lokal 

durchführt. 

Der NPS-Dienst wertet die Integritätsinformationen in der Access-Request-Nachricht aus, 

die ein SSoH und ein oder mehrere SoHs umfasst. Die NAP-Administrationsserverkomponente 

auf dem NAP-Integritätsrichtlinienserver leitet jedes SoH an die entsprechende SHV 

weiter. Jede SHV stellt fest, ob das empfangene SoH die Anforderungen erfüllt. Der NAP- 

Administrationsserver generiert aus den SHVs einen Satz von SoHRs. Der NPS-Dienst vergleicht 

die Access-Request-Nachricht und die SoHRs mit den Netzwerkrichtlinien. Die 

SoHRs werden mit den Integritätsrichtlinien in den Netzwerkrichtlinien verglichen. Der 

NPS-Dienst wendet dann die Netzwerkrichtlinie an, die am besten zur Access-Request- 

Nachricht passt. Dies ist entweder die erste Übereinstimmung mit einer bestimmten Quelle 

(für Anforderungen, die ein Quell-Tag enthalten, das den Typ des RADIUS-Clients angibt) 

oder das erste mit einer unspezifizierten Quelle. 

Der NPS-Dienst generiert anhand der am besten passenden Netzwerkrichtlinie und der 

NAP-Einstellungen innerhalb der Richtlinie ein SSoHR. Das SSoHR umfasst die SoHRs aus 

den SHVs, und es gibt an, ob der Client eingeschränkten oder uneingeschränkten Zugriff 

erhält. Falls der Zugriff eingeschränkt wird, gibt das SSoHR auch an, ob der Client versu-


chen sollte, eine automatische Wartung durchzuführen. Der NPS-Dienst sendet eine RADIUS- 

Access-Accept-Nachricht mit dem SSoHR an den NAP-ES. Der NAP-ES leitet das SSoHR 

an den Client weiter. In manchen Fällen sendet der NPS-Dienst das SSoHR direkt an den 

Client und Anweisungen zum Einschränken des Zugriffs an den NAP-ES. Falls der Client 

eingeschränkten Zugriff hat, kann diese Nachricht auch eine Liste mit Adressen von Wartungsservern 

enthalten. Der NAP-ES sendet das SSoHR an den NAP-Client. Dieser Vorgang 

ist in Abbildung 5.12 illustriert. Die durchgezogenen Linien stehen für die Zugriffsanforderung, 

die der Client sendet. Sie führen zum Erzwingungsserver und von dort durch die serverseitigen 

Komponenten. Die gestrichelten Linien stehen für die Antwort, die im Administrationsserver 

erstellt und über den Erzwingungsserver zum Client zurückgeleitet wird. 

Abbildung 5.12 Weg der Nachrichten zwischen NAP-Komponenten


Hinweis Hosts, die NAP nicht nutzen können, erhalten in der Standardeinstellung eingeschränkten 

Zugriff. Falls zum Beispiel IPsec-Erzwingung eingesetzt wird, können solche Hosts keine Verbindung zu 

irgendwelchen geschützten Hosts im Netzwerk herstellen, weil diese anderen Systeme Verkehr vom fremden 

Host ignorieren. Falls DHCP-Erzwingung eingesetzt wird, empfängt der Client IP-Adresskonfigurationsdaten 

und -Routen, die den Zugriff einschränken. 

Direkt von der Quelle: 802.1x- und IPsec-Erzwingung 

im Netzwerkzugriffsschutz 

NAP umfasst mehrere Methoden, um Netzwerkrichtlinien auf lokalen und Remotecomputern 

zu erzwingen. Für eine lokale Erzwingung in großen Unternehmensnetzwerken 

eignen sich zwei Methoden: 802.1x und IPsec. Denken Sie nicht, dass sich diese beiden 

Methoden gegenseitig ausschließen, sie ergänzen sich vielmehr. Werden sie kombiniert, 

bilden sie zwei leistungsfähige Abwehrlinien für die gestaffelte Verteidigung in Ihrem 

Netzwerk. 

802.1x ist ein Standard für die physische Netzwerkauthentifizierung, der ursprünglich vor 

allem für den Schutz von Drahtlosnetzwerken eingesetzt wurde. Inzwischen unterstützen 

aber auch die meisten modernen Kabelnetzwerk-Switches für den Unternehmenseinsatz 

diese Technologie, sodass gesteuert werden kann, wer und was den Hardwareports zugeordnet 

wird. NAP ermöglicht auch Integration mit allen standardkompatiblen 802.1x- 

Switches, um Systeme abhängig von ihrer Systemintegrität bestimmten VLANs zuzuordnen. 

Zum Beispiel können Sie NAP so konfigurieren, dass alle inkompatiblen Computer 

in ein Wartungs-VLAN gelegt werden, das nur Zugriff auf Updateserver bietet. So können 

diese Hosts keinen Verkehr in das übrige Netzwerk senden. Indem NAP den offenen 

802.1x-Standard nutzt, bietet es eine leistungsfähige Schicht-2-Konnektivitätskontrolle 

auf Basis der Systemintegrität. 

802.1x bietet zwar wertvolle Sicherheitsvorteile für Unternehmen, allein kann es aber 

nicht immer umfassenden Schutz für das gesamte Unternehmen gewährleisten. 802.1x- 

Schutz ist nämlich nur an dem Port wirksam, an den ein Gerät angeschlossen ist. Sobald 

die Verbindung einmal erfolgreich hergestellt wurde, erlegt 802.1x den Verkehrsroutingfähigkeiten 

des Clients keine weiteren Einschränkungen auf. Falls daher ein inkompatibler 

Computer eine Verbindung an irgendeiner Stelle im Netzwerk herstellen kann, wo 

802.1x nicht bereitgestellt wurde (zum Beispiel ein Netzwerkdruckeranschluss, der von 

der 802.1x-Erzwingung ausgenommen ist, oder eine Zweigstelle ohne 802.1x-kompatible 

Hardware), erhält dieser Computer vollständige Konnektivität zum Rest des Unternehmens. 

Anders ausgedrückt: 802.1x bietet Schutz auf Portebene, nicht auf Hostebene. 

IPsec ist ein anderer offener Standard, für den NAP Integrationsmöglichkeiten bietet. 

IPsec kann 802.1x ergänzen oder eigenständig bereitgestellt werden. IPsec-Schutz arbeitet 

auf Hostebene. Er schützt Systeme im Netzwerk unabhängig davon, ob ein inkompatibles 

System direkt an einen bestimmten Port angeschlossen wird. Für die IPsec-Erzwingung 

muss eine unternehmensweite IPsec-Richtlinie auf allen Systemen bereitgestellt 

werden (normalerweise geschieht dies über Gruppenrichtlinien). Diese Richtlinie konfiguriert 

die Systeme so, dass sie Verkehr zurückweisen, wenn der Absender den Verkehr 

nicht mit einem Zertifikat signiert, das von einer NAP-HRA ausgestellt wurde. Die HRA 

ist in NAP integriert, sodass sichergestellt ist, dass die Zertifikate nur an Systeme ausgestellt 

werden, die die Anforderungen der Integritätsrichtlinie im Unternehmen erfüllen.


Daher bietet die IPsec-Erzwingung Schutz auf der Hostschicht und kann entweder als 

eigenständige Erzwingungsmethode oder als zusätzliche Schicht in einer gestaffelten Verteidigung 

dienen, wenn sie mit 802.1x kombiniert wird. IPsec-Erzwingung bietet außerdem 

den Vorteil, dass sie einfacher in virtualisierte Umgebungen zu integrieren ist, wo 

virtuelle Computer unter Umständen nicht an 802.1x-fähige Ports angeschlossen sind 

(entweder Hardwareports oder solche in virtuellen Switches). 

John Morello, Senior Program Manager 

Windows Server Division 

NAP-Szenarien 

Folgende häufig anzutreffende NAP-Szenarien zeigen, wie nützlich diese neue Plattform ist: 

Desktopcomputer Desktopcomputer können eine Bedrohung für das Netzwerk sein, 

falls ihnen Updates fehlen, sie schlecht konfiguriert sind oder von Malware infiziert 

wurden. Alle diese Situationen können es böswilligen Benutzern erlauben, auf Informationen 

zuzugreifen, die das Unternehmen eigentlich nicht verlassen sollten. Computern 

können Updates fehlen, weil sie längere Zeit ausgeschaltet waren oder aus irgendwelchen 

Gründen keine Verbindung zum Netzwerk hatten. Sie können falsch konfiguriert 

sein, wenn Benutzer mehr Privilegien auf ihren Systemen haben, als die Empfehlungen 

zulassen. Sie können mit böswilliger Software infiziert werden, weil der Benutzer gefährliche 

Websites besucht oder Dateien geöffnet hat, die mit einem Virus infiziert 

waren. 

Notebooks Gerade die Mobilität macht Notebooks so nützlich, aber sie vergrößert 

gegenüber einem üblichen Desktopcomputer auch die Gefahr einer Kompromittierung. 

Einem Notebook können Updates oder die neuesten Antivirensignaturen fehlen, weil der 

Benutzer sein Notebook mehrere Wochen nicht mit dem Unternehmensnetzwerk verbunden 

hat. Ein Notebook ist potenziell Angriffen ausgesetzt, wenn es in Drahtlosnetzwerken 

benutzt wird oder an einem Ort unbeaufsichtigt bleibt, an dem Fremde Zugriff 

darauf haben. Mit NAP können Administratoren den Integritätsstatus von Notebooks 

jedes Mal überprüfen, wenn sie wieder ans Netzwerk der Organisation angeschlossen 

werden, sei es über ein VPN oder wenn der Benutzer ins Büro zurückkehrt. 

Unverwaltete Heimcomputer Manche Organisationen erlauben ihren Benutzern, von 

ihren privaten Computern aus über ein VPN eine Verbindung zum Unternehmensnetzwerk 

herzustellen. Diese Computer unterliegen nicht der Kontrolle der Organisation. Mit 

NAP können Netzwerkadministratoren aber jedes Mal, wenn eine VPN-Verbindung aufgebaut 

wird, den Integritätsstatus dieser Systeme überprüfen. Falls ein System die Integritätsanforderungen 

nicht erfüllt, kann sein Zugriff eingeschränkt werden. 

Computer von Besuchern Unternehmen erlauben allen möglichen Leuten, das Gelände 

zu betreten: Consultants, Partner, Freunde von Mitarbeitern, Stellenbewerber und 

Zulieferer bitten darum, Zugriff auf Ihr Netzwerk zu erhalten. Ihre Computer erfüllen 

unter Umständen nicht die Integritätsrichtlinien der Organisation, aber mit NAP können 

Administratoren diese Computer überprüfen und in einem eingeschränkten Netzwerk 

isolieren. Das eingeschränkte Netzwerk kann zum Beispiel Internetzugriff bieten, damit 

die Besucher auf ihre eigenen E-Mail-Konten und andere externe Ressourcen zugreifen 

können.


Akronyme für IPSec, Firewall, RRAS und NAP 

AES: Advanced Encryption Standard 

AH: Authentication Headers 

API: Application Programming Interface (Anwendungsprogrammierschnittstelle) 

BFE: Base Filtering Engine 

CA: Certificate Authority (Zertifizierungsstelle) 

CBC: Cipher Block Chaining 

CMAK: Connection Manager Administration Kit (Verbindungs-Manager- 

Verwaltungskit) 

DES: Data Encryption Standard 

DH: Diffie-Hellman 

ESP: Encapsulated Security Payload 

FTP: File Transfer Protocol 

GFE: Generic Filtering Engine 

HCAP: Host Credential Authorization Protocol 

HRA: Health Registration Authority (Integritätsregistrierungsstelle) 

HTML: Hypertext Markup Language 

HTTP: Hypertext Transport Protocol 

HTTPS: Secure Hypertext Transport Protocol 

ICMP: Internet Control Message Protocol 

IKE: Internet Key Exchange (IKE) 

IPsec: Internet Protocol security 

ISA: Internet Security and Acceleration Server 

ISAKMP: Internet Security Association and Key Management Protocol 

L2TP: Layer 2 Tunneling Protocol 

MD5: Message Digest 5 

MMC: Microsoft Management Console 

MPPE: Microsoft Point-to-Point 

NAP: Network Access Protection (Netzwerkzugriffsschutz) 

NAP EC: Network Access Protection Enforcement Client (Netzwerkzugriffsschutz- 

Erzwingungsclient) 

NAP ES: Network Access Protection Enforcement Server (Netzwerkzugriffsschutz- 

Erzwingungsserver) 

NAT: Network Address Translation 

NAT-T: Network Address Translation-Traversal 

NDF: Network Diagnostics Framework (Netzwerkdiagnose-Framework) 

NLA: Network Location Awareness 

NPS: Network Policy Server (Netzwerkrichtlinienserver)


NTLMv2: New Technology LAN Manager version 2 

PKI: Public Key Infrastructure 

PPP: Point-to-Point Protocol 

PPTP: Point-to-Point Tunneling Protocol 

RADIUS: Remote Authentication Dial-In User Service 

RDP: Remote Desktop Protocol 

RRAS: Routing and Remote Access Service (Routing- und RAS-Dienst) 

SA: Security Association (Sicherheitszuordnung) 

SHA: System Health Agent (Systemintegritätsagent) 

SHV: System Health Validator (Systemintegritätsprüfung) 

SKEME: Secure Key Exchange Mechanism 

SoH: Statement of Health 

SoHR: Statement of Health Response 

SSL: Secure Sockets Layer 

SSoHR: System Statement of Health Response 

SSTP: Secure Socket Tunneling Protocol 

TCP: Transmission Control Protocol 

TCP/IP: Transmission Control Protocol/Internet Protocol 

TLS: Transport Layer Security 

TS: Terminal Server (Terminalserver) oder Terminal Service (Terminaldienste) 

UAC: User Account Control (Benutzerkontensteuerung) 

UDP: User Datagram Protocol 

VPN: Virtual Private Network 

WAIS: Wide Area Information Servers 

WFP: Windows Filtering Platform 

WSHA: Windows System Health Agent (Windows-Systemintegritätsagent) 


Dieses Kapitel enthält zahlreiche Informationen über mehrere eng miteinander verbundene 

Technologien in Windows Server 2008. Die Windows-Firewall mit erweiterter Sicherheit ist 

die neue hostbasierte Firewall, die eng mit IPsec und NAP integriert ist. Sie können Isolierungsregeln 

in Kombination mit NAP und IPsec einsetzen, um Server vor potenziell gefährlichen 

Hosts im Netzwerk zu schützen. Das Kapitel hat außerdem kurz die Verbesserungen 

im Routing- und RAS-Dienst zusammengefasst, insbesondere SSTP, das die Verwaltung von 

VPNs für Remotebenutzer vereinfachen kann. Sie können alle diese Technologien einsetzen, 

um die Kommunikation zwischen Netzwerkhosts zu ermöglichen, aber trotzdem die Gefahr 

zu verringern, dass böswillige Benutzer sie kompromittieren.



Microsoft Corporation (2006, 2007): »New Networking Features in Windows Server 2008 

and Windows Vista« unter http://technet.microsoft.com/en-us/library/bb726965.aspx. 

Johansson, J. M.: Protect Your Windows Network (Addison-Wesley, 2005). 

Microsoft Corporation (2004): »Windows Filtering Platform« unter 

http://www.microsoft.com/whdc/device/network/wfp.mspx. 

Microsoft Corporation (2007): »Windows Firewall with Advanced Security – Diagnostics 

and Troubleshooting« unter http://technet2.microsoft.com/WindowsVista/en/library/ 

9428d113-ade8-4dbe-ac05-6ef10a6dd7a51033.mspx?mfr=true. 

Microsoft Corporation (2007): »Routing and Remote Access« unter 

http://technet.microsoft.com/en-us/network/bb545655.aspx. 

Microsoft Corporation (2007): »Routing and Remote Access Blog« unter 

http://blogs.technet.com/rrasblog/default.aspx. 

Microsoft Corporation (2007): »Deploying SSTP Remote Access Step-by-Step Guide« 

unter http://download.microsoft.com/download/b/1/0/b106fc39-936c-4857-a6ea-3fb9d1 

f37063/deploying%20sstp%20remote%20access%20step%20by%20step%20guide.doc. 

Microsoft Corporation (2007): »Server and Domain Isolation« unter 


Microsoft Corporation (2007): »Network Access Protection« unter 


Microsoft Corporation (2007): »NAP Blog« unter http://blogs.technet.com/nap/. 

Riley, Steve (2007): »Exploring the Windows Firewall« unter http://www.microsoft.com/ 

technet/technetmag/issues/2007/06/VistaFirewall/default.aspx.



Von Roger A. Grimes 


Einführung in Dienste . ................................................ 151 

Angriffe auf Dienste .................................................. 161 

Diensthärtung ...................................................... 165 

Schützen von Diensten ............................................... 179 



Eine neue Enterprise-Standardinstallation von Windows Server 2008 enthält mehr als 100 

Dienste, von denen über 40 aktiv sind und während des Windows-Startprozesses gestartet 

werden. Wenn Sie sämtliche Serverrollen installieren (auch wenn das in der Praxis kaum 

vorkommen dürfte), kommen etwa weitere 40 aktive Dienste hinzu, die automatisch gestartet 

werden. Falls Sie weitere Windows-Komponenten hinzufügen (zum Beispiel WINS- 

Server, Subsystem für UNIX-basierte Anwendungen, Telnet-Server und so weiter), können 

Sie sich einige Dutzend weitere Dienste einhandeln. Sogar Server Core, die Installationsoption 

ohne grafische Benutzeroberfläche, ist nicht so minimalistisch, wie Sie vielleicht 

denken. Sie ist mit 70 Diensten ein wenig genügsamer, gut die Hälfte davon werden automatisch 

gestartet. Unter dem Aspekt der Sicherheit bietet jeder Dienst einen zusätzlichen 

Angriffsweg. Dies ist eine Tatsache, die böswillige Hacker nur zu gut verstehen. 

Um die Gefahr zu verringern, dass Ihre Systeme kompromittiert werden, müssen Sie unbedingt 

wissen, wie Dienste arbeiten und wie sie richtig geschützt werden. Dieses Kapitel 

beschreibt die Windows-Dienste im Allgemeinen, stellt Bedrohungen vor und erklärt, wie 

Sie die Gefahr für Dienste so gering wie möglich halten können. Nachdem Sie dieses Kapitel 

gelesen haben, kennen Sie den Unterschied zwischen einer Anwendung und einem 

Dienst sowie die häufigsten Bedrohungen für Dienste und sind in der Lage, die verschiedenen 

Windows-Sicherheitsmechanismen zu nutzen und zu konfigurieren, die das Risiko der 

Kompromittierung von Diensten verringern sollen. 

Einführung in Dienste 

Dienste stellen Mechanismen für die Client- und Serverkommunikation für lokale und Remotebenutzer, 

Anwendungen und Windows selbst zur Verfügung. Diese Funktionalität ist in 

Diensten gekapselt. Dies sind Prozesse, die sogar dann laufen, wenn sich niemand angemeldet 

hat. Manche Dienste sind erforderlich, damit Windows funktioniert. Andere werden nur 

gebraucht, wenn bestimmte Aufgaben oder Rollen erledigt werden sollen. 

151

152 Kapitel 6: Dienste 

Was ist ein Dienst? 

Um Dienste verstehen zu können, müssen Sie wissen, wodurch sich ein Dienst von einer 

normalen Anwendung unterscheidet. Die meisten von Microsoft installierten Windows- 

Dienste werden als DLL- oder EXE-Dateien aus dem Ordner \System32 geladen, sie können 

aber auch an jeder anderen gültigen Stelle auf einem lokalen Laufwerk liegen. Dienste werden 

in Sitzung 0 mit Systemintegritätsebene und bei aktivierter Datenausführungsverhinderung 

(Data Execution Prevention, DEP) gestartet; sie enthalten die Sicherheits-ID (Security 

Identifier, SID) DIENST und die Datei- und Registrierungsvirtualisierung ist deaktiviert. Im 

Unterschied zu normalen Anwendungen können Dienste dienstspezifische SIDs zugeordnet 

haben, die eine flexible Zugriffssteuerung ermöglichen. 

Hinweis Kapitel 1, »Subjekte, Benutzer und andere Akteure«, enthält weitere Informationen zu SIDs. 

Kapitel 4, »Grundlagen der Benutzerkontensteuerung«, enthält weitere Informationen zur Virtualisierung. 

Anmeldekonten für Dienste 

Alle Dienste bekommen ein Dienstanmeldekonto zugewiesen, das festlegt, in welchem primären 

Sicherheitskontext der Dienst läuft. Die integrierten Dienstanmeldekonten sind SYS- 

TEM, LOKALER DIENST und NETZWERKDIENST. Administratoren und Entwickler können 

aber nach Belieben neue Konten anlegen und verwenden. Mithilfe der Rechte, Berechtigungen 

und Privilegien, die dem Dienstanmeldekonto zugewiesen sind, wird in erster Linie 

(wenn auch nicht ausschließlich) gesteuert, welchen Zugriff ein bestimmter Dienst auf lokale 

und Netzwerkressourcen erhält. Tabelle 6.1 listet die integrierten Dienstanmeldekonten auf 

und beschreibt, welchen Zugriff sie auf lokale und Remoteressourcen haben. 

Tabelle 6.1 Integrierte Dienstanmeldekonten 

Name des Anmeldekontos Lokale Ressourcen Netzwerkressourcen 

SYSTEM 

(Oft auch als Lokales System 

oder LokalesSystem bezeichnet. 

Es kann NT-AUTORITÄT\ vorangestellt 

sein.) 

LOKALER DIENST 

(Es kann NT-AUTORITÄT\ vorangestellt 

sein.) 

NETZWERKDIENST 

(Es kann NT-AUTORITÄT\ vorangestellt 

sein.) 

Das Konto mit den höchsten 

Privilegien auf einem Computer. 

Es hat vollständigen Zugriff auf 

alle Ressourcen. 

Hat den Zugriff, der normalerweise 

authentifizierten Benutzern zugewiesen 

ist, mit etwas höheren 

Privilegien. 

Ähnlich wie LOKALER DIENST. 

Hat den Zugriff, der normalerweise 

authentifizierten Benutzern 

zugewiesen ist, mit etwas höheren 

Privilegien. 

Stellt die Verbindung zu Netzwerkressourcen 

mit dem Sicherheitskontext des Computers 

her, auf dem das Konto liegt. 

Stellt die Verbindung zu Netzwerkressourcen 

mit einem Null-Sitzungskonto (anonyme 

Anmeldeinformationen) her. 

Ähnlich wie das Konto SYSTEM. Es stellt 

die Verbindung als der Computer her. Das 

Remotetoken enthält auch die SIDs für 

Jeder und Authentifizierte Benutzer. 

Dienste können die integrierten Dienstanmeldekonten verwenden, aber auch irgendein gültiges 

lokales oder Domänenbenutzerkonto. In älteren Windows-Versionen liefen alle von 

Microsoft bereitgestellten Dienste unter dem SYSTEM-Kontext. Leider widersprach dies 

dem Prinzip der geringstmöglichen Rechte. Mit Windows XP hat Microsoft die restriktiveren 

Konten LOKALER DIENST und NETZWERKDIENST eingeführt und damit begonnen,

Einführung in Dienste 153 

nach und nach bei der Entwicklung neuer Dienste das Prinzip der geringstmöglichen Rechte 

einzuhalten. In Windows Server 2008 laufen 58 Prozent der installierten Dienste unter dem 

SYSTEM-Kontext, gefolgt von LOKALER DIENST mit 26 Prozent und NETZWERKDIENST 

mit 16 Prozent. 

Diese Dienstanmeldekonten dienen dazu, die Dienste bei lokalen und Remoteressourcen zu 

authentifizieren. Wenn Dienste die Kerberos-Authentifizierung (statt NTLM oder LM) nutzen 

wollen, muss dem Dienstanmeldekonto außerdem mindestens ein Dienstprinzipalname 

(Service Principal Name, SPN) zugewiesen sein. Der SPN dient dazu, einen Dienst eindeutig 

zu identifizieren, sodass eine gegenseitige Authentifizierung zwischen einer Clientanwendung 

und dem Dienst möglich ist. 

Hinweis Kapitel 2, »Authentifizierung und Authentifizierungsprotokolle«, enthält weitere Informationen 

zu NTLM und LM. 

Dienststeuerungs-Manager 

Alle Dienstanmeldekonten müssen das Recht Anmelden als Dienst besitzen, das dem Dienst 

die Fähigkeit gibt, mit dem Dienststeuerungs-Manager (Service Control Manager, SCM) zu 

kommunizieren und von ihm gesteuert zu werden. Das wiederum erlaubt dem Dienst, sich 

anzumelden und auf Ressourcen zuzugreifen, ohne dass sich erst ein externer Sicherheitsprinzipal 

anmelden muss. 

Der SCM wird während des Windows-Systemstarts als RPC-Server (Remote Procedure 

Call, Remoteprozeduraufruf) gestartet, damit Dienstverwaltungs- und -steuerungsprogramme 

(Sc.exe, Services.msc, WMIC und so weiter) mit lokalen und Remotediensten kommunizieren 

können. Der SCM hat die Aufgabe, während des Windows-Startprozesses Dienste automatisch 

zu starten, die einen entsprechenden Startmodus haben. Der SCM liest die Dienstwerte 

aus der Registrierung, meldet das Dienstkonto mit den ausgelesenen Anmeldeinformationen 

auf dem lokalen Computer an, lädt das Benutzerprofil des Dienstkontos, startet den 

Dienst in angehaltenem Zustand, verknüpft den Dienst mit dem Anmeldungstoken des 

Dienstkontos und schließt den Dienststart ab. Der SCM erkennt alle registrierten Dienstabhängigkeiten 

und startet sie bei Bedarf zuerst. 

Der SCM hat viele Aufgaben im Zusammenhang mit Diensten, darunter: 

Verwalten der Datenbank mit installierten Diensten 

Starten von Diensten und Treiberdiensten entweder beim Systemstart oder auf Anforderung 

Auflisten der installierten Dienste und Treiberdienste 

Verwalten von Statusinformationen zu laufenden Diensten und Treiberdiensten 

Übertragen von Steuerungsanforderungen an laufende Dienste 

Sperren und Entsperren der Dienstdatenbank 

Wenn der SCM einen Dienst starten muss, erstellt er eine Anmeldesitzung für das Anmeldekonto 

des Dienstes, lädt das Benutzerprofil des zugehörigen Anmeldekontos und startet den 

Dienst. Falls der SCM dabei erfolgreich war, verknüpft er das entstandene Prozesstoken (das 

die SIDs und Privilegien des Dienstes definiert) mit dem Prozess des Dienstes. 

Konfigurationsinformationen über jeden Dienst sind in der Windows-Registrierung unter 

HKLM\System\CurrentControlSet\Services gespeichert. Abbildung 6.1 zeigt an einem Beispiel, 

wie ein Registrierungseintrag für einen Dienst aussieht.


Abbildung 6.1 Registrierungseintrag für einen Dienst 

Sowohl Dienste als auch Treiber liegen unter dem genannten Registrierungsschlüssel Services. 

Dienste erkennen Sie daran, dass der Eintrag Type den Wert 0x10 (ein Dienst, der in 

seinem eigenen Prozess als eigenständiges Programm läuft) oder 0x20 (ein Dienst, der in 

einem gemeinsam genutzten Prozess läuft) hat. Ein Treiber hat in Type den Wert 0x1 (Kerneltreiber) 

oder 0x2 (Dateisystemtreiber) eingetragen. Außerdem ist der Wert Start bei einem 

Dienst immer 2 (automatisch), 3 (manuell) oder 4 (deaktiviert), bei Treibern dagegen 0 (Systemstart) 

oder 1 (System). 

Alle Dienstanmeldekonten besitzen ein zugehöriges Kennwort. Integrierte Dienstkonten 

bekommen von Windows lange und komplexe Kennwörter zugewiesen. Administratoren 

können diese Kennwörter nicht ohne Weiteres auflisten. Sie brauchen sie auch niemals zu 

ändern. Benutzerdefinierte Kennwörter für Dienstanmeldekonten müssen von Administratoren 

festgelegt werden, und sie sind in einem geschützten Bereich der lokalen Registrierung 

gespeichert. Alle Kennwörter von Dienstkonten können von einem lokalen Administrator 

mithilfe einer speziellen Software aufgelistet werden. 

Dienstports 

Die meisten Dienste haben ein Handle für einen Endpunkt, über den Informationen gesendet 

oder empfangen werden. Normalerweise wird dieses Handle anhand der TCP- oder UDP- 

Portnummer (zum Beispiel Terminaldienste unter der TCP-Portnummer 3389) und der 

IP-Adresse angegeben, aber Dienste können auch RPC, Named Pipes oder andere gültige 

Listenerprotokolle (zum Beispiel Net.msmq) verwenden. Den TCP/IP-Port eines Dienstes 

können Sie mit dem Process Explorer von Windows Sysinternals auflisten (Abbildung 6.2). 

Stattdessen können Sie auch an der Befehlszeile netstat -anob eingeben. 

Wenn der Dienst eine TCP-Portnummer verwendet, überwachen die meisten Dienste (ab 

Windows Vista) in der Standardeinstellung automatisch sowohl TCP Version 4 als auch TCP 

Version 6. Falls die IP-Adresse des Ports als 0.0.0.0 aufgeführt ist, antwortet der Dienst auf 

Verbindungen mit beliebigen Schnittstellenports, auch auf dem lokalen Host. Falls die IP- 

Adresse des Ports als 127.0.0.1 aufgeführt ist, beantwortet der Dienst nur Verbindungsversuche 

vom lokalen Host. Falls der Dienst eine bestimmte IP-Adresse überwacht (zum Beispiel 

192.168.1.10), beantwortet der Dienst nur Verbindungsversuche zu genau dieser IP-Adresse.

Abbildung 6.2 Die Registerkarte TCP/IP im Process Explorer verrät, 

dass die Listenerportnummer 3389 ist 


Hinweis Der nächste Abschnitt, »Konfigurieren von Diensten«, beschreibt das Thema sehr grundlegend. 

Wenn Sie bereits prinzipiell mit der Konfiguration von Windows-Diensten vertraut sind, können Sie es 

überspringen. 

Konfigurieren von Diensten 

Dienste können, müssen aber keine grafische Benutzeroberfläche haben, die Benutzer während 

der Laufzeit bedienen können. Aber alle Dienste enthalten Informationen, die vom 

Programmcode aus oder mithilfe der Konsole Dienste (Services.msc) konfiguriert werden 

können. Diese Informationen werden in der Registrierung gespeichert, wo der SCM sie 

lesen kann. Abbildung 6.3 zeigt die Konsole Dienste. 

Sie können doppelt auf einen der aufgeführten Dienste klicken, um die zugehörigen Details 

anzuzeigen (Abbildung 6.4). Standardbenutzer können sich Dienstinformationen ansehen, 

aber nur Mitglieder der Gruppen Konten-Operatoren, Domänen-Admins oder Organisations- 

Admins können die Einstellungen ändern. 

Registerkarte Allgemein 

Die Registerkarte Allgemein enthält mehrere Felder mit Informationen. Dienstname ist 

der interne Name, mit dem Windows auf den Dienst verweist. Er wird auch als Kurzname 

bezeichnet. Der Dienstname wird oft für Dienstverwaltungstools benötigt, um auf einen 

bestimmten Dienst zuzugreifen. Das Feld Anzeigename enthält die Bezeichnung, die in der 

Konsole Dienste in der Liste der Dienste angezeigt wird. Das Feld Beschreibung enthält eine 

kurze, vom Entwickler erstellte Meldung, die beschreibt, was der Dienst tut.


Abbildung 6.3 Die Konsole Dienste zeigt Dienstinformationen an 

Abbildung 6.4 Die Registerkarte Allgemein im Eigenschaftendialogfeld eines Dienstes 

Das Feld Pfad zur EXE-Datei versucht, den vollständigen Pfad zur ausführbaren Datei des 

Dienstes anzuzeigen, allerdings kann es vorkommen, dass nicht genug Platz für den gesamten 

Pfad ist. (Anders ausgedrückt: Der Text wird nicht umbrochen). Das Feld Pfad zur


EXE-Datei kann bei der Problembehandlung sehr nützlich sein, wenn potenzielle Malware 

ähnliche oder identische Namen wie Microsoft-Dienstnamen verwendet. Zum Beispiel habe 

ich einmal ein Trojanisches Pferd mit dem Namen Svchost.exe gefunden, diese Datei lag 

allerdings im Ordner \Windows\Fonts statt in \Windows\System32, wo das Original immer 

gespeichert ist. 

Starttyp ist ein wichtiges Feld. Es kann einen der folgenden vier Werte haben: 

Automatisch (Verzögerter Start) 

Automatisch 

Manuell 

Deaktiviert 

Automatisch (Verzögerter Start) weist den SCM an, einen Dienst nach allen anderen Diensten 

(und deren Abhängigkeiten) zu starten, die den Starttyp Automatisch haben. Diese Option 

wurde erstmals in Windows Vista eingeführt. Dienste mit dem Startyp Automatisch werden 

während des Windows-Startprozesses gestartet, ihre Reihenfolge wird durch verschiedene 

Registrierungsschlüssel festgelegt. Falls irgendein Dienst, der den Starttyp Automatisch hat, 

von anderen Diensten abhängt, werden diese Dienste zuerst gestartet (sofern sie nicht als 

Deaktiviert markiert sind). Dienste mit dem Starttyp Manuell werden nur während des Windows-Startprozesses 

automatisch gestartet, wenn sie von anderen Diensten oder Anwendungen 

benötigt werden. Viele Dienste mit dem Starttyp Manuell werden erst gestartet, wenn sie 

benötigt werden. Sie werden wieder beendet, sobald ihre Funktionalität nicht mehr gebraucht 

wird. Ein Dienst, der als Deaktiviert markiert ist, wird vom SCM nicht gestartet. Er kann 

erst von Hand gestartet werden, wenn der Dienst mit einem anderen Starttyp versehen wird. 

Das Feld Dienststatus zeigt den aktuellen Betriebszustand des Dienstes an. Mögliche Werte 

sind Gestartet, Beendet oder Angehalten. Die Bezeichnung Angehalten bedeutet nicht, dass 

der Dienst gar nicht mehr läuft. Der Dienst bleibt im Speicher aktiv und bedient unter Umständen 

sogar noch aktive Anforderungen, nimmt aber keine neuen Anforderungen mehr 

entgegen. Dienste müssen speziell programmiert werden, damit sie mit dem SCM zusammenarbeiten 

und die jeweilige Aktion ausführen, wenn sie gefragt werden, ob das Anhalten 

möglich ist. Aus Gründen der Sicherheit und Zuverlässigkeit können viele Windows-Standarddienste 

(über 80 Prozent) nicht angehalten werden, und fast 50 Prozent haben Berechtigungen, 

die verhindern, dass sie angehalten werden. Im Feld Startparameter können zusätzliche 

Laufzeitargumente, Direktiven oder Befehle definiert werden, die während des Starts 

an den Dienst übergeben werden. 

Registerkarte Anmelden 

Die Registerkarte Anmelden (Abbildung 6.5) legt fest, welches Dienstkonto mit dem Dienst 

verknüpft wird und welche Desktopinteraktionen und Hardwareprofile verwendet werden. 

Im Feld Anmelden als können Sie den Dienst so konfigurieren, dass er im SYSTEM-Kontext 

(Option Lokales Systemkonto) läuft, oder einen anderen Dienstkontonamen eingeben, zum 

Beispiel LOKALER DIENST, NETZWERKDIENST oder einen anderen gültigen Dienstnamen. 

Das Dienstanmeldekonto muss in der lokalen SAM-Datenbank oder in Active Directory vorhanden 

sein. Falls das Dienstkonto noch nicht das Recht Anmelden als Dienst zugewiesen 

bekommen hat, bekommt es dieses Recht, sobald Sie die Auswahl bei der Konfiguration 

bestätigen. Das gültige Kennwort des Dienstkontos müssen Sie in den beiden entsprechenden 

Feldern eingeben. Allerdings sollte kein Kennwort eingetragen werden, wenn die Konten 

SYSTEM, LOKALER DIENST oder NETZWERKDIENST verwendet werden. Die hier


angegebenen Kennwörter werden in der Registrierung gespeichert, damit der SCM sie 

künftig auslesen kann. 

Abbildung 6.5 Die Registerkarte Anmelden für Dienste 

Hinweis Hier wird nicht geprüft, ob das auf der Registerkarte Anmelden eingegebene Kennwort auch 

richtig ist. Solange Sie zweimal dasselbe Kennwort eingeben, nimmt der SCM es an und speichert es. Der 

Dienststart schlägt aber fehl, falls das Kennwort falsch ist. 

Sie können auch das Kontrollkästchen Datenaustausch zwischen Dienst und Desktop zulassen 

aktivieren. Manche Dienste benötigen diese Einstellung, um dem Benutzer die Interaktion 

zu ermöglichen. Desktopinteraktion wird von den Diensten Druckwarteschlange und 

Erkennung interaktiver Dienste benötigt. In den meisten Fällen sollten Sie das Kontrollkästchen 

nicht aktivieren. Wenn es aktiviert ist, könnte es eine Sicherheitslücke für interaktive 

Endbenutzer, den Desktop, den Dienst oder den Computer reißen. Falls einem Dienst die 

Interaktion mit dem Desktop des Benutzers erlaubt wird, ist es zum Beispiel eher möglich, 

dass der Dienst vom Endbenutzer oder von Malware, die im Sicherheitskontext des Endbenutzers 

läuft, manipuliert wird. Der kompromittierte Dienst kann dann leicht andere Benutzer 

und Desktops auf demselben Computer infizieren. Dass Diensten die Interaktion mit 

Benutzerdesktops verboten wird, ist ein neues Feature. Viele ältere Dienste bieten dafür 

noch keine vollständige Kompatibilität. 

Sie können einen Dienst auch in beliebigen vorhandenen Hardwareprofilen aktivieren oder 

deaktivieren. Diese Möglichkeit wird vor allem für Notebooks verwendet, die entweder mit 

der Dockingstation verbunden sind oder nicht. Dienste, die in einem bestimmten Hardwareprofil 

nicht gebraucht werden, sollten deaktiviert werden, um die Angriffsfläche gegenüber 

böswilligen Hackern zu verkleinern. (Das kann außerdem die Leistung verbessern und 

Strom sparen, was bestimmt der Hauptgrund war, dass Microsoft diese Möglichkeit eingeführt 

hat.)


Registerkarte Wiederherstellung 

Die Registerkarte Wiederherstellung (Abbildung 6.6) definiert, welche Aktionen ausgeführt 

werden, falls ein bestimmter Dienst ausfällt (oder hängt). Es stehen folgende Optionen zur 

Auswahl: 

Keine Aktion durchführen 

Dienst neu starten 

Ein Programm ausführen 

Computer neu starten 

Abbildung 6.6 Registerkarte Wiederherstellung für Dienste 

Sie können getrennte Aktionen für den ersten, den zweiten und weitere Fehler festlegen. Sie 

können festlegen, nach wie vielen Tagen der Fehlerzähler zurückgesetzt wird. Falls zum 

Beispiel für den Fehlerzähler 1 Tag (ein üblicher Wert) eingetragen ist, wird der Zähler nach 

24 Stunden auf 0 zurückgesetzt, und beim nächsten auftretenden Fehler bestimmt dann wieder 

der Eintrag unter Erster Fehler, welche Aktion ausgeführt wird. Falls im Fehlerzähler 

der Wert 0 eingetragen ist, wird der Zähler erst dann zurückgesetzt, wenn der Computer neu 

gestartet wird. Falls als Wiederherstellungsaktion die Option Dienst neu starten ausgewählt 

ist, können Sie den SCM anweisen, wie viele Minuten er warten soll, bevor der den Dienst 

wieder startet. Sie können das Kontrollkästchen Aktionen bei Unterbrechungen mit Fehlern 

aktivieren aktivieren, wenn Wiederherstellungsaktionen auch bei Fehlern ausgeführt werden, 

die lediglich Unterbrechungen, aber keinen vollständigen Ausfall bewirken. 

Falls die Wiederherstellungsoption Ein Programm ausführen ausgewählt ist, wird beim Auftreten 

eines Fehlers ein Programm oder ein Skript ausgeführt. Abbildung 6.6 zeigt ein Beispiel, 

in dem das Programm Msg.exe benutzt wird, um die Nachricht »WSST-Dienst ausgefallen« 

an eine bestimmte Liste von Benutzern zu senden. Mit diesem Feature kann ein 

Helpdeskticket geöffnet werden, um den ausgefallenen Dienst zu untersuchen, oder es kann 

ein anderes Debugprogramm gestartet werden.


Dieses Feld wird auch oft benutzt, um mit dem Dienstprogramm Network Monitor Netzwerkpakete 

aufzuzeichnen, die zu und vom Dienst fließen, nachdem der Dienst neu gestartet 

wurde. Das kann bei der Problembehandlung helfen. Die aufgezeichneten Informationen 

können nützlich sein, um böswillige Verbindungen zu erkennen. Geben Sie die ausführbare 

Datei mithilfe von Laufwerkbuchstabe und vollständigem Pfad an, UNC-Pfade (zum Beispiel 

\\Server\Freigabename) funktionieren hier nicht. 

Hinweis Vor Windows XP Professional Service Pack 2 konnten Administratoren mit net send Nachrichten 

über das Netzwerk schicken. Diese Möglichkeit nutzte allerdings den unsicheren Nachrichtendienst. 

Windows Vista- und Windows Server 2008-Administratoren können stattdessen das Programm Msg.exe 

verwenden. 

Microsoft hat damit gerechnet, dass es sinnvoll ist, eine Nachricht zu senden, um Benutzer 

zu warnen, dass der Computer neu gestartet werden muss, weil ein Dienst neu gestartet wurde 

oder ausgefallen ist. Im Dialogfeld Computerneustartoptionen können Sie in solchen Fällen 

das Kontrollkästchen Diese Nachricht vor dem Neustart an Computer im Netzwerk senden 

aktivieren und eine Nachricht eingeben (Abbildung 6.7). 

Abbildung 6.7 Definieren einer Nachricht, die beim Neustart des Computers versendet wird 

Die Wiederherstellungsoptionen, die einen ausgefallenen Dienst automatisch neu starten, 

können böswilligen Angreifern allerdings zusätzliche Möglichkeiten verschaffen, einen 

Computer zu kompromittieren. Zum Beispiel legt ASLR (Address Space Layout Randomization) 

jedes Mal, wenn der Computer neu startet, Windows-Kern-APIs an 256 unterschiedliche, 

zufällig gewählte Speicheradressen. Viele Pufferüberlaufangriffe setzen voraus, dass 

der Angreifer die benötigte API-Adresse genau kennt, andernfalls kann der Pufferüberlaufangriff 

nicht funktionieren. Falls ein Dienst nach einem Fehler automatisch neu gestartet 

wird, sind die Chancen des Angreifers größer, bei nachfolgenden Versuchen die richtige 

Speicheradresse zu finden. 

Registerkarte Abhängigkeiten 

Abbildung 6.8 zeigt die Registerkarte Abhängigkeiten. Sie zeigt alle Dienste (und deren 

Abhängigkeiten) an, die der Dienst zum Laufen benötigt, und umgekehrt alle Dienste, die 

von diesem Dienst abhängen.

Abbildung 6.8 Die Registerkarte Abhängigkeiten im Eigenschaftendialogfeld eines Dienstes 

Angriffe auf Dienste 161 

Es gibt viele andere Einstellungen für Dienste, die Sie in der Konsole Dienste nicht sehen 

oder konfigurieren können (mehr dazu weiter unten in diesem Kapitel). Dazu gehören Berechtigungen, 

Privilegien und die Angabe, ob der Dienst beendet oder angehalten werden 

kann. Für die Konfiguration von Diensten stehen neben der Konsole Dienste noch einige 

andere Möglichkeiten zur Verfügung, zum Beispiel Gruppenrichtlinien, Sc.exe, WMI (Windows 

Management Instrumentation) und Steuerung durch Programmcode. 

Jeder unerwartete Dienstfehler sollte untersucht werden, um herauszufinden, ob Betriebs- 

oder Sicherheitsprobleme bestehen. Dienstprobleme werden zwar oft durch Faktoren ausgelöst, 

die nichts mit einem Angriff zu tun haben, aber bei vielen Malwarevorfällen (MS- 

Blaster-Worm, DDoS und so weiter) hat sich gezeigt, dass sie vorher unerklärliche Dienstprobleme 

auslösten. 

Windows Server 2008-Dienste für unterschiedliche Rollen 

Wie in der Einführung dieses Kapitels erwähnt, stellt Windows Server 2008 über 100 Dienste 

bereit, die je nachdem, welche Rollen und Features aktiviert sind, auf dem Computer installiert 

werden. Das Dokument »Windows Server 2008 Services by Role« auf der Begleit-CD 

enthält eine Tabelle, die den Status der verschiedenen Dienste unter jeder Serverrolle auflistet 

(nur in englischer Sprache verfügbar). Administratoren können diese Tabelle zurate ziehen, 

wenn sie versuchen, die Angriffsfläche durch Ausschalten nicht benötigter Dienste zu 

verkleinern. 

Angriffe auf Dienste 

Weil Windows so viele Standarddienste mitbringt, die bei jedem Windows-Systemstart automatisch 

gestartet werden, wissen böswillige Hacker, dass diese Dienste in vielen Fällen als 

Ziele in Frage kommen. Dieser Abschnitt beschreibt die bisher erfolgreichsten Angriffe auf 

Windows-Dienste und erklärt, auf welche Weise ein Dienst üblicherweise angegriffen wird.


Blaster-Wurm 

Der wahrscheinlich bekannteste Angriff auf einen Windows-Dienst war der sogenannte 

Blaster-Wurm (http://support.microsoft.com/kb/826955) im Jahr 2003. Blaster griff eine 

bekannte Pufferüberlaufverwundbarkeit im Windows-DCOM-RPC-Dienst von Windows 

2000- und Windows XP-Computern an. Die Sicherheitslücke war zwar bekannt und es stand 

ein Microsoft-Sicherheitsupdate zur Verfügung, aber ein großer Teil der Windows-Computer 

wurde nicht entsprechend aktualisiert. Diese mangelhafte Wartung wurde durch die fälschliche 

Annahme ergänzt, dass »richtig konfigurierte« Grenzfirewalls verhindern könnten, 

dass der Blaster-Wurm in Unternehmensnetzwerke eindringt. 

Der Blaster-Wurm stellte eine Verbindung zum DCOM-RPC-Dienst auf TCP-Port 135 her 

und leitete einen Pufferüberlaufangriff ein. Wenn der Dienst den Überlauf verursachte, bekam 

der Blaster-Wurm SYSTEM-Zugriff auf das kompromittierte System. Er startete daraufhin 

eine neue Shell auf TCP-Port 4444 und lud über TFTP auf UDP-Port 67 den Rest des 

Wurms herunter. Das Trojanische Pferd baute sich selbst erneut in einer Datei namens 

Msblaster.exe zusammen, die es in einen der Autostartpfade der Registrierung eintrug. Der 

Wurm startete schließlich den Computer neu und begann, über den befallenen Host andere 

Computer zu infizieren. 

Als Blaster zum ersten Mal gemeldet wurde, reagierten viele Organisationen recht träge, 

weil allgemein angenommen wurde, dass eine richtig konfigurierte Grenzfirewall (die keine 

eingehenden Zugriffe auf TCP-Port 135 erlaubte) Blaster-Infektionen auf lokalen Computern 

verhindern würde. Aber dann wurden infizierte Computer über VPNs an das Unternehmensnetzwerk 

angeschlossen, und extern infizierte Notebooks wurden in das »geschützte« 

Unternehmensnetzwerk eingebunden, sodass Blaster sich auf allen Unternehmenscomputern 

ausbreiten konnte, die keine Sicherheitsupdates eingespielt hatten. Ein einziger infizierter 

Computer verbreitete den Wurm schnell auf alle verwundbaren Computer im Netzwerk. 

Blaster schaffte es, Hunderttausende verwundbarer Computer innerhalb weniger Stunden zu 

befallen. 

Die Reparaturmaßnahmen wurden dadurch erschwert, dass einige Tage später ein verwandter 

Wurm namens Nachi (http://support.microsoft.com/kb/826234) entwickelt wurde. Dies 

war ein fehlgeleiteter Versuch, verwundbare PCs zu aktualisieren. Dieser Wurm infizierte 

verwundbare Computer auf dieselbe Weise wie Blaster, versuchte dann aber, das Sicherheitsupdate 

zu installieren, das die Blaster-Infektion verhinderte. Dummerweise wurde Nachi 

ein Paradebeispiel, warum niemals automatisierte Malware eingesetzt werden sollte, um 

Computerprobleme ohne die ausdrückliche Zustimmung des Computerbesitzers zu beseitigen. 

Nachi wies praktisch jeden verwundbaren Computer in einem Netzwerk an, ein Sicherheitsupdate 

herunterzuladen. Das machten dann alle Computer gleichzeitig, was die Netzwerkressourcen 

überlastete. Und beim Installieren des Updates machte er einen Fehler, sodass 

das System, das er zu schützen versuchte, in einem verwundbaren Zustand zurückblieb. 

Ironischerweise war Nachi letztlich für mehr Probleme und Ausfallzeit verantwortlich als 

der Blaster-Wurm, vor dem es schützen sollte. 

Microsoft nahm in der Zeit nach Blaster deutliche Änderungen an seinen Verfahren vor. Es 

wurde beschlossen, Sicherheitsupdates entschlossener auf die Computer zu verbreiten und 

diesen Vorgang zu automatisieren. Windows-Benutzer nutzten zwar schon länger Windows 

Update und andere Updateclients (seit Windows 98), aber Microsoft entwickelte und verbreitete 

noch leistungsfähigere automatische Updatedienste, darunter verbesserte Versionen 

von Automatische Updates. Außerdem stellte es das kostenlose SUS/WSUS (Software

Angriffe auf Dienste 163 

Update Services/Windows Server Update Services) für Unternehmen zur Verfügung, die 

keine anderen Patchverwaltungslösungen einsetzten. Microsoft machte es auch einfacher, 

neue Betriebssysteme zu installieren und zu aktualisieren. Dabei wurde die Gefahr durch 

eine Infektion über das Netzwerk deutlich verringert, indem der Netzwerkzugriff so stark 

wie möglich beschränkt wurde, bis alle Updates installiert waren. 

Die wichtigste Lehre, die Computersicherheitsanalysten aus dem Blaster-Vorfall zogen, war, 

dass Grenzfirewalls nicht ausreichen, um Sicherheit zu gewährleisten. Die »knusprige Hülle 

mit dem weichen, saftigen Kern«, die Bill Cheswick und Hal Burch (http://www.cheswick. 

com/ches/papers/index.html) in ihrem berühmten Werk über Grenzfirewalls beschrieben, 

war endlich ins Rampenlicht gerückt. Windows XP Service Pack 2 (SP2) und neuere Windows-Clientcomputer 

aktivieren die hostbasierte Windows-Firewall in der Standardeinstellung. 

Diese Maßnahme soll verhindern, dass Millionen von Computern durch verschiedene 

böswillige Remoteangriffe kompromittiert werden. Microsoft begann außerdem, die Dienste 

besser zu schützen (mehr dazu im Abschnitt »Diensthärtung« weiter unten in diesem Kapitel). 

Verbreitete Angriffsmethoden 

Jeder installierte und aktive Dienst bietet einem böswilligen Hacker eine weitere Angriffsfläche. 

Dieser Abschnitt fasst die häufigsten Bedrohungen zusammen. 

Pufferüberläufe 

Wie bereits erwähnt, stellen praktisch alle Dienste einen eingehenden Kanal für Remotezugriff 

zur Verfügung. Pufferüberläufe (engl. buffer overflow) werden ausgelöst, wenn ein 

Dienst in einer Routine die Eingaben ungeprüft übernimmt und auf diese Weise längere 

Daten in den Speicher geschrieben werden, als Pufferplatz reserviert wurde. Verwundbare 

Dienste können kompromittiert werden, sodass der Dienst unterbrochen wird. Im schlimmsten 

Fall erhält der Angreifer Zugriff auf das befallene System, der unter dem Sicherheitskontext 

des Anmeldekontos läuft, das der Dienst verwendet. Falls dieses Konto SYSTEM oder 

ein Administrator ist, können Angreifer in ihrem Programm beliebige Aktionen auf dem 

befallenen System ausführen, zum Beispiel das System steuern, Daten herunterladen, mehr 

Malware installieren und Remotesteuerungsshells nachladen. 

Denial-of-Service 

Falls ein Dienst einen Programmierfehler enthält, kann er daran gehindert werden, seine 

normalen Aufgaben zu erfüllen. Diese Unterbrechung kann temporär oder »dauerhaft« sein 

(bis der Dienst oder der Computer neu gestartet wird). Manchmal ist dazu ein raffinierter 

Pufferüberlaufangriff nötig, manchmal genügt ein einziges Netzwerkpaket oder ein eingegebenes 

Zeichen. Zum Beispiel konnte eine alte Version des Microsoft SQL Server-Auflösungsdienstes 

durch ein einziges unerwartetes ASCII-Zeichen mit dem Wert 0x04 lahmgelegt 

werden (http://www.iss.net/security_center/reference/2106151.html). Ein einziges manipuliertes 

Netzwerkpaket bildete den Kern des XP-SP2-LAND-Angriffs (http://seclists.org/ 

bugtraq/2005/Mar/0112.html). Denial-of-Service-Angriffe verhindern den normalen Betrieb 

und können Unterbrechungen der Systemverarbeitung, außer Kontrolle geratenen Ressourcenverbrauch 

und unerwartete Computerneustarts auslösen.


Remoteanmeldung 

Viele Dienste (FTP, IIS, Remotedesktop, Terminaldienste und so weiter) stellen zusätzliche 

Anmeldungsmöglichkeiten zur Verfügung, über die ein Angreifer versuchen kann, Anmeldenamen 

und Kennwörter zu erraten, um unautorisierten Zugriff zu erhalten. In der Standardeinstellung 

wird das Konto Administrator nicht durch die üblichen Kontosperrungseinstellungen 

gesperrt. Angreifer können einen Anmeldungsdienst nutzen, um unzählige Male zu 

versuchen, das Administratorkennwort zu erraten, entweder von Hand oder mit einem automatisierten 

Tool. Sofern das Sicherheitsprotokoll nicht überwacht wird und die fehlgeschlagenen 

Anmeldeversuche nicht auffallen, kann ein Angreifer längere Zeit unbemerkt versuchen, 

das Kennwort des Kontos Administrator zu erraten. 

Ausspähen von Netzwerkverkehr 

Weil jeder Netzwerkdienst Daten sendet und empfängt, können Angreifer Kommunikationsdaten 

ausspähen, um unautorisiert an Informationen zu gelangen. Viele Dienste (SNMP, 

Telnet, FTP, POP und so weiter) verwenden Klartext für Anmeldenamen und Kennwörter. 

Sogar andere Dienste, die nicht mit Klartextdaten arbeiten, lassen sich ausnutzen. Zum Beispiel 

war RDP einige Zeit nach seiner Einführung gegen Man-in-the-Middle-Angriffe verwundbar. 

(Das wurde korrigiert.) Obwohl RDP Verschlüsselung nutzte, konnte eine neue 

Sitzung von einem Remoteangreifer abgefangen und umgeleitet werden. Weil RDP Endpunktclients 

erst ab Version 6.0 authentifizierte, war es für Man-in-the-Middle-Angreifer 

möglich (wenn auch sehr schwierig), sich selbst in den Kommunikationsstrom einzuklinken 

und verschlüsselte Anmeldekennwörter Zeichen für Zeichen zu extrahieren. Mehrere 

Hackingtools machten es ganz einfach, einen RDP-Man-in-the-Middle-Angriff auszuführen. 

Es reichte, wenn der Angreifer einige Schaltflächen anklickte, sobald er es erst einmal geschafft 

hatte, sich in den Kommunikationspfad einzuklinken. Das Ausspähen von Verkehr 

kann auch genutzt werden, um andere vertrauliche und persönliche Informationen abzufangen, 

es müssen nicht immer Anmeldeinformationen sein. 

Kompromittierte Kennwörter 

Vollständig kompromittierte Systeme können eine Ausweitung des Angriffs ins Netzwerk 

ermöglichen, wenn die Kennwörter der Dienstanmeldekonten ausgelesen werden. Falls ein 

Angreifer privilegierten Zugriff auf ein System hat (zum Beispiel Administrator oder 

SYSTEM), kann er mithilfe verschiedener Methoden und Tools Anmeldeinformationen 

von Dienstanmeldekonten im Klartext auslesen. Falls die so ausgespähten Anmeldeinformationen 

auf anderen Computern oder in der gesamten Windows-Domäne genutzt werden, 

können weitere Ressourcen kompromittiert werden. Dies wird in Kapitel 14, »Schützen des 

Netzwerks«, ausführlich beschrieben. 

Fehlkonfiguration 

Auch wenn ein Dienst einwandfrei programmiert ist, sodass er keinerlei Sicherheitslücken 

enthält, kann er kompromittiert werden. Es passiert häufig, dass Benutzer und Administratoren 

beim Konfigurieren der Dienste Fehler machen, die ihre Computer für unautorisierten 

Zugriff öffnen. Zum Beispiel könnte ein Benutzer den IIS- oder FTP-Dienst installieren, 

aber schwache Kennwörter verwenden. Oder ein Benutzer installiert ein Peer-to-Peer- 

Filesharing-Programm, um einige wenige Ordner mit anderen Benutzern auszutauschen, 

gibt aber stattdessen sein gesamtes Festplattenlaufwerk frei. Dieses Problem war oft dafür 

verantwortlich, dass vertrauliche oder sogar streng geheime Dokumente versehentlich im 

Internet veröffentlicht wurden.

Diensthärtung 165 

Unautorisierte Datenweitergabe 

Viele Dienste geben Systeminformationen bekannt, die von böswilligen Angreifern genutzt 

werden können. Manchmal beziehen sich diese Informationen auf den Dienst selbst und sind 

kritisch für den normalen Betrieb des Dienstes. In anderen Fällen werden unerwartete Daten 

veröffentlicht, wenn böswillige Verbindungsdaten an den Dienst gesendet werden. Zum Beispiel 

beschreibt das Microsoft-Sicherheitsbulletin MS05-007 (http://www.microsoft.com/ 

technet/security/Bulletin/MS05-007.mspx), wie die Kombination aus Computerbrowserdienst 

und Named Pipes missbraucht werden kann, um die Namen der angemeldeten Benutzerkonten 

aufzulisten. 

Social Engineering 

Dienste, die direkten Kontakt mit dem Endbenutzer herstellen, zum Beispiel Peer-to-Peer- 

Filesharing, bieten Malwareverbreitern etliche Möglichkeiten, die Benutzer durch Tricks 

dazu zu bringen, böswillige Programme auszuführen. Malware, die Peer-to-Peer-Systeme 

angreift, kann einen Chat mit einem Endbenutzer vortäuschen und dann eine Aufforderung 

an den Benutzer senden, eine neue Dateiübertragung zu genehmigen. Die Dateiübertragung 

wird als gewünschter Inhalt beschrieben, enthält in Wirklichkeit aber ein Trojanisches Pferd. 

Viele Antimalwareprogramme prüfen die Inhalte nicht, die über solche Dienste in den Computer 

gelangen. So kann es passieren, dass die Infektion sogar auf einem geschützten Computer 

unbemerkt bleibt. 

Dienste sind vielen unterschiedlichen Arten von Angriffen ausgesetzt, und jeder zusätzliche 

laufende Dienst auf einem Computer vergrößert die Gefahr einer Kompromittierung. 

Diensthärtung 

Nach dem Blaster-Wurm verstärkte Microsoft das Gefahrenmodell der Windows-Standarddienste, 

um ihre Sicherheitsbedrohungen zu untersuchen und zu minimieren. Im Rahmen 

dieser Anstrengungen wurden Standardberechtigungen und Privilegien geändert, und es 

wurden viele neue Schutzmaßnahmen für Dienste entwickelt. Daher weisen Dienste, die 

in Windows Vista und neueren Windows-Versionen laufen, gegenüber älteren Windows- 

Clientversionen zahlreiche Sicherheitsverbesserungen auf. Das sind unter anderem: 

Jeder Dienst hält sich an das Sicherheitsmodell der geringstmöglichen Privilegien. 

Dienste wurden so gestaltet, dass mehr Dienste im Anmeldungskontext LOKALER 

DIENST oder NETZWERKDIENST laufen. 

Jeder Dienst hat eine Sicherheits-ID, was eine dienstspezifische Zugriffssteuerung 

ermöglicht. 

Auf manche Dienste werden einschränkende SIDs angewendet. 

Dienste können anhand der Netzwerkdomäne eingeschränkt werden. 

Für alle Windows-Dienste ist Sitzung-0-Isolierung erforderlich. 

Alle Dienste haben die verbindliche Integritätsebene System. 

Die Datenausführungsverhinderung ist für alle Dienste aktiviert. 

Die SCM-Statusbenachrichtigung wurde verbessert. 

Diese Verbesserungen werden in den folgenden Abschnitten im Einzelnen beschrieben.


Geringstmögliche Privilegien 

Windows-Privilegien legen fest, was ein Sicherheitsprinzipal auf einem Computer tun kann. 

(Anders ausgedrückt: Privilegien sind nicht mit einem bestimmten geschützten Objekt verknüpft.) 

Windows Server 2008 hat 35 unterschiedliche Privilegien (SeImpersonatePrivilege, 

SeCreateGlobalPrivilege und so weiter), die einem Sicherheitsprinzipal zugewiesen werden 

können. Tabelle 6.2 listet die verfügbaren Privilegien auf. Sie können sich die Privilegien 

auch in den Gruppenrichtlinien unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale 

Richtlinien\Zuweisen von Benutzerrechten ansehen. In den Gruppenrichtlinien 

sind allerdings auch 9 Rechte aufgeführt, die eigentlich keine Privilegien sind. 

Tabelle 6.2 Privilegien für Dienstanmeldekonten, die standardmäßig aktiviert sind. 

A = standardmäßig aktiviert; D = standardmäßig deaktiviert, kann aber aktiviert werden; 

– = Privileg nicht zugewiesen und kann nicht aktiviert werden 

Privileg SYSTEM LOKALER 

DIENST 

NETZWERK- 

DIENST 

Adminis- 

tratoren 

Standard- 

benutzer 

AssignPrimaryToken D D D – – 

SeAudit A D D – – 

SeBackup D – – D – 

SeChangeNotify A A A A A 

SeCreateGlobal A A A A A 

SeCreatePagefile A – – D – 

SeCreatePermanent A – – – – 

SeCreateSymbolicLink A – – D – 

SeCreateToken – – – – – 

SeDebug A – – D – 

SeEnableDelegation – – – D – 

SeImpersonate A A A A A 

SeIncreaseBasePriority A – – D – 

IncreaseQuotaPrivilege D D D D – 

SeIncreaseWorkingSet A D D D D 

SeLoadDriver D – – D – 

SeLockMemory A – – – – 

SeMachineAccount – D D D D 

SeManageVolume D – – D – 

SeProfileSingleProcess A – – D – 

SeRelabel – – – – – 

SeRemoteShutdown – – – D – 

SeRestore D – – D – 

SeSecurity D – – D – 

SeShutdown D – – D – 

SeSyncAgent – – – – –

Privileg SYSTEM LOKALER 

DIENST 

NETZWERK- 

DIENST 

Adminis- 

tratoren 

SeSystemEnvironment D – – D – 

SeSystemProfile A – – D – 

SeSystemtime D D – D – 

SeTakeOwnership D – – D – 

SeTcb A – – – – 

SeTimeZone A D – D – 

SeTrustedCredManAccess – – – – – 

SeUndock D – – D – 

SeUnsolicitedInput – – – – – 

Standard- 

benutzer 


Direkt aus der Praxis: Rechte und Privilegien 

Rechte (engl. rights) geben (oder verweigern) einem Benutzer das Recht, sich auf bestimmte 

Weise anzumelden. Die meisten Leute bringen Rechte und Privilegien durcheinander, 

aber es sind ganz unterschiedliche Dinge. Zum Beispiel kann ein Benutzer das 

Recht haben, sich lokal anzumelden, aber ihm wird das Recht verweigert, sich als Stapelverarbeitungsauftrag 

anzumelden, und so weiter. Diese Rechte werden nur ausgewertet, 

während sich ein Sicherheitsprinzipal anmeldet. Falls die Anmeldung erfolgreich ist, wird 

anhand der Authentifiziererüberprüfung und der Benutzerrechtverifizierung das Zugriffstoken 

des Prinzipals erstellt. Die Benutzerrechte werden nicht in das Zugriffstoken eingetragen. 

Privilegien werden aber sehr wohl mit dem Zugriffstoken verknüpft. Sie werden 

im Verlauf einer Anmeldesitzung ständig ausgewertet. 

Ein Privileg erlaubt dem Prinzipal dagegen, nach der Anmeldung irgendeine Aktion 

durchzuführen. Zum Beispiel heißt ein Privileg SeChangeNotifyPrivilege, in den Gruppenrichtlinien 

wird es als Auslassen der durchsuchenden Überprüfung aufgelistet. Se- 

ChangeNotifyPrivilege ist das grundlegendste Privileg in Windows, und es wird jedem 

Prozess zugewiesen. Es erlaubt dem Prinzipal (oder genauer: einem Prozess, der im Namen 

des Prinzipals arbeitet), bestimmte Sicherheitsprüfungen zu umgehen. Nehmen wir 

zum Beispiel an, es gibt einen Ordner namens C:\ForYourEyesOnly008. In diesem Ordner 

befindet sich eine Datei namens For009.txt. Der Ordner definiert nur Berechtigungen 

für den Benutzer 008. Die Datei gewährt aber dem Benutzer 009 Leseberechtigungen. 

Dank SeChangeNotifyPrivilege kann Benutzer 009 direkt auf die Datei zugreifen, ohne 

dass der Zugriffsversuch abgewiesen wird, weil er den Ordner, in dem sich die Datei befindet, 

nicht lesen kann. Hätte 009 dieses Privileg nicht in seinem Zugriffstoken, bekäme 

er eine Fehlermeldung, weil das Verzeichnis ihm den Zugriff verweigert. 


Microsoft Security MVP


Das Konto SYSTEM besitzt die meisten standardmäßig aktivierten Privilegien, gefolgt von 

Mitgliedern der Gruppen Administratoren, LOKALER DIENST, NETZWERKDIENST und 

zuletzt Standardbenutzer ohne erhöhte Privilegien. Tabelle 6.2 zeigt, welche Standardprivilegien 

den integrierten Dienstanmeldekonten, Administratoren und Standardbenutzern zugewiesen 

sind, sofern sie nicht anderweitig eingeschränkt sind. 

Falls ein Privileg im Token eines Dienstprozesses vorhanden, aber deaktiviert ist, kann es 

gewissermaßen als aktiviert betrachtet werden (weil der Dienst ein deaktiviertes Privileg 

jederzeit aktivieren kann). Prozesse, die als Standardbenutzer laufen, besitzen nur fünf Standardprivilegien, 

genauso wie nicht angehobene Prozesse, die unter der Benutzerkontensteuerung 

als Administrator laufen. Ein angehobener Prozess hat deutlich mehr Privilegien in 

seinem Token. Dienstanmeldekonten unterliegen nicht der Benutzerkontensteuerung, dies 

gilt natürlich auch für das integrierte Konto Administrator. 

Hinweis Windows Vista und Windows Server 2008 unterscheiden sich etwas bezüglich der Privilegien, 

die Standardbenutzern zugewiesen werden. In Windows Vista bekommen Benutzer SeTimeZone, damit sie 

die Zeitzone des Systems ändern können, ohne ein Administrator zu sein. In Windows Server 2008 wird 

dieses Privileg durch SeCreateGlobal ersetzt, das für Freigabeobjekte gebraucht wird, etwa in den Terminaldiensten 

und anderen Freigabediensten. 

Microsoft hat alle Windows-Standarddienste in einer ausführlichen Gefahrenmodellierung 

analysiert. Falls ein Dienst keinen SYSTEM-Zugriff benötigt, bekommt er stattdessen 

LOKALER DIENST- oder NETZWERKDIENST-Zugriff. Indem das Dienstanmeldekonto 

mit den geringstmöglichen Privilegien verwendet wird, verringert Microsoft die Bedrohung 

durch eine böswillige Manipulation des Dienstes. Leider laufen zwar nur etwas über die 

Hälfte der bereitgestellten Dienste im SYSTEM-Kontext, aber dies sind absolut gesehen 

mehr Dienste als in Windows Server 2003. Das zeigt, wie stark der Funktionsumfang im 

neuen Betriebssystem zugenommen hat. 

Um zusätzlichen Schutz zu bieten, können Windows Vista und Windows Server 2008 während 

des Dienststarts alle nicht benötigten Standardprivilegien entfernen, die einem Dienstanmeldekonto 

zugewiesen wurden. Die Entwickler bei Microsoft haben alle Windows- 

Standarddienste untersucht und nicht erforderliche Privilegien entfernt. Entsprechend laufen 

viele Dienste (zum Beispiel DHCP-Client) mit weniger Privilegien, als dem Dienstanmeldekonto 

zugewiesen sind, unter dem sie ausgeführt werden. Microsoft stellt viele nützliche 

Tools zur Verfügung und ermuntert Entwickler, ihre eigenen Dienste zu analysieren und 

unbenötigte Privilegien zu entfernen. Jedes Privileg weniger kann möglicherweise vor 

einem Angriff schützen. Bei der Installation eines Dienstes kann der Dienst in einen Registrierungsschlüssel 

namens RequiredPrivileges (siehe das Beispiel in Abbildung 6.1) eintragen, 

welche Privilegien er unbedingt braucht, um seine Aufgabe zu erfüllen. 

Der SCM untersucht die Privilegien, die der Dienst anfordert, und entfernt aus dem Anmeldekonto 

des Dienstes alle Privilegien, die nicht als unbedingt erforderlich gekennzeichnet 

sind. Falls keine Privilegien als erforderlich aufgelistet sind, entfernt der SCM alle zusätzlichen 

Privilegien, die über den Standardsatz im Dienstanmeldekonto hinausgehen. Falls ein 

Dienst mehr Privilegien anfordert, als dem Dienstanmeldekonto bereits zugewiesen sind, 

wird der Dienst nicht gestartet. 

Falls ein Dienstprozess (zum Beispiel Svchost.exe) mehrere Dienste hostet, berechnet der 

SCM, welche Privilegien für alle Dienste mindestens benötigt werden, und entfernt dann die 

nicht erforderlichen Privilegien. Falls allerdings einer der Dienste, die sich denselben Dienst-


prozess teilen, alle Privilegien braucht, die dem Dienstanmeldekonto zugewiesen sind, werden 

keine Privilegien entfernt. Und die Privilegien stehen allen Diensten zur Verfügung, die 

im gemeinsam genutzten Host arbeiten. Anders ausgedrückt: Gemeinsam genutzte Prozesse 

können den Nutzen der Privilegienanalyse deutlich verringern. Sie können sich ansehen, 

welche Privilegien ein Dienst braucht (im Gegensatz zu den Privilegien, die dem Prozess 

tatsächlich zugewiesen sind), indem Sie sc mit dem Argument qprivs aufrufen. Die Syntax 

lautet: 

sc Server qprivs [Dienstname] 

Abbildung 6.9 zeigt ein Beispiel für den Befehl sc qprivs. 

Abbildung 6.9 sc kann die von einem Dienst benötigten Privilegien anzeigen 

Sie können auch das Befehlszeilenargument privs verwenden, um mit sc Privilegien festzulegen. 

Die Syntax lautet: 

sc Server privs [Privilegien] 

Dabei steht [Privilegien] für eine Liste mit Privilegien, die durch Schrägstriche (/) getrennt 

sind. Zum Beispiel können Sie die Privilegien für Sicherung und Wiederherstellung hinzufügen, 

indem Sie SeBackupPrivilege/SeRestorePrivilege angeben. Dienstentwickler und 

Systemadministratoren können die Möglichkeit, mit SCM Privilegien zu entfernen, nutzen, 

um die Angriffsfläche von Diensten zu verringern. Allerdings sollten Benutzer und Administratoren 

die von einem Dienst geforderten Privilegien nur ändern, nachdem sie die neue 

Konfiguration sorgfältig analysiert und getestet haben. 

Sie können auch den Process Explorer verwenden (Abbildung 6.10), um die Privilegien 

(sowie Berechtigungen und SIDs) eines Dienstprozesses anzuzeigen. Denken Sie daran, dass 

ein Privileg dem Dienst zur Verfügung steht, falls es hier aufgelistet wird (aktiviert oder deaktiviert). 

Deaktiviert bedeutet nicht, dass es für alle Zeiten deaktiviert ist. Falls ein Privileg 

nicht erlaubt ist, wird es gar nicht aufgelistet.


Abbildung 6.10 Anzeigen der Privilegien eines Dienstprozesses 

Dienst-SIDs 

Das Prozesstoken eines Dienstes enthält die SID NT-AUTORITÄT\DIENST (S-1-5-6). Indem 

Sie bei einem laufenden Prozess nach dieser SID suchen, können Sie schnell feststellen, ob 

der Prozess ein Dienst oder nur eine Anwendung ist. 

Ab Windows Vista und Windows Server 2008 kann jedem Dienst auch eine dienstspezifische 

SID zugewiesen werden, die sich aus seinem Namen ableitet. (Anders ausgedrückt: Dienste 

mit demselben Namen haben auf unterschiedlichen Systemen identische SIDs.) Eine dienstspezifische 

SID ermöglicht es, Diensten direkt Berechtigungen für beliebige geschützte 

Objekte zuzuweisen. Sie kann auch genutzt werden, um den Dienst auf andere Weise zu 

steuern, um zum Beispiel Ports in der Windows-Firewall und IPsec zu öffnen. 

Sie können sich die SID eines Dienstes ansehen (auch solcher, die Sie noch gar nicht installiert 

haben), indem Sie an der Eingabeaufforderung sc mit dem Argument showsid aufrufen. 

Die Syntax lautet: 

sc showsid [Dienstname] 

Die SID eines Dienstes wird berechnet, indem der Unicodename des Dienstes (als Großbuchstaben) 

an eine SHA-1-Hashfunktion übergeben und das Hashergebnis an »S-1-5-80-« 

angehängt wird. Zum Beispiel lautet die SID für den Dienst W32Time: S-1-5-80-4267341169- 

2882910712-659946508-2704364837-2204554466. Diese SID ist auf allen Windows Vistaund 

Windows Server 2008-Systemen gleich. 

Wenn Sie eine dienstspezifische SID zu einem Dienst hinzufügen, müssen Sie das tun, bevor 

der Dienst gestartet wird. Sie können die SID nicht mehr ändern, wenn der Dienst erst einmal 

läuft. Wenn eine dienstspezifische SID verwendet wird, wird sie zusammen mit der 

Anmeldekonto-SID des Dienstes zum Prozesstoken des Dienstes hinzugefügt. Falls ein gemeinsam 

genutzter Dienstprozess (zum Beispiel Svchost.exe) mehrere Dienste mit dienst-


spezifischen SIDs hostet, werden alle SIDs zum Token des Dienstprozesses hinzugefügt. Sie 

können dann von allen Diensten im gemeinsam genutzten Dienstprozess eingesetzt werden. 

Falls eine dienstspezifische SID nicht aktiviert ist, wird zumindest die SID des Dienstanmeldekontos 

zum Token des Dienstprozesses hinzugefügt. 

Definieren von Zugriffssteuerungseinträgen für einen Dienst 

Falls ein Diensttoken eine dienstspezifische SID hat, können Sie vom Programmcode aus 

oder mit Tools wie Icacls Berechtigungen definieren. Abbildung 6.11 zeigt ein Beispiel, wie 

Sie den Namen eines Dienstes angeben, um Berechtigungen in der GUI des Windows-A 

CL-Editors festzulegen. Sie müssen dem Kurznamen des Dienstes die Bezeichnung NT 

SERVICE\ voranstellen (auch in der deutschen Version muss die englische Bezeichnung 

verwendet werden). Abbildung 6.12 zeigt das Ergebnis im ACL-Editor. 

Abbildung 6.11 Auswählen des Dienstes W32Time 

Abbildung 6.12 Zuweisen von Berechtigungen an den Dienst W32Time


Auch wenn Sie NT SERVICE\ voranstellen müssen, damit Windows den richtigen Sicherheitsprinzipal 

findet, konvertiert Windows die eingegebene Bezeichnung in den reinen 

Kurznamen (zum Beispiel W32Time), sobald Sie die Schaltfläche Namen überprüfen anklicken. 

Aber es reicht nicht, wenn Sie nur den Kurznamen eingeben, um Berechtigungen zu 

definieren. 

Sie können NT SERVICE\Dienstname oder die SID des Dienstes verwenden, wenn Sie 

Zugriffssteuerungsberechtigungen mit dem Tool Icalcs konfigurieren (Abbildung 6.13). 

Abbildung 6.13 Festlegen von Berechtigungen für einen Dienst mit Icacls 

Wie wichtig eine dienstspezifische SID ist, kann gar nicht oft genug betont werden. Vor 

Windows Vista bekamen Dienste die Berechtigungen gewährt, die das Dienstanmeldekonto 

besaß. Falls dem Dienstanmeldekonto (zum Beispiel LOKALER DIENST) zusätzliche Berechtigungen 

gewährt werden mussten, damit ein Dienst richtig funktionierte, standen sie 

allen Diensten zur Verfügung, die dasselbe Dienstanmeldekonto verwendeten. Jetzt können 

Berechtigungen für einzelne Dienste gewährt oder verweigert werden. Und weil Dienste 

SIDs haben, kann die Überwachung für Objektzugriffsversuche einfacher aufdecken, welche 

Dienstzugriffe gelingen oder fehlschlagen. Außerdem kann so der Netzwerkverkehr vom 

Dienst gesteuert werden. Zum Beispiel aktiviert die Windows-Firewall standardmäßig die 

Filterung für ausgehenden Verkehr, sodass jeder Dienst nur Verkehr auf seinen explizit genehmigten 

Ports übertragen darf. 

Übrigens können Sie auch anzeigen, welche Berechtigungen mit einem Dienst verknüpft 

sind (das heißt, wer welchen Zugriff auf den Dienst hat), indem Sie den Befehl sc mit dem 

Befehlszeilenargument sdshow aufrufen. Die Syntax lautet: 

sc sdshow [Dienstname] 

Das Ergebnis wird im SDDL-Format ausgegeben. Sie können das optionale Argument showrights 

hinzufügen, um die SDDL-Ausgabe in einfacher lesbare Zugriffssteuerungseinträge 

zu konvertieren. Sie können sich die Berechtigungen natürlich auch in den normalen Windows-GUIs 

und mit dem Process Explorer ansehen.


Schreibeingeschränkte SIDs 

Ein Dienst hat drei gültige SID-Typen: 

Keine (None) 

Uneingeschränkt (Unrestricted) 

Eingeschränkt (Restricted) 

Der SID-Typ None bedeutet, dass der Dienst keine dienstspezifische SID hat. Dieser Typ 

kann für alte Dienste mit Anwendungskompatibilitätsproblemen verwendet werden. Der 

SID-Typ Unrestricted bedeutet, dass der Dienst eine dienstspezifische SID hat, die für die 

Zugriffssteuerung verwendet werden kann, und dass diese SID zum Dienstprozesstoken 

hinzugefügt wurde. Der SID-Typ Restricted wird verwendet, um explizit eine weitere 

Zugriffssteuerung für den Dienst zu erzwingen. Weitere Informationen zu eingeschränkten 

Token finden Sie in Kapitel 3, »Objekte: Was Sie wollen«. 

Wenn ein Dienst mit dem SID-Typ Restricted markiert ist, wird die eigene SID des Dienstes 

zur Liste der eingeschränkten SIDs im Prozesstoken hinzugefügt, zusammen mit drei weiteren 

SIDs: 

Jeder-SID (S-1-1-0) 

Logon SID (S-1-5-5-0-64163) 

SCHREIBEN EINGESCHRÄNKT-SID (S-1-5-33) 

Wenn ein Dienst versucht, in eine Ressource zu schreiben, er aber die SCHREIBEN EINGE- 

SCHRÄNKT-SID in seinem Zugriffstoken hat, wird der Zugriff verhindert, sofern nicht der 

Gruppe Jeder, der SCHREIBEN EINGESCHRÄNKT-SID oder einer der Dienst-SIDs explizit 

die Schreibberechtigung zugewiesen wurde. Die meisten geschützten Objekte erlauben 

diesen SIDs keine Schreibberechtigungen, daher werden die meisten Schreiboperationen 

standardmäßig verhindert. Das soll verhindern, dass ein Angreifer, der es geschafft hat, 

einen schreibeingeschränkten Dienst zu kompromittieren, trotzdem nur eingeschränkt und 

kompliziert in Systembereiche schreiben kann (zum Beispiel System32). 

Leider sind nur eine Handvoll von Diensten als schreibeingeschränkt markiert. Sie können 

sich den SID-Typ eines Dienstes ansehen, indem Sie den Befehl sc mit dem Befehlszeilenargument 

qsidtype aufrufen (Abbildung 6.14) oder den Process Explorer verwenden. Die 

Syntax für sc lautet: 

sc qsidtype [Dienstname] 

Abbildung 6.14 Der Befehl sc qsidtype verrät den SID-Typ eines Dienstes


Die Windows-Firewall liefert ein gutes Beispiel, wie die SCHREIBEN EINGESCHRÄNKT- 

SID verwendet wird. Die Windows-Firewall ist naturgemäß Angriffen ausgesetzt, die über 

den eingehenden Verkehr eintreffen. Es gibt vier Windows-Firewalldienste: Windows-Firewall 

(Mpssvc), Base Filtering Engine (Bfe), Diagnoserichtliniendienst (Dps) und Leistungsprotokolle 

und -warnungen (Pla). Windows legt diese vier Dienste unter derselben Svchost.exe-Instanz 

an. Alle Dienste sind als schreibeingeschränkt markiert und enthalten die 

SCHREIBEN EINGESCHRÄNKT-SID (Abbildung 6.15). 

Abbildung 6.15 Der Process Explorer zeigt eine SCHREIBEN 

EINGESCHRÄNKT-SID für einen Dienst an 

Mit dem Befehl icacls /t /findsid "NT-AUTORITÄT\SCHREIBEN EINGESCHRÄNKT" können Sie 

feststellen, welche geschützten Objekte explizite Berechtigungen für die SCHREIBEN 

EINGESCHRÄNKT-SID haben. In meinem Testsystem liefert die Icacls-Abfrage zwei 

Dateien im Zusammenhang mit der Windows-Sicherheitskonfiguration, in die die Dienste 

schreiben können. 

Sie können den SID-Typ eines Dienstes mit dem Befehl sc sidtype festlegen. Die Syntax 

lautet: 

sc sidtype [Dienstname] 

Änderungen am SID-Typ werden erst wirksam, wenn der Dienst gestartet oder neu gestartet 

wird. Endbenutzer und Administratoren sollten SID-Typen nur ändern, wenn sie die Folgen 

genau getestet und analysiert haben. 

Hinweis Es gibt eine EINGESCHRÄNKT-SID, die restriktiver als die SCHREIBEN EINGESCHRÄNKT- 

SID ist, weil sie verhindert, dass neben Schreib- auch Leseoperationen durchgeführt werden.


Eingeschränkter Netzwerkzugriff 

Sie können den Netzwerkzugriff anhand des Dienstnamens (oder der SID) und auf bestimmte 

Ports, Protokolle oder Netzwerke beschränken. Die neue Windows-Firewall mit erweiterter 

Sicherheit erlaubt einem Administrator, Regeln für jeden beliebigen Dienst über drei 

Profile zu definieren (Öffentlich, Privat und Domäne). Windows Server 2008 bringt Dutzende 

vordefinierter Regeln mit. Viele dieser Regeln gelten für Dienste. Manchmal gilt eine 

Regel für alle Programme und Dienste, manchmal nur für einen bestimmten Dienst (Abbildung 

6.16 zeigt ein Beispiel) oder eine Gruppe von Diensten. 

Abbildung 6.16 Dienstbasierte Firewallregel 

In Windows Server 2008 ist die Windows-Firewall standardmäßig aktiviert, und in ihr sind 

über 170 eingehende und über 80 ausgehende Regeln aktiviert (Abbildung 6.17). 

Die meisten Firewallregeln betreffen Windows-Dienste. Sie schränken ein, welche Verbindungen 

sie erreichen und wo sie im Netzwerk erreicht werden können. Jede Regel kann verändert 

oder deaktiviert werden. Und natürlich können Administratoren neue Regeln definieren, 

um neue oder vorhandene Dienste zu schützen. Wie bei allen Windows-Firewallregeln 

können Sie auch erzwingen, dass IPsec mit Verschlüsselung und/oder Authentifizierung 

verwendet wird, bevor eine Verbindung hergestellt wird. Sie können Regeln auch mithilfe 

von Skripts definieren. 

Windows Vista und Windows Server 2008 bringen auch mehr als 80 vordefinierte ausgehende 

Regeln mit, die in der Standardeinstellung aktiviert sind. Sie können sich die Liste der 

Regeln unter HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\static 

ansehen (Abbildung 6.18).


Abbildung 6.17 Liste der Windows-Firewallregeln zum Schutz von Diensten 

Abbildung 6.18 Statische Firewallregeln für Dienste 

Die Regeln werden in der normalen GUI nicht angezeigt, weil sie nicht geändert werden 

sollten. Falls Sie Regeln für eigene Dienste hinzufügen wollen, sollten Sie dafür COM- 

Skripting-Tools verwenden. In http://blogs.technet.com/voy/archive/2007/04/02/networkrestrictions-for-service-hardening.aspx 

finden Sie weitere Informationen und Beispielskripts. 

Die Regeln werden als statisch bezeichnet, weil sie unabhängig davon angewendet


werden, ob die Firewall aktiviert ist, und weil sie für alle drei Firewallprofile gelten. Sie 

können außerdem nur verwendet werden, um den Zugriff einzuschränken, nicht um ihn zu 

erlauben. Weil sich Microsoft darauf konzentriert, die Domänenisolierung auf Dienste auszuweiten, 

steigt die Widerstandsfähigkeit von Windows gegenüber Netzwerkangriffen. 

Etliche Angriffe, zum Beispiel der Blaster-Wurm, wären verhindert oder zumindest eingedämmt 

worden, wären diese Firewallregeln damals schon aktiv gewesen. 

Und falls Ihnen jemand erzählt, dass die Windows-Firewall standardmäßig keine ausgehenden 

Filter aktiviert hat, können Sie auf die Dutzenden von Regeln verweisen, die in der 

Standardeinstellung aktiv sind. 

Sitzung-0-Isolierung 

Am Anfang dieses Kapitels habe ich erwähnt, dass in Windows alle Dienste in Sitzung 0 

laufen. Alle Benutzermodusanwendungen und -programme laufen in einer anderen Sitzung. 

Das soll verhindern, dass Benutzer und die von ihnen ausgeführten Programme (unter denen 

Malware sein kann) ohne Weiteres Kerndienste manipulieren können. Etwa 86 Prozent aller 

Windows-Verwundbarkeiten, die in den letzten Jahren dokumentiert wurden, ergaben sich 

nur, weil Endbenutzer mit Social Engineering dazu gebracht wurden, Code auf dem Desktop 

auszuführen (http://www.infoworld.com/article/07/10/19/42OPsecadvise-insider-threats_1. 

html). Daher ist die Isolierung für Dienstsitzungen eine sehr wichtige Entwicklung. 

Der einzige potenzielle Nachteil der Sitzung-0-Isolierung besteht darin, dass alte Dienste 

manchmal erwarten, dass eine direkte Interaktion mit dem Endbenutzer möglich ist. Solche 

Dienste können keine Meldungen und Eingabeaufforderungen mehr anzeigen. Ohne irgendeine 

Übergangslösung würde ein alter Dienst seine Meldungen in Sitzung 0 anzeigen, wo 

der Endbenutzer sie nicht lesen kann. Microsoft stellt den Dienst Erkennung interaktiver 

Dienste (ui0detect) bereit, damit alte Dienste mit interaktiven Endbenutzern kommunizieren 

können. Wenn dieser Dienst gestartet wurde (er wird nicht automatisch gestartet), erkennt 

der Dienst, falls alte Dienste versuchen, mit dem Benutzer zu kommunizieren, und macht 

den angemeldeten interaktiven Benutzer darauf aufmerksam. Microsoft hat öffentlich erklärt, 

dass der Ui0detect-Dienst nur eine Übergangslösung ist, die in Zukunft nicht mehr zur 

Verfügung steht. Hersteller müssen ihre Dienste so anpassen, dass sie mit Benutzern in anderen 

Sitzungen über RPC, COM, Named Pipes oder andere Methoden kommunizieren. 

Weitere Informationen zur Sitzung-0-Isolierung finden Sie unter http://www.microsoft.com/ 

whdc/system/vista/services.mspx. 

Verbindliche Integritätsebenen 

Alle Dienste haben in der Standardeinstellung die verbindliche Integritätsebene System. (In 

Kapitel 2 finden Sie weitere Informationen über Integritätsebenen.) Abbildung 6.19 zeigt die 

Integritätsebenen für mehrere Dienste. Nur die verbindliche Integritätsebene TrustedInstaller 

ist höher. Sie erlaubt Windows über den TrustedInstaller-Dienst, Dienste zu aktualisieren, 

installieren, entfernen und ersetzen, verringert aber gleichzeitig die Gefahr, dass andere 

Prozesse und Benutzer Dienste manipulieren können.


Abbildung 6.19 Dienstattribute im Process Explorer 

Datenausführungsverhinderung 

Wie Abbildung 6.19 außerdem zeigt, sind die meisten Dienste durch Datenausführungsverhinderung 

(Data Execution Prevention, DEP) und ASLR geschützt. DEP macht viele Pufferüberlaufangriffe 

unwirksam, indem es verhindert, dass in nicht ausführbaren Speicherbereichen 

Code ausgeführt wird. DEP und ASLR machen es bei einem Pufferüberlauf 

schwieriger, die tatsächlichen Funktionsadressen zu finden. Beide Sicherheitsmechanismen 

verhindern bestimmte Arten von Angriffen, und sie konnten andere Angriffe abwehren, die 

auf älteren Windows-Plattformen noch erfolgreich waren. Keines der beiden kann aber alle 

Angriffe aufhalten. Entwickler, die Dienste erstellen, sollten sicherstellen, dass ihre Dienste 

DEP und ASLR nutzen. 

Andere neue SCM-Features 

Wenn ein Client vor Windows Vista und Windows Server 2008 feststellen wollte, ob ein 

Dienst seinen Status geändert oder ob er erstellt oder gelöscht wurde, musste er die API- 

Funktion QueryServiceStatusEx aufrufen und den Status des Dienstes verfolgen. Es war sehr 

ineffizient, den Status ständig abfragen zu müssen, nur um eine Änderung feststellen zu 

können. Windows Vista führt eine neue API-Funktion ein, NotifyServiceStatusChange. Sie 

erlaubt es dem SCM, registrierte Clients zu benachrichtigen, sobald ein bestimmter Dienst 

seinen Status ändert. Das bedeutet, dass Anwendungen, die Dienste überwachen, jetzt Benachrichtigungen 

erhalten können, wenn sich der Status des Dienstes ändert. Das macht es 

deutlich einfacher, Verwaltungstools zu entwickeln. 

Dienste können sich auch registrieren, damit sie vor dem Herunterfahren benachrichtigt 

werden. So haben sie länger Zeit, sich auf das Herunterfahren des Systems vorzubereiten. 

Und beim Herunterfahren werden die Abhängigkeiten der Dienste beachtet, sodass sie (bei 

entsprechender Konfiguration) in einer sinnvolleren Reihenfolge beendet werden.

Schützen von Diensten 179 

Der SCM kann jetzt unkritische Fehler besser erkennen und korrigieren. In älteren Windows-Versionen 

musste der Dienst vollständig abstürzen, bevor eine Wiederherstellungsaktion 

ausgelöst wurde. Jetzt können auch Speicherlecks, langsame Verarbeitung und andere 

Probleme eine Wiederherstellungsaktion auslösen. 

Microsoft hat viel Mühe darauf verwendet, die Windows-Dienste sicherer zu machen. Software, 

die so komplex ist wie Windows, wird niemals völlig frei von Sicherheitsbugs sein, 

aber Windows Vista hat bereits bewiesen, dass es gegen neu erkannten Sicherheitsverwundbarkeiten 

widerstandsfähiger ist. Lesen Sie das Sicherheitsblog des Microsoft-Mitarbeiters 

Jeff Jones (http://blogs.technet.com/security/archive/tags/Studies/default.aspx), wenn Sie 

sich für dieses Thema interessieren. Wir dürfen erwarten, dass sich Windows Server 2008 

als ähnlich widerstandsfähig erweist. 

Schützen von Diensten 

Microsoft weiß, dass die Sicherheitsrisiken mit jedem laufenden Dienst steigen. Aus diesem 

Grund hat das Entwicklungsteam die Sicherheit aller integrierten Windows-Dienste analysiert 

und gegenüber älteren Versionen des Betriebssystems Windows verbessert. Als Administrator 

sollten Sie trotzdem Schritte einleiten, um die Gefahren noch weiter zu verringern. 

Die folgenden Abschnitte beschreiben, mit welchen Maßnahmen Administratoren die Gefahr 

einer böswilligen Kompromittierung mindern können. Diese Schritte sollten in Sicherheitsrichtlinien 

und Richtlinien implementiert werden. 

Inventarisieren von Diensten 

Um Dienste zu schützen, muss ein Administrator erst einmal herausfinden und dokumentieren, 

welche Dienste auf seinen Computern laufen. Ohne eine Dienstliste und die Erklärungen, 

was die einzelnen Dienste tun, ist es schwierig, nicht benötigte Dienste zu entfernen. 

Viele integrierte und Fremdherstellertools können Ihnen eine Liste der Dienste für jeden 

Computer generieren. Am einfachsten können Sie einen einzelnen Computer abfragen, indem 

Sie das Dienststeuerungstool Sc.exe verwenden. Damit können Sie lokal und im Remotezugriff 

Dienste abfragen und eine Reihe von Daten über die einzelnen Dienste auflisten. 

Außerdem kann der Administrator mit diesem Tool Dienstinformationen ändern (Privilegien, 

Status, Starttyp und so weiter). WMI (Windows Management Instrumentation) und 

WMIC (Windows Management Instrumentation Command-line) erlauben es, Dienste abzufragen 

und mit Skripts zu steuern. Zum Beispiel können Sie Dienstinformationen für einen 

Server namens Server1 abrufen, indem Sie an einer Eingabeaufforderung den folgenden 

Befehl eingeben: 

wmic /output:c:\services.htm /node:server1 service list full / format:htable 

Sehen Sie sich die generierte Datei C:\Services.htm im Microsoft Internet Explorer an. Andere 

Tools, zum Beispiel Microsoft Systems Management Server (SMS) oder System Center 

Configuration Manager (http://www.microsoft.com/smserver/default.mspx), eignen sich hervorragend, 

um detaillierte und zusammenfassende Listen von Diensten zu erstellen. Dienste 

sollten in regelmäßigen Abständen inventarisiert werden, je nachdem, was die Sicherheitsrichtlinien 

der Organisation vorschreiben. Falls Sie nicht alle Computersysteme inventarisieren 

können, sollten Sie mit den am stärksten gefährdeten und wertvollsten Systemen beginnen 

und von dort zu den Systemen weitergehen, die damit verbunden sind.


Abschalten möglichst vieler Dienste 

Im nächsten Schritt entscheiden Sie, welche Dienste tatsächlich gebraucht werden, und entfernen 

oder deaktivieren die übrigen. Das ist die größte Einzelmaßnahme, die Sie durchführen 

können, um die Gefahr durch Kompromittierung von Diensten zu verringern. Mit jedem 

deaktivierten und entfernten Dienst verkleinern Sie die Angriffsfläche. Kapitel 12, »Schützen 

von Serverrollen«, behandelt im Detail, wie Sie Dienste mithilfe von Serverrollen und 

dem Sicherheitskonfigurations-Assistenten (Security Configuration Wizard, SCW) konfigurieren. 

Im Allgemeinen sollten Sie sehr vorsichtig sein, wenn Sie Windows-Standarddienste außerhalb 

von Servers-Manager oder SCW deaktivieren oder ändern. In den meisten Fällen hat 

Microsoft ermittelt, welche Dienste in den meisten Umgebungen für bestimmte Rollen 

wahrscheinlich benötigt werden, und sie so konfiguriert, dass sie entsprechend gestartet 

werden oder eben nicht. Was aktiviert ist, wurde mit den hier vorgestellten Mechanismen 

relativ gut geschützt. Wonach Sie Ausschau halten sollten, sind Dienste, die offensichtlich 

nicht gebraucht werden oder die entgegen der Unternehmensrichtlinie verwendet werden. 

Ein häufiges Beispiel für den ersten Fall ist der DHCP-Client. Er ist auf vielen Servern 

standardmäßig aktiviert, obwohl der Server eine statische Adresse hat. Ein Beispiel für den 

zweiten Fall kann ein unautorisiertes Peer-to-Peer-Filesharingprogramm sein. Selten kann 

sich ein Administrator darüber freuen, dass er bei einer Analyse seiner Umgebung keine 

oder zumindest nur wenige unautorisierte und potenziell gefährliche Dienste findet. 

Falls Sie feststellen wollen, ob ein Windows-Standarddienst gebraucht wird, können Sie 

einen der vielen Leitfäden zu Windows-Diensten zurate ziehen, die Microsoft zur Verfügung 

stellt. Die folgenden Links enthalten Beschreibungen verschiedener Windows-Dienste und 

liefern allgemeine Empfehlungen für Windows Vista und Windows Server 2008: 

http://www.microsoft.com/whdc/system/vista/Vista_Services.mspx 

http://www.microsoft.com/downloads/details.aspx?FamilyID=a3d1bbed-7f35-4e72bfb5-b84a526c1565&displaylang=en 

http://www.microsoft.com/downloads/details.aspx?FamilyID=fb8b981f-227c-4af6a44bb115696a80ac&DisplayLang=en 

Dienste, die nicht gebraucht werden, sollten deaktiviert oder deinstalliert werden. Eine 

Deinstallation ist sicherer, aber wenn Sie einen Dienst erst einmal deaktivieren, können Sie 

ihn schnell wieder aktivieren, falls er in Zukunft doch noch gebraucht wird oder aufgrund 

eines Fehlers deaktiviert wurde. Der SCW erlaubt Ihnen, die Angriffsfläche auf sichere Weise 

zu verringern, weil Sie Ihre Änderungen problemlos rückgängig machen können. Weitere 

Informationen finden Sie in Kapitel 12. 

Hinweis Bevor Sie einen aktiven Dienst deaktivieren oder entfernen, sollten Sie genau untersuchen, 

wofür er verwendet wird und welche Abhängigkeiten unter Umständen gestört werden, wenn Sie ihn entfernen. 

Führen Sie immer eine Datensicherung des Systems (oder zumindest des Systemzustands) durch, 

bevor Sie Dienste entfernen oder deaktivieren. 

Zuweisen geringstmöglicher Privilegien an die übrigen Dienste 

Microsoft wendet bereits das Sicherheitsmodell der geringstmöglichen Privilegien auf alle 

seine Dienste an. Daher betrifft die Aufforderung, das Sicherheitsmodell der geringstmöglichen 

Privilegien zu implementieren, in erster Linie Dienste von Fremdherstellern und

Schützen von Diensten 181 

selbst entwickelte Dienste. Leider lassen sich viele Softwarehersteller viel Zeit damit, eine 

Gefahrenmodellierung zu entwickeln und das Sicherheitsprinzip der geringstmöglichen 

Privilegien anzuwenden, insbesondere bei Diensten. 

Wenn Sie einen neuen Dienst installieren und sich im Unklaren sind, wie sicher er ist, sollten 

Sie sich an den Hersteller wenden. Listen Sie mit dem Befehl sc die SID des Dienstes, 

SID-Typ, Anmeldekonto und benötigte Privilegien auf. Falls die Privilegien und Berechtigungen 

übertrieben scheinen für den Funktionsumfang, den der Dienst anbietet, kann es 

sinnvoll sein, Kontakt mit dem Hersteller aufzunehmen und um Unterstützung beim Entfernen 

von Privilegien zu bitten. Falls der Hersteller und/oder Dienst sich diesen Wünschen 

verweigert, sollten Sie in Erwägung ziehen, den Dienst zu entfernen und nicht zu verwenden. 

Nichts treibt einen Hersteller so an wie ausbleibende Kunden. 

Halten Sie Ihre Updates auf dem neuesten Stand 

Microsoft aktualisiert seine Software regelmäßig, indem es Bugfixes, Sicherheitsupdates, 

neue Features und Leistungsoptimierungen zur Verfügung stellt. Falls ein kritischer Fehler 

in einem Dienst gefunden wird, der viele Kunden Gefahren aussetzt, bemüht sich Microsoft, 

die Verwundbarkeit schnell mit einem Sicherheitsupdate und/oder anderen Empfehlungen zu 

beheben. Indem Sie Ihr System auf dem neuesten Stand halten, können Sie Sicherheitsgefahren 

stark verringern. Die beiden größten Windows-Malwarevorfälle in letzter Zeit (SQL 

Slammer und Blaster) funktionierten nur auf Computern, bei denen die verfügbaren Sicherheitsupdates 

nicht eingespielt waren. 

Erstellen und Verwenden benutzerdefinierter Dienstkonten 

Microsoft empfiehlt, nach Möglichkeit die integrierten Dienstkonten (SYSTEM, LOKALER 

DIENST und NETZWERKDIENST) zu verwenden. Gelegentlich ist es allerdings sinnvoller, 

ein benutzerdefiniertes Dienstanmeldekonto anzulegen und zu verwenden. 

Verwenden starker Kennwörter und Ändern der Kennwörter in vernünftigen 

Abständen 

Benutzerdefinierte Dienstanmeldekonten sollten durch eine strenge Kennwortrichtlinie geschützt 

werden (das heißt durch starke Kennwörter, die öfter geändert werden). Benutzerdefinierte 

Dienstkonten speichern ihre Kennwörter in zwei Bereichen: erstens in Active 

Directory oder der lokalen SAM-Datenbank und zweitens auf dem lokalen System an einer 

Stelle, wo der SCM die Kennwörter abrufen kann. Wenn Sie die Kennwörter Ihres Dienstanmeldekontos 

ändern, müssen Sie die Änderung an beiden Stellen vornehmen, sonst laufen 

Sie Gefahr, dass Ihr Dienst nicht startet. Lassen Sie sich von dem Aufwand, Kennwörter von 

Dienstkonten an zwei Stellen zu ändern, nicht davon abbringen, diese Änderungen in regelmäßigen 

Abständen durchzuführen. Im Internet stehen mehrere Skripts zur Verfügung, 

die diese Aufgabe leichter machen, zum Beispiel eines im Microsoft Developer Network: 

http://msdn2.microsoft.com/en-us/library/ms675577.aspx. Sie können auch das Tool Passgen 

von der Begleit-CD verwenden, das Ihnen hilft, starke Kennwörter für lokale und Remotedienstkonten 

festzulegen. 

Hinweis Verwenden Sie Kennwortprüftools, um Dienstanmeldekonten auf schwache Kennwörter 

zu überwachen.


Verwenden der eingeschränkten Gruppen in Gruppenrichtlinien 

Falls benutzerdefinierte Dienstanmeldekonten mit kritischen Privilegien verwendet werden, 

sollten Sie die eingeschränkten Gruppen in den Gruppenrichtlinien einsetzen, um die Zuweisung 

von Berechtigungen zu erleichtern und zu verhindern, dass andere Konten versehentlich 

diese Berechtigungen erhalten. Wenn eine Gruppe und ihre Mitglieder in den eingeschränkten 

Gruppen definiert sind (Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Eingeschränkte 

Gruppen), werden Änderungen an der Mitgliedschaft der 

Gruppe, die außerhalb des Features Eingeschränkte Gruppen vorgenommen werden, von 

den Gruppenrichtlinien rückgängig gemacht. Die Berechtigungen und Privilegien, die benutzerdefinierte 

Anmeldekonten brauchen, können der Gruppe zugewiesen werden, und 

danach wird die Mitgliedschaft der Gruppe mithilfe von Eingeschränkte Gruppen erzwungen. 

Domänenadministratorkonten nach Möglichkeit nicht verwenden 

Verwenden Sie auf Computern, die keine Domänencontroller sind, niemals benutzerdefinierte 

Dienstanmeldekonten, die zur Gruppe Domänen-Admins (oder Gruppen mit ähnlich hohen 

Privilegien) gehören. Falls ein Dienst, der ein Dienstanmeldekonto mit Privilegien von 

Domänen-Admins verwendet, kompromittiert wird, ist praktisch die ganze Gesamtstruktur 

kompromittiert. Probieren Sie irgendeinen anderen Kontotyp, zum Beispiel SYSTEM, und 

testen Sie, ob der Dienst damit funktioniert. Alle Computer, die Dienstkonten mit hohen 

Privilegien verwenden, sollten als hohes Risiko eingestuft werden und denselben Sicherheitseinschränkungen 

und Richtlinien unterliegen wie Domänencontroller. 

Verwenden von SYSTEM 

Viele Leitfäden empfehlen, Dienstkonten, die SYSTEM-Zugriff benötigten, auf benutzerdefinierte 

Dienstkonten mit weniger Privilegien umzustellen, falls der Dienst unter einem solchen 

Konto ebenfalls funktioniert. Aber viele Administratoren schließen daraus, dass sie um 

jeden Preis vermeiden sollten, Dienste unter SYSTEM auszuführen. Diese Administratoren 

haben keinerlei Bedenken, ein benutzerdefiniertes Dienstkonto zu einem Domänen- oder 

lokalen Administrator zu machen, und ignorieren dabei die Schutzmechanismen, die das 

Konto SYSTEM bietet. Es gibt bei SYSTEM kein Kennwort, das ein Angreifer ausspähen 

könnte. Falls ein Angreifer einen Dienst, der im SYSTEM-Kontext läuft, kompromittiert, hat 

er möglicherweise den lokalen Computer übernommen, aber zumindest ist nicht automatisch 

Ihre Domäne oder Gesamtstruktur kompromittiert. Das wäre der Fall, wenn der Angreifer 

das Konto eines Domänenadministrators übernimmt. 

Empfehlungen für Dienste besagen, dass Sie ein Dienstanmeldekonto mit möglichst wenigen 

Privilegien verwenden sollten. Beginnen Sie mit LOKALER DIENST oder NETZ- 

WERKDIENST, falls sie Ihre Anforderungen erfüllen. Falls Sie keinen Administrator- oder 

SYSTEM-Zugriff brauchen, können Sie ein benutzerdefiniertes Dienstkonto anlegen, das 

lediglich den Zugriff bietet, den Sie unbedingt benötigen. Falls ein Softwarehersteller behauptet, 

Sie müssten seinen Dienst auf Nicht-Domänencontrollern im Kontext eines Domänenadministrators 

ausführen, sollten Sie versuchen, ein benutzerdefiniertes Dienstkonto mit 

Vollzugriff auf die Ressourcen zu verwenden, die der Dienst benötigt. Oder noch besser: 

Geben Sie das Produkt zurück und verlangen Sie Ihr Geld zurück. Wenn irgendein Dienstkonto 

Vollzugriffberechtigungen für kritische Datei- und Registrierungsressourcen bekommt, 

ist das immer noch besser, als das Dienstanmeldekonto zur Gruppe Domänen- 

Admins hinzuzufügen. Wenn der Dienst Vollzugriffberechtigungen auf die meisten Dateien


und Ordner besitzt, aber nicht zu einer Administratorengruppe gehört, ist er zumindest nicht 

in der Lage, Benutzer hinzuzufügen und zu entfernen, Benutzerkennwörter zu ändern und 

unzählige andere Aufgaben eines Administrators durchzuführen. Den Vollzugriff auf ein 

System zu gewähren, ist etwas anderes, als Administratorzugriff zu gewähren. Und falls ein 

Dienstkonto Administratorzugriff auf ein System benötigt, sollten Sie versuchen, ihm stattdessen 

SYSTEM-Zugriff zu geben. SYSTEM ist ein lokaler Administrator, und Sie brauchen 

nicht regelmäßig Kennwörter zu ändern (ohne die Gefahr für erfolgreiche Angriffe zu vergrößern). 

Implementieren der Netzwerkisolierung mit Windows-Firewall und IPsec 

Sie können Ihre Dienste mithilfe von Windows-Firewall und IPsec in den Sicherheitsdomänen 

isolieren, die sie brauchen. Viele Dienste benötigen keinen Zugriff aus dem lokalen 

Netzwerk, manche müssen auch keine eingehenden Verbindungen aus dem Internet annehmen. 

Daher sollten Sie diese Möglichkeiten einschränken. 

Überwachen von Dienstfehlern 

Weil Dienste jetzt individuelle SIDs haben, ist es einfacher, Dienstfehler zu überwachen und 

festzustellen, ob ein Dienst keinen Zugriff auf eine benötigte Ressource erhält. Sie können 

ein übliches Programm oder Skript verwenden, das auf Dienstfehler reagiert und den IT- 

Support benachrichtigt. Die häufigsten Dienstfehler werden durch Probleme im normalen 

Betrieb oder aufgrund langer Laufzeit verursacht, aber in der Vergangenheit hat sich gezeigt, 

dass eine Epidemie von Dienstfehlern ein Frühwarnsignal für neu aufgetauchte Bedrohungen 

sein kann. 

Entwickeln und verwenden Sie sichere Dienste 

Falls Ihre Organisation Windows-Dienste entwickelt, sollten Sie die von Microsoft bereitgestellten 

Tools und Mechanismen nutzen, um sichere Dienste zu schreiben. Falls Sie Dienste 

lediglich nutzen, sollten Sie sich weigern, unsichere Dienste einzusetzen. Fordern Sie die 

Hersteller auf, die grundlegenden Sicherheitsempfehlungen zu befolgen, die in diesem Kapitel 

beschrieben wurden. Sicherere Dienste helfen den Computer zu schützen, auf dem sie 

installiert sind, und schützen somit auch die anderen Computer im Netzwerk. 


Dienste, die unter Windows Server 2008 (und Windows Vista) laufen, wurden gegenüber 

älteren Windows-Versionen deutlich verbessert. Dienste laufen jetzt in Modi mit geringstmöglichen 

Privilegien, mit dienstspezifischen SIDs, isoliert in Sitzung 0, mit eingeschränktem 

Netzwerkzugriff und geschützt durch DEP und ASLR. Administratoren können die 

Gefahren durch kompromittierte Dienste minimieren, indem sie nicht benötigte Dienste aus 

ihrer Umgebung entfernen und für die selbst entwickelten oder gekauften Dienste dem Prinzip 

der geringstmöglichen Privilegien folgen. Windows wird zwar immer ein Ziel für böswillige 

Hacker sein, aber Dienste, die mit geringstmöglichen Privilegien laufen, machen es 

ihnen schwerer, einen Ansatzpunkt zu finden.



Microsoft Corporation (2004): »Services in Windows Vista« unter http://www.microsoft. 

com/whdc/system/vista/Vista_Services.mspx. 

Microsoft Corporation (2007): »Windows Vista Security Guide« unter http://www. 

microsoft.com/downloads/details.aspx?FamilyID=a3d1bbed-7f35-4e72-bfb5b84a526c1565&displaylang=en. 

Microsoft Corporation (2007): »Windows Server 2008 Security Guide« unter 

http://www.microsoft.com/downloads/details.aspx?FamilyID=fb8b981f-227c-4af6-a44bb115696a80ac&DisplayLang=en.


Gruppenrichtlinien 

Von Darren Mar-Elia 


Was ist neu in Windows Server 2008? ..................................... 185 

Grundlagen von Gruppenrichtlinien ....................................... 186 

Was ist neu bei Gruppenrichtlinien? ....................................... 197 

Verwalten von Sicherheitseinstellungen .................................... 211 



Die Technologie der Gruppenrichtlinien gibt es seit dem Erscheinen von Windows 2000. Es 

ist die Multifunktions-Konfigurationstechnologie innerhalb von Windows-Server- und -Desktopbetriebssystemen. 

Die Technologie wurde mit dem Ziel entworfen, dass Sie zentral Tausende 

von Optionen konfigurieren können, die auf einige oder alle Ihre Windows-Systeme 

in unterschiedlichen Netzwerken und Standorten angewendet werden. Für das Thema dieses 

Buchs ist in erster Linie wichtig, dass Gruppenrichtlinien der wichtigste Mechanismus zum 

Bereitstellen von Sicherheitskonfigurationseinstellungen auf allen Ihren Systemen sind. Auf 

jeden Fall müssen Sie Gruppenrichtlinien verwenden, um die Kennwortrichtlinie innerhalb 

Ihrer Active Directory-Domänen zu konfigurieren. Aber Gruppenrichtlinien können viel 

mehr, als nur die Kennwortrichtlinie festzulegen. In diesem Kapitel zeige ich Ihnen, wie 

Gruppenrichtlinien funktionieren und welche Konfigurationsfähigkeiten im Bereich Sicherheit 

unter Windows Server 2008 zur Verfügung stehen. 

Was ist neu in Windows Server 2008? 

Bevor ich beschreibe, wie Gruppenrichtlinien funktionieren und wie Sie damit Konfigurationen 

in Ihrer gesamten Umgebung verwalten können, will ich einige der wichtigsten 

Änderungen vorstellen, die seit Windows XP und Windows Server 2003 an den Gruppenrichtlinien 

vorgenommen wurden. Viele der Änderungen an Gruppenrichtlinien tauchten 

zuerst in Windows Vista auf, und diese Änderungen wurden in Windows Server 2008 beibehalten. 

Aber Windows Server 2008 bringt auch selbst einige Neuerungen mit (in erster 

Linie im Bereich der Konsole Gruppenrichtlinienverwaltung), die die Verwaltung der Gruppenrichtlinien 

erleichtern. Folgende wichtige Änderungen wurden in Windows Server 2008 

und Windows Vista vorgenommen: 

Unterstützung für neue Richtlinienbereiche, darunter neue Sicherheitsrichtlinien für 

Kabel- und Drahtlosnetzwerke, verbesserte Schnittstellen für Windows-Firewall- und 

IPsec-Richtlinienkonfiguration, Unterstützung für die Energieverwaltungskonfiguration 

und Richtlinien für die Einschränkung von USB-Geräten. 

185

186 Kapitel 7: Gruppenrichtlinien 

Verbesserte Erkennung langsamer Verbindungen zwischen Client und Domänencontrollern. 

So wird zuverlässiger erkannt, wenn der Client über eine langsame Verbindung angebunden 

ist, was die Verarbeitung der Gruppenrichtlinien beeinflussen kann. 

Gruppenrichtlinien werden aktualisiert, wenn sie auf den Domänencontrollern verfügbar 

sind, nicht nach festgelegten Intervallen. Wenn ein Client eine Verbindung zum Unternehmensnetzwerk 

wiederherstellt oder über eine VPN-Verbindung Kontakt aufnimmt, 

werden die Gruppenrichtlinien schneller aktualisiert. 

Unterstützung für mehrere lokale Gruppenrichtlinienobjekte (Local Group Policy Object, 

LGPO), sodass lokale Gruppenrichtlinien benutzerspezifisch oder für Administratoren 

beziehungsweise Standardbenutzer angewendet werden können. 

Unterstützung für das neue XML-basierte ADMX-Format für administrative Vorlagendateien, 

das die Unterstützung mehrsprachiger administrativer Vorlagen verbessert. 

Unterstützung für gruppenrichtlinienobjekt- und gruppenrichtlinienspezifische Einstellungskommentare. 

Verbesserungen an den Konsolen Gruppenrichtlinienverwaltung und Gruppenrichtlinien-Editor 

in Windows Server 2008, die neue Fähigkeiten bieten, zum Beispiel die 

Filterung von Richtlinien anhand von Schlüsselwörtern, und die Möglichkeit, »Starter- 

Gruppenrichtlinienobjekte« für die Richtlinien in Administrative Vorlagen zu erstellen. 

Das Feature der Gruppenrichtlinieneinstellungen (Group Policy Preferences). Es umfasst 

neue Richtlinieneinstellungen, die vorher Teil der DesktopStandard-PolicyMaker-Technologie 

waren, die von Microsoft aufgekauft wurde. 

Aber bevor ich diese neuen Gruppenrichtlinienfeatures und -fähigkeiten im Detail beschreibe, 

sollten wir uns erst einmal mit den Grundlagen beschäftigen: Wie funktionieren Gruppenrichtlinien, 

was tun sie und wie können sie Ihnen helfen, Ihre Windows-Infrastruktur zu 

schützen? 

Grundlagen von Gruppenrichtlinien 

Als Erstes müssen Sie über Gruppenrichtlinien wissen, dass Sie eine Active Directory-Infrastruktur 

bereitstellen müssen, um alle ihre Fähigkeiten nutzen zu können. Indem Sie Active 

Directory verwenden, können Sie mit Gruppenrichtlinien erweiterte Features nutzen, die in 

Arbeitsgruppen nicht zur Verfügung stehen. Allerdings bringt jeder Computer, der unter 

Windows Server 2008, Windows Vista oder einer Windows-Version bis zurück zu Windows 

2000 läuft, ein lokales Gruppenrichtlinienobjekt (Group Policy Object, GPO) mit, über das 

Sie bestimmte Konfigurationseinstellungen innerhalb einer Arbeitsgruppenumgebung verwalten 

können. 

Das lokale Gruppenrichtlinienobjekt 

Das lokale GPO (Local Group Policy Object, LGPO) können Sie öffnen, indem Sie im 

Startmenü auf Ausführen klicken und dann gpedit.msc im Dialogfeld Ausführen eingeben. 

Daraufhin wird die Konsole Lokaler Gruppenrichtlinien-Editor geöffnet (Abbildung 7.1).

Grundlagen von Gruppenrichtlinien 187 

Abbildung 7.1 Anzeigen des lokalen Gruppenrichtlinienobjekts mit der Microsoft Management 

Console in Windows Server 2008 

Hinweis Wenn im Startmenü Ihres Windows Server 2008-Systems die Programmgruppe Verwaltung 

aktiviert ist, finden Sie dort den Eintrag Lokale Sicherheitsrichtlinie. Wenn Sie dieses Tool starten, öffnet 

sich das MMC-Snap-In Gruppenrichtlinien-Editor, in das der Zweig Sicherheit des lokalen Gruppenrichtlinienobjekts 

geladen ist, also die Sicherheitseinstellungen unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen. 

Dieses Tool bietet eine bequeme Möglichkeit, wenn Sie nur die Sicherheitsoptionen 

innerhalb des lokalen Gruppenrichtlinienobjekts anzeigen und bearbeiten wollen. Aber vergessen 

Sie nicht, dass diese Einstellungen nur das lokale Gruppenrichtlinienobjekt betreffen. 

Das lokale Gruppenrichtlinienobjekt auf einem Windows-System wird auf alle Benutzer 

angewendet, die sich an diesem System anmelden. Systeme vor Windows Vista boten keine 

Möglichkeit zu steuern, auf welche Benutzer, die sich beim lokalen System anmeldeten, die 

Richtlinien aus dem lokalen GPO angewendet wurden. Alle Benutzer bekamen dieselben 

Einstellungen. In Windows Vista und Windows Server 2008 gibt es nun aber die Möglichkeit, 

mehrere benutzerspezifische lokale GPOs zu erstellen. Das ist nützlich, wenn Sie nicht 

Active Directory verwenden, aber die Auswirkungen des lokalen GPOs davon abhängig 

machen wollen, wer sich am System anmeldet. Auf den Einsatz mehrerer lokaler GPOs 

komme ich gleich noch zurück. 

Active Directory-Gruppenrichtlinienobjekte 

Sie haben nur eingeschränkte Steuerungsmöglichkeiten, wenn Sie lokale GPOs verwenden. 

Aber sobald Sie Active Directory bereitgestellt haben, steht Ihnen die volle Leistungsfähigkeit 

der Gruppenrichtlinien zur Verfügung. Trotz des Worts »Gruppe« in Gruppenrichtlinien 

werden GPOs nur auf Benutzer- und Computerobjekte innerhalb Ihrer Active Directory- 

Umgebung angewendet. Gruppenrichtlinienobjekte sind mit Containern innerhalb von Active 

Directory verknüpft. Über diese Verknüpfung können Sie steuern, welche Benutzer und 

Computer ein bestimmtes GPO verarbeiten (Abbildung 7.2). 

Sie können GPOs mit Active Directory-Standorten (einer Sammlung von IP-Subnetzen), 

Domänen und Organisationseinheiten (Organizational Unit, OU) verknüpfen. Sie können 

sogar mehrere GPOs mit jeder dieser Containerebenen verknüpfen, sodass unter Umständen 

Hunderte von GPOs auf einen bestimmten Benutzer oder Computer angewendet werden.


Abbildung 7.2 Sie können GPOs mit mehreren Containerebenen innerhalb von Active Directory 

verknüpfen 

Die Benutzer und Computer, die diese für sie gültigen GPOs verarbeiten, gehen dabei in 

folgender Reihenfolge vor: 

1. Lokale GPOs 

2. Mit dem Standort verknüpfte GPOs 

3. Mit der Domäne verknüpfte GPOs 

4. Mit der Organisationseinheit verknüpfte GPOs 

Diese Reihenfolge bedeutet: Falls es bei den Einstellungen innerhalb der GPOs, die (zum 

Beispiel) mit einem Standort und einer Organisationseinheit verknüpft sind, Konflikte gibt, 

werden normalerweise die Einstellungen für die Organisationseinheit auf den Benutzer oder 

Computer angewendet. Die Gruppenrichtlinien werden nämlich nach dem Prinzip verarbeitet, 

dass die zuletzt verarbeitete Einstellung Vorrang hat. So ist garantiert, dass GPOs, die in 

der Active Directory-Hierarchie näher beim Benutzer oder Computer definiert sind, angewendet 

werden.


Sicherheitsfilterung für GPOs 

Damit Sie die Auswirkungen von Gruppenrichtlinien flexibler steuern können, bietet Ihnen 

Windows die Möglichkeit, die Auswirkungen eines GPOs anhand von Sicherheitsgruppen 

zu filtern. So können Sie genauer einstellen, wo ein GPO gültig wird, als wenn es einfach 

auf alle Benutzer und Computer in der Domäne oder Organisationseinheit angewendet wird. 

Sicherheitsgruppenfilterung ist relativ einfach zu benutzen, wenn Sie die Konsole Gruppenrichtlinienverwaltung 

auf Ihrem Windows Vista- oder Windows Server 2008-System installiert 

haben. 

Tipp Die Konsole Gruppenrichtlinienverwaltung wird in Windows Vista standardmäßig installiert, aber 

nicht in Windows Vista mit Service Pack 1. Sie können die Konsole Gruppenrichtlinienverwaltung auf Windows 

Server 2008 installieren, indem Sie den Server-Manager starten und im Abschnitt Features das 

Feature Gruppenrichtlinienverwaltung hinzufügen. Wenn Sie in Windows Vista mit Service Pack 1 Zugriff 

auf die Konsole Gruppenrichtlinienverwaltung erhalten wollen, müssen Sie das Paket der Remoteserver- 

Verwaltungstools (Remote Server Administration Tools, RSAT) auf diesem Vista-System installieren. 

RSAT enthält die Konsole Gruppenrichtlinienverwaltung und weitere Active Directory-Verwaltungstools. 

Sicherheitsfilter werden im GPO selbst eingestellt. Sie können in der Konsole Gruppenrichtlinienverwaltung 

ändern, welche Gruppen ein bestimmtes GPO verarbeiten. In der Standardeinstellung 

enthält ein neu erstelltes GPO im Sicherheitsfilter die Berechtigungen Lesen und 

Gruppenrichtlinie übernehmen für die Gruppe Authentifizierte Benutzer. Trotz des Namens 

umfasst diese Gruppe alle Benutzer- und Computerkonten in der Domäne. Das bedeutet, dass 

normalerweise alle Benutzer oder Computer dieses GPO verarbeiten, wenn es mit einem 

Container verknüpft wird, bei dem sie Mitglied sind. Damit eine Gruppe ein GPO verarbeiten 

kann, muss es diese beiden Berechtigungen haben, Lesen und Gruppenrichtlinie übernehmen. 

Eine Berechtigung allein reicht nicht aus. Glücklicherweise brauchen Sie sich nicht 

weiter darum zu kümmern, wie Sie einzelne Berechtigungen vergeben, wenn Sie die Sicherheitsfilterung 

in der Konsole Gruppenrichtlinienverwaltung verwalten. Im nächsten Abschnitt 

gehen wir ein Beispiel schrittweise durch. 

Ändern der GPO-Sicherheitsfilterung in der Konsole Gruppenrichtlinienverwaltung 

1. Starten Sie die Konsole Gruppenrichtlinienverwaltung unter Windows Server 2008, 

indem Sie im Startmenü auf Verwaltung und dann auf Gruppenrichtlinienverwaltung 

klicken. 

2. Falls Sie Ihre Active Directory-Gesamtstruktur noch nicht zur Konsole Gruppenrichtlinienverwaltung 

hinzugefügt haben, können Sie das jetzt tun, indem Sie mit der rechten 

Maustaste auf den obersten Knoten Gruppenrichtlinienverwaltung klicken und den 

DNS-Namen Ihrer Gesamtstruktur-Stammdomäne eingeben. 

3. Erweitern Sie den Gesamtstrukturknoten, um die gewünschte Domäne zu verwalten. 

Falls die Domäne, die Sie verwalten wollen, sich nicht in der Gesamtstruktur-Stammdomäne 

befindet, können Sie mit der rechten Maustaste auf den Knoten Domänen klicken 

und den Befehl Domänen anzeigen wählen, um weitere Domänen einzubinden. 

4. Unter jedem Domänenknoten befindet sich ein Knoten namens Gruppenrichtlinienobjekte. 

Erweitern Sie diesen Knoten und wählen Sie das GPO aus, dessen Sicherheitsfilter 

Sie ändern wollen. 

5. Stellen Sie sicher, dass im rechten Fensterabschnitt die Registerkarte Bereich ausgewählt 

ist. Der Abschnitt Sicherheitsfilterung liegt in der Mitte dieses Fensterabschnitts. Darin


ist in der Standardeinstellung die Gruppe Authentifizierte Benutzer aufgeführt (Abbildung 

7.3). Wie bereits erwähnt, können alle Benutzer und Computer ein GPO verarbeiten, 

nachdem es erstellt wurde. 

Abbildung 7.3 Anzeigen der Sicherheitsfilterung für ein GPO 

6. Entfernen Sie Authentifizierte Benutzer aus der Liste Sicherheitsfilterung. Wenn diese 

Berechtigung aktiv ist, verarbeiten alle Benutzer und Computer dieses GPO. Markieren 

Sie den Eintrag Authentifizierte Benutzer und klicken Sie auf Entfernen. 

7. Klicken Sie auf die Schaltfläche Hinzufügen und geben Sie den Namen einer Benutzer- 

oder Computergruppe ein, die Sie für die Sicherheitsfilterung verwenden wollen. Beachten 

Sie, dass Computergruppen verwendet werden, um computerspezifische Richtlinien 

zu filtern (die Richtlinien im Abschnitt Computerkonfiguration eines GPOs), und Benutzergruppen, 

um benutzerspezifische Richtlinien zu filtern (die Richtlinien im Abschnitt 

Benutzerkonfiguration eines GPOs). Klicken Sie auf Namen überprüfen, um den Gruppennamen 

aufzulösen, und dann auf OK, um die Eingabe zu bestätigen. Die neue Gruppe 

wird nun zum Abschnitt Sicherheitsfilterung auf der Registerkarte Bereich des Gruppenrichtlinienobjekts 

hinzugefügt. 

Hinter den Kulissen hat die Konsole Gruppenrichtlinienverwaltung in Wirklichkeit die Berechtigungen 

Lesen und Gruppenrichtlinie übernehmen für die Gruppe hinzugefügt, die Sie 

zu diesem GPO hinzugefügt haben. Sie können auch ein einzelnes Computer- oder Benutzerkonto 

zu einem Sicherheitsfilter hinzufügen. Dies wird zwar nicht empfohlen, es kann 

aber für Testzwecke nützlich sein, wenn ein GPO nur auf einen einzelnen Computer oder 

Benutzer angewendet wird. 

Oft wird missverstanden, welcher Unterschied zwischen der Verknüpfung mit einem GPO 

und der Sicherheitsfilterung besteht. Ein GPO muss mit einem Container verknüpft sein, in


dem das Computer- oder Benutzerkonto des gewünschten Ziels liegt. Falls ich computerspezifische 

Sicherheitsrichtlinien auf allen Computern in der Marketingabteilung meiner Organisation 

bereitstellen will, verknüpfe ich mein GPO mit der Organisationseinheit Marketing. 

Falls ein Teil der Computer innerhalb der Organisationseinheit Marketing eine andere Sicherheitsrichtlinie 

haben muss, (etwa weil sie unter einem anderen Betriebssystem laufen), kann 

ich die Sicherheitsgruppenfilterung bei einem zweiten GPO verwenden, das ebenfalls mit 

der Organisationseinheit Marketing verknüpft ist, um diese Computer auszusondern. Es ist 

egal, ob die Sicherheitsgruppe, mit der ich filtere, in einer Organisationseinheit liegt, die 

außerhalb der Organisationseinheit Marketing angeordnet ist. Vergessen Sie nicht, dass 

Gruppenrichtlinien nur von Benutzer- und Computerkonten verarbeitet werden. Daher kann 

eine Sicherheitsgruppe an beliebiger Stelle in Active Directory liegen, aber trotzdem eingesetzt 

werden, um Gruppenrichtlinien für die Computer oder Benutzer einer bestimmten 

Organisationseinheit zu filtern. Spätestens jetzt dürfte Ihnen aber bewusst werden, dass die 

Verwendung von Sicherheitsgruppen für bestimmte Arten der Filterung (etwa Filterung 

anhand des Betriebssystems) etwas umständlich ist. Für solche Zwecke sollten wir die 

WMI-Filterung verwenden. 

WMI-Filterung für GPOs 

Bisher habe ich beschrieben, wie GPOs verknüpft werden, um zu steuern, welche Benutzer 

und Computer sie verarbeiten, und ich habe erklärt, wie Sie mithilfe der Sicherheitsgruppenfilterung 

flexibler steuern können, auf welche Ziele innerhalb der verknüpften Standorte, 

Domänen und Organisationseinheiten ein GPO angewendet wird. Jetzt sehen wir uns den 

letzten Mechanismus an, mit dem Sie steuern, wie Gruppenrichtlinien verarbeitet werden: 

WMI-Filter. 

WMI-Filterung wurde erstmals in Windows Server 2003 und Windows XP eingeführt. Im 

Unterschied zur Sicherheitsgruppenfilterung, die voraussetzt, dass Sie Benutzer und Computer 

in Gruppen zusammenfassen, greift die WMI-Filterung auf das integrierte WMI-Framework 

(Windows Management Instrumentation) zurück, das seit Windows XP in das Betriebssystem 

eingebaut ist. Sie können damit die Anwendung von Gruppenrichtlinien dynamisch 

filtern, abhängig von der Hardware- und Softwarekonfiguration des Computers und 

Benutzers. 

Um die WMI-Filterung nutzen zu können, müssen Sie WQL (WMI Query Language) beherrschen. 

In Active Directory erstellen Sie mit der Konsole Gruppenrichtlinienverwaltung 

WMI-Filter, die eine WQL-Anweisung enthalten. Diese Anweisung kann zum Beispiel folgende 

Fragen stellen: »Läuft das System, das diese Richtlinie verarbeitet, unter Windows 

XP Service Pack 2? Läuft es unter Windows Vista? Läuft es unter Windows Vista Business 

Edition?« Wenn Sie einen solchen Filter erstellt haben, können Sie ihn mit einem GPO verknüpfen, 

auch das tun Sie wieder in der Konsole Gruppenrichtlinienverwaltung. Anschließend 

wertet der Computer oder Benutzer, der das GPO verarbeitet, die WQL-Anweisung 

aus. Falls die Anweisung das Ergebnis True ergibt, wird das GPO angewendet. Falls die 

Anweisung das Ergebnis False liefert, wird das GPO nicht angewendet. Indem Sie WMI- 

Filter auf diese Weise verwenden, können Sie die Verarbeitung von Gruppenrichtlinien anhand 

der Hardware oder Software filtern, die auf einem Computer installiert ist. 

WMI-Filteranweisungen müssen immer die Form einer Abfrage haben, die das Ergebnis 

True oder False liefert, wenn sie auf dem Computer ausgeführt werden, der diesen Filter 

verarbeitet. Abbildung 7.4 zeigt ein Beispiel für einen WMI-Filter, der untersucht, ob auf 

dem Zielsystem Windows XP mit Service Pack 2 läuft.


Abbildung 7.4 Eine WMI-Filterabfrage prüft, ob das System 

unter Windows XP Service Pack 2 läuft 

Wie Sie in Abbildung 7.4 sehen, bestehen WQL-Anweisungen aus einer Select-Anweisung, 

die alle Instanzen einer bestimmten WMI-Klasse abfragt (in diesem Beispiel Win32_OperatingSystem) 

und dann nach bestimmten Eigenschaften sucht (zum Beispiel Caption="Windows 

XP Professional"). Eine vollständige Einführung, wie WQL-Anweisungen geschrieben werden, 

würde den Rahmen dieses Kapitels sprengen. Weitere Informationen finden Sie auf der 

Microsoft-Website unter http://msdn2.microsoft.com/en-us/library/aa392902.aspx. 

Wie bereits erwähnt, werden WMI-Filter in der Konsole Gruppenrichtlinienverwaltung verwaltet. 

Sie finden innerhalb jeder Domäne, die in die Konsole Gruppenrichtlinienverwaltung 

geladen wurde, einen Knoten mit dem Namen WMI-Filter. WMI-Filter werden nämlich in 

der jeweiligen Domäne gespeichert, genau wie GPOs. Wenn Sie mit der rechten Maustaste 

auf den Knoten WMI-Filter klicken und den Befehl Neu wählen, können Sie einen neuen 

WMI-Filter erstellen. Wenn Sie die WQL-Anweisung im WMI-Filtereditor eingeben, überprüft 

die Konsole Gruppenrichtlinienverwaltung sofort, ob die WQL-Anweisung syntaktisch 

richtig ist. Falls es keine gültige Anweisung ist, bekommen Sie die Meldung aus Abbildung 7.5 

angezeigt, wenn Sie versuchen, den Filter zu speichern. 

Abbildung 7.5 Die Syntax einer WQL-Abfrage wird überprüft, 

wenn Sie versuchen, einen WMI-Filter zu speichern 

Sie sollten bei der Verwendung von WMI-Filtern daran denken, dass manche Abfragen Leistungsprobleme 

verursachen können, während die Gruppenrichtlinien verarbeitet werden. 

Falls Sie zum Beispiel eine Abfrage schreiben, die die Active Directory-Gruppenmitgliedschaft 

auswertet, kann die Auswertung in einer großen Active Directory-Umgebung einige 

Zeit dauern, sodass die Verarbeitung der Gruppenrichtlinien deutlich verzögert wird.


Nachdem wir uns nun die Gruppenrichtlinien aus der Perspektive von Active Directory angesehen 

haben, wollen wir uns damit beschäftigen, wie Gruppenrichtlinien aus Sicht des 

Systems funktionieren, das eine Richtlinie verarbeitet. 

Gruppenrichtlinienverarbeitung 

Beim Thema Gruppenrichtlinien ist zwar wichtig zu wissen, wie GPOs erstellt und verwaltet 

werden, aber Sie müssen auch wissen, wie Gruppenrichtlinien verarbeitet werden (oder 

warum sie nicht verarbeitet werden). Nur so können Sie sicherstellen, dass Ihre Benutzer 

und Computer die Sicherheitskonfiguration erhalten, die Sie vorgesehen haben. Daher sehen 

wir uns in diesem Abschnitt die Clientseite von Gruppenrichtlinien an. Wie bereits erwähnt, 

verarbeiten Benutzer- und Computerobjekte, die in Active Directory liegen, die Gruppenrichtlinienobjekte. 

Das Modul zur Gruppenrichtlinienverarbeitung funktioniert im Prinzip 

immer gleich, ganz egal, ob es sich um Windows Server 2008, Windows Vista oder eine 

ältere Version handelt. Es werden zwei Arten von Gruppenrichtlinienverarbeitung durchgeführt, 

Vordergrund- und Hintergrundverarbeitung: 

Vordergrundverarbeitung findet statt, wenn ein Windows-Computer startet oder wenn 

sich ein Benutzer anmeldet. Vordergrundverarbeitung ist wichtig, weil bestimmte Bereiche 

der Gruppenrichtlinien, zum Beispiel Ordnerumleitung und Softwareinstallation, nur 

während der Vordergrundverarbeitungsphase ausgewertet werden. Sie brauchen nämlich 

exklusiven Zugriff auf die Computer- oder Benutzerumgebung, um ihre Aufgaben zu erfüllen. 

Ohne diesen exklusiven Zugriff wäre es schwierig herauszufinden, in welchem 

Zustand der Benutzer den Computer übergeben bekommt. Es ist nicht sinnvoll, dass 

Software installiert wird, während Sie versuchen, diese Software auszuführen! 

Hintergrundverarbeitung wird in regelmäßigen Abständen im Hintergrund durchgeführt. 

Domänencontroller führen in der Standardeinstellung alle 5 Minuten eine Hintergrundverarbeitung 

aus. Arbeitsstationen und Mitgliedserver führen die Hintergrundverarbeitung 

alle 90 Minuten aus, mit einem zufälligen Offset von 0 bis 30 Minuten, um sicherzustellen, 

dass nicht alle Systeme gleichzeitig die Richtlinien aktualisieren. 

Tipp Sie können das Aktualisierungsintervall für Domänencontroller, Arbeitsstationen und Mitgliedserver 

ändern, indem Sie die Richtlinieneinstellungen unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie\Gruppenrichtlinien-Aktualisierungsintervall 

für Domänencontroller beziehungsweise 

Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie\Gruppenrichtlinien-Aktualisierungsintervall 

für Computer anpassen. 

Neben diesen beiden Verarbeitungsmodi gibt es noch zwei Möglichkeiten, wie die Vordergrundverarbeitung 

durchgeführt werden kann: synchron oder asynchron. Die Hintergrundverarbeitung 

ist definitionsgemäß asynchron. Bei der synchronen Richtlinienverarbeitung 

muss die Gruppenrichtlinienverarbeitung abgeschlossen sein, bevor der Benutzer einen Anmeldedialog 

angezeigt bekommt (bei Computerrichtlinien) beziehungsweise bevor sich der 

Desktop des Benutzers öffnet (bei Benutzerrichtlinien). So wird sichergestellt, dass die 

Richtlinien, die unter Umständen Auswirkungen auf die aktuelle Sitzung haben, vollständig 

verarbeitet wurden, bevor der Benutzer mit dem System arbeiten kann. Das verzögert allerdings 

auch den Start- und Anmeldevorgang, daher ist in Windows XP und Windows Vista 

standardmäßig die asynchrone Vordergrundrichtlinienverarbeitung aktiviert. Asynchrone 

Verarbeitung bedeutet, dass das Gruppenrichtlinienmodul die Computerrichtlinien weiter 

verarbeitet, während der Benutzer sich schon anmelden und am Desktop arbeiten kann,


obwohl die Benutzerrichtlinie unter Umständen noch nicht vollständig verarbeitet wurde. In 

Windows Server 2003 und Windows Server 2008 wird die Vordergrundverarbeitung immer 

synchron durchgeführt. Falls Sie allerdings Terminalserver verwenden, können Sie in Windows 

Server 2008 jetzt die Vordergrundverarbeitung für Terminalserverbenutzer auf asynchron 

stellen, indem Sie die Richtlinie unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie\Asynchrone 

Verarbeitung der Gruppenrichtlinie für Benutzer 

bei Anmeldung über Terminaldienste zulassen aktivieren. 

Bestimmte Richtlinienbereiche können nur ausgewertet werden, wenn die Vordergrundverarbeitung 

synchron durchgeführt wird. Ein Beispiel sind Softwareinstallationsrichtlinien. 

Falls das Gruppenrichtlinienmodul eine Vordergrundverarbeitung durchführt und eine Softwareinstallationsrichtlinie 

findet, setzt es ein Flag, das Windows anweist, die Richtlinie während 

der nächsten Vordergrundaktualisierung synchron zu verarbeiten. Aus diesem Grund 

sind manchmal zwei Neustarts oder Anmeldevorgänge erforderlich, bis die Bereitstellung 

eines Softwareinstallationspakets abgeschlossen ist. 

Glücklicherweise funktionieren die meisten anderen Richtlinienbereiche, zum Beispiel 

Sicherheit und administrative Vorlagen, sowohl mit Vordergrund- als auch Hintergrundverarbeitung, 

und ganz unabhängig davon, ob sie synchron oder asynchron durchgeführt wird. 

Erkennen langsamer Verbindungen 

Neben den beiden unterschiedlichen Verarbeitungsarten gibt es weitere Bedingungen, die 

Auswirkungen darauf haben können, welche Gruppenrichtlinienbereiche angewendet werden. 

Zum Beispiel ist in die Gruppenrichtlinien ein Mechanismus zum Erkennen langsamer 

Verbindungen eingebaut. Er kann entdecken, wenn die Netzwerkverbindung zwischen 

Computer oder Benutzer und dem Domänencontroller langsam ist. In der Standardeinstellung 

gilt eine Verbindung als langsam, wenn sie mit weniger als 500 KBit/Sekunde überträgt. 

Sie können diesen Grenzwert in den Gruppenrichtlinien verändern. Der Vorgang zum 

Erkennen langsamer Verbindungen wurde in Windows Vista und Windows Server 2008 

verändert. In älteren Windows-Versionen beruhte dieser Prozess auf ICMP-Pings zwischen 

Client und Domänencontroller, mit denen die Geschwindigkeit der Verbindung ermittelt 

wurde. Diese Methode war unzuverlässig, und viele Organisationen schränken ICMP-Verkehr 

im internen Netzwerk aus Sicherheitsgründen ein oder unterbinden ihn ganz. Daher 

greift die Erkennung langsamer Verbindungen in Windows Vista und Windows Server 2008 

jetzt auf den NLA-Dienst (Network Position Awareness) zurück, um die Verbindungsgeschwindigkeit 

zwischen Client und Domänencontroller während der Gruppenrichtlinienverarbeitung 

zu ermitteln. In dieser Eigenschaft misst NLA LDAP-Verkehr zwischen Client 

und Domänencontroller, um die Verbindungsgeschwindigkeit zu berechnen. 

Falls der Grenzwert für die Erkennung langsamer Verbindungen während dieser Überprüfung 

unterschritten wird, werden bestimmte Gruppenrichtlinienbereiche standardmäßig nicht 

verarbeitet. Das sind unter anderem die Bereiche Softwareinstallation, Ordnerumleitung, 

Internet Explorer-Verwaltungsrichtlinien und Skriptrichtlinien. Sie können das Verhalten 

dieser Richtlinienbereiche aber verändern und erzwingen, dass sie auch bei einer langsamen 

Verbindung verarbeitet werden. Ändern Sie dazu die Einstellungen der Richtlinienbereiche 

unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie. Der 

wesentliche Faktor bei der Erkennung langsamer Verbindungen für die Gruppenrichtlinienverarbeitung 

ist, dass die Sicherheitsrichtlinie auf jeden Fall verarbeitet wird, selbst bei 

einer langsamen Verbindung.


Optimierungen für die Richtlinienverarbeitung 

Das Gruppenrichtlinienmodul hat die Aufgabe, GPOs zu verarbeiten, die auf den aktuellen 

Computer oder Benutzer angewendet werden. Und wie ich bereits beschrieben habe, findet 

die Verarbeitung in regelmäßigen Abständen im Vorder- und Hintergrund statt. Würde das 

Gruppenrichtlinienmodul allerdings sämtliche angewendeten GPOs bei jeder Verarbeitung 

erneut vollständig verarbeiten (unabhängig davon, ob überhaupt Änderungen an den angewendeten 

GPOs vorgenommen wurden), wäre das eine Verschwendung von Netzwerk- und 

Systemressourcen. Daher hat Microsoft einige Optimierungen in das Gruppenrichtlinienmodul 

eingebaut. Die wichtigste ist, dass innerhalb einer Richtlinie keine Verarbeitung stattfindet, 

falls sich innerhalb der Umgebung nichts verändert hat. Was eine Änderung ist, lässt 

sich allerdings gar nicht so einfach bestimmen, es ist zumindest nicht offensichtlich. Es 

beschränkt sich auf jeden Fall nicht auf eine Änderung an einem GPO, schließlich können 

sich mehrere Faktoren darauf auswirken, welche GPOs auf einen bestimmten Computer 

oder Benutzer angewendet werden. Und falls sich eines von 10 GPOs, die auf einen Computer 

angewendet werden, geändert hat, müssen unter Umständen alle 10 erneut ausgeführt 

werden, damit die weiter oben beschriebenen Vorrangregeln eingehalten werden. 

Folgende Änderungen lösen aus, dass die Gruppenrichtlinienverarbeitung GPOs während 

einer bestimmten Phase erneut verarbeitet: 

Es wird eine Änderung an den Einstellungen innerhalb eines GPOs vorgenommen, das 

auf den Benutzer oder Computer angewendet wird. 

Die Liste der GPOs, die auf den Computer oder Benutzer angewendet werden, verändert 

sich. (Anders ausgedrückt: Es wird ein neues GPO hinzugefügt oder eines, das vorher 

angewendet wurde, wird entfernt.) 

Es wird eine Änderung an der Sicherheitsgruppenzugehörigkeit des Benutzers oder 

Computers vorgenommen, die sich auf die Sicherheitsgruppenfilterung auswirken kann. 

Es wird eine Änderung an einem WMI-Filter vorgenommen (es wird ein Filter zu einem 

GPO hinzugefügt oder daraus entfernt), der vom Computer oder Benutzer verarbeitet 

wird. 

So funktioniert’s: Versionskontrolle für Gruppenrichtlinien 

Da das Gruppenrichtlinienmodul Richtlinien nur verarbeitet, wenn sich etwas verändert 

hat, muss es offensichtlich einen Mechanismus geben, um zu erkennen, wann sich ein 

GPO verändert. Das wird mithilfe einer Versionskontrolle erreicht. Jedes Mal, wenn Sie 

eine Änderung an einer Einstellung innerhalb eines GPOs vornehmen, wird die Versionsnummer 

dieses GPOs erhöht. Die Versionsnummer wird in den Active Directory- und 

SYSVOL-Teilen des GPOs gespeichert, dem sogenannten GPC (Group Policy Container) 

und der GPT (Group Policy Template). Wenn das Gruppenrichtlinienmodul auf einem 

Clientsystem die Richtlinie verarbeitet, vergleicht es bei jedem GPO, das angewendet 

werden soll, die Versionsnummern mit denen, die es in seine eigene Registrierung eingetragen 

hat, als es die Gruppenrichtlinien das letzte Mal verarbeitet hat. Dieser Speicherort 

ist der sogenannte Gruppenrichtlinienverlauf. Falls sich die Versionen in GPO und Verlauf 

unterscheiden, weiß das Modul, dass es die Richtlinie während der aktuellen Phase 

erneut verarbeiten muss.


Weil nicht jeder Richtlinienbereich eigene Versionsinformationen verwaltet, sondern es 

nur eine einzige Versionsnummer für das gesamte GPO gibt, kann folgender Fall eintreten: 

Nehmen wir an, ein Clientcomputer muss zwei GPOs verarbeiten, GPO A und GPO B. 

GPO A enthält Richtlinieneinstellungen aus den Zweigen Administrative Vorlagen und 

Sicherheitseinstellungen. GPO B enthält nur Sicherheitsrichtlinieneinstellungen. Ein 

Administrator nimmt eine Änderung an einer Einstellung in Administrative Vorlagen von 

GPO A vor. Daraufhin wird die Versionsnummer von GPO A erhöht. Der Clientcomputer 

muss GPO A verarbeiten, um die neue Einstellung aus Administrative Vorlagen zu übernehmen, 

aber er muss auch GPO B verarbeiten, weil sowohl GPO A als auch GPO B 

Sicherheitseinstellungen enthalten. Daher muss der Computer die Sicherheitseinstellungen 

aus beiden GPOs verarbeiten, damit die Vorrangregeln beachtet werden. 

Wie Sie Ihre GPOs organisieren und welche Richtlinienbereiche Sie in welchen Richtlinien 

implementieren, kann also Auswirkungen darauf haben, wie sie verarbeitet werden. 

Ich habe beschrieben, dass die Gruppenrichtlinien nicht während jeder Vorder- und Hintergrundverarbeitung 

erneut ausgewertet werden, jedenfalls sofern sich nichts geändert hat. 

Aber es gibt eine Ausnahme von dieser Regel: Die Einstellungen der Sicherheitsrichtlinie 

werden in der Standardeinstellung alle 16 Stunden aktualisiert, selbst falls sich in der Gruppenrichtlinieninfrastruktur 

nichts geändert hat. Dafür gibt es einen guten Grund. Falls ein 

Benutzer es absichtlich oder versehentlich schafft, eine Änderung an der lokalen Sicherheitsrichtlinie 

seines Systems vorzunehmen, kann es nützlich sein, wenn diese Richtlinie 

alle 16 Stunden automatisch aus den Active Directory-Gruppenrichtlinien erneut angewendet 

wird. 

Auf der CD Die Begleit-CD enthält eine benutzerdefinierte ADMX-Datei namens Securityrefresh.ADMX 

(und die zugehörige Securityrefresh.ADML),mit der Sie dieses Intervall über die Richtlinie Administrative 

Vorlagen einstellen können. 

Hinweis Sie können den Standardwert von 16 Stunden für das Aktualisierungsintervall über die CSE 

(Client Side Extension) anpassen, indem Sie auf Clientcomputern den folgenden Registrierungswert ändern: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GP- 

Extensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}\MaxNoGPOListChangesInterval. Dieser 

Eintrag legt fest, wie viele Minuten zwischen erzwungenen Aktualisierungsintervallen liegen. Der Standardwert 

beträgt 960 (dezimal). 

Sie können auch das Richtlinienverarbeitungsverhalten einer CSE steuern und sie zwingen, Richtlinien 

sogar dann während jeder Vorder- und Hintergrundphase zu verarbeiten, wenn keine Änderungen vorgenommen 

wurden. Das kann eine Menge zusätzlichen Netzwerkverkehr und Systembelastung verursachen, 

stellt aber sicher, dass die Richtlinien einer bestimmten CSE immer auf dem neuesten Stand sind. Sie 

können dazu für jeden Computer, den Sie konfigurieren wollen, das Richtlinienverarbeitungselement einer 

CSE unter Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie verändern. 

Nachdem wir nun die Grundlagen zur Verarbeitung von Gruppenrichtlinien kennen, können 

wir uns genauer ansehen, welche Änderungen an der Gruppenrichtlinienverwaltung in Windows 

Server 2008 vorgenommen wurden.

Was ist neu bei Gruppenrichtlinien? 197 

Was ist neu bei Gruppenrichtlinien? 

Windows Server 2008 und Windows Vista führen einige wichtige Verbesserungen an der 

Verwaltung der Gruppenrichtlinien und der Elemente ein, die über Gruppenrichtlinien konfiguriert 

werden können. Sehen wir uns zuerst einige dieser Verwaltungsverbesserungen an, 

anschließend befassen wir uns damit, welche Richtlinienverbesserungen es im Bereich der 

Sicherheitskonfigurationsverwaltung gibt. 

Gruppenrichtliniendienst 

Die erste Änderung an der Gruppenrichtlinieninfrastruktur ist für Administratoren kaum zu 

sehen. Vor Windows Vista und Windows Server 2008 lief das Gruppenrichtlinienmodul 

innerhalb des vertrauenswürdigen Winlogon-Prozesses in Windows. Das war damals sinnvoll, 

verursachte aber auch einige Probleme. Vor allem liefen auch CSEs (Client Side Extension) 

von Microsoft oder Fremdherstellern in diesem Prozess. Und falls Bugs in diesen 

CSEs auftraten, konnten sie dazu führen, dass Windows nicht mehr reagierte. In Windows 

Vista und Windows Server 2008 verlegte Microsoft das Gruppenrichtlinienmodul aus Winlogon 

in den Gruppenrichtlinienclientdienst, der unter dem Svchost.exe-Prozess ausgeführt 

wird. Dieser Prozess kann allerdings nicht von einem Administrator beendet oder gestartet 

werden, zumindest nicht ohne Weiteres. Der Dienst ist gehärtet, um die Chancen zu verbessern, 

dass er immer läuft, während Windows ausgeführt wird. Und weil der Dienst nicht 

mehr in Winlogon läuft, bringen fehlerhafte CSEs nur den Dienst zum Absturz, nicht das 

gesamte Betriebssystem. 

ADMX-Vorlagen und der zentrale Speicher 

In Windows-Versionen vor Windows Vista und Windows Server 2008 wurden Einstellungen 

im Zweig Administrative Vorlagen durch sprachspezifische ADM-Vorlagendateien gesteuert. 

Diese Dateien wurden von Microsoft zur Verfügung gestellt, Administratoren können aber 

auch eigene erstellen. Die Syntax dieser Dateien war proprietär, und die Texte, die im Gruppenrichtlinien-Editor 

angezeigt wurden, wurden in derselben ADM-Datei gespeichert, die 

auch die Registrierungsposition für eine bestimmte Bindung definierte. Außerdem umfasste 

jedes GPO einen Satz von ADM-Dateien innerhalb des SYSVOL-Abschnitt des GPOs, die 

sogenannte GPT (Group Policy Template, Gruppenrichtlinien-Vorlage). Diese ADM-Dateien 

waren im Allgemeinen bei allen GPOs in einer Domäne identisch, aber trotzdem wurden sie 

überflüssigerweise auf alle Domänencontroller in der Domäne repliziert. 

Mit Windows Vista und Windows Server 2008 führte Microsoft die neuen ADMX- und 

ADML-Dateiformate ein. Die ADMX-Datei enthält eine neue XML-basierte Syntax, mit der 

Richtlinien für Administrative Vorlagen beschrieben werden. Jeder ADMX-Datei ist eine 

ADML-Datei zugeordnet, die sprachspezifische Zeichenfolgen für diesen Satz von Richtlinieneinstellungen 

enthält. Indem die Richtlinienelemente von den Anzeigetexten getrennt 

wurden, hat Microsoft es Administratoren, die internationale Windows Vista- oder Windows 

Server 2008-Versionen verwenden, einfacher gemacht, die Richtlinien in Administrative 

Vorlagen in ihrer jeweiligen Sprache zu verwalten. 

Die neuen ADMX- und ADML-Dateien nutzen auch ein anderes Speicherungsmodell als 

ihre Vorgängerversionen. ADMX- und ADML-Dateien werden von Microsoft standardmäßig 

mitgeliefert, sie befinden sich bei einer Windows Vista- oder Windows Server 2008- 

Standardinstallation im Ordner %WinDir%\policydefinitions (Abbildung 7.6).


Abbildung 7.6 Anzeigen der ADMX-Dateien, die in Windows Server 2008 enthalten sind 

Beachten Sie den Ordner de-DE innerhalb des Ordners PolicyDefinitions in Abbildung 7.6. 

Dies ist der sprachspezifische Ordner für deutschsprachige ADML-Dateien. Wenn Sie den 

Gruppenrichtlinien-Editor in Windows Vista oder Windows Server 2008 starten und den 

Knoten Administrative Vorlagen erweitern, sucht der Editor automatisch im Ordner %Win- 

Dir%\policydefinitions nach ADMX- und ADML-Dateien. Sie können die Dateien aber auch 

an einen zentralen Speicherort kopieren, den sogenannten zentralen Speicher (engl. central 

store). 

Der zentrale Speicher ist einfach ein Dateiordner innerhalb der SYSVOL-Freigabe, der auf all 

Ihre Domänencontroller repliziert wird. Sie können den zentralen Speicher von Hand anlegen 

und Ihre ADMX- und ADML-Dateien hineinkopieren. Der zentrale Speicher muss innerhalb 

eines Ordners namens PolicyDefinitions im Ordner \\\sysvol\\ 

policies liegen. Wenn Sie den zentralen Speicher nutzen, hat das unter anderem den Vorteil, 

dass alle Administratoren, die Gruppenrichtlinien verwalten, Zugriff auf alle verwendeten 

ADMX-Dateien haben, die im zentralen Speicher zur Verfügung gestellt werden. Administratoren 

brauchen keine ADM-Dateien mehr auf ihre lokalen Computer zu kopieren, um 

neue administrative Vorlagen zu konfigurieren. Der Gruppenrichtlinien-Editor durchsucht erst 

den zentralen Speicher, bevor er %WinDir%\policydefinitions ausliest. Falls er den zentralen 

Speicher findet, verwendet er statt der lokalen ADMX- und ADML-Dateien die Exemplare 

aus dem zentralen Speicher. 

Beachten Sie, dass ADMX- und ADML-Dateien niemals automatisch in den SYSVOL- 

Abschnitt eines GPOs kopiert werden. Falls Sie also neue GPOs unter Windows Vista oder 

Windows Server 2008 erstellen, enthalten sie keine ADMX-Dateien innerhalb dieses Abschnitts. 

Alle ADMX- und ADML-Dateien werden lokal oder im zentralen Speicher abgerufen, 

wenn Sie ein Windows Vista- oder Windows Server 2008-GPO bearbeiten. Das spart 

Speicherplatz auf den SYSVOL-Freigaben Ihrer Domänencontroller, weil diese Vorlagendateien 

nicht mehr in jedem GPO auf jedem Domänencontroller gespeichert sind.


Direkt aus der Praxis: Der zentrale ADMX-Speicher 

Eines der großartigen neuen Features, die in Windows Vista und Windows Server 2008 

zur Verfügung stehen, ist der zentrale Speicher für ADMX-Dateien. In älteren Windows- 

Versionen wurden ADM-Vorlagen, aus denen der Abschnitt Administrative Vorlagen der 

Gruppenrichtlinienobjekte generiert wird, in jede einzelne Gruppenrichtlinienvorlage kopiert. 

Diese Vervielfältigung der ADM-Vorlagen verursachte Probleme bei Replikationsverkehr, 

Administration der Gruppenrichtlinienobjekte und Versionskontrolle. Windows 

Server 2008 und Windows Vista lösen dieses Problem, indem sie das proprietäre Format 

der ADM-Vorlagen durch ADMX-Dateien im XML-Format ersetzen. Das verbessert 

Sprachkompatibilität und Flexibilität und macht die Verwaltung leistungsfähiger. 

Um die Replikations- und Verwaltungsprobleme der ADM-Vorlagen zu beseitigen, können 

ADMX-Dateien jetzt in einem zentralen Speicher gesammelt werden. Die Lösung ist 

sehr simpel, weil Sie lediglich einen neuen Ordner namens PolicyDefinitions unter 

C:\Windows\Sysvol\sysvol\\Policies auf allen Domänencontrollern anlegen 

müssen. Wenn Sie den neuen Ordner angelegt haben, kopieren Sie alle ADMX- 

Dateien in den neuen Speicherort. Wenn Sie künftig ein GPO bearbeiten, werden die 

zentralisierten ADMX-Dateien verwendet, schlicht aufgrund der Tatsache, dass dieser 

Ordner vorhanden ist. Sie können auch beliebige benutzerdefinierte ADMX-Dateien in 

diesen Ordner legen, dann werden auch sie automatisch vom Gruppenrichtlinienverwaltungs-Editor 

verarbeitet. 

Derek Melber, MCSE, MVP, CISM, President 

BrainCore.Net AZ, Inc. (www.braincore.net) 

Starter-Gruppenrichtlinienobjekte 

Starter-Gruppenrichtlinienobjekte sind ein brandneues Feature in Windows Server 2008. 

Wie der Name andeutet, sind Starter-Gruppenrichtlinienobjekte praktisch Vorlagen, mit 

denen Sie echte GPOs erstellen können. Ein Starter-Gruppenrichtlinienobjekt unterstützt nur 

Einstellungen in Administrative Vorlagen, momentan können keine anderen Richtlinienbereiche 

verwendet werden. Aber weil Sie viele Tausend Richtlinieneinstellungen in diesem 

Bereich eines GPOs finden, ist diese vorläufige Einschränkung nicht besonders schlimm. 

Sie können Starter-Gruppenrichtlinienobjekts anlegen und ändern, indem Sie die Konsole 

Gruppenrichtlinienverwaltung öffnen und den Knoten Starter-Gruppenrichtlinienobjekte 

unterhalb des Knotens WMI-Filter innerhalb einer Active Directory-Domäne suchen (Abbildung 

7.7.) 

Die Funktionsweise von Starter-Gruppenrichtlinienobjekten ist recht simpel. Nehmen wir 

zum Beispiel an, ich habe einen Satz Einstellungen in Administrative Vorlagen, die ich auf 

mehrere GPOs in mehreren Domänen anwenden möchte. Ich erstelle ein Starter-Gruppenrichtlinienobjekt, 

das diese Einstellungen enthält, klicke dann mit der rechten Maustaste auf 

dieses Starter-Gruppenrichtlinienobjekt und wähle den Befehl Neues Gruppenrichtlinienobjekt 

aus Starter-Gruppenrichtlinienobjekt. Daraufhin wird ein neues, unverknüpftes GPO in 

meiner Domäne erstellt, und alle Administrative Vorlagen-Einstellungen werden aus dem 

Starter-Gruppenrichtlinienobjekt in das neue GPO kopiert.


Abbildung 7.7 Starter-Gruppenrichtlinienobjekte in Windows Server 2008 

Denken Sie daran, dass Starter-Gruppenrichtlinienobjekte keine echten Gruppenrichtlinienobjekte 

sind. Sie können ein Starter-Gruppenrichtlinienobjekt nicht mit einem Standort, 

einer Domäne oder einer Organisationseinheit verknüpfen. Sie dienen einzig als Vorlagen, 

die in ein echtes GPO kopiert werden. Außerdem können Sie Starter-Gruppenrichtlinienobjekte 

in .cab-Dateien speichern und zwischen Domänen kopieren. Auf diese Weise können 

Sie einen Satz Starter-Gruppenrichtlinienobjekte in der Domäne UK erstellen, als .cab- 

Dateien speichern und als E-Mail an Ihre Kollegen in Australien senden, wo sie dann als 

Starter-Gruppenrichtlinienobjekte in deren Domäne eingesetzt werden. 

GPO-Kommentare 

Ein weiteres praktisches Feature, das in den Konsolen Gruppenrichtlinienverwaltung und 

Gruppenrichtlinien-Editor von Windows Server 2008 verfügbar ist, ist die Unterstützung für 

das Einfügen von GPO-spezifischen und einstellungsspezifischen Kommentaren. Mithilfe 

von Kommentaren können Sie als Administrator erklären, wofür ein bestimmtes GPO oder 

eine GPO-Einstellung verwendet werden sollen. Ein Administrator, der nicht weiß, wofür 

ein bestimmtes GPO gut sein soll oder warum eine bestimmte Einstellung vorgenommen 

wurde, kann die Kommentare lesen und so Sinn und Zweck einer Richtlinie erfahren. Sie 

können sowohl GPO-spezifische als auch einstellungsspezifische Kommentare im Gruppenrichtlinien-Editor 

eintragen. Öffnen Sie im Gruppenrichtlinien-Editor ein GPO, klicken Sie 

mit der rechten Maustaste auf den Stammknoten, der den Namen des GPOs angibt, und 

wählen Sie den Befehl Eigenschaften. Klicken Sie auf die Registerkarte Kommentar, um 

Kommentare zum gesamten GPO einzutragen. 

Einstellungsspezifische Kommentare werden nur für Richtlinienelemente in Administrative 

Vorlagen unterstützt. In einem solchen Richtlinienelement finden Sie jetzt die Registerkarte 

Kommentare, in der Sie Ihren Text eingeben können (Abbildung 7.8). 

Wenn Sie Kommentare zu Ihren Gruppenrichtlinien hinzugefügt haben, kann die Konsole 

Gruppenrichtlinienverwaltung Berichte zu Kommentaren erstellen, die zu einem GPO oder 

Gruppenrichtlinieneinstellungen hinzugefügt wurden.


Direkt von der Quelle: Kommentare 

Das Gruppenrichtlinienteam hat hart daran gearbeitet, einige nützliche neue Features bereitzustellen, 

die Gruppenrichtlinienadministratoren helfen, ihre Umgebungen besser zu 

verwalten. Eines dieser Features sind Kommentare, ein unglaublich wichtiges neues Feature, 

mit dem sich unverzichtbare Anmerkungen einfügen lassen. Auf diese Weise vergessen 

wir Administratoren nicht mehr, warum eine bestimmte Konfiguration vorgenommen 

wurde. Vor einiger Zeit arbeitete ich bei einem Kunden, wo wir uns gemeinsam die Gruppenrichtlinienumgebung 

ansahen. Wir gruben ein GPO aus, das im Jahr 2000 erstellt 

wurde. »Unmöglich!«, sagen Sie wahrscheinlich. Ich war ebenfalls wie vom Blitz getroffen. 

(Ich bin zugegebenermaßen ein empfindsames Gemüt.) Es stimmt aber: Diese GPOs 

sind für die Konfiguration vieler Clientsysteme im gesamten Unternehmen verantwortlich. 

Es wäre interessant zu wissen, warum bestimmte Konfigurationen vorgenommen 

wurden, wer dafür verantwortlich war und welche Ergebnisse erwartet wurden. Oder 

nicht? 

Daher brauchen wir Kommentare. Sie können Kommentare auf der obersten Ebene eines 

GPOs eintragen, um den Zweck des GPOs zu dokumentieren oder eine Einführung zu 

bieten. Sie können Kommentare bis hinunter zu den einzelnen Einstellungen eintragen, 

die im GPO enthalten sind. Auf diese Weise können Sie dokumentieren, warum eine Einstellung 

so konfiguriert ist. Oder Sie tragen Kontaktinformationen ein, für den Fall, dass 

andere Administratoren mehr Informationen benötigen. Sie haben völlig freie Hand. Sie 

können die Einstellungen filtern, sodass in der Konsole nur die kommentierten Einstellungen 

angezeigt werden. So können Sie schnell feststellen, was andere Administratoren 

tun oder was Sie selbst gemacht, aber schon wieder vergessen haben. Damit können Sie 

schnell sicherstellen, dass Sie einige Hinweise liefern, wenn Sie Aktionen durchführen, 

die Auswirkungen auf die Umgebung haben. Wir alle haben uns schon irgendwelche Sachen 

angesehen und uns dabei verzweifelt gefragt: »Warum habe ich das gemacht? Es 

ergibt einfach keinen Sinn.« Jetzt können Sie Ihr Selbstgespräch zumindest etwas länger 

fortsetzen mit: »Ohhhhhh, deshalb habe ich es gemacht!« 

Einige Warnungen: Kommentare gibt es nur zum GPO selbst oder zu Einstellungen in 

Administrative Vorlagen. Andere Einstellungen in den Gruppenrichtlinien, zum Beispiel 

unter Sicherheitseinstellungen, erlauben keine Kommentare. Die Kommentare zu Einstellungen 

werden im Einstellungsbericht angezeigt, die Kommentare zum GPO auf der Registerkarte 

Details in der Konsole Gruppenrichtlinienverwaltung. Sie können ein GPO 

mit einem Kommentar versehen, indem Sie den Editor für das GPO öffnen und das Eigenschaftendialogfeld 

des GPOs öffnen (oberster Knoten). Aktivieren Sie in diesem Dialogfeld 

die Registerkarte Kommentar. Wenn Sie eine Einstellung mit einem Kommentar 

versehen wollen, müssen Sie die Eigenschaften der Einstellung öffnen. Dort finden Sie 

wiederum die Registerkarte Kommentar. 

Endlich haben wir eine Möglichkeit, direkt Kommentare einzufügen und zu rechtfertigen, 

warum wir bestimmte Konfigurationseinstellungen definiert haben. Da wir und unsere 

GPOs nicht gerade jünger werden, dürfte das in den kommenden Jahren eine große Hilfe 

sein. 

Kevin Sullivan 

Lead Program Manager – Group Policy


Abbildung 7.8 Eintragen einstellungsspezifischer 

Kommentare in Gruppenrichtlinien 

Abbildung 7.9 Mithilfe der Filterung können Sie nach Richtlinieneinstellungen 

suchen, die das Wort »Firewall« enthalten


Verbesserungen an der Filterung 

Die letzte Verbesserung an der Gruppenrichtlinieninfrastruktur, die ich hier beschreibe, betrifft 

die Filterung der Richtlinieneinstellungen aus Administrative Vorlagen im Gruppenrichtlinien-Editor 

anhand ganz verschiedener Kriterien. Vor Windows Server 2008 hatten Sie 

keine Möglichkeit, Richtlinien in Administrative Vorlagen anhand von Kriterien wie Name 

des Richtlinienelements oder Wörtern im Erklärungstext zu suchen oder zu filtern. Das neue 

Filterungsfeature gibt Ihnen einen praktischen Suchmechanismus innerhalb von Administrative 

Vorlagen, mit dem Sie nur die Richtlinienelemente anzeigen können, die Ihren Filterkriterien 

entsprechen. Sie können auf dieses Feature zugreifen, indem Sie im Gruppenrichtlinien- 

Editor mit der rechten Maustaste auf den Knoten Administrative Vorlagen klicken und den 

Befehl Filteroptionen wählen. Daraufhin öffnet sich das Dialogfeld aus Abbildung 7.9. 

Im Beispiel aus Abbildung 7.9 habe ich einen Filter für alle Richtlinien eingetragen, deren 

Titel das Wort »Firewall« enthält. Ich kann auch Erklärungstext oder Kommentare nach 

diesem Text durchsuchen oder die Anforderungsfilter aktivieren, um nur entsprechende 

Richtlinien zu suchen, die auf Windows Vista angewendet werden. Und ich kann auswählen, 

ob nur konfigurierte Richtlinien, nur verwaltete Richtlinien (keine Voreinstellungen) oder 

nur kommentierte Richtlinien angezeigt werden sollen. Wenn ich meinen Filter definiert 

habe, klicke ich erneut mit der rechten Maustaste auf den Knoten Administrative Vorlagen 

und wähle den Befehl Filter aktivieren. Daraufhin ändert sich die Anzeige der Richtlinieneinstellungen 

unter dem Knoten Administrative Vorlagen, sodass sie nur noch die Richtlinien 

auflistet, die meinen Filterkriterien entsprechen (Abbildung 7.10). 

Abbildung 7.10 Anwenden eines Filters innerhalb des Gruppenrichtlinien-Editors


Als letztes Feature möchte ich noch den neuen Knoten Alle Einstellungen erwähnen, den Sie 

in Abbildung 7.10 unter dem Knoten Administrative Vorlagen sehen. Alle Einstellungen ist 

praktisch eine lange Liste aller Richtlinien in Administrative Vorlagen, die innerhalb des 

GPOs zur Verfügung stehen. Sie bietet eine andere (und in gewisser Weise simplere) Ansicht 

der Tausenden von Einstellungen aus den Ordnern und Unterordnern in diesem Abschnitt 

des Gruppenrichtlinien-Editors. 

Wir haben jetzt die Grundlagen von Gruppenrichtlinien kennengelernt und erfahren, was in 

Windows Server 2008 neu ist. Jetzt wollen wir uns einige der neuen Richtlinienbereiche 

ansehen, die in Windows Server 2008 unterstützt werden. Dabei konzentrieren wir uns vor 

allem auf die neuen Sicherheitsfeatures. 

Erweiterte Verwaltungsmöglichkeiten für Sicherheitsrichtlinien 

Windows Vista und Windows Server 2008 fügen nicht nur etliche neue Einstellungen zu 

Administrative Vorlagen hinzu, sondern führen auch eine Reihe neuer CSEs (Client Side 

Extensions) ein, mit denen viele Richtlinienbereiche verwaltet werden können. Aufgrund 

des Themas dieses Buchs konzentrieren wir uns hier auf diejenigen, die mit Sicherheit zu 

tun haben. Sie sollten aber wissen, dass Gruppenrichtlinien ein noch leistungsfähigeres 

Werkzeug geworden sind, mit dem Sie die Konfiguration für die meisten Aspekte des Betriebssystems 

zentral verwalten können. 

Geräteeinschränkungen 

Geräteinschränkungen werden in den meisten Organisationen dringend gebraucht. Wie sollen 

Sie sonst verhindern, dass Ihre Benutzer USB-Flashlaufwerke und USB-Datensicherungsgeräte 

mit in die Arbeit bringen und einen Stapel vertraulicher Informationen kopieren? 

Die Gruppenrichtlinien in Windows Vista und Windows Server 2008 bieten eine Lösung: ein 

Satz von Richtlinien im Knoten Administrative Vorlagen der Gruppenrichtlinien, mit denen 

Sie zwei Kontrollstufen über solche Wechselmedien erhalten. Auf der ersten Stufe bekommen 

Sie die Möglichkeit, die Installation von Gerätetreibern für alle Gerätklassen zu verhindern, 

insbesondere für Wechselmediengeräte. Auf der zweiten Stufe können Sie den Zugriff 

auf diese Medien steuern, sofern die Installation der Treiber erlaubt wurde. Diese zweite 

Richtlinienstufe gibt Ihnen die Möglichkeit, schreibgeschützten oder Schreibzugriff auf 

einen Wechseldatenträger zu erlauben, den der Benutzer installieren durfte. 

Sehen wir uns zuerst die Geräteinstallationseinschränkungen an. Diese Richtlinien finden 

Sie im Gruppenrichtlinien-Editor unter Computerkonfiguration\Administrative Vorlagen\ 

System\Geräteinstallation\Einschränkungen bei der Geräteinstallation. Innerhalb dieser 

computerspezifischen Richtlinie können Sie Gerätesetupklassen definieren, deren Installation 

erlaubt oder verboten ist. Oder Sie können ganz verbieten, dass irgendwelche Wechseldatenträgergeräte 

installiert werden. Beachten Sie, dass dieser Richtlinienbereich verhindern 

soll, dass überhaupt Gerätetreiber installiert werden. Falls bereits ein Gerätetreiber für ein 

bestimmtes Gerät installiert ist, verhindert diese Richtlinie lediglich, dass dieser Treiber 

später aktualisiert wird.


Vorsicht Sie müssen sich im Klaren darüber sein, dass diese Geräteeinschränkungen nicht hundertprozentig 

verhindern können, dass Benutzer wichtige Daten weitergeben. Benutzer können Daten als E-Mail 

versenden. Falls sie Administratoren auf ihrem Computer sind oder physischen Zugriff auf ihre Arbeitsstationen 

haben, finden sie sicherlich immer Wege, an Daten zu gelangen, die sie eigentlich nicht bekommen 

sollten. Die beste Lösung besteht darin, sicherzustellen, dass die Daten, die Sie wirklich schützen wollen, 

mit einer robusten Zugriffssteuerung versehen sind! 

Was ist denn nun eine Gerätesetupklasse und wie können Sie damit verhindern, dass zum 

Beispiel ein USB-Speicherstick installiert wird? Jedes Gerät, das auf einem Windows-System 

installiert wird, hat eine eindeutige Geräteklasse-ID. Diese ID ist eine GUID, die den 

Typ des Geräts angibt. Sie finden die Geräte-ID heraus, indem Sie das Dienstprogramm 

Geräte-Manager starten (über die Systemsteuerung) und dort das Gerät suchen, das Sie 

einschränken wollen. Klicken Sie mit der rechten Maustaste auf das Gerät, wählen Sie 

den Befehl Eigenschaften und klicken Sie auf die Registerkarte Details. Wählen Sie in 

der Dropdownliste Eigenschaft den Eintrag Geräteklasse-GUID aus (Abbildung 7.11). 

Abbildung 7.11 Ermitteln der Geräteklasse für ein USB-Flashlaufwerk 

Sie können nun im Feld Wert mit der rechten Maustaste auf die GUID klicken und den 

Befehl Kopieren wählen, um sie in die Zwischenablage zu kopieren. 

Sobald Sie die GUID haben, können Sie die Richtlinie unter Computerkonfiguration\ 

Administrative Vorlagen\System\Geräteinstallation\Einschränkungen bei der Geräteinstallation\Installation 

von Geräten mit Treibern verhindern, die diesen Gerätesetupklassen 

entsprechen aktivieren und die GUID in das Dialogfeld für diese Richtlinie 

eingeben (Abbildung 7.12).


Abbildung 7.12 Eingeben der Geräteklasse in eine Richtlinie für Geräteinschränkungen 

Sie haben jetzt also die Installation neuer USB-Flashlaufwerke auf Ihren Windows Vista- 

und Windows Server 2008-Computern eingeschränkt. Aber was ist, falls Benutzer bereits 

vorher Speichersticks installiert haben und Sie verhindern wollen, dass sie irgendwelche 

Daten auf diese Laufwerke schreiben? Sie können in diesem Fall die Richtlinien unter 

Computerkonfiguration\Administrative Vorlagen\System\Wechselmedienzugriff (oder dieselbe 

Richtlinie unter Benutzerkonfiguration) verwenden, um dieses Verhalten zu steuern. Indem 

Sie die Richtlinie Wechseldatenträger: Schreibzugriff verweigern aktivieren, können 

Sie verhindern, dass auf dem Computer auf irgendwelche installierten Wechsellaufwerke 

geschrieben wird. Allerdings können davon neben USB-Flashlaufwerken auch Datensicherungs- 

oder Speichergeräte betroffen sein, die von der IT-Abteilung der Organisation benutzt 

werden. Das kann ein Problem sein. In solchen Fällen können Sie die Richtlinie Benutzerdefinierte 

Klassen: Schreibzugriff verweigern verwenden, um nur bestimmte Geräteklassen 

einzuschränken. Auch bei dieser Richtlinie müssen Sie wieder die Geräteklasse-GUID 

eingeben, die Sie vorher im Geräte-Manager ermittelt haben. 

Warnung Wenn Sie eine Wechselmedienzugriff-Richtlinie auf einen Computer oder Benutzer anwenden, 

während der Benutzer bereits sein Wechselmediengerät eingesteckt hat und mit seinem Windows Vista- 

System arbeitet, wird die Richtlinie üblicherweise erst wirksam, wenn er dieses Gerät entfernt und erneut 

anschließt. 

Windows-Firewall mit erweiterter Sicherheit 

Vor Windows Vista und Windows Server 2008 konnten Sicherheitskonfigurationsaufgaben 

im Netzwerk, zum Beispiel das Verwalten von Windows-Firewall oder IPsec-Richtlinie, 

zwar mithilfe von Gruppenrichtlinien erledigt werden, dabei musste aber für jede Aufgabe 

eine eigene Benutzeroberfläche verwendet werden. Jetzt wurden die Gruppenrichtlinien so 

verbessert, dass sie eine einheitliche Benutzeroberfläche zum Verwalten dieser Einstellungen 

bereitstellen. So können Sie Server- und Domänenisolierungsregeln deutlich übersichtlicher 

erstellen. Sie finden diese Benutzeroberfläche unter Computerkonfiguration\Windows-


Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit. Sie 

fasst die Verwaltung von Windows-Firewallregeln mit der Erstellung von IPsec-Richtlinien 

zusammen, sodass Sie umfassende Möglichkeiten zur Verwaltung von Endpunkt-zu-Endpunkt-Netzwerksicherheit 

erhalten. 

Hinweis Zur Windows-Firewall finden Sie ausführlichere Informationen in Kapitel 5, »Firewall und Netzwerkzugriffsschutz«. 

Als Erstes dürfte Ihnen an diesem neuen Richtlinienbereich auffallen, dass Sie damit sowohl 

ausgehende als auch eingehende Regeln definieren können (Abbildung 7.13). Dies ist ein 

Unterschied gegenüber der früheren Windows-Firewallkonfiguration. 

Abbildung 7.13 Anzeigen der Regeln für die Windows-Firewallkonfiguration 

Außerdem stellt die neue Windows-Firewall ein Profilsystem zur Verfügung. Die Windows- 

Firewall in Windows Vista und Windows Server 2008 umfasst jetzt die folgenden drei Profile: 

Domänenprofil Dieses Profil wird angewendet, wenn der Computer mit dem Netzwerk 

verbunden ist, in dem sein Active Directory-Computerkonto liegt. 

Privates Profil Dieses Profil wird angewendet, wenn der Computer an ein Netzwerk 

angeschlossen ist, das ein lokaler Administrator als privat einstuft. 

Öffentliches Profil Dieses Profil wird auf alle Netzwerke angewendet, für die nicht 

das Domänen- oder private Profil gilt. Darunter fallen auch alle Netzwerke, die noch 

keiner Kategorie zugeordnet wurden. 

Sie können mithilfe von Gruppenrichtlinien unterschiedliche Stufen von Firewalleinschränkungen 

konfigurieren, je nachdem, mit welchem Profil der Computer gerade arbeitet. Beachten 

Sie, dass sich diese Richtlinien im Abschnitt Computerkonfiguration der Gruppenrichtlinien 

befinden, sie werden also nur auf Computerkonten angewendet. Wenn die Richt-


linie auf den Computer angewendet wird, werden alle definierten Profile auf dem Computer 

gespeichert. Falls sich die Netzwerkbedingungen ändern, wird das entsprechende Profil 

aktiv. So kann der Computer während der Gruppenrichtlinienverarbeitung Firewallanweisungen 

erhalten und braucht keinen Kontakt mit einem Domänencontroller herzustellen, 

während er von einem Netzwerk ins andere verlegt wird. Wenn sich der Netzwerkzustand 

ändert, wird ermittelt, ob es sich um ein Domänen-, privates oder öffentliches Netzwerk 

handelt, und das passende Profil wird aktiviert. 

Hinweis Der Gruppenrichtlinien-Editor in Windows Vista und Windows Server 2008 enthält weiterhin im 

Abschnitt Administrative Vorlagen der Gruppenrichtlinien den Knoten Windows-Firewall. Diese »alten« 

Richtlinien werden auf Windows XP und Windows Server 2003 angewendet. Falls Sie diese alten Richtlinien 

auf Windows Vista- oder Windows Server 2008-Systeme anwenden, sind die Ergebnisse nicht vorhersagbar, 

weil es keine 1:1-Zuordnung zwischen alten und neuen Windows-Firewallfeatures gibt. 

IPsec-Konfiguration 

Im Abschnitt Verbindungssicherheitsregeln des Richtlinienknotens Windows-Firewall mit 

erweiterter Sicherheit können Sie IPsec-Richtlinien definieren. Im Unterschied zur alten 

Methode beim Definieren dieser Richtlinien stellt die neue Benutzeroberfläche einen intuitiven 

Assistenten zur Verfügung, der Sie durch die Entscheidungen leitet, die Sie treffen 

müssen, um eine IPsec-Beziehung zwischen Computern zu definieren. Wenn Sie eine IPsec- 

Beziehung zwischen Computer A und Computer B definieren, sollten beide Computerkonten 

in Active Directory vorhanden sein, damit das GPO verarbeitet werden kann, das die IPsec- 

Anweisungen ausliefert; schließlich verwenden wir ja Gruppenrichtlinien, um diese Richtlinien 

zu konfigurieren und auszuliefern. Wie Windows-Firewallregeln werden IPsec-Regeln 

auf Basis der drei Profile angewendet. Sie können festlegen, dass eine IPsec-Regel nur dann 

wirksam wird, wenn der Computer mit einem bestimmten Netzwerktyp verbunden ist. 

Richtlinien für verkabelte und Drahtlosnetzwerke 

Windows Vista und Windows Server 2008 bringen Verbesserungen und neue Fähigkeiten 

mit, die Ihnen die Verwaltung des Schutzes von Drahtlos- und Kabelnetzwerken über Gruppenrichtlinien 

erleichtern. Im Gruppenrichtlinien-Editor finden Sie einen neuen Richtlinienknoten 

unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien 

für verkabelte Netzwerke (IEEE 802.3) und einen aktualisierten Satz von Richtlinien 

für Drahtlosnetzwerke unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Drahtlosnetzwerkrichtlinien 

(IEEE 802.11). 

Richtlinien für verkabelte Netzwerke 

Mit Richtlinien für verkabelte Netzwerke können Sie 802.1x-Authentifizierung für Ihre 

Computer erzwingen, die über Ethernet-Netzwerke kommunizieren. Sie können die Verwendung 

von 802.1x erzwingen und festlegen, welche Netzwerkauthentifizierungsmethode 

eingesetzt werden muss (Abbildung 7.14). 

Falls Sie sicherstellen wollen, dass ganze Gruppen von Computern im Netzwerk über 802.1x 

kommunizieren, müssen Sie wie bei der IPsec-Richtlinie sicherstellen, dass die Gruppenrichtlinien, 

in denen diese Einstellungen enthalten sind, von allen Computern verarbeitet 

werden, die an dieser Authentifizierungsrichtlinie beteiligt sind.

Abbildung 7.14 Konfigurieren der Richtlinien für 

verkabelte Netzwerke bei Windows Vista 


Richtlinien für Drahtlosnetzwerke 

Drahtlosnetzwerkrichtlinien wurden erstmals in Windows Server 2003 eingeführt. Allerdings 

konnten damit nur wenige Einschränkungen definiert werden, um zu steuern, mit welchen 

Drahtlosnetzwerken ein Computer eine Verbindung herstellt. Bei den neuen Drahtlosrichtlinien 

in Windows Vista und Windows Server 2008 stehen Ihnen nun mehr Möglichkeiten 

zur Verfügung, um den Zugriff auf Drahtlosnetzwerke zu sperren und zu steuern, welche 

Verschlüsselungs- und Authentifizierungsmethoden für ein bestimmtes Drahtlosnetzwerk 

eingesetzt werden müssen. 

Die wichtigste Änderung an der Drahtlosnetzwerkrichtlinie ist die Unterstützung für das 

Erstellen von Profilen. Mit Profilen können Sie Gruppen von Netzwerk-SSIDs konfigurieren, 

zu denen Ihre Computer eine Verbindung aufbauen dürfen (Abbildung 7.15). 

Ein Profil hat die Aufgabe, Drahtlosnetzwerke zusammenzufassen, die ähnliche Authentifizierungs- 

und Verschlüsselungsanforderungen haben. Die Drahtlosrichtlinie in Windows 

Vista und Windows Server 2008 unterstützt folgende Authentifizierungsmethoden: 

Offen: Authentifizierung ohne Verschlüsselung. Kann optional WEP-Verschlüsselung 

(Wired Equivalent Privacy) nutzen. 

Gemeinsam verwendet: Ähnlich wie Offen, verwendet aber einen gemeinsamen WEP- 

Schlüssel. 

WPA-Enterprise: Authentifizierung über WPA-Verschlüsselung (Wi-Fi Protected 

Access) mit 802.1x-Authentifizierung 

WPA-Personal: Authentifizierung über WPA mit einem gemeinsamen geheimen Schlüssel 

WPA2-Enterprise: Authentifizierung über WPA-2-Verschlüsselung (Wi-Fi Protected 

Access Version 2) mit 802.1x-Authentifizierung


WPA2-Personal: Authentifizierung über WPA-2 mit einem gemeinsamen geheimen 

Schlüssel 

Offen bei 802.1X: Verwendet WEP mit 802.1x-Authentifizierung. 

Abbildung 7.15 Konfigurieren von Drahtlosprofilen, sodass 

Verbindungen zu bekannten SSIDs hergestellt werden können 

Abbildung 7.16 Mithilfe von Netzwerkberechtigungen können Sie 

den Zugriff auf bestimmte Drahtloszugriffspunkte verhindern

Verwalten von Sicherheitseinstellungen 211 

Sie können außerdem sogenannte Netzwerkberechtigungen für Drahtlosnetzwerke definieren, 

die nicht explizit innerhalb Ihrer Profile definiert sind. Nehmen wir zum Beispiel an, 

Sie wissen, dass es ein öffentliches Drahtlosnetzwerk mit der SSID »Kostenloses WLAN« 

gibt, zu dem Ihre Benutzer keine Verbindung herstellen sollen. Sie können nun auf der Registerkarte 

Netzwerkberechtigungen innerhalb der Drahtlosrichtlinie eine Netzwerkberechtigung 

definieren, um zu verhindern, dass diese SSID benutzt wird (Abbildung 7.16). 

Neben diesen Verbesserungen bei der Verwaltung von Sicherheitseinstellungen gibt es eine 

Reihe von neuen Sicherheitsrichtlinieneinstellungen, mit denen Sie Ihre Windows Server 

2008- und Windows Vista-Systeme besser schützen können. Viele dieser Einstellungen sind 

in etlichen Szenarien sehr nützlich, bei einigen wird aber davor gewarnt, dass sie Probleme 

bei der Systemadministration und der Interoperabilität mit älteren Windows-Versionen verursachen 

können. Diese Einstellungen sehen wir uns im nächsten Abschnitt an. 

Verwalten von Sicherheitseinstellungen 

Wenn Sie den Gruppenrichtlinien-Editor starten und den Knoten Computerkonfiguration\ 

Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien öffnen, sehen Sie einige 

Richtlinienknoten (Zuweisen von Benutzerrechten und Sicherheitsoptionen), die eine Reihe 

von Einstellungen zum Schützen Ihrer Windows-Systeme bereitstellen. Wie bei jeder Sicherheitsentscheidung 

müssen Sie eine Balance zwischen der gewünschten Sicherheitsstufe und 

dem Verlust an Funktionalität oder Verwaltbarkeit finden. Bei vielen Einstellungen innerhalb 

dieser zwei Richtlinienbereiche müssen Sie diese zwei Seiten gegeneinander abwägen, 

bevor Sie die Richtlinie implementieren. Glücklicherweise stellt Microsoft seit Windows 

Server 2003 SP1 innerhalb jedes Richtlinienelements Warnungen bereit, die auf mögliche 

Auswirkungen einer Einstellung aufmerksam machen. Tabelle 7.1 listet einige der wichtigsten 

Risiken und Vorteile dieser Einstellungen auf. 

Tabelle 7.1 Risiken und Vorteile von Einstellungen zur Sicherheitshärtung 

Richtlinie Vorteil Risiko 

Computerkonfiguration\ Windows-Einstellungen\Sicherheitseinstellungen\ 

Lokale 

Richtlinien\ Zuweisen von 

Benutzerrechten\ Auf diesen 

Computer vom Netzwerk aus 

zugreifen und Zugriff vom 

Netzwerk auf diesen Computer 

verweigern 

Mit diesen Rechten können Sie steuern, 

wer im Remotezugriff auf einen Computer 

zugreifen darf. Das umfasst Operationen 

wie Domänencontroller-zu- 

Domänencontroller-Replikation, Benutzerauthentifizierung 

an Domänencontrollern, 

Remoteverwaltung und Benutzerzugriff 

auf freigegebene Ressourcen. 

Falls Sie die falschen Gruppen aus 

diesen Rechten entfernen, ist kein 

Zugriff auf die Systeme mehr möglich. 

Zum Beispiel dürfen Sie keinesfalls der 

Gruppe Domänencontroller der Organisation 

das Zugriffsrecht entziehen oder 

sie zum Verweigern-Recht hinzufügen. 

Falls Sie der Gruppe Authentifizierte 

Benutzer das Zugriffsrecht entziehen, 

müssen Sie sicherstellen, dass eine 

ähnliche Gruppe dieses Recht hat. 

Löschen Sie nie alle Benutzer und 

Gruppen aus diesen Rechten, 

und verweigern Sie nie allen Benutzern 

und Gruppen diese Rechte.




Lokale 


Benutzerrechten\ Lokal anmelden 

zulassen und Lokal anmelden 

verweigern 


Lokale 


Benutzerrechten\ Auslassen 

der durchsuchenden Überprüfung 


Lokale 


Benutzerrechten\ Ermöglichen, 

dass Computer- und Benutzerkonten 

für Delegierungszwecke 

vertraut wird 


Lokale 

Richtlinien\ Sicherheitsoptionen\ 

Domänenmitglied: Daten 

des sicheren Kanals digital 

verschlüsseln oder signieren 

(immer) 

Mit diesem Recht können Sie steuern, 

wer sich an der Konsole des Computers 

anmelden darf, der diese Richtlinie 

verarbeitet. 

Dieses Recht erlaubt es einem Benutzer, 

NTFS-Ordner zu durchlaufen, ohne 

dass die Berechtigungen für Ordner 

höher in der Ordnerhierarchie geprüft 

werden, um festzustellen, ob sie Rechte 

zum Durchsuchen des Ordners gewähren. 

Dieses Recht wird normalerweise 

allen Benutzern gewährt. Es erlaubt 

ihnen, Ordner (aber nicht den Ordnerinhalt) 

zu durchsuchen, selbst wenn sie 

keine Zugriffsrechte auf übergeordnete 

Ordner haben. Dies ist ein grundlegendes 

Recht, das alle Benutzer brauchen, 

um selbst einfache Aufgaben durchführen 

zu können. 

Erlaubt es einem Benutzer, einem Computer, 

einem Dienst, der als Computer 

läuft, oder einem Benutzer das Recht zu 

gewähren, die Identität eines Benutzerkontos 

anzunehmen, um auf Ressourcen 

in einem anderen System zuzugreifen. 

Erzwingt, dass die gesamte Kommunikation, 

die zwischen Arbeitsstationen 

oder Mitgliedservern und ihren Domänencontroller 

durch einen sicheren 

Kanal befördert wird, verschlüsselt oder 

signiert sein muss. 

Passen Sie auf, wenn Sie einer bestimmten 

Gruppe das Zugriffsrecht 

entziehen oder einer bestimmten Gruppe 

den Zugriff verweigern. Zum Beispiel 

dürfen Sie die administrativen Konten 

oder Gruppen nur dann aus dem Recht 

entfernen, wenn Sie tatsächlich verhindern 

wollen, dass sie sich an der Konsole 

anmelden können. Verhindern Sie 

nicht, dass Dienstkonten dieses Recht 

haben, weil sie es brauchen, um sich an 

einem System anzumelden. 

Wenn Sie der Gruppe Jeder oder anderen 

nichtadministrativen Benutzer dieses 

Recht entziehen, können sie nicht mehr 

in NTFS-Ordnerstrukturen arbeiten. 

Wenn Sie dieses Recht für eine bestimmte 

Gruppe aktivieren, kann diese 

Gruppe Computerobjekte in Active 

Directory als vertrauenswürdig für Delegierungszwecke 

kennzeichnen. Das 

kann diese Systeme für Angriffe verwundbar 

machen, bei denen ein Trojanisches 

Pferd die Identität eines Benutzers 

vortäuscht. 

Falls es in einer Domäne Domänencontroller 

gibt, die Daten in einem sicheren 

Kanal nicht verschlüsseln oder signieren 

können (zum Beispiel Domänencontroller, 

die unter NT 4.0 vor SP 6a laufen), 

können sich Clients, die mit dieser Einstellung 

konfiguriert sind, nicht an der 

Domäne authentifizieren, wenn sie auf 

diese Domänencontroller zugreifen.



Lokale 


Microsoft-Netzwerk 

(Client): Kommunikation digital 

signieren (immer) 


Lokale 


Microsoft-Netzwerk (Server): 

Kommunikation digital 

signieren (immer) 


Lokale 


Domänenmitglied: Starker 

Sitzungsschlüssel erforderlich 

(Windows 2000 oder höher) 


Lokale 


Domänencontroller: Signaturanforderungen 

für LDAP- 

Server 


Lokale 


Netzwerksicherheit: Signaturanforderungen 

für LDAP- 

Clients 

Erzwingt, dass ein Client, der mit 

einem SMB-v1-Server (Server Message 

Block) wegen einer Dateifreigabe kommuniziert, 

SMB-Signierung verpflichtend 

macht. Das hilft, Angriffe zu verhindern, 

die eine Sitzung entführen. 

Dies funktioniert genauso wie beim 

Client im vorherigen Eintrag, allerdings 

wird hier garantiert, dass die SMB- 

Server Kommunikation mit Clients immer 

signieren. 

Erzwingt 128-Bit-Verschlüsselung für 

Kommunikation über einen sicheren 

Kanal zwischen Clients, auf die diese 

Richtlinie angewendet wird, und Domänencontrollern. 

Wenn diese Einstellung auf einen Domänencontroller 

angewendet wird, 

erzwingt sie, dass der Domänencontroller 

für die Kommunikation mit LDAP- 

Clients LDAP-Datensignierung verwendet, 

um Man-in-the-Middle-Angriffe zu 

verhindern. 

Wenn diese Einstellung auf einen Computer 

angewendet wird, erzwingt sie, 

dass der Client für die Kommunikation 

mit allen LDAP-Servern LDAP-Datensignierung 

verwendet, um Man-in-the- 

Middle-Angriffe zu verhindern. 

Verwalten von Sicherheitseinstellungen 213 

Falls der Client so konfiguriert ist, dass 

er immer SMB-Signierung verwendet, 

der Server dies aber nicht unterstützt 

oder erlaubt, schlägt die SMB-Kommunikation 

zwischen Client und Server fehl. 

Falls ein SMB-Server immer die Signierung 

erfordert, der Client dies aber nicht 

unterstützt, kann der Client nicht mit 

dem Server kommunizieren. Zum Beispiel 

bieten ältere Windows-Versionen 

und Nicht-Microsoft-SMB-Clients keine 

Unterstützung für SMB-Signierung. 

Beachten Sie, dass das Netzwerk langsamer 

werden kann, falls Sie diese 

Einstellung aktivieren. Weitere Informationen 

finden Sie in http://support.microsoft.com/kb/823659. 

Setzt voraus, dass alle Domänencontroller 

mindestens unter Windows 2000 

laufen, andernfalls schlägt die Kommunikation 

über den sicheren Kanal fehl. 

Manche LDAP-Clients, zum Beispiel 

Windows 2000 vor Service Pack 3, 

unterstützen dies nicht. Auch Nicht- 

Windows-LDAP-Clients bieten oft keine 

Unterstützung dafür. 

Falls Domänencontroller nicht mit denselben 

Einstellungen konfiguriert sind, 

schlägt jegliche LDAP-Kommunikation 

zwischen Client und Domänencontroller 

fehl.




Lokale 


Netzwerkzugriff: Anonyme 

SID-/ 

Namensübersetzung zulassen 


Lokale 


Netzwerkzugriff: Anonyme 

Aufzählung von SAM-Konten 

und Freigaben nicht erlauben 


Lokale 


Netzwerksicherheit: LAN 

Manager- 

Authentifizierungsebene 


Lokale 


Überwachung: System 

sofort herunterfahren, wenn 

Sicherheitsüberprüfungen 

nicht protokolliert werden 

können 

Diese Richtlinie wird in den meisten 

sicheren Konfigurationen deaktiviert. 

Wird sie aktiviert, kann ein anonymer 

Benutzer eine SID in einen Benutzernamen 

konvertieren. (Falls zum Beispiel 

ein anonymer Benutzer die bekannte 

SID des Administratorkontos angibt, 

kann dieser Benutzer den wirklichen 

Kontoname herausfinden, sogar wenn 

das Konto umbenannt wurde.) 

Wenn diese Richtlinie aktiviert ist, können 

anonyme Benutzer keine Liste der 

Benutzernamen in einer Domäne erhalten, 

die sich für verschiedene Angriffe 

nutzen lässt. 

Legt fest, welche Version der NTLM- 

Authentifizierung auf Computern erforderlich 

ist, die diese Richtlinie verarbeiten. 

Wenn Sie diese Richtlinie aktivieren, 

stellen Sie sicher, dass das System 

herunterfährt, falls irgendetwas verhindert, 

dass eine Sicherheitsüberwachung 

generiert wird (falls zum Beispiel das 

Sicherheitsprotokoll voll ist). 

Falls diese Richtlinie aktiviert ist, funktionieren 

ältere Windows-Systeme, die 

diese anonyme Übersetzungsfähigkeit 

benötigen, möglicherweise nicht mehr. 

Das sind zum Beispiel der RAS-Dienst 

aus NT 4.0 und SQL Server in NT 3.x- 

oder 4.0-Domänen. Falls Sie aber solche 

Systeme in Ihrer Umgebung haben, 

sollten Sie ohnehin als Erstes sicherstellen, 

dass sie mit keinen anderen Systemen 

kommunizieren dürfen! 

Falls Sie diese Richtlinie auf Ebene 

einer Domäne deaktivieren, können Sie 

kein Domänenvertrauen mit NT 4.0- 

Domänen herstellen. (Glauben Sie mir: 

Das wollen Sie ohnehin nicht.) 

Bestimmte Stufen der NTLM-Authentifizierung 

(zum Beispiel v2) werden auf 

älteren Windows-Clients nicht unterstützt, 

zum Beispiel in NT 4.0 vor Service 

Pack 4 oder Windows 95 und Windows 

98 ohne installierten Verzeichnisdienstclient. 

Heutzutage sollten eigentlich 

alle Computer funktionieren, wenn 

Sie diese Einstellung auf den Wert 5 

setzen (die sicherste Einstellung). 

Falls Sie diese Richtlinie aktivieren, aber 

keine automatische Überschreibung der 

Überwachungsprotokolle erlauben, 

wenn sie voll sind, oder die Protokolle 

zu klein sind, fährt das System herunter, 

sobald das Protokoll voll ist! Angreifer 

können diese Möglichkeit nutzen, um Ihr 

Netzwerk stillzulegen (das wurde in der 

Vergangenheit bereits praktiziert). 


In diesem Kapitel haben wir uns angesehen, wie Gruppenrichtlinien in lokalen und Active 

Directory-Umgebungen verwendet werden, wie Sie GPOs auf unterschiedlichen Ebenen in 

der Active Directory-Hierarchie verknüpfen und wie Sie mithilfe von Sicherheitsgruppen- 

und WMI-Filterung genauer steuern, auf welche Computer und Benutzer eine Richtlinie 

angewendet wird. 

Wir haben auch einige der neuen Gruppenrichtlinien-Verwaltungsfunktionen kennengelernt, 

die in Windows Server 2008 neu eingeführt wurden, darunter Starter-Gruppenrichtlinienobjekte, 

Kommentare und Filterung. Wir haben einige der neuen Richtlinienbereiche unter-


sucht, die in Windows Vista und Windows Server 2008 neu zur Verfügung stehen, insbesondere 

solche, die mit der Sicherheit zu tun haben, zum Beispiel Geräteeinschränkungen, die 

die Verwendung von Wechselmedien, die zusammengefassten Windows-Firewall- und 

IPsec-Konfigurationsrichtlinien sowie Richtlinien für verkabelte und Drahtlosnetzwerke 

steuern. 

Zuletzt haben wir eine Reihe von Einstellungen für die Sicherheitshärtung innerhalb der 

Gruppenrichtlinien untersucht und uns genau angesehen, welche Einstellungen Kompatibilitätsprobleme 

verursachen können, insbesondere wenn ältere Windows-Versionen oder 

Nicht-Windows-Systeme beteiligt sind. 


Windows Group Policy Resource Kit: Windows Server 2008 and Windows Vista von 

Microsoft Press. 

»What Is New in Group Policy in Windows Vista« unter http://technet2.microsoft.com/ 

WindowsVista/en/library/a8366c42-6373-48cd-9d11-2510580e48171033.mspx?mfr=true. 

»Virtual Lab: Managing Windows Server 2008 and Windows Vista Using Group Policy« 

unter http://go.microsoft.com/fwlink/?linkid=92472. 

»Managing Group Policy ADMX Files Step-by-Step Guide« unter http://technet2. 

microsoft.com/windowsvista/en/library/02633470-396c-4e34-971a-0c5b090dc4fd 

1033.mspx. 

»Security Group Policy Settings in Windows Vista« unter http://technet.microsoft.com/ 

en-us/bb679962.aspx.


Überwachung 

Von Eric Fitzgerald 


Wozu überwachen? . ................................................. 218 

So funktioniert die Windows-Überwachung .................................. 218 

Festlegen einer Überwachungsrichtlinie .................................... 221 

Entwerfen einer guten Überwachungsrichtlinie . ............................... 229 

Neue Ereignisse in Windows Server 2008 . .................................. 230 

Analysieren von Ereignissen mit den eingebauten Tools ......................... 236 


Im Bereich der Computersicherheit bedeutet der Begriff Überwachung (engl. auditing) 

meist, dass etwas mit einem Standard oder Grundwert verglichen wird (»die Wirksamkeit 

der Sicherheitskontrollen in der Organisation überwachen«), oder dass sicherheitsrelevante 

Ereignisse aufgezeichnet werden (»Überwachungsliste«). In diesem Kapitel verwenden wir 

Überwachung im zweiten Sinn, es wird also etwas aufgezeichnet. 

Seit der Einführung von Windows NT ist das Sicherheitsereignisprotokoll oft eine Quelle 

der Frustration für Windows Server-Administratoren. Das Sicherheitsereignisprotokoll enthält 

zwar viele Informationen darüber, welche Sicherheitsentscheidungen Windows trifft 

und welche kritischen System- und Benutzeraktivitäten sich auf die Systemsicherheit auswirken 

können, aber da sich Überwachungsrichtlinien nicht fein genug steuern ließen, entstanden 

riesige Mengen an Protokolleinträgen. Auch lieferten die Auswahl der Ereignisse, 

die Microsoft überwachte, und die Informationen, die in diesen Ereignisprotokollen angezeigt 

wurden, nicht immer die Antworten, die Administratoren wirklich brauchten. 

In Windows Server 2008 wurde das Überwachungssubsystem in etlichen Punkten verbessert, 

sodass es für Administratoren viel nützlicher geworden ist. Überwachungsrichtlinien 

wurden erweitert, sodass es viel einfacher ist, genau die Ereignisse auszuwählen, für die Sie 

sich interessieren. Das Format von Überwachungsereigniseinträgen und ihr Inhalt wurden 

verbessert, sodass es Ihnen leichter fallen wird, die Ereignisse im Sicherheitsprotokoll zu 

verstehen. Viel mehr Ereignisse lösen die Protokollierung von Überwachungsereignissen 

aus. Und schließlich beseitigen Verbesserungen am Ereignissubsystem und den zugehörigen 

Tools viele Skalierbarkeits-, Leistungs- und Analyseprobleme, mit denen Sie früher zu 

kämpfen hatten. 

217

218 Kapitel 8: Überwachung 

Wozu überwachen? 

Beim Festlegen einer Richtlinie für die Sicherheitszugriffssteuerung müssen drei grundlegende 

Steuerungsgruppen betrachtet werden: Authentifizierung (engl. authentication), Autorisierung 

(engl. authorization) und Überwachung (engl. audit, manchmal auch als accounting, 

Kontoführung, bezeichnet). Zugriffssteuerung (siehe Kapitel 2, »Authentifizierung und 

Authentifizierungsprotokolle«) und Authentifizierung (siehe Kapitel 4, »Grundlagen der 

Benutzerkontensteuerung«) werden als präventive Kontrollen (engl. preventative control) 

eingeordnet. Sie sollen verhindern, dass etwas passiert, was Sie nicht erlaubt haben. Überwachung 

gilt als Erkennungskontrolle (engl. detective control); sie verhindert nichts, hinterlässt 

aber eine Spur, über die verfolgt werden kann, ob Ihre Sicherheitsrichtlinie verletzt 

wurde und auf welche Weise. 

Erkennungskontrolle, zum Beispiel Überwachungslisten (engl. audit trail), liefert Beweise, 

dass Ihre präventiven Kontrollen funktionieren, selbst wenn Sie gerade nicht selbst alles 

überwachen. Sie können die Überwachungslisten jederzeit auswerten, um zu prüfen, ob die 

Tätigkeiten Ihrer Benutzer Ihren Absichten entsprechen. 

Überwachungslisten liefern auch nützliche forensische Beweise für den Fall, dass sie gebraucht 

werden. Es ist zu spät, wenn Sie Ihr System Protokolle generieren lassen, nachdem 

ein Vorfall aufgetreten ist. In einem solchen Fall wollen Sie Informationen über Dinge, die 

bereits passiert sind. 

Wenn Sie wissen, welche Sicherheitsentscheidungen das System trifft, kann Ihnen das auch 

bei der Problembehandlung helfen. Wenn die Fehlermeldung aus einem schlichten »Zugriff 

verweigert« besteht, ist es nützlich, wenn Sie für Diagnosezwecke noch eine andere Informationsquelle 

als die Fehlermeldung haben. 

Und schließlich sind sich fast alle einig, dass viele juristische und organisatorische Regelwerke 

die Aufzeichnung und Prüfung von Überwachungslisten vorschreiben. Zum Beispiel 

schreiben manche Regelwerke für den medizinischen Bereich vor, dass Organisationen, die 

Patientendaten sammeln und verarbeiten, sicherstellen müssen, dass nur autorisierte Personen 

auf die Daten zugreifen können. Es wäre schwierig für eine Organisation, die Wirksamkeit 

ihrer Zugriffssteuerung zu beurteilen, wenn keine Überwachungsliste verrät, wer tatsächlich 

auf die Patientendaten zugegriffen hat. 

So funktioniert die Windows-Überwachung 

Das Windows-Überwachungssubsystem arbeitet mit Komponenten zusammen, die Sicherheitsentscheidungen 

treffen, sowie mit dem Ereignisprotokolldienst, in dem zuverlässig 

Sicherheitsereignisse generiert werden. Komponenten, die Sicherheitsentscheidungen treffen 

(sogenannte Sicherheitsreferenzmonitore), benachrichtigen das Überwachungssubsystem, 

sobald eine Sicherheitsentscheidung getroffen wurde oder andere sicherheitsrelevante Aktivitäten 

stattfinden, und leiten die Details der Aktivität weiter. Das Überwachungssystem 

formatiert diese Daten als Ereigniseinträge so, dass die Daten einen einheitlichen Aufbau 

haben, und verwirft alle generierten Ereignisse, die laut den Überwachungsrichtlinien nicht 

aufgezeichnet werden sollen. Die übrigen Ereignisse werden an den Ereignisprotokolldienst 

gesendet, damit er sie im Sicherheitsprotokoll speichert. Abbildung 8.1 zeigt den Aufbau des 

Überwachungssubsystems in Windows.

Abbildung 8.1 Aufbau des Windows-Überwachungssubsystems 

So funktioniert die Windows-Überwachung 219 

Hinweis Die meisten Windows-Komponenten, die Überwachungsereignisse generieren, prüfen selbst die 

Überwachungsrichtlinien, bevor sie ein Ereignis an das Überwachungssubsystem melden. Das verhindert 

unnötigen Ressourcenverbrauch. 

Das Windows-Überwachungssubsystem ist im LSA-Prozess (Local Security Authority), der 

in der Windows-Prozessliste als Lsass.exe aufgeführt wird, und im Windows-Kernel implementiert. 

Die LSA enthält die Benutzermoduskomponenten von Windows, die die Sicherheitsrichtlinie 

erzwingen und andere Sicherheitsfunktionen durchführen, zum Beispiel Authentifizierung. 

Komponenten wie zum Beispiel Authentifizierungspakete liegen innerhalb 

der LSA und liefern Ereignisse direkt an das Überwachungssubsystem. Komponenten, die 

im Benutzermodus außerhalb der LSA laufen, sind zum Beispiel die Active Directory- 

Domänendienste (Active Directory Domain Services, AD DS) und Anwendungen, die Windows-Überwachungs-APIs 

verwenden und Ereignisse über RPC an die LSA liefern. Der 

Kernel enthält eine generische Überwachungsschnittstelle, die von Kernelkomponenten wie 

zum Beispiel Treibern benutzt wird. Er enthält außerdem den Objekt-Manager, dem die 

Aufgabe zufällt, die meisten Objektzugriffsversuchsereignisse zu generieren. Ereignisse 

werden entweder über das Ereignisverfolgungsmodul des Kernels (ETW) oder über RPC an 

den Ereignisprotokolldienst übergeben. Die meisten Ereignisse, die im Kernel generiert 

werden, werden direkt an das ETW geliefert, aber Ereignisse, die aufwendiger formatiert 

werden müssen, werden für diese Aufgabe an die LSA weitergeleitet. Die LSA liefert die 

meisten Ereignisse über ETW an das Ereignisprotokoll, wobei sie den RPC-Kanal in erster 

Linie für Fälle verwendet, in denen Fehler in einem Teil des Überwachungssubsystems aufgetreten 

sind.


Direkt von der Quelle: Verbesserungen am Ereignisprotokolldienst 

Das Ereignisprotokollmodul in Windows wurde für die Version 6.0 von Windows (Windows 

Vista und Windows Server 2008) von Grund auf neu geschrieben. Die Leistungs- 

und Skalierungsprobleme des alten Ereignisprotokollmoduls wurden weitgehend beseitigt. 

Wo beim alten Ereignisprotokolldienst die effektive Protokolldateigröße maximal 

4 GByte betrug (und deutlich weniger auf 32-Bit-Computern), können Protokolle im 

neuen Dienst jetzt bis zu 2 53 -1 Byte groß werden, das ist über 1 Petabyte. Und wo das alte 

Protokoll einen maximalen Durchsatz von wenigen Tausend Ereignissen pro Sekunde 

hatte, wenn es als zirkulär eingerichtet wurde, kann das neue Protokoll Zehntausende von 

Ereignissen pro Sekunde verarbeiten. 

Das neue Ereignisprotokollmodul macht Ereignisse im XML-Format verfügbar, sodass 

andere Anwendungen darauf zugreifen können. So können Ereignisse nicht nur selbstbeschreibend 

sein, sondern das Modul kann Ereignisse auch anhand von XPATH-Ausdrücken 

filtern. So ist eine Vielzahl von Filtermöglichkeiten in Anwendungen wie der Ereignisanzeige 

machbar. Außerdem können Abonnements sehr detailliert definiert werden, 

Überwachungsanwendungen können also ganz genau festlegen, welche Ereignisse sie 

interessieren. 

Eric Fitzgerald, Senior Program Manager Forefront Security 

Wie bereits erwähnt, stammen die meisten Sicherheitsereignisse (mit Ausnahme der Ereignisse 

über die Integrität des Überwachungssubsystems) aus Komponenten außerhalb des 

Überwachungssubsystems. Jedes Ereignis wird unter ganz bestimmten Bedingungen ausgelöst. 

Bei den meisten Ereignissen sind dies folgende Bedingungen: 

Eine überwachbare Aktivität ist aufgetreten. 

Überwachungsrichtlinien geben an, dass diese Aktivität protokolliert werden soll. 

In einem Fall gibt es noch eine dritte Voraussetzung. Ressourcenmanager sind eine spezielle 

Art von Sicherheitsreferenzmonitor, die den Zugriff auf einen Satz Objekte regeln. Wenn 

Ressourcenmanager die Anforderung für den Zugriff auf ein Objekt erhalten, prüfen sie 

nicht nur die Überwachungsrichtlinien, sondern vergleichen die Zugriffsanforderung auch 

mit den jeweiligen Überwachungseinstellungen des angeforderten Objekts. Wie in Kapitel 2 

beschrieben, haben Objekte in Windows eine Sicherheitsbeschreibung, die verschiedene 

Aspekte der objektspezifischen Sicherheitsrichtlinie definiert. Teil der Sicherheitsbeschreibung 

ist die DACL (Discretionary Access Control List). Dies ist die Liste der Berechtigungen 

für das Objekt, bei dem die Zugriffsprüfung ausgeführt wird. Üblicherweise wird diese 

Liste als die ACL des Objekts bezeichnet. Es ist aber noch eine zweite ACL mit jedem Objekt 

verknüpft, die die Überwachungsrichtlinien für dieses Objekt festlegt und die Integritätsebene 

(siehe Kapitel 2) für das Objekt enthält. Diese ACL wird offiziell als SACL (System 

Access Control List, Systemzugriffssteuerungsliste) bezeichnet. Sie ist genauso aufgebaut 

wie eine DACL, aber die einzelnen Zugriffssteuerungseinträge (Access Control Entry, 

ACE) in der SACL gewähren keine Berechtigungen an Benutzern und Gruppen, sondern 

legen fest, welche Zugriffe bei bestimmten Benutzern und Gruppen überwacht werden sollen. 

Wenn eine Zugriffsprüfung ausgeführt wird, muss der Ressourcenmanager entscheiden, ob 

eine Überwachung für diese konkrete Anforderung generiert wird. Erst stellt die Zugriffsprüfungsroutine 

fest, ob die Überwachungsrichtlinien für den Objektzugriff bei diesem Res-

Festlegen einer Überwachungsrichtlinie 221 

sourcenmanager aktiviert sind. Ist das der Fall, vergleicht die Zugriffsprüfungsroutine die 

SACL des Objekts mit dem Ergebnis der Zugriffsprüfung, nachdem die DACL ausgewertet 

wurde. Im Allgemeinen verläuft die Auswertung der SACL ganz ähnlich wie die für die 

DACL. Falls eine SACL mit dem Objekt verknüpft ist und mindestens eine der SIDs im 

Token des Anforderers irgendeiner SID in den ACEs der SACL entspricht und irgendeiner 

der entsprechenden Zugriffe in den Zugriffsmasken der passenden ACEs der angeforderten 

Zugriffsmaske entspricht, wird ein Ereignis generiert. Das Ereignis zeichnet die angeforderte 

Zugriffsmaske auf, un zwar als Ereignis über das Öffnen eines Handles. Dieser Prozess 

findet sowohl bei erfolgreichen als auch fehlgeschlagenen Zugriffsanforderungen statt. Das 

jeweilige Ereignis zeichnet den Erfolg beziehungsweise Fehlschlag der Operation zum Öffnen 

des Handles auf. Die Zugriffsmaske wird vom Objektmanager aufbewahrt; wenn später 

weitere Operationen mit diesem Handle durchgeführt werden, führt das erste Auftreten 

irgendeines überwachten Zugriffs dazu, dass ein Ereignis generiert wird. 

Festlegen einer Überwachungsrichtlinie 

In Windows Vista und Windows Server 2008 sind Überwachungsrichtlinien hierarchisch 

organisiert. Das ist eine deutliche Verbesserung der Überwachungsrichtlinien. Bei älteren 

Windows-Versionen war keine Struktur für Überwachungsrichtlinien vorgesehen, daher 

konnte der Umfang der überwachten Bereiche nicht so detailliert eingestellt werden. 

Vor Windows Vista wurde jedes Sicherheitsereignis in eine von neun Überwachungsrichtlinienkategorien 

eingeordnet. Indem Sie die Erfolgs- oder Fehlerüberwachung für eine 

Überwachungskategorie einschalten, aktivieren Sie alle Überwachungsereignisse für diese 

Kategorie. Abbildung 8.2 zeigt, wie Überwachungsrichtlinien in Windows-Systemen vor 

Vista aufgebaut sind. 

Abbildung 8.2 Hierarchie der Überwachungsrichtlinien vor Windows Vista


In Windows Server 2008 und Windows Vista wird jedes Sicherheitsereignis einer Überwachungsrichtlinien-Unterkategorie 

zugeordnet. Wenn Sie Überwachungsrichtlinien für diese 

Unterkategorie aktivieren, werden alle Ereignisse aktiviert, die zu dieser Unterkategorie gehören. 

Jede Unterkategorie hat eine Einstellung, mit der Sie aktivieren, dass Ereignisse für 

erfolgreiche Aktivitäten generiert werden, und eine Einstellung, mit der Sie aktivieren, dass 

Ereignisse für fehlgeschlagene Aktivitäten generiert werden. 

Unterkategorien von Überwachungsrichtlinien sind wiederum in dieselben Überwachungsrichtlinienkategorien 

untergliedert, die in Windows Server 2003 und älteren Versionen vorhanden 

waren. Dies stellt die Kompatibilität sicher. Wenn eine Überwachungsrichtlinienkategorie 

aktiviert ist, sind alle Unterkategorien für diese Kategorie und damit die zugehörigen 

Ereignisse aktiviert. Und wenn eine Überwachungsrichtlinienkategorie deaktiviert ist, sind 

auch alle zugehörigen Unterkategorien und ihre Ereignisse deaktiviert. Abbildung 8.3 zeigt, 

wie Überwachungsrichtlinien in Windows Server 2008-Systemen aufgebaut sind. 

Abbildung 8.3 Hierarchie der Überwachungsrichtlinien in Windows Server 2008 

Überwachungsrichtlinien können mit zwei Tools konfiguriert werden: einer grafischen Benutzeroberfläche, 

die von den MMC-Snap-Ins Sicherheitsrichtlinieneditor und Gruppenrichtlinien-Editor 

verwendet wird, oder dem Befehlszeilentool AuditPol.exe. Allerdings 

kann nur AuditPol.exe Überwachungsrichtlinien auf der Ebene von Unterkategorien festlegen: 

Microsoft hat die grafische Benutzeroberfläche für Überwachungsrichtlinien (Abbildung 

8.4) nicht so aktualisiert, dass damit Überwachungsrichtlinien-Unterkategorien verwaltet 

werden können. Diese Einschränkung betrifft auch den Gruppenrichtlinienmechanismus


für die Bereitstellung von Überwachungsrichtlinien. Dies wird sich in einer künftigen Version 

ändern, aber vorerst müssen Sie das Problem über die Befehlszeile lösen oder sich auf 

die alten Überwachungsrichtlinien beschränken. 

Abbildung 8.4 Benutzeroberfläche für die Konfiguration von Überwachungsrichtlinien 

im MMC-Snap-In Lokale Sicherheitsrichtlinie 

Wegen der hierarchischen Beziehung zwischen Überwachungsrichtlinienkategorien und 

Unterkategorien ist es normalerweise nicht sinnvoll, alte Überwachungsrichtlinien auf Windows 

Server 2008 und Windows Vista zu verwenden. 

Überwachungsrichtlinien sollen steuern, welche Ereignisse generiert und in Ihren Überwachungsprotokollen 

gespeichert werden. Und das neue GAP-Feature (Granular Audit Policy) 

gibt Ihnen viel flexiblere Steuermöglichkeiten. Aber die meisten Windows-Systeme erhalten 

ihre Überwachungsrichtlinien per Gruppenrichtlinie aus der Domäne, und dort wird GAP 

nicht unterstützt. Das bedeutet, dass Sie zwar tolle Überwachungsrichtlinien für Ihre neuen 

Windows Server 2008-Systeme entwickeln können, aber sobald Sie den Server zu Ihrer 

Domäne hinzufügen, werden die neuen Überwachungsrichtlinien durch alte Überwachungsrichtlinieneinstellungen 

aus den Gruppenrichtlinie überschrieben. 

Glücklicherweise stellt Microsoft einen Mechanismus zur Verfügung, der verhindert, dass 

alte Überwachungsrichtlinien, die über Gruppenrichtlinien verteilt werden, GAP überschreiben. 

Ein Registrierungswert namens SCENoConfigLegacyAuditPolicy steuert, ob das Sicherheitskonfigurationsmodul 

(die Komponente, die Gruppenrichtlinieneinstellungen im Bereich 

der Sicherheit erzwingt) alte Überwachungsrichtlinien anwendet. Falls dieser Registrierungswert 

vorhanden ist und einen Wert ungleich 0 hat, werden Überwachungsrichtlinien 

auf Kategorieebene nicht angewendet, falls sie über das Sicherheitsrichtlinien-Snap-In oder 

Gruppenrichtlinien eingestellt wurden. Dieser Registrierungswert ist im Microsoft Knowledge 

Base-Artikel 921468 (http://support.microsoft.com/kb/921468) beschrieben, einen 

Link finden Sie auch direkt in der Benutzeroberfläche der Überwachungsrichtlinien (Abbildung 

8.5). Es kommt noch besser: Die Registrierungseinstellung selbst kann über Gruppenrichtlinien 

bereitgestellt werden (Abbildung 8.6), sodass alle Ihre Windows Vista- und Windows 

Server 2008-Computer alte Überwachungsrichtlinien ignorieren und nach Möglichkeit 

die neue GAP-Variante verwenden. Sie sollten wissen, dass die UI für Überwachungsrichtlinien 

irreführend sein kann, wenn Sie diese Einstellung verwenden: Die UI zeigt unter Umständen 

einige Kategorien als aktiviert oder deaktiviert an, diese Einstellungen werden aber 

nicht angewendet.


Abbildung 8.5 Überwachungsrichtlinieneinstellungen 

für die Kategorie Anmeldeereignisse überwachen 

Abbildung 8.6 Im Gruppenrichtlinien-Editor kann verhindert werden, dass alte Überwachungsrichtlinien 

aus Gruppenrichtlinien die Einstellungen auf Windows Server 2008-Systemen überschreiben 

Es gibt noch eine andere Einschränkung bei der Benutzeroberfläche für Überwachungsrichtlinien, 

die sich als Nebenwirkung aus der Beziehung zwischen Kategorien und Unterkategorien 

ergibt. Wenn Sie in der UI Einstellungen für die Überwachungsrichtlinienkategorie untersuchen, 

zeigt die UI an, dass die Kategorie aktiviert ist, falls alle Unterkategorien dieser 

Kategorie aktiviert sind. Und entsprechend zeigt die UI an, dass die Kategorie deaktiviert 

ist, falls alle zugehörigen Unterkategorien deaktiviert sind. Aber die UI muss noch einen 

anderen Fall beachten: wenn einige der Unterkategorien aktiviert sind, andere aber nicht. In 

diesem Fall zeigt die UI an, dass die Kategorie deaktiviert ist, aber Sie können sich in diesem 

Fall die richtigen Überwachungsrichtlinieneinstellungen mit dem Dienstprogramm 

AuditPol.exe anzeigen lassen (Abbildung 8.7).


Abbildung 8.7 Mit AuditPol.exe können Sie die effektiven GAP-Einstellungen anzeigen 

Zusammenfassend lässt sich also sagen: GAP trägt viel dazu bei, die Probleme bei der Auswahl 

der überwachten Bereiche zu beseitigen, unter denen ältere Windows-Versionen zu 

leiden hatten. Aber wenn Sie dieses Feature nutzen, müssen Sie die gesamte Administration 

Ihrer Überwachungsrichtlinien mit dem Tool AuditPol.exe erledigen. Auch wenn Gruppenrichtlinien 

GAP nicht direkt unterstützen, ist es zumindest möglich, GAP über Gruppenrichtlinien 

bereitzustellen. Dazu stellen Sie ein Skript bereit, das AuditPol.exe ausführt und die 

gewünschten Überwachungsrichtlinien einstellt. Das Skript muss ein Startskript sein, das 

mit Systemprivilegien auf dem Computer läuft. Überwachungsrichtlinien können von 

Benutzern ohne erhöhte Privilegien nicht eingestellt werden, daher können sie nicht über 

Anmeldeskripts bereitgestellt werden. 

Eine vollständige Anleitung inklusive Beispielskripts finden Sie im Microsoft Knowledge 

Base-Artikel 921469 (http://support.microsoft.com/kb/921469). Kurz zusammengefasst 

müssen Sie folgendermaßen vorgehen: 

1. Stellen Sie mithilfe von Gruppenrichtlinien SCENoConfigLegacyAuditPolicy auf Ihren 

Windows Vista- und Windows Server 2008-Computern bereit. 

2. Schreiben Sie ein Skript, das mit AuditPol.exe die gewünschten Richtlinieneinstellungen 

anwendet, und kopieren Sie dieses Skript in eine Freigabe. 

3. Schreiben Sie ein Skript, um eine Aufgabe zu planen, die das Skript für die Überwachungsrichtlinien 

regelmäßig ausführt, und richten Sie dieses Skript als Startskript ein. 

Dieser Mechanismus wurde getestet, und er funktioniert einwandfrei. Sie können diese 

Lösung so bereitstellen, dass es auch bei späteren Änderungen an irgendwelchen Überwachungsrichtlinieneinstellungen 

nicht nötig ist, irgendwelche Gruppenrichtlinienobjekte 

(Group Policy Object, GPO) oder Skripts anzupassen. Das ist möglich, weil das Richtlinienanwendungsskript 

die Überwachungseinstellungen aus einer Textdatei liest. 

Optionen für Überwachungsrichtlinien 

Es gibt einige optionale Features im Bereich der Überwachungsrichtlinien, die Sie mit Audit- 

Pol.exe oder im Abschnitt Sicherheitsoptionen der Sicherheitsrichtlinienbenutzeroberfläche 

im lokalen oder Gruppenrichtlinienmodus aktivieren können. 

CrashOnAuditFail ist eine Einstellung, die erforderlich ist, um das Common-Criteria-Schutzprofil 

für Single-Level-Betriebssysteme zu erfüllen. Die Common-Criteria-Anforderung


besagt, dass ein entsprechendes System in der Lage sein muss, sofort alle überwachbaren 

Aktivitäten abzubrechen, falls das Überwachungssystem keine Sicherheitsereignisse generieren 

oder speichern kann. In Windows wird dies dadurch implementiert, dass das System 

angehalten wird (in Form eines Bluescreens), wenn das Überwachungssystem nicht in der 

Lage ist, Sicherheitsereignisse aufzuzeichnen. Wenn dieser Fall eintritt, können nur Administratoren 

sich anmelden, nachdem das System neu gestartet ist. Dies gilt so lange, bis das 

Sicherheitsereignisprotokoll geleert und die Bedingung beseitigt wurde, die den Fehler ausgelöst 

hat. 

Verwenden Sie diese Einstellung nur, wenn sie unbedingt gebraucht wird. Sie kann einen 

möglichen Repudiation-Angriff in einen wirksamen Denial-of-Service-Angriff verwandeln. 

CrashOnAuditFail hat drei Zustände: 

Das Feature ist nicht aktiviert. 

Das Feature ist aktiviert, aber das System wurde noch nicht angehalten. 

Das Feature ist aktiviert, das System wurde wegen eines Überwachungssystemfehlers 

angehalten und das System wurde neu gestartet. Nur Administratoren des Computers 

können sich anmelden. Bis CrashOnAuditFail auf aktiviert oder deaktiviert zurückgesetzt 

und das Protokoll geleert wurde, ist es normalen Benutzern nicht möglich, sich anzumelden. 

Die Einstellung FullPrivilegeAuditing bewirkt, dass für alle Privilegien außer SeAuditPrivilege 

Ereignisse zur Privilegiennutzung (sofern über Überwachungsrichtlinien aktiviert) 

generiert werden. Normalerweise werden für die folgenden Privilegien keine Privilegiennutzungsereignisse 

generiert: 

Auslassen der durchsuchenden Überprüfung (SeChangeNotifyPrivilege) 

Debuggen von Programmen (SeDebugPrivilege) 

Erstellen eines Tokenobjekts (SeCreateTokenPrivilege) 

Ersetzen eines Tokens auf Prozessebene (SeAssignPrimaryTokenPrivilege) 

Generieren von Sicherheitsüberwachungen (SeAuditPrivilege) 

Sichern von Dateien und Verzeichnissen (SeBackupPrivilege) 

Wiederherstellen von Dateien und Verzeichnissen (SeRestorePrivilege) 

Diese Privilegien werden ignoriert, weil sie von normalen Betriebssystemfunktionen und 

Anwendungen sehr häufig verwendet werden. Im Fall der Privilegien zum Sichern und Wiederherstellen 

treten sie auch in großen Mengen kurz hintereinander auf, wenn eine entsprechende 

Operation ausgeführt wird. Und würde das Privileg zum Generieren von Überwachungsereignissen 

selbst überwacht, würde sich das Protokoll mit diesem Ereignis füllen; 

daher wird SeAuditPrivilege niemals überwacht. Sie können es sich folgendermaßen vorstellen: 

Jedes Ereignis im Sicherheitsereignisprotokoll ist auch ein Privilegiennutzungsereignis 

zu SeAuditPrivilege. Jedenfalls ist dies eine weitere Einstellung, die Sie wahrscheinlich 

nicht aktivieren sollten, sofern dafür keine zwingenden Gründe vorliegen. 

Die Einstellungen AuditBaseObjects und AuditBaseDirectories bewirken, dass benannte 

Kernelobjekte (zum Beispiel Mutexe und Semaphore) SACLs zugewiesen bekommen, wenn 

sie erstellt werden. AuditBaseDirectories wirkt sich auf Containerobjekte aus, AuditBase- 

Objects auf Objekte, die keine anderen Objekte enthalten können. Basisobjekte (engl. base 

object) werden normalerweise benutzt, um Aktivitäten zwischen zwei Prozessen zu synchronisieren. 

Die meisten Kernelobjekte sind nicht benannt, sie werden nur über eine Zahl


angesprochen, das sogenannte Handle. Handles sind in einem bestimmten Prozess einmalig, 

daher können Prozesse keine unbenannten Kernelobjekte sehen, die sie nicht selbst erstellt 

haben, und auch nicht darauf zugreifen. Benannte Kernelobjekte sind für andere Prozesse 

sichtbar, sofern ein Prozess keinen privaten Namespace anfordert. Falls benannte Kernelobjekte 

nicht ausreichend geschützt werden, bergen sie die Gefahr, dass ein böswilliger 

Prozess sie manipuliert, wodurch Fehler in den Prozessen ausgelöst werden könnten, die 

diese Objekte normalerweise einsetzen. Dies wird als Squatting-Angriff bezeichnet. Audit- 

BaseObjects und AuditBaseDirectories stehen zur Verfügung, damit Sie den Zugriff auf 

diese Objekte überwachen und Squatting-Angriffe im Protokoll erkennen können. 

Das Hauptproblem bei AuditBaseObjects und AuditBaseDirectories ist, dass sie sehr viele 

Überwachungsdaten generieren können, weil im Rahmen des normalen Betriebs viele Zugriffe 

auf diese Objekte stattfinden. Die angewendeten SACLs sind fest einprogrammiert 

und können vom Benutzer nicht verändert werden. In Windows Vista und Windows Server 

2008 wurden sie so verändert, dass nur Schreibzugriffe auf diese Objekte überwacht werden, 

sodass sich die Menge der generierten Ereignisse gegenüber älteren Versionen deutlich verringert. 

Eine andere Einschränkung des SACL-Mechanismus ist, dass SACLs während der 

gesamten Lebensdauer des Objekts existieren. Sie werden angewendet, wenn das Objekt 

erstellt wird, was bei Systemobjekten während des Systemstarts und bei Prozessen, die ihre 

eigenen Objekte erstellen, während der Initialisierungsphase ist. Die SACLs ändern sich 

nicht, bis das Objekt zerstört wird, was normalerweise beim Herunterfahren des Systems 

(für Systemobjekte) oder Beenden des Prozesses passiert, der das Objekt erstellt hat. Das 

bedeutet also, dass Sie neu starten müssen, um AuditBaseObjects oder AuditBaseDirectories 

zu aktivieren oder deaktivieren. 

Abbildung 8.8 Untersuchen eines Objekts im Process Explorer


Es gibt keinen zentralen Informationsspeicher über Kernelobjekte. Die meisten Softwarehersteller 

veröffentlichen diese Art von Informationen nicht, weil sie die interne Funktionsweise 

der Software betreffen und nicht vom Benutzer konfiguriert werden können. Selbst wenn Sie 

AuditBaseObjects oder AuditBaseDirectories aktivieren, werden Sie wahrscheinlich sehen, 

dass es schwierig oder sogar unmöglich ist festzustellen, was ein bestimmtes Objekt tut oder 

wofür es verwendet wird. Sie können nur darauf hoffen, dass der Name des Objekts besonders 

aussagekräftig ist. Aus diesem Grund sollten Sie diese Einstellungen in Produktivumgebungen 

nur dann aktivieren, wenn es unbedingt nötig ist. Sie können sich Basisobjekte 

im Process Explorer (Abbildung 8.8.) ansehen, den Sie von Microsofts SysInternals-Website 

unter http://www.microsoft.com/technet/sysinternals/SystemInformation/Process 

Explorer.mspx herunterladen können. 

Verbesserungen an Überwachungsrichtlinien 

Neben dem GAP-Feature wurde in Windows Server 2008 eine Reihe kleinerer Verbesserungen 

an den Überwachungsrichtlinien vorgenommen. 

Benutzerspezifische Überwachungsrichtlinien 

Windows XP führte einen Mechanismus ein, um benutzerspezifische Ausnahmen für 

Überwachungsrichtlinien festzulegen, die sogenannte benutzerspezifische Überwachung 

(engl. per user selective audit oder per-user auditing). In Windows Vista und Windows 

Server 2008 gibt es diesen Mechanismus weiterhin, und er wurde enger in den Überwachungsrichtlinienmechanismus 

integriert: Wo früher separate Tools erforderlich waren, 

um benutzerspezifische Überwachungsrichtlinien festzulegen, können jetzt für benutzerspezifische 

und Systemüberwachungsrichtlinien dieselben Tools (und ihre zugrunde liegenden 

APIs) verwendet werden. 

Delegieren von Überwachungsrichtlinien 

Ein Windows-System erledigt sechs Aufgaben im Bereich der Überwachungsrichtlinien: 

Prüfen des Sicherheitsereignisprotokolls 

Löschen des Sicherheitsereignisprotokolls 

Prüfen der Überwachungsrichtlinieneinstellungen 

Festlegen der Überwachungsrichtlinien 

Prüfen von SACLs 

Festlegen von SACLs 

Seit der Einführung von Windows NT wurden alle sechs Aufgaben zusammen delegiert, 

dafür wurde das Privileg Verwalten von Überwachungs- und Sicherheitsprotokollen 

(SeSecurityPrivilege) definiert. 

In Windows Server 2003 wurde ein Mechanismus eingeführt, um die Berechtigungen in 

Ereignisprotokollen über den Registrierungswert CustomSD festzulegen. (Weitere Informationen 

finden Sie im Microsoft Knowledge Base-Artikel 323076.) Ereignisprotokollberechtigungen 

erlauben es, die ersten beiden Aufgaben getrennt von den anderen, getrennt 

voneinander und unabhängig von SeSecurityPrivilege zu delegieren. 

In Windows Vista und Windows Server 2008 wurde ein neuer Mechanismus für die 

Delegierung von Überwachungsrichtlinien eingeführt. Er erlaubt es, das Recht zum Prüfen 

und/oder Einstellen von Überwachungsrichtlinien getrennt von den übrigen Aufgaben

Entwerfen einer guten Überwachungsrichtlinie 229 

zu delegieren. Dieser Mechanismus ist in Form einer ACL direkt in den Überwachungsrichtlinien 

implementiert. 

In der Standardeinstellung hat nur VORDEFINIERT\Administratoren das Recht, Überwachungsrichtlinien 

einzustellen und anzusehen. Das bedeutet, dass sich der Standardzugriff 

auf Überwachungsrichtlinien gegenüber älteren Versionen nicht verändert hat. 

Sie können die Überwachungsrichtlinien-ACL mithilfe des Befehlszeilentools Audit- 

Pol.exe anpassen. Falls die ACL versehentlich falsch konfiguriert wird, kann sie mit 

AuditPol.exe von jedem Benutzer zurückgesetzt werden, der das Privileg SeSecurity- 

Privilege besitzt. 

Entwerfen einer guten Überwachungsrichtlinie 

Sie können das Überwachungsfeature wirksam nutzen, wenn Sie eine Überwachungsrichtlinie 

entwickeln, die einerseits die Ereignisse generiert, für die Sie sich interessieren, und 

andererseits so wenig Ereignisse erzeugt, dass Sie die entstehenden Protokolle mit vertretbaren 

Aufwand verwalten können. 

Viele Administratoren, die das Feature vorher noch nicht genutzt haben, aktivieren erst einmal 

sämtliche Überwachungsrichtlinien. Nach kurzer Zeit stellen sie dann entsetzt fest, dass 

eine Unmenge von Ereignissen generiert wird. 

Wie bei jeder anderen Form von Sicherheitsrichtlinie erreichen Sie die effektivsten Ergebnisse, 

wenn Sie analysieren, welche Sicherheitsbedrohungen Sie am meisten betreffen, und 

geeignete Richtlinieneinstellungen bereitstellen, um diese Bedrohungen abzuwehren. 

Die Versuchung ist groß, bei der Auswahl von Überwachungsrichtlinieneinstellungen genauso 

vorzugehen wie beim Blättern in einem Versandhauskatalog oder in der Speisekarte eines 

Restaurants. Viele der Einstellungen sehen gut aus, und nichts hindert Sie daran, alle auszuwählen. 

Aber wie bereits erwähnt, kann Windows vermutlich viel mehr Überwachungsdaten 

generieren, als Sie auswerten können. Indem Sie sorgfältig genau die Ereignisse auswählen, 

die Ihre Sicherheitsgefahren abdecken, erzielen Sie letztlich wahrscheinlich viel bessere 

Ergebnisse. 

Auf der Begleit-CD zu diesem Buch finden Sie Dateien, mit denen Sie Überwachungsereignisse 

den Kategorien und Unterkategorien von Überwachungsrichtlinien zuordnen können, 

die diese Ereignisse ausgelöst haben. Sie können diese Daten zur Unterstützung bei der 

Planung Ihrer eigenen Überwachungsrichtlinieneinstellungen nutzen. 

Sobald Sie Ihre Überwachungsrichtlinien ausgewählt haben, sollten Sie sie auf einer kleinen 

Zahl von Produktivcomputern hosten und prüfen, wie groß die entstehenden Sicherheitsprotokolle 

werden. Sollten Sie feststellen, dass die Datenmenge für Ihren Geschmack zu groß 

ist, sollten Sie versuchen, weniger aggressive Überwachungseinstellungen zu verwenden. 

Die Ereignisanzeige ist ein sehr nützliches Tool in Windows Server 2008, wenn Sie genau 

feststellen wollen, welche Richtlinieneinstellungen die meisten aufgezeichneten Überwachungsereignisse 

verursachen. Im Hauptfenster der Ereignisanzeige können Sie Ereignisse 

anhand von Aufgabenkategorie (dasselbe wie Unterkategorie), Ereignisquelle, Ereignis-ID 

und anderen Attributen gruppieren, woraufhin Sie angezeigt bekommen, wie viele Einträge 

jede Gruppe enthält (Abbildung 8.9). Falls Sie ein Ereignis finden, das sehr viele Einträge 

verursacht, sollten Sie sich einige Einzelereignisse ansehen und prüfen, ob das Ereignis


tatsächlich nützliche Informationen liefert. Ist das nicht der Fall, können Sie überlegen, ob 

Sie nicht die Richtlinie deaktivieren, die bewirkt, dass dieses Ereignis generiert wird. 

Abbildung 8.9 Die Ereignisanzeige kann Sicherheitsereignisse anhand von Aufgabenkategorien 

gruppieren 

Wenn Sie Ihre Überwachungsrichtlinien ausgewählt, getestet und optimiert haben, können 

Sie sich daran machen, die Richtlinien bereitzustellen. 

Falls Sie Hilfe beim Entwickeln von Überwachungsrichtlinien benötigen, lesen Sie im Windows 

Server 2008 Security Guide die Empfehlungen für Überwachungsrichtlinien. Sie finden 

dieses Buch auf der TechNet Security-Website unter http://www.microsoft.com/technet/ 

security/guidance. 

Neue Ereignisse in Windows Server 2008 

Windows Server 2008 hat gegenüber älteren Windows-Versionen deutliche Änderungen an 

den Ereignissen im Sicherheitsereignisprotokoll aufzuweisen. 

Wenn Sie sich die Ereignisanzeige ansehen, dürfte Ihnen als Erstes auffallen, dass die 

Nummern der Ereignis-IDs ganz anders aussehen. Die Sicherheitsereignisse wurden neu 

nummeriert und auch umstrukturiert. Falls Sie viele Nummern von Sicherheitsereignis-IDs 

in Windows auswendig wissen, ist dieses Wissen aber nicht nutzlos geworden. Im Allgemeinen 

ist die Ereignis-ID eines Sicherheitsereignisses in Windows Server 2008 um den Wert 

4096 höher als das entsprechende Ereignis in Windows Server 2003. Zum Beispiel wurde 

das Ereignis zu einer erfolgreichen Anmeldung, ID 528 in Windows Server 2003, zum Ereignis 

4624 in Windows Server 2008 (528 + 4096 = 4624). Und das Ereignis zum Ändern

Neue Ereignisse in Windows Server 2008 231 

der Systemzeit, vorher mit der Ereignis-ID 520, hat jetzt in Windows Server 2008 die Ereignis-ID 

4616. 

Als Nächstes dürfte Ihnen auffallen, dass die Informationen zu den Ereignissen in der Ereignisanzeige 

etwas anders aufgebaut sind. Falls Sie mit den Ereignissen in älteren Windows- 

Versionen sehr vertraut sind, werden Sie auch bemerken, dass viele Ereignisse zusätzliche 

Felder enthalten. Sehen wir uns zum Beispiel das Ereignis zu einer erfolgreichen Anmeldung 

in Windows Server 2003 und das entsprechende Ereignis in Windows Server 2008 

genauer an. 

Windows Server 2003: 

Erfolgreiche Anmeldung: 

Benutzername: Administrator 

Domäne: CONTOSO 

Anmeldekennung: (0x0,0x13CC2) 

Anmeldetyp: 7 

Anmeldevorgang: User32 

Authentifizierungspaket: Negotiate 

Name der Arbeitsstation: DC 

Anmelde-GUID: {00000000-0000-0000-000000000000} 

Aufruferbenutzername: DC$ 

Aufruferdomäne: CONTOSO 

Aufruferanmeldekennung: (0x0,0x3E7) 

Aufruferprozesskennung: - 

Übertragene Dienste: - 

Quellnetzwerkadresse: 127.0.0.1 

Quellport: 0 

Windows Server 2008: 

Ein Konto wurde erfolgreich angemeldet. 

Antragsteller: 

Sicherheits-ID: SYSTEM 

Kontoname: DC$ 

Kontodomäne: CONTOSO 

Anmelde-ID: 0x3e7 

Anmeldetyp: 7 

Neue Anmeldung: 

Sicherheits-ID: CONTOSO\Administrator 

Kontoname: Administrator 


Anmelde-ID: 0x16d30b 

Anmelde-GUID: {00000000-0000-0000-0000-000000000000} 

Prozessinformationen: 

Prozess-ID: 0x20c 

Prozessname: C:\Windows\System32\winlogon.exe


Netzwerkinformationen: 

Arbeitsstationsname: DC 

Quellnetzwerkadresse: 127.0.0.1 

Quellport: 0 

Detaillierte Authentifizierungsinformationen: 

Anmeldeprozess: User32 

Authentifizierungspaket: Negotiate 

Übertragene Dienste: - 

Paketname (nur NTLM): - 

Schlüssellänge: 0 

Sie sehen mehrere deutliche Änderungen in diesem Ereignis. Erstens wurde das Ereignisformat 

so geändert, dass Sie die gesuchten Informationen einfacher und schneller finden 

können. Ähnliche Informationen wurden für die Anzeige in Abschnitten zusammengefasst. 

Ein Standardabschnitt, Antragsteller, wurde in den meisten Ereignissen hinzugefügt, um die 

Rolle des Benutzers deutlicher zu machen. Der Antragsteller ist das Konto, das dafür verantwortlich 

ist, dass dieses Ereignis generiert wurde. Es ist das Konto, das die überwachte 

Aktivität ausgeführt hat. In diesem Fall ist es SYSTEM. Warum? Weil die Aktivität nicht 

»ein Benutzer hat sich angemeldet« ist. Die Aktivität ist »ein Benutzerkonto wurde angemeldet«, 

also im Passiv. Ein Prozess, der als SYSTEM läuft (in diesem Fall WinLogon), hat 

die Anmeldung angefordert. Ein weiterer Satz von Feldern beschreibt den Benutzer, der 

angemeldet wurde. 

Anschließend führen Ereignisse automatisierungsfreundliche Zuordnungsfelder und für 

Menschen leicht lesbare Textfelder auf. Zum Beispiel wird die Prozess-ID (PID) durch den 

Prozesspfad ergänzt. 

Die Ereignisanzeige scheint den Namen des Benutzerkontos zweimal anzuzeigen, aber in 

Wirklichkeit ist das erste Exemplar jedes Kontos als Sicherheits-ID (SID, siehe Kapitel 1, 

»Subjekte, Benutzer und andere Akteure«) gespeichert, das zweite als Name. Die Ereignisanzeige 

übersetzt die SID automatisch in einen Kontonamen, wo immer das möglich ist. 

Weil die Namen aber zusätzlich auch in Textform gespeichert sind, wird der Name (und die 

unübersetzte SID) auch dann angezeigt, wenn Sie sich an einem anderen Computer anmelden, 

wo die Übersetzung nicht möglich ist, oder wenn das Konto gelöscht wurde. Wenn 

Namen nicht aufgelöst werden konnten, war das in Vorgängerversionen bei der Auswertung 

des Sicherheitsprotokolls ein häufiges Ärgernis. 

Es wurden weitere Informationen hinzugefügt. Beträfe dieses Beispiel eine NTLM-Anmeldung, 

würde das jeweilige NTLM-Protokoll aufgelistet (LM, NTLM V1 oder NTLM V2), 

und falls ein NTLMv2-Sitzungsschlüssel ausgehandelt worden wäre, würde die Schlüssellänge 

ausgegeben werden. Das hilft Ihnen, wenn Sie die Migration in eine Umgebung ohne 

NTLM planen und im Vorfeld herausfinden möchten, welche Folgen das hat. 

Eine Reihe kleinerer, aber wichtiger Änderungen am Format wurden durchgeführt. Zum 

Beispiel wird das Feld Anmelde-ID nicht mehr wie in älteren Versionen als oberes und unteres 

DWORD angegeben, zum Beispiel »(0x0,0x16d30b)«. Das Komma bewirkte, dass dieses 

Feld schlecht auszuwerten war. Stattdessen wird das Feld jetzt als Einzelwert in hexadezimaler 

Notation angezeigt. Prozess-IDs werden ebenfalls hexadezimal angezeigt.


Eine andere wichtige Änderung ist, dass in den Ereignissen über Registrierungs- und Active 

Directory-Objektzugriffe die bisherigen und neuen Werte aufgeführt werden: 

Ein Registrierungswert wurde geändert. 


Sicherheits-ID: CONTOSO\Administrator 



Anmelde-ID: 0x31e01 

Objekt: 

Objektname: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 

Name des Objektwerts: StartupProgram 

Handle-ID: 0x118 

Vorgangstyp: Ein vorhandener Registrierungswert wurde geändert 

Prozessinformationen: 

Prozess-ID: 0xa58 

Prozessname: C:\Windows\regedit.exe 

Informationen zur Änderung: 

Typ des alten Werts: REG_SZ 

Alter Wert: C:\Windows\System32\windows_component.exe 

Typ des neuen Werts: REG_SZ 

Neuer Wert: C:\Windows\System32\malware.exe 

In diesem Fall verrät uns das Ereignis, dass Administrator einen Wert namens StartupProgram 

im Registrierungsschlüssel Run geändert hat (dieser Schlüssel listet Programme auf, 

die automatisch ausgeführt werden, wenn sich ein Benutzer interaktiv anmeldet). Der normale 

Wert, der auf Windows_component.exe verweist, wurde ersetzt und verweist jetzt auf 

Malware.exe. 

Es gibt viele neue Ereignisse in Windows Server 2008. Die Tabellen 8.1 bis 8.8 führen die 

wichtigsten auf. 

Tabelle 8.1 Änderungen am Verzeichnisdienst 

Ereignis-ID Beschreibung 

5136 Ein Verzeichnisdienstobjekt wurde geändert. 

5137 Ein Verzeichnisdienstobjekt wurde erstellt. 

5138 Die Löschung eines Verzeichnisdienstobjekts wurde rückgängig gemacht. 

5139 Ein Verzeichnisdienstobjekt wurde verschoben. 

5141 Ein Verzeichnisdienstobjekt wurde gelöscht.


Tabelle 8.2 Netzwerkrichtlinienserver (diese Ereignisse unterstützen den Internetauthentifizierungsdienst, 

den RADIUS-Server in Windows Server und das Netzwerkzugriffsschutzfeature) 


6272 Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff gewährt. 

6273 Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verboten. 

6274 Der Netzwerkrichtlinienserver hat die Anforderung eines Benutzers verworfen. 

6275 Der Netzwerkrichtlinienserver hat die Kontoführungsanforderung eines Benutzers verworfen. 

6276 Der Netzwerkrichtlinienserver hat einen Benutzer in Quarantäne gestellt. 

6277 Der Netzwerkrichtlinienserver hat einem Benutzer Zugriff gewährt, aber nur vorläufig, weil der Host die 

definierte Integritätsrichtlinie nicht erfüllt. 

6278 Der Netzwerkrichtlinienserver hat einem Benutzer vollständigen Zugriff gewährt, weil der Host die 

definierte Integritätsrichtlinie erfüllt. 

6279 Der Netzwerkrichtlinienserver hat das Benutzerkonto gesperrt, weil Authentifizierungsversuche 

mehrfach fehlgeschlagen sind. 

6280 Der Netzwerkrichtlinienserver hat das Benutzerkonto entsperrt. 

Tabelle 8.3 Aufgabenplanungsereignisse (andere Objektzugriffsversuchsereignisse) 


4698 Eine geplante Aufgabe wurde erstellt. 

4706 Eine geplante Aufgabe wurde deaktiviert. 

4707 Eine geplante Aufgabe wurde aktualisiert. 

Tabelle 8.4 Low-Level-Ereignisse der Windows-Firewall (Filterungsplattform) 


5031 Der Windows-Firewalldienst hat verhindert, dass eine Anwendung eingehende Verbindungen im 

Netzwerk annimmt. 

5152 Die Windows-Filterplattform hat ein Paket blockiert. 

5153 Ein restriktiverer Windows-Filterplattformfilter hat ein Paket blockiert. 

5154 Die Windows-Filterplattform hat einer Anwendung oder einem Dienst erlaubt, einen Port nach 

eingehenden Verbindungen zu überwachen. 

5155 Die Windows-Filterplattform hat verhindert, dass eine Anwendung oder ein Dienst einen Port nach 

eingehenden Verbindungen überwacht. 

5156 Die Windows-Filterplattform hat eine Verbindung erlaubt. 

5157 Die Windows-Filterplattform hat eine Verbindung blockiert. 

5158 Die Windows-Filterplattform hat die Bindung an einen lokalen Port erlaubt. 

5159 Die Windows-Filterplattform hat die Bindung an einen lokalen Port blockiert.

Tabelle 8.5 ACL-Änderungsereignisse (Überwachungsrichtlinienänderung, 

ressourcenmanagerspezifische Unterkategorie) 


4715 Die Überwachungsrichtlinien (SACL) für ein Objekt wurden geändert. 

4670 Berechtigungen für ein Objekt wurden geändert. 

Tabelle 8.6 Dateifreigabezugriffsereignisse 


5140 Es wurde auf ein Netzwerkfreigabeobjekt zugegriffen. 

Tabelle 8.7 RPC-Ereignisse 


5712 Ein Remoteprozeduraufruf (Remote Procedure Call, RPC) wurde versucht. 


Tabelle 8.8 Anmeldeereignisse im Bereich der Computernutzung (andere Anmelde/Abmeldeereignisse) 


4778 Eine Sitzung wurde erneut mit einer Arbeitsstation verbunden. 

4779 Eine Sitzung wurde von einer Arbeitsstation getrennt. 

4800 Die Arbeitsstation wurde gesperrt. 

4801 Die Arbeitsstation wurde entsperrt. 

4802 Der Bildschirmschoner wurde aktiviert. 

4803 Der Bildschirmschoner wurde abgeschaltet. 

Außerdem gibt es neue Ereignisse für die folgenden Ereignistypen: 

Kryptografieereignisse (Systemintegrität) 

IPsec-Ereignisse (völlig neu implementiert) 

Ereignisse zu Firewallrichtlinienänderungen (Richtlinienänderungen in MPSSVC- 

Regelebenen) 

Ereignisse zu Richtlinienänderungen an der Filterungsplattform 

Die Gesamtzahl der Ereignisse im Bereich Sicherheit ist von etwa 200 in Windows Server 

2003 auf über 350 in Windows Server 2008 gestiegen. Viele Aktivitäten können jetzt zum 

ersten Mal überwacht werden. Auf der Begleit-CD finden Sie Dateien mit der vollständigen 

Liste aller Ereignisse in Windows Server 2008. Sie können eine solche Liste auch selbst 

erstellen, indem Sie an der Eingabeaufforderung das Tool WEvtUtil.exe aufrufen: 

C:>wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true 

/f:xml > %temp%\WS08_Sicherheitsereignisse.xml 

C:>notepad %temp%\WS08_Sicherheitsereignisse.xml


Analysieren von Ereignissen mit den eingebauten Tools 

Die Tools, mit denen Sie Ereignisse in Windows analysieren, wurden stark verbessert. Die 

Befehlszeilentools sind nun genauso leistungsfähig wie die grafischen Tools, und die grafischen 

Tools wurden deutlich ausgefeilter. Früher konnten Sie anhand von Headerfeldern 

filtern und einfache Suchfunktionen nutzen. Jetzt können Sie in beliebigen Feldern aller 

Ereignisse suchen. Und Ereignisse können als Text oder XML exportiert und analysiert werden, 

sodass Automatisierungsmöglichkeiten genutzt werden können, die früher viel arbeitsintensiver 

waren. 

Ereignisanzeige 

Wie bereits erwähnt, hat sich die Ereignisanzeige, das Hauptwerkzeug in Windows zum 

Analysieren von Ereignissen, in Windows Server 2008 gegenüber den früheren Versionen 

gewaltig verbessert. 

Wie in älteren Versionen zeigt die Ereignisanzeige eine Liste der Ereignisse an, wenn ein 

Protokoll ausgewählt wird. Sie können nach verschiedenen Feldern sortieren, indem Sie auf 

den gewünschten Spaltenkopf klicken. In der Ereignisanzeige von Windows Server 2008 

können Sie Ereignisse auf diese Weise auch gruppieren. 

Sehen wir uns diese Gruppierungsmöglichkeiten an einem kleinen Beispiel an. Klicken Sie 

in der Ereignisliste mit der rechten Maustaste auf den Kopf der Spalte Aufgabenkategorie 

und wählen Sie den Befehl Ereignisse nach dieser Spalte gruppieren. Nach einem Moment 

fasst die Ereignisanzeige alle Ereignisse anhand ihrer Unterkategorie zu Gruppen zusammen. 

Klicken Sie nun wieder mit der rechten Maustaste auf den Spaltenkopf Aufgabenkategorie 

und wählen Sie den Befehl Alle Gruppen reduzieren; Sie erhalten nun eine Ansicht 

wie in Abbildung 8.10. 

Sie können ein Protokoll filtern, indem Sie im linken Fensterabschnitt der Ereignisanzeige 

mit der rechten Maustaste auf den Protokollnamen klicken und den Befehl Aktuelles Protokoll 

filtern wählen. Daraufhin öffnet sich das Dialogfeld Aktuelles Protokoll filtern. Wählen 

Sie erst einmal nur die Windows-Überwachungsereignisse aus. Der Quellenname für diese 

Ereignisse lautet Microsoft Windows security auditing. Zeigen Sie die Liste der Ereignisquellen 

an, indem Sie die Dropdownliste Quellen aufklappen. Wählen Sie die Ereignisquelle 

aus, indem Sie das zugehörige Kontrollkästchen aktivieren, und klicken Sie dann irgendwo 

außerhalb der Liste. Abbildung 8.11 zeigt ein Beispiel, wie Ereignisse anhand der Ereignisquelle 

gefiltert werden. 

Jetzt können Sie den Filter so eng fassen, dass nur Ereignisse aus der Unterkategorie Anmelden 

angezeigt werden. Wie Sie sich erinnern werden, entspricht die »Unterkategorie« in den 

Überwachungsrichtlinien der »Aufgabenkategorie« in der Ereignisanzeige. Klicken Sie auf 

die Schaltfläche neben dem Feld Aufgabenkategorie, um die Dropdownliste aufzuklappen, 

und aktivieren Sie das Kontrollkästchen neben der Aufgabenkategorie Anmelden. Klicken 

Sie irgendwo außerhalb der Liste, um sie wieder einzuklappen. Abbildung 8.12 zeigt ein 

Beispiel, wie die Ereignisse anhand der Aufgabenkategorie gefiltert werden. 

Wenn Sie alles richtig gemacht haben, bekommen Sie nun nach einem Klick auf OK eine 

gefilterte Ereignisliste wie in Abbildung 8.13 angezeigt.

Analysieren von Ereignissen mit den eingebauten Tools 237 

Abbildung 8.10 Gruppieren von Sicherheitsereignissen in der Ereignisanzeige anhand der 

Aufgabenkategorie 

Abbildung 8.11 Filtern von Ereignissen in der Ereignisanzeige anhand der Ereignisquelle


Abbildung 8.12 Filtern von Ereignissen in der Ereignisanzeige anhand der Aufgabenkategorie 

Abbildung 8.13 Die Ereignisanzeige zeigt nur eine gefilterte Liste mit Anmeldeereignissen an


Das Dialogfeld zum Definieren der Filter ist zwar recht leistungsfähig, stellt aber nur einen 

Teil der Filterungsfähigkeiten des Ereignissystems zur Verfügung. Indem Sie XPATH nutzen, 

können Sie Ereignisse noch viel genauer filtern. 

Öffnen Sie das Dialogfeld Aktuelles Protokoll filtern erneut. Klicken Sie dann auf die Registerkarte 

XML oben im Dialogfeld. Der angezeigte XPATH-Ausdruck gibt die Optionen wieder, 

die Sie auf der Registerkarte Filter ausgewählt haben. Aktivieren Sie das Kontrollkästchen 

Manuell bearbeiten und klicken Sie im Bestätigungsdialogfeld auf Ja. Sie können nun 

den XPATH-Text editieren. Eine vollständige Beschreibung von XPATH würde den Umfang 

dieses Kapitels sprengen, aber es gibt eine simple Änderung, die Sie vornehmen können, um 

sich mit den Möglichkeiten vertraut zu machen. Sie können den Filterausdruck so ändern, 

dass nur interaktive Anmeldeereignisse angezeigt werden, also Ereignisse mit dem Anmeldetyp 

2. 

Der im Dialogfeld angezeigte XPATH-Ausdruck sieht so aus: 

 

 

*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] 

and Task = 12544]] 

 

 

Ändern Sie diesen Code so, dass er wie im folgenden Codeausschnitt aussieht. Dieses Listing 

wurde umbrochen, um es besser lesbar zu machen. XML ignoriert Leerräume (außerhalb 

von Stringliteralen, also Zeichenfolgen, die in Anführungszeichen eingeschlossen 

sind). Das Dialogfeld unterstützt übrigens das Kopieren und Einfügen über die Tastenkombinationen 

STRG+C und STRG+V, sodass Sie den Windows-Editor zum Bearbeiten des 

Codes verwenden können. 

 

 

 

*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and Task = 12544] 

and EventData[Data[@Name='LogonType'] = '2']] 

 

 

 

Klicken Sie auf OK, wenn Sie die Änderungen vorgenommen haben. Die Ereignisanzeige 

wendet den Filter an, woraufhin Sie nur noch interaktive Anmeldeereignisse angezeigt bekommen. 

Sehen Sie sich einige dieser Ereignisse an und überzeugen Sie sich, dass bei allen 

das Feld Anmeldetyp den Wert 2 hat. Falls Sie einen Fehler gemacht haben, informiert die 

Ereignisanzeige Sie darüber. Sie können dann im Menü Aktion den Befehl Filter löschen 

wählen, um den Filter zu entfernen, und neu beginnen. Abbildung 8.14 zeigt den XML- 

Filterausdruck.


Abbildung 8.14 Bearbeiten des XPATH-Filterausdrucks in der Ereignisanzeige 

XPATH für Anfänger 

Sie brauchen kein XPATH-Experte zu sein, um die Registerkarte XML im Filterdialogfeld 

der Ereignisanzeige zu nutzen. Normalerweise finden Sie am einfachsten einen Einstieg, 

wenn Sie folgendermaßen vorgehen: 

1. Geben Sie ein Ereignis, das Sie interessiert, im XML-Format aus, sodass sie seine 

Datenfeldfelder sehen können. 

2. Stellen Sie auf der Registerkarte Filter in der grafischen Benutzeroberfläche ein Ereignis 

zusammen, das dem gewünschten Ergebnis am nächsten kommt. 

3. Bearbeiten Sie das Select-Element in der Registerkarte XML so, dass es die Datenelemente 

mit den konkreten Werten auswählt, für die Sie sich interessieren. 

Der XPATH-Ausdruck im Select-Element wird als Abfolge von Pfaden für XML- 

Elemente zusammengesetzt. Sehen wir uns einen XPATH-Ausdruck als Beispiel an: 

*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and Task = 12544] and 

EventData[Data[@Name='LogonType'] = '2']] 

Dieser Ausdruck sucht nach XML, das folgendermaßen aussieht: 

 

 

12544 

 

 

2 


Woher wissen wir das? Erstens verrät der Stern am Anfang: »Alle Ereignisse, die folgende 

Kriterien erfüllen«. Anschließend verwendet der XPATH-Ausdruck eckige statt runde 

Klammern, um Elemente zu gruppieren, daher müssen wir sie sorgfältig zählen. XPATH 

meldet einen Fehler, wenn zu viele eckige Klammern vorhanden sind. 

Anschließend folgt dieser Ausdruck: 

System[ 

Das bedeutet, dass alle Elemente innerhalb des Ereignisses die Kriterien erfüllen, die den 

Namen »System« tragen. Im Windows-Ereignisschema gibt es immer ein -Element. 

Der nächste Ausdruck bedeutet, dass das -Element in dem gerade gefundenen 

Element () gesucht wird: 

Provider[@Name='Microsoft-Windows-Security-Auditing'] 

Das bedeutet, dass wir nur an -Elementen interessiert sind, bei denen das Attribut 

Name den Wert Microsoft-Windows-Security-Auditing hat. Dies ist der Standardname 

des Überwachungsereignisanbieters in Windows. Achten Sie genau auf die schließende 

eckige Klammer (]) hinter der @Name-Klausel. Der nächste Teil der Abfrage ist ein and- 

Ausdruck. Das bedeutet, dass wir mit dem -Element fertig sind. 

Der nächste Teil der Abfrage verrät, dass wir das untergeordnete -Element im 

-Element suchen (mit sind wir ja bereits fertig): 

and Task=12544] 

Nur Task-Elemente mit dem Wert 12544 erfüllen also die Kriterien. Beachten Sie auch, 

dass wir den Elementwert vergleichen, nicht ein Attribut. Die schließende Klammer verrät, 

dass wir mit dem -Element fertig sind. Passen Sie immer auf, welche Klammer 

sich auf welches Element bezieht. 

Die nächste Klausel ist etwas komplexer, aber sie ist wichtig. Hier bekommen Sie nämlich 

die Informationen aus dem Data-Abschnitt von Ereignissen: 

and EventData[ 

Das verrät uns, dass wir das untergeordnete -Element im Ereignis suchen. 

Das nächste Stück erledigt praktisch die ganze Arbeit: 

Data[@Name='LogonType'] = '2'] 

Das besagt im Wesentlichen: Suche -Elemente mit dem Wert 2, aber nur, falls sie 

ein Attribut namens Name mit dem Wert LogonType haben. Das ist ein wirklich komplexer 

Weg, in XML zu beschreiben, dass wir Ereignisse suchen, bei denen LogonType=2 ist. 

Die letzte schließende Klammer am Ende des Ausdrucks schließt den Abschnitt für das 

-Element im XPATH-Ausdruck ab. 

Schließlich wird der gesamte Ausdruck mit einer schließenden Klammer beendet. Wenn 

Sie die Klammern zählen, stellen Sie fest, dass es gleich viel öffnende und schließende 

Klammern gibt. Jetzt brauchen Sie den Ausdruck nur noch auszuprobieren!


WEvtUtil 

Das Befehlszeilenprogramm EventQuery aus Windows Server 2003 wurde mit einem neuen 

Tool namens WEvtUtil ersetzt. WEvtUtil kann das gesamte Ereignissystem über die Eingabeaufforderung 

verwalten. 

Bearbeiten Sie die XPATH-Abfrage aus dem vorherigen Beispiel im Windows-Editor. (Sie 

können den Filter anzeigen und ihn mit der Tastenkombination STRG+C in die Zwischenablage 

kopieren.) Sie können WEvtUtil eine XML-Datei als Eingabe übergeben, aber in diesem 

Fall verwenden Sie nur den Filterausdruck. 

 

 

 

*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and Task = 12544] 

and EventData[Data[@Name='LogonType'] = '2']] 

 

 

 

Bearbeiten Sie diesen Text und entfernen Sie die XML-Tags. Es darf nur der reine Filterausdruck 

übrig bleiben (der Text zwischen den -Tags). Entfernen Sie alle Zeilenumbrüche 

aus dem Text. 

*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and Task = 12544] and 

EventData[Data[@Name='LogonType'] = '2']] 

Kopieren Sie den fertigen Text in die Zwischenablage und öffnen Sie eine Eingabeaufforderung. 

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein. Sie können den 

XPATH-Ausdruck über das Anwendungsmenü (linke obere Ecke) der Eingabeaufforderung 

einfügen. Der vollständige Befehl sieht so aus: 

C:\>wevtutil qe Security /q:“*[System[Provider[@Name='Microsoft-Windows- Security-Auditing'] 

and Task = 12544] and EventData[Data[@Name= 'LogonType'] = '2']]” 

Wenn Sie die EINGABETASTE drücken, gibt WEvtUtil die Ereignisse im XML-Format an 

der Eingabeaufforderung aus. Sie können diese Ausgabe in eine Textdatei umleiten und mit 

einem anderen Programm ansehen. WEvtUtil stellt auch Befehlszeilenoptionen zur Verfügung, 

mit denen Sie die Ausgabe im Text- oder RenderedXML-Format generieren können. 

RenderedXML enthält neben dem XML des Ereignisses auch den Text. 

Beachten Sie, dass das XML, das WEvtUtil generiert, nicht ganz standardgerecht ist. Es hat 

keine XML-Deklaration und besteht normalerweise nicht aus einem Element. Falls Sie mit 

Automatisierung arbeiten, ist es unter Umständen sinnvoll, ein XMLDecl und ein Tag am Anfang 

der WEvtUtil-Ausgabe einzufügen und ein schließendes Tag am Ende anzufügen. So 

stellen Sie sicher, dass Ihre Automatisierungslösung standardgerechtes XML erhält. 


Auch wenn es einige Arbeit bedeutet, die Richtlinien zu entwerfen und die Einstellungen 

auszuwählen, ist es wahrscheinlich sehr sinnvoll, detaillierte Überwachungsrichtlinien bereitzustellen, 

falls Sie Windows Server 2008 oder Windows Vista in Ihrer Organisation einsetzen.


Aktivieren Sie gerade so viel Überwachung, dass Ihre Anforderungen erfüllt werden. Etwas 

Überwachung ist sinnvoll, aber wenn Sie alles aktivieren, bekommen Sie wahrscheinlich 

Schwierigkeiten, Ihre Sicherheitsereignisprotokolle bei einem solchen Umfang noch in den 

Griff zu bekommen. 

Aktivieren Sie die Überwachung, bevor ein Problem auftritt. Überwachungsereignisse treten 

auf, wenn eine überwachte Aktivität passiert. Falls eine solche Aktivität stattfindet, aber die 

Überwachung nicht aktiviert ist, ist das Ereignis für immer verloren. 

Und schließlich sollten Sie nicht erwarten, dass Überwachung ein Allheilmittel ist. Überwachung 

zeichnet auf, was im System passiert. Im Sicherheitsprotokoll befindet sich eine 

Menge nützlicher Informationen. Sie können alle Arten von Aktivitäten überwachen, wenn 

Sie vorausplanen. Aber Überwachung ist kein Privatdetektiv: Sie kann Ereignisse nicht beurteilen, 

und sie teilt Ihnen nicht mit: »Dieses Ereignis bedeutet, dass einer Ihrer Angestellten 

Ihre Daten stiehlt.« Das müssen Sie schon selbst herausfinden.

T E I L I I 

Implementieren von Identitäts- und 

Zugriffssteuerung mit Active Directory 


Kapitel 9: Optimieren der Active Directory-Domänendienste für Sicherheit ............ 247 

Kapitel 10: Implementieren der Active Directory-Zertifikatdienste ................... 273 

Kapitel 11: Implementieren der Active Directory-Rechteverwaltungsdienste ............ 291


Optimieren der Active Directory- 

Domänendienste für Sicherheit 

Von Jimmy Andersson 


Die neue Benutzeroberfläche ........................................... 248 

Der neue Assistent zum Installieren von Active Directory-Domänendiensten . ........... 250 

Schreibgeschützte Domänencontroller ..................................... 252 

Neustartfähige Active Directory-Domänendienste .............................. 258 

Active Directory-Datenbankbereitstellung ................................... 259 

AD DS-Überwachung . ................................................ 261 

Grundlagen von AD LDS .............................................. 266 

Grundlagen der Active Directory-Verbunddienste .............................. 269 



Als ich begann, mir die Active Directory-Domänendienste (Active Directory Domain Services, 

AD DS) in Windows Server 2008 anzusehen, wurde schnell klar, dass Microsoft sich 

darauf konzentriert hatte, die Sicherheit zu verbessern und die Bereitstellung und Verwaltung 

von AD DS einfacher zu machen. Ich beschreibe in diesem Kapitel mehrere neue Features, 

aber zuerst möchte ich Ihnen kurz dasjenige vorstellen, das ich für das wichtigste 

halte: den schreibgeschützten Domänencontroller (Read-Only Domain Controller, RODC). 

Sie fragen sich möglicherweise, warum ich diese Technologie für so wichtig halte. Ganz 

einfach: Die meisten meiner Kunden sind international tätige Organisationen mit mehreren 

Zweigstellen, die sich über die gesamte Welt verteilen. Die meisten davon sind lediglich 

Vertriebsbüros oder Produktionsstandorte mit geringer Bandbreite zum Zentralstandort, und 

oft ist in diesen Zweigstellen die physische Sicherheit der Domänencontroller sehr lax oder 

gar nicht vorhanden. 

In diesen Fällen ist es unverzichtbar, dass wir in der Lage sind, den Benutzern einerseits eine 

schnelle Anmeldung zu ermöglichen, aber andererseits auch zu steuern, was wir tatsächlich 

auf dem Domänencontroller (Domain Controller, DC) zur Verfügung stellen. Der RODC 

hilft Ihnen, Ihre DCs in Fällen wie diesen zu schützen. In den nächsten Abschnitten stelle 

ich die neuen Features genauer vor. 

247

248 Kapitel 9: Optimieren der Active Directory-Domänendienste für Sicherheit 

Die neue Benutzeroberfläche 

Microsoft-Kunden haben schon seit einiger Zeit eine einfacher bedienbare grafische Benutzeroberfläche 

für die Installation von AD DS gefordert. Jetzt gibt es einen aktualisierten 

Installationsassistenten und neue AD DS-Installationsoptionen. Microsoft stellt auch einige 

neue Verwaltungsoptionen für Features wie zum Beispiel einen RODC zur Verfügung, und 

nützliche Features wie die Möglichkeit, alle DCs in einem gesamten Großunternehmen zu 

finden. Wir Administratoren haben viel Zeit damit verbracht, Verbindungen zu einer Domäne 

nach der anderen herzustellen, um diesen ganz bestimmten DC zu finden, dessen Position 

wir vergessen hatten. Viele von uns haben die Microsoft Management Console (MMC) links 

liegen gelassen und stattdessen ein Skript geschrieben, das die gesamte Domänenhierarchie 

durchsucht. 

Ein anderes nettes Feature der neuen Benutzeroberfläche ist die Fähigkeit, ein Objekt direkt 

auf den Eigenschaftenseiten des Objekts vor einer versehentlichen Löschung zu schützen. 

Wenn Sie das Kontrollkästchen Objekt vor zufälligem Löschen schützen aktivieren (Abbildung 

9.1), wird die Sicherheitsbeschreibung so aktualisiert, dass ein Löschen des Objekts 

verhindert wird. Damit dieses Kontrollkästchen und die Registerkarte Objekt sichtbar sind, 

müssen Sie in der Konsole Active Directory-Benutzer und -Computer im Menü Ansicht den 

Befehl Erweiterte Features auswählen. 

Abbildung 9.1 Die neue Konsole Active Directory-Benutzer 

und -Computer enthält die Registerkarte Objekt, auf der Sie 

verhindern können, dass ein Objekt versehentlich gelöscht wird 

Dieses neue Feature hilft Ihnen, wichtige Objekte vor einer versehentlichen Löschung zu 

schützen. Falls Sie Administrator sind, können Sie das Kontrollkästchen jederzeit deaktivieren 

und das Objekt dann löschen. Aber dazu ist zumindest ein zusätzlicher Schritt erforderlich, 

um sich noch einmal zu überlegen, ob Sie das Objekt wirklich löschen wollen. Wenn

Die neue Benutzeroberfläche 249 

Sie eine neue Organisationseinheit (Organizational Unit, OU) anlegen, ist diese Einstellung 

standardmäßig aktiviert. 

Einer der größten Nachteile bei der Konsole Active Directory-Benutzer und -Computer in 

Vorgängerversionen war, dass Sie nicht alle verfügbaren Attribute zu einem Objekt angezeigt 

bekamen. Viele meiner Kunden verwenden mehr Attribute, als innerhalb der Konsole 

Active Directory-Benutzer und -Computer sichtbar sind. Das ließ ihnen zwei Möglichkeiten: 

Entweder sie schreiben ihre eigene grafische Benutzeroberfläche, um die Konsole Active 

Directory-Benutzer und -Computer zu erweitern, oder sie verwenden ADSIEdit.msc. Falls 

Sie keine Zeit oder Lust haben, eine neue oder erweiterte grafische Benutzeroberfläche zu 

entwickeln, bleibt Ihnen also nur ADSIEdit.msc. Damit Sie mich nicht falsch verstehen: Ich 

mag ADSIEdit.msc. Aber es ist nicht gerade das benutzerfreundlichste Tool, das ich je gesehen 

habe, besonders wenn Helpdesk-Personal Benutzer anlegen und dann Attribute zuweisen 

soll, die in der Konsole Active Directory-Benutzer und -Computer standardmäßig nicht 

angezeigt werden. Und wenn Sie in Eile sind, ist dabei schnell ein Fehler passiert. Schließlich 

dauert es auch noch sehr lange, ein bestimmtes Objekt zu finden, falls ein Container 

viele Objekte enthält. In der neuen Konsole Active Directory-Benutzer und -Computer gibt 

es eine zusätzliche Registerkarte namens Attribut-Editor, auf der die verfügbaren Attribute 

für das Objekt angezeigt werden. Sie können die Attribute also direkt in der Konsole Active 

Directory-Benutzer und -Computer bearbeiten. Sie müssen lediglich die Option Erweiterte 

Features im Menü Ansicht der Konsole Active Directory-Benutzer und -Computer aktivieren. 

Sie brauchen die Benutzeroberfläche nicht zu erweitern und keine speziellen Tools zu 

entwickeln – zumindest nicht für diesen Zweck. Abbildung 9.2 zeigt diese neue Registerkarte. 

Abbildung 9.2 Die neue Konsole Active Directory-Benutzer und 

-Computer enthält die Registerkarte Attribut-Editor, auf der Sie Attribute 

bearbeiten können, für die es keine einfache Schnittstelle gibt


Was mir sofort positiv auffiel, war die Tatsache, dass ich überhaupt nichts Besonderes tun 

musste, um die neuen Verbesserungen nutzen zu können. Sie alle stehen in der Standardeinstellung 

zur Verfügung. Auch wenn Sie für manche Features die Option Erweiterte Features 

in der Konsole Active Directory-Benutzer und -Computer oder ein Kontrollkästchen aktivieren 

müssen, stehen sie in der GUI zur Verfügung. Sehen wir uns ein Beispiel an: Nehmen 

wir an, Sie wollen die erweiterten Seiten im AD DS-Installationsassistent sehen; in diesem 

Fall brauchen Sie nur das Kontrollkästchen Installation im erweiterten Modus verwenden 

auf der Willkommen-Seite des Assistenten zu aktivieren (Abbildung 9.3.) 

Abbildung 9.3 Die neue Willkommen-Seite des AD DS-Installationsassistenten 

bietet die Möglichkeit, die Installation im erweiterten Modus durchzuführen 

Der neue Assistent zum Installieren von Active Directory- 

Domänendiensten 

Um AD DS zu installieren, verwenden Sie den Assistenten "Rollen hinzufügen". Weitere 

Informationen über Serverrollen finden Sie in Kapitel 12, »Schützen von Serverrollen«. Sie 

öffnen den Assistenten "Rollen hinzufügen", indem Sie im Fenster Aufgaben der Erstkonfiguration, 

das nach der Installation des Betriebssystems erscheint, auf Rollen hinzufügen 

klicken. Sie können den Assistenten "Rollen hinzufügen" auch im Server-Manager starten, 

den Sie im Untermenü Verwaltung des Startmenüs finden. 

Weitere Domänencontrolleroptionen Auf dieser Seite können Sie zusätzliche Optionen 

für den DC konfigurieren, zum Beispiel DNS, GC oder RODC (Abbildung 9.4.)

Der neue Assistent zum Installieren von Active Directory-Domänendiensten 251 

Abbildung 9.4 Die neue Seite im Assistenten zum Installieren von Active Directory 

stellt zusätzliche Optionen für die Domänencontrollerinstallation zur Verfügung 

Domäne auswählen Mit dieser Option können Sie die Domäne angeben, falls Sie 

einen weiteren DC installieren wollen. 

Standort auswählen Auf dieser Seite können Sie angeben, zu welchem Standort der 

DC nach der Installation gehören soll. 

Funktionsebene der Gesamtstruktur festlegen Wenn Sie den ersten DC in einer 

neuen Gesamtstruktur oder Domäne installieren, können Sie auf dieser Seite die Funktionsebene 

festlegen. 

Delegierung der Installation und Verwaltung des RODC Auf dieser Seite können 

Sie den Namen der Gruppe oder des Benutzers festlegen, an die Sie Administration und 

weitere Installation delegieren wollen. 

Richtlinie für die Kennwortreplikation angeben Auf dieser Seite können Sie festlegen, 

welche Kontokennwörter auf einem RODC zwischengespeichert werden dürfen und 

welche nicht. Diese Seite erscheint nur, falls Sie das Kontrollkästchen Installation im 

erweiterten Modus verwenden aktivieren. Siehe »Zwischenspeichern von Anmeldeinformationen« 

weiter unten in diesem Kapitel. 

DNS-Delegierung Abhängig davon, welchen Typ von DC-Installation Sie angegeben 

haben und wie Ihre DNS-Umgebung aufgebaut ist, erhalten Sie auf dieser Seite eine 

Standardoption angeboten, um eine DNS-Delegierung zu erstellen. 

Andere Änderungen an diesem Assistenten zeigen, dass Microsoft den Prozess zum Installieren 

eines Domänencontrollers so einfach und fehlerfrei wie möglich machen will. Zum 

Beispiel brauchen Sie den Domänennamen nicht einzugeben, wenn Sie einen weiteren 

Domänencontroller installieren. Stattdessen können Sie die Domäne in einer Strukturansicht 

auswählen. So besteht keine Gefahr, dass Sie sich beim Eingeben des Domänennamens 

vertippen. Außerdem verwendet der Assistent jetzt die Anmeldeinformationen des Benut-


zers, der momentan angemeldet ist, um die Installation abzuschließen (sofern der Benutzer 

mit einem Domänenkonto angemeldet ist). Natürlich haben Sie die Möglichkeit, bei Bedarf 

andere Anmeldeinformationen zu verwenden. Ein weiteres nettes Feature ist, dass am Ende 

des Assistenten eine Zusammenfassungsseite angezeigt wird, die Sie direkt in eine Antwortdatei 

exportieren können. Sie können diese Datei dann als Vorlage für andere Installationen 

und Deinstallationen hernehmen. Aus Sicherheitsgründen stehen nicht alle Informationen in 

der Antwortdatei zur Verfügung. Zum Beispiel wird das Kennwort für die Verzeichnisdienstwiederherstellung 

(Directory Services Restore Mode, DSRM) nicht mit in die Datei exportiert. 

Sie können die Antwortdatei so ändern, dass sie spezifische Werte enthält. Passen Sie 

dabei aber genau auf, weil die Datei in falsche Hände gelangen könnte. Bezüglich der Kennwörter 

empfehle ich, password=* in die Antwortdatei einzutragen, dann werden Sie beim 

Ausführen aufgefordert, das Kennwort einzugeben. 

Schreibgeschützte Domänencontroller 

Am Anfang des Kapitels habe ich bereits erwähnt, dass Microsoft seit Windows Server 2008 

einen neuen Typ Domänencontroller zur Verfügung stellt: den schreibgeschützten Domänencontroller 

(Read-Only Domain Controller, RODC). Mit dem RODC können Organisationen 

einen DC an Orten bereitstellen, wo die physische Sicherheit nicht garantiert werden kann. 

Ein RODC hostet schreibgeschützte Partitionen der AD DS-Datenbank. Das hat den großen 

Vorteil, dass Sie Ihre Umgebung besser schützen können. Bevor die Rolle des RODC zur 

Verfügung stand, hielt ich den DC in der Zweigstelle immer für den schwächsten Punkt. (In 

Kapitel 15, »Schützen von Zweigstellen«, wird genauer erklärt, was eine Zweigstelle ist und 

welche Auswirkungen die Verwendung eines RODC auf die Sicherheit hat.) Mit dieser neuen 

Rolle können wir nun die beschreibbaren DCs in den zentralen Standort mit einem richtigen 

Datencenter verlegen und die beschreibbaren DCs in der Zweigstelle durch RODCs ersetzen. 

Das verringert die Sicherheitsgefahren. 

Vor der Einführung des RODC mussten sich Benutzer in einer Zweigstelle bei einem DC im 

zentralen Standort über ein WAN (Wide Area Network) authentifizieren. Oder Sie stellten 

einen lokalen DC in der Zweigstelle bereit. Das war keine effiziente Lösung, weil kleine 

Standorte oft nicht die physische Sicherheit bieten, die ein beschreibbarer DC erfordert. Die 

Netzwerkbandbreite zwischen einer Zweigstelle und einem zentralen Standort ist jedoch oft 

schlecht. Das kann bei Zweigstellenbenutzern die Anmeldezeiten verlängern und den Zugriff 

auf Netzwerkressourcen behindern. Jetzt können Sie diese Probleme aber umgehen, indem 

Sie einen RODC in Ihren Zweigstellen bereitstellen. Damit bieten Sie Ihren Zweigstellenbenutzern 

folgende Vorteile: 

Verbesserte Sicherheit 

Schnellere Anmeldung 

Effizienterer Zugriff auf Ressourcen im Netzwerk 

Einer der wichtigsten Gründe für den Einsatz eines RODC ist meiner Meinung nach die 

ungenügende physische Sicherheit. Schließlich wissen wir alle, dass Computersicherheit bei 

der physischen Sicherheit beginnt. Wie kann ein RODC Ihnen hier helfen? Er bietet eine 

Möglichkeit, einen DC sicherer an Orten bereitzustellen, wo Sie schnelle und zuverlässige 

Authentifizierungsdienste brauchen, aber die physische Sicherheit nicht gewährleisten können. 

Das ist meiner Ansicht nach eine Grundvoraussetzung für den Einsatz eines beschreibbaren 

DCs. Ein anderes gutes Beispiel für den Einsatz eines RODCs ist ein Szenario, in dem

Schreibgeschützte Domänencontroller 253 

Sie spezielle Anforderungen haben, weil zum Beispiel eine Anwendung auf einem DC installiert 

sein muss. Oder wenn der einzige lokale Server im Standort der DC ist und Sie darauf 

auch Anwendungen hosten müssen. Der Besitzer einer Anwendung muss sich oft interaktiv 

an einem DC anmelden oder die Terminaldienste verwenden, um die Anwendung 

zu konfigurieren und zu verwalten. Das verursacht ein inakzeptables Sicherheitsrisiko auf 

einem beschreibbaren DC. Ein weiteres Beispiel ist ein Szenario, in dem die lokale Speicherung 

aller Domänenbenutzerkennwörter eine Bedrohung verursacht, zum Beispiel in einem 

Extranet oder wenn eine Anwendung zur Verfügung gestellt wird. Meiner Ansicht nach ist 

das wichtigste Einsatzgebiet für den RODC die Bereitstellung in Remote- oder Zweigstellenumgebungen. 

Schreibgeschützte AD DS-Datenbank 

Der RODC speichert alle Active Directory-Objekte und -Attribute, die auch ein beschreibbarer 

DC verwaltet, aber Sie können keine Änderungen an seiner Datenbank vornehmen. Sie 

müssen Änderungen auf einem beschreibbaren DC durchführen und sie dann zurück auf den 

RODC replizieren. Eine lokale Anwendung, die Lesezugriff auf das Verzeichnis anfordert, 

erhält diesen Zugriff. Eine Anwendung, die Schreibzugriff anfordert, bekommt als Antwort 

eine LDAP-Umleitung. Das bedeutet, dass die Anwendung von der Antwort auf einen beschreibbaren 

DC verwiesen wird, wo sie den gewünschten Zugriff erhalten kann. 

RODC-gefilterte Attributsätze 

Keine Attribute, die im RODC-gefilterten Attributsatz definiert sind, dürfen auf irgendwelche 

RODCs in der Gesamtstruktur repliziert werden. Falls Sie also Anwendungen haben, die 

mit AD DS Authentifizierungsdaten wie zum Beispiel Kennwörter, Anmeldeinformationen 

oder Verschlüsselungsschlüssel speichern, und Sie nicht wollen, dass diese Daten auf einem 

RODC gespeichert werden (weil er kompromittiert werden könnte), können Sie diesen Satz 

von Attributen dynamisch als Teil des gefilterten Attributsatzes im Schema für Domänenobjekte 

definieren. Der Attributsatz wird dann niemals auf irgendwelche RODC repliziert. 

Falls ein böswillige Benutzer einen RODC kompromittiert und versucht, ihn so zu konfigurieren, 

dass er Attribute repliziert, die im RODC-gefilterten Attributsatz liegen, wird die 

Replikationsanforderung verweigert, sobald der RODC das nächste Mal versucht, diese 

Attribute von einem Windows Server 2008-DC zu replizieren. Aber falls der RODC versucht, 

diese Attribute von einem Windows Server 2003-DC zu replizieren, wird die Replikationsanforderung 

zugelassen. Falls Sie den RODC-gefilterten Attributsatz verwenden wollen, 

sollten Sie sicherstellen, dass Ihre Gesamtstrukturfunktionsebene Windows Server 2008 

lautet. Falls die Gesamtstrukturfunktionsebene Windows Server 2008 ist, sind keine Windows 

Server 2003-DCs in der Gesamtstruktur erlaubt. Ein kompromittierter RODC lässt 

sich also nicht auf diese Weise missbrauchen. 

Um sicherzustellen, dass die AD DS-Funktionalität nicht von Hand fehlkonfiguriert wird, 

dürfen Sie keine systemkritischen Attribute zum RODC-gefilterten Attributsatz hinzufügen. 

Ein Attribut ist systemkritisch, falls es gebraucht wird, damit AD DS richtig funktioniert. 

Beispiele sind LSA (Local Security Authority), Sicherheitskontenverwaltung (Security Accounts 

Manager, SAM) und Microsoft-spezifische SSPIs (Security Service Provider Interface) 

wie etwa Kerberos. Bei einem systemkritischen Attribut ist der Attributwert schema- 

FlagsEx gleich 1 (schemaFlagsEx-Attributwert & 0x1 = TRUE).


Wenn Sie den RODC-gefilterten Attributsatz konfigurieren wollen, müssen Sie das auf dem 

Server tun, der die Rolle des Schemabetriebsmasters einnimmt. Falls Sie versuchen, ein 

systemkritisches Attribut zum RODC-gefilterten Satz hinzuzufügen, und der Schemamaster 

unter Windows Server 2008 läuft, gibt der Server den LDAP-Fehler unwillingToPerform 

zurück. Falls Sie versuchen, auf einem Windows Server 2003-Schemamaster ein systemkritisches 

Attribut zum RODC-gefilterten Attributsatz hinzuzufügen, scheint die Operation 

erfolgreich zu verlaufen, aber das Attribut wird nicht wirklich hinzugefügt. Aus diesem 

Grund – und um sicherzustellen, dass keine systemkritischen Attribute im RODC-gefilterten 

Attributsatz auftauchen – empfehle ich, die Schemamasterrolle auf einem Windows Server 

2008-DC zu betreiben, wenn Sie Attribute zu einem RODC-gefilterten Satz hinzufügen 

wollen. Auf der Begleit-CD finden Sie eine Microsoft Office Excel-Datei, die dieses Standardschema 

für Windows Server 2008 dokumentiert. 

Unidirektionale Replikation 

Weil wir nicht direkt in den RODC schreiben, stammen keine Änderungen aus dem RODC. 

Und das bedeutet auch, dass die beschreibbaren DCs, die Replikationspartner für den RODC 

sind, keine Änderungen vom RODC abzurufen brauchen. Das verringert die Belastung der 

Bridgeheadserver in der Zentralstelle und den Aufwand zum Überwachen der Replikation. 

Keinerlei Änderungen oder Zerstörungen, die ein böswilliger Benutzer an einem RODC 

vornimmt, können vom RODC in die übrige Gesamtstruktur repliziert werden. 

Die unidirektionale Replikation des RODCs gilt sowohl für AD DS- als auch DFS-Replikation 

(Distributed File System, Verteiltes Dateisystem). Der RODC führt die normale eingehende 

Replikation für AD DS- und DFS-Replikationsänderungen durch. 

Zwischenspeichern von Anmeldeinformationen 

Die Standardeinstellung für einen RODC lautet, ausschließlich Benutzer- oder Computeranmeldeinformationen 

für das Computerskonto des RODCs selbst und ein spezielles krbtgt- 

Konto für den RODC zu speichern. Jede weitergehende Zwischenspeicherung von Anmeldeinformationen 

auf dem RODC müssen Sie explizit konfigurieren. In Kapitel 15 finden Sie 

weitere Informationen zu diesem Thema. 

In Zweigstellen, die einen RODC haben, kündigt sich der RODC selbst als das Schlüsselverteilungscenter 

(Key Distribution Center, KDC) an, aber wenn er TGT-Anforderungen 

(Ticket-Granting Ticket) signiert oder verschlüsselt, verwendet der RODC ein anderes 

krbtgt-Konto und -Kennwort als das KDC auf einem beschreibbaren DC. 

Nach der erfolgreichen Authentifizierung eines Kontos versucht der RODC, Kontakt mit 

einem beschreibbaren DC im zentralen Standort aufzunehmen und eine Kopie der entsprechenden 

Anmeldeinformationen anzufordern. Der beschreibbare DC erkennt, dass diese 

Anforderung von einem RODC stammt, und prüft die gültige Kennwortreplikationsrichtlinie 

für diesen RODC (Abbildung 9.5). 

Die Kennwortreplikationsrichtlinie legt dann fest, ob die Anmeldeinformationen eines Benutzers 

oder Computers vom beschreibbaren DC auf den RODC repliziert werden können. 

Falls die Kennwortreplikationsrichtlinie dies erlaubt, repliziert der beschreibbare DC die 

Anmeldeinformationen in den RODC und der RODC legt sie für künftige Verwendung in 

einem Zwischenspeicher ab. Wenn die Anmeldeinformationen auf dem RODC zwischengespeichert 

wurden, kann der RODC direkt die Anmeldeanforderungen dieses Benutzers


bedienen, bis sich die Anmeldeinformationen ändern. Das bedeutet, dass die Daten nicht 

bei jeder Anmeldeanforderung über das WAN befördert werden müssen. Wenn ein TGT mit 

dem krbtgt-Konto des RODCs signiert ist, erkennt der RODC, dass er eine zwischengespeicherte 

Kopie der Anmeldeinformationen hat. Falls dagegen ein anderer DC das TGT signiert 

hat, leitet der RODC Anforderungen an einen beschreibbaren DC weiter. 

Abbildung 9.5 Die Standardrichtlinie für die Kennwortreplikation während einer RODC-Installation 

Sie sollten die Zwischenspeicherung von Anmeldeinformationen auf Benutzer beschränken, 

die tatsächlich auf dem RODC authentifiziert werden müssen. So dämmen Sie die Gefahr 

ein, dass bei einer Kompromittierung des RODCs viele Anmeldeinformationen bekannt 

werden. Ich empfehle Ihnen, nur für einen kleinen Teil der Domänenbenutzer die Zwischenspeicherung 

ihrer Anmeldeinformationen auf einem bestimmten RODC zu erlauben. Sollte 

der RODC gestohlen werden, können nur die Anmeldeinformationen geknackt werden, die 

dort zwischengespeichert wurden. Und in den meisten Fällen sind dies nur Domänenbenutzer, 

die keine privilegierten Rechte haben. Ein Administrator kann die Standardkennwortreplikationsrichtlinie 

so ändern, dass die Anmeldeinformationen von Benutzern auf dem RODC 

zwischengespeichert werden. Sie verwalten diese Einstellungen über die neue Registerkarte 

Kennwortreplikation auf den Eigenschaftenseiten eines Domänencontrollers (Abbildung 9.6). 

Wenn Sie auf dieser Registerkarte auf die Schaltfläche Erweitert klicken, bekommen Sie 

angezeigt, welche Kennwörter an den RODC gesendet wurden, welche Kennwörter momentan 

auf dem RODC gespeichert wurden und welche Konten vom RODC authentifiziert wurden. 

Darunter fallen auch Konten, die momentan nicht in den Sicherheitsgruppen definiert 

sind, denen Replikation erlaubt oder verboten ist. Das bedeutet, dass Sie schnell und einfach 

feststellen können, wer den RODC benutzt, und jederzeit steuern können, ob die Kennwortreplikation 

erlaubt oder verboten ist. Sie können diese Liste auch in eine CSV-Datei exportieren, 

indem Sie auf die Schaltfläche Exportieren klicken. So können Sie aufzeichnen, welche 

Benutzer den RODC tatsächlich nutzen, und im RODC die Kennwörter für die von 

Ihnen ausgewählten Konten eintragen.


Abbildung 9.6 Die neue Registerkarte Kennwortreplikation 

Um die RODC-Kennwortreplikationsrichtlinie unterstützen zu können, mussten in Windows 

Server 2008-AD DS die folgenden neuen Attribute definiert werden (eine vollständige Liste 

aller Attribute und Klassen finden Sie in der Schemadokumentation auf der Begleit-CD): 

msDS-NeverRevealGroup Gibt die Sicherheitsgruppe mit Benutzern an, deren Geheimnisse 

niemals gegenüber einer bestimmten Instanz offengelegt werden. 

msDS-Reveal-OnDemandGroup Gibt die Sicherheitsgruppe mit Benutzern an, deren 

Geheimnisse gegenüber einer bestimmten Instanz offengelegt werden können. 

msDS-AuthenticatedToAccountList Eine Rückwärtsverknüpfung zu ms-DS-AuthenticatedAtDC, 

die angibt, welche Benutzer sich an diesem Computer authentifiziert haben. 

msDS-RevealedList Eine Liste der Benutzer, deren Geheimnisse offengelegt wurden. 

Schreibgeschütztes DNS 

Wenn ich einen RODC brauche, ist zusätzlich auch ein DNS-Server in der Zweigstelle erforderlich; 

schließlich will ich die Namensauflösung nicht über das WAN durchführen, das 

würde das Konzept zunichte machen, RODCs in Zweigstellen bereitzustellen, damit die 

Benutzer lokal authentifiziert werden. Um eine Namensauflösung in Zweigstellen zur Verfügung 

zu stellen, können Sie den DNS-Serverdienst auf einem RODC ausführen, sodass 

alle Anwendungsverzeichnispartitionen repliziert werden, die DNS nutzt, darunter Forest- 

DNSZones und DomainDNSZones. Falls Sie den DNS-Server auf einem RODC installieren, 

können Ihre Clients ihn im Rahmen einer Namensauflösung genauso wie jeden anderen 

DNS-Server abfragen. Er bietet aber keine direkte Unterstützung für Clientaktualisierungen. 

Das bedeutet, dass der RODC keine NS-Ressourceneinträge (Name Server) für irgendeine 

Active Directory-integrierte Zone registriert, die er hostet. Wenn ein Client versucht, seine 

DNS-Einträge bei einem RODC zu aktualisieren, gibt der Server einen Verweis auf einen


anderen beschreibbaren DNS-Server zurück. Der Client kann dann versuchen, seine Daten 

bei diesem beschreibbaren DNS-Server zu aktualisieren. Im Hintergrund versucht der DNS- 

Server auf dem RODC, den aktualisierten Eintrag vom DNS-Server zu replizieren, der die 

Aktualisierung vorgenommen hat. Diese Replikationsanforderung betrifft nur ein einziges 

Objekt (den DNS-Eintrag), während dieser speziellen Replikationsanforderung nach einem 

einzigen Objekt wird nicht die gesamte Liste der geänderten Zonen- oder Domänendaten 

repliziert. 

Mehrstufige Installation für schreibgeschützte Domänencontroller 

Manchmal ist es sehr nützlich, wenn die Installation in zwei Schritten durchgeführt werden 

kann. Wenn Sie den RODC erstellen, können Sie die Installation und Administration des 

RODCs entweder an eine Sicherheitsgruppe oder einen Benutzer delegieren. Der erste 

Schritt muss von einem Mitglied der Gruppe Domänen-Admins erledigt werden, aber der 

zweite Schritt kann von irgendjemanden durchgeführt werden, an den Sie diese Aufgabe im 

Assistenten delegiert haben. Bezüglich der Sicherheit bedeutet das, dass Sie jegliche Konfiguration, 

die Administratorprivilegien erfordert, erledigen können, bevor Sie den Hardwareserver 

verschicken. So brauchen Sie den Server nicht inklusive vertraulicher Daten durch 

die Welt zu schicken und auch keine vertraulichen Daten mit einem Kurierdienst getrennt zu 

versenden. Klicken Sie dazu mit der rechten Maustaste auf die Organisationseinheit des 

Domänencontrollers oder öffnen Sie das Menü Aktion und wählen Sie dann Konto für 

schreibgeschützten Domänencontroller vorbereiten. Ich empfehle, dass Sie den zweiten 

Schritt der Installation an eine Gruppe delegieren. Das erleichtert auf lange Sicht den Verwaltungsaufwand. 

Wenn Sie den AD DS-Installationsassistenten ausführen, finden Sie ein neues Kontrollkästchen 

auf der Willkommen-Seite, mit dem Sie den erweiterten Modus direkt im Assistenten 

aktivieren können. Die frühere Methode, den Befehl dcpromo /adv auszuführen, steht aber 

auch weiterhin zur Verfügung. Im erweiterten Modus stehen zusätzliche Konfigurationsoptionen 

zur Verfügung, zum Beispiel die mehrstufige Installation eines RODCs. Sie können 

jeden Schritt im Assistenten zum Installieren von Active Directory-Domänendiensten abschließen. 

Im ersten Schritt der Installation erstellen Sie ein Konto für den RODC in AD DS. Die zweite 

Phase der Installation verbindet den Server, der später ein RODC wird, mit dem Konto, das 

vorher dafür erstellt wurde. Während der ersten Phase sammelt der Assistent alle Daten über 

den RODC, die in der Active Directory-Datenbank gespeichert werden, zum Beispiel den 

Kontonamen des Domänencontrollers und den Standort, in dem er bereitgestellt wird. Wenn 

Sie das RODC-Konto anlegen, können Sie auch angeben, welche Benutzer oder Gruppen 

die nächste Phase der Installation durchführen dürfen. Diese nächste Phase kann in einem 

anderen Standort durchgeführt werden, zum Beispiel in der Zweigstelle, und zwar von jedem 

Benutzer oder jeder Gruppe, an die Sie das Recht delegieren, die Installation abzuschließen. 

Dieser Benutzer oder diese Gruppe schließen die Installation ab, indem er oder 

sie den Befehl dcpromo.exe /UseExistingAccount:Attach ausführt. Damit wird der Server mit 

dem vorher erstellten RODC-Konto verbunden. Falls Sie kein Konto angegeben haben, das 

die Installation abschließen und den RODC administrieren darf, kann der zweite Schritt nur 

von einem Benutzer erledigt werden, der Mitglied der Gruppen Domänen-Admins oder 

Organisations-Admins ist. Die zweite Phase der Installation installiert AD DS auf dem neuen 

RODC-Server. Alle AD DS-Daten, die lokal abgelegt sind, zum Beispiel Protokolldateien


und die Datenbank, werden auf dem RODC selbst erstellt. Bei den Installationsquelldateien 

haben Sie zwei Optionen zur Auswahl: Entweder werden sie von einem anderen DC auf den 

RODC repliziert oder es wird das IFM-Feature (Install From Media) genutzt. 

Hinweis Sie müssen Ntdsutil.exe verwenden, um die Installationsmedium zu erstellen, wenn Sie IFM 

nutzen möchten. 

Während der Installation erkennt der Assistent automatisch, ob der Name des Servers dem 

Namen eines RODC-Kontos entspricht, das vorher angelegt wurde. Wenn der Assistent einen 

passenden Kontonamen findet, fragt er der Benutzer, ob er dieses Konto für die RODC- 

Installation verwenden soll. Daher ist wichtig, dass der Server nicht zur Domäne hinzugefügt 

wird, bevor Sie versuchen, ihn mit dem RODC-Konto zu verbinden. 

Welche Voraussetzungen müssen erfüllt sein? 

Bevor Sie einen RODC bereitstellen können, müssen folgende Voraussetzungen erfüllt sein: 

Ein beschreibbarer DC, der unter Windows Server 2008 läuft, muss in der Domäne vorhanden 

sein. Der RODC muss Authentifizierungsanforderungen an diesen DC weiterleiten, 

weil die Kennwortreplikationsrichtlinie darauf definiert ist. 

Die Domänenfunktionsebene muss Windows Server 2003 oder höher sein, damit die 

eingeschränkte Kerberos-Delegierung verfügbar ist. Eingeschränkte Delegierung wird 

für Sicherheitsaufrufe eingesetzt, in denen die Identität des Aufrufers angenommen werden 

muss. 

Die Gesamtstrukturfunktionsebene muss Windows Server 2003 oder höher sein, damit 

die verknüpfte Wertreplikation verfügbar ist. Dies stellt sicher, dass die Replikationskonsistenz 

höher ist. 

Sie müssen Adprep/Rodcprep einmal in der Gesamtstruktur ausführen, um die Berechtigungen 

für alle DNS-Anwendungsverzeichnispartitionen in der Gesamtstruktur zu aktualisieren. 

Das macht es allen RODCs, die auch DNS-Server sind, möglich, die Berechtigungen 

erfolgreich zu replizieren. 

Die Rolle des PDC-Emulators muss auf einem Windows Server 2008-Computer laufen. 

Andernfalls kündigt sich der RODC gegenüber seinen Clients nicht als Zeitquelle an. 

Einzelheiten finden Sie in http://technet2.microsoft.com/windowsserver2008/en/library/ 

49eaca29-3399-4dd6-adcc-87a574e5d7921033.mspx?mfr=true. 

Hinweis Falls Sie einen RODC-gefilterten Attributsatz verwenden wollen, empfehle ich Ihnen, die 

Gesamtstrukturfunktionsebene auf Windows Server 2008 zu setzen. Einzelheiten finden Sie im Abschnitt 

»RODC-gefilterte Attributsätze« weiter oben in diesem Kapitel. 

Neustartfähige Active Directory-Domänendienste 

Was haben Sie von einem Feature wie neustartfähigen AD DS? Als ich zum ersten Mal davon 

hörte, war ich nicht überzeugt, aber je mehr ich darüber nachdachte, desto besser gefiel 

mir die Idee. Der Vorteil ist, dass Sie ohne Ihren Server neu zu starten manche Operationen 

ausführen können, die normalerweise einen Neustart des DCs erfordern, zum Beispiel das 

Einspielen von Sicherheitsupdates. Sie können damit auch AD DS anhalten, um Aufgaben 

wie eine Offlinedefragmentierung der Active Directory-Datenbank durchzuführen. Der 

größte Vorteil ist aber, dass andere Dienste, die auf dem Server laufen und nicht von AD DS

Active Directory-Datenbankbereitstellung 259 

abhängen, zum Beispiel DHCP (Dynamic Host Configuration Protocol), weiterhin Clientanforderungen 

entgegennehmen können, während Sie Ihr Sicherheitsupdate oder die Offlinedefragmentierung 

durchführen. 

Hinweis Falls Sie AD DS beenden, werden auch die Dienste DNS, KDC und standortübergreifender 

Messagingdienst beendet. 

Neustartfähige AD DS stehen standardmäßig auf allen DCs zur Verfügung, die unter Windows 

Server 2008 laufen. Es bestehen keine Anforderungen bezüglich der Funktionsebene 

oder andere Voraussetzungen, um dieses Feature zu nutzen. Sie können AD DS im Microsoft 

Management Console-Snap-In Dienste oder über die Befehlszeile beenden und starten, 

genau wie jeden anderen Dienst. 

Wenn Sie AD DS beenden, ist das ein ähnlicher Vorgang wie die Anmeldung an der Verzeichnisdienstwiederherstellung. 

Aber aufgrund der neustartfähigen AD DS gibt es einen 

neuen Status für DCs, die unter Windows Server 2008 laufen: »AD DS beendet«. Ein DC, 

der sich in diesem Zustand befindet, vereinigt Merkmale eines DCs in der Verzeichnisdienstwiederherstellung 

mit denen eines Domänenmitgliedservers. Die Active Directory- 

Datenbank (Ntds.dit) auf dem DC ist offline, genau wie bei der DSRM. Während dieser 

Modus aktiv ist, kann für die Anmeldung Kontakt mit einem anderen DC aufgenommen 

werden, sofern einer verfügbar ist. Falls kein anderer DC erreichbar ist, können Sie sich mit 

dem DSRM-Kennwort anmelden. Und als normaler Mitgliedserver ist ein DC, bei dem die 

AD DS beendet wurden, immer noch Teil der Domäne. Das bedeutet, dass Gruppenrichtlinien 

und andere Einstellungen weiterhin auf den Computer angewendet werden. Aber er 

kann keine Anmeldungsanforderungen beantworten oder eine Replikation mit anderen DCs 

ausführen, während er in diesem Zustand ist. 

Active Directory-Datenbankbereitstellung 

Microsoft hat den Active Directory-Wiederherstellungsprozess verbessert, indem es eine 

Möglichkeit bietet, Daten zu vergleichen, die in Snapshots oder Sicherungen zu unterschiedlichen 

Zeiten aufgezeichnet wurde. Sie fragen sich wahrscheinlich, warum ich das unter 

Sicherheitsaspekten für wichtig halte. Der Grund ist recht einfach: Sie erhalten damit die 

Möglichkeit, Änderungen zu verfolgen, die vor einem Sicherheitsvorfall durchgeführt wurden. 

Dies ist eine einfache Methode, forensische Untersuchungen durchzuführen, indem Sie 

Daten vergleichen. Für diesen Zweck verwenden Sie das neue Tool für die Active Directory- 

Datenbankbereitstellung (database mounting tool, Dsamain.exe), das Ihnen hilft zu entscheiden, 

welche Daten Sie nach einem Datenverlust wiederherstellen müssen. Für mich 

bedeutet dieses Feature, dass ich nicht mehrere Datensicherungen wiederherstellen muss, 

um die darin enthaltenen Active Directory-Daten vergleichen zu können. 

Hinweis Dieses Feature trug während der Produktentwicklung die Codenamen »Snapshot Viewer« und 

»Active Directory Data Mining Tool«. In manchen Beschreibungen finden Sie diese Bezeichnungen noch. 

Erst einmal müssen Sie wissen, dass das Active Directory-Datenbankbereitstellungstool 

nicht selbst gelöschte Objekte wiederherstellt. Es hilft Ihnen vielmehr, den Prozess zum 

Wiederherstellen von Objekten zu beschleunigen, die versehentlich gelöscht wurden. Wenn 

in Vorgängerversionen von Active Directory Objekte oder Organisationseinheiten versehentlich 

gelöscht wurden, konnten Sie nur genau feststellen, welche Objekte gelöscht wurden,


indem Sie die Daten aus Datensicherungen wiederherstellten. Dieser Ansatz hatte zwei 

wichtige Nachteile: 

Sie mussten den DC im DSRM neu starten, um eine autorisierende Wiederherstellung 

durchzuführen. 

Sofern Sie die Datensicherungen nicht auf anderen DCs wiederherstellten, hatten Sie 

keine Möglichkeit, die Daten in mehreren Sicherungen zu vergleichen, die zu unterschiedlichen 

Zeitpunkten angefertigt wurden. Das machte diese Aufgabe sehr mühsam. 

Das Active Directory-Datenbankbereitstellungstool erlaubt Ihnen, AD DS-Daten, die in 

Snapshots oder Datensicherungen gespeichert sind, online anzusehen. Sie können Daten in 

Snapshots oder Datensicherungen vergleichen, die zu unterschiedlichen Zeitpunkten angefertigt 

wurden. So können Sie besser entscheiden, welche Daten wiederhergestellt werden 

müssen. Das Active Directory-Datenbankbereitstellungstool ermöglicht es Ihnen, gelöschte 

AD DS oder AD LDS (Active Directory Lightweight Directory Services) in Form von Snapshots 

zu retten, die vom Volumeschattenkopiedienst (Volume Shadow Copy, VSS) angefertigt 

wurden. Das Tool stellt die gelöschten Objekte und Container nicht wirklich her, dafür 

müssen Sie eine separate Datenwiederherstellung durchführen. 

Weil Datensicherungen vertrauliche Daten enthalten, werden die Sicherungen schreibgeschützt 

gespeichert, und nur Mitglieder der Gruppen Domänen-Admins und Organisations- 

Admins dürfen sich einen Snapshot mit einem LDAP-Tool (Lightweight Directory Access 

Protocol) wie zum Beispiel Ldp.exe ansehen. Ich empfehle, dass Sie Verschlüsselung oder 

andere Datensicherheitsmaßnahmen für AD DS-Snapshots nutzen, um die Gefahr zu verringern, 

dass jemand unautorisiert auf AD DS-Snapshots zugreift. 

Gehen Sie folgendermaßen vor, um das Active Directory-Datenbankbereitstellungstool zu 

verwenden: 

1. Planen Sie eine Aufgabe, die regelmäßig Ntdsutil.exe ausführt und Snapshots des Volumes 

anfertigt, das die AD DS-Datenbank enthält. Dieser Schritt ist optional. Sie können 

dies auch von Hand erledigen, wenn Sie möchten, ich empfehle aber, es automatisch erledigen 

zu lassen. 

2. Führen Sie Ntdsutil.exe aus, um die verfügbaren Snapshots aufzulisten und den Snapshot 

bereitzustellen, den Sie untersuchen wollen. 

3. Führen Sie Dsamain.exe aus, um das Snapshotvolume als LDAP-Server anzeigen zu 

lassen. Falls ich zum Beispiel meinen letzten Snapshot im Standardpfad ansehen will, 

lautet der Befehl: dsamain –dbpath c:\$snap_200711201220_volumec$\windows\ntds\ntds. 

dit -ldapport 41389. Daraufhin wird der Snapshot für Ldp.exe auf Port 41389 zur Verfügung 

gestellt. Dsamain.exe hat folgende Parameter: 

AD DS-Datenbankpfad (Ntds.dit). Dieser Pfad muss im ASCII-Format angegeben 

werden, in der Standardeinstellung wird er schreibgeschützt geöffnet. 

Protokollpfad. Sie müssen Schreibzugriff auf diesen Pfad haben. 

4 Portnummern für LDAP, LDAP-SSL, globalen Katalog und Globaler-Katalog- 

SSL. Der einzige Port, der unbedingt angegeben werden muss, ist der LDAP-Port. 

Falls Sie keine anderen Ports angeben, werden LDAP+1, LDAP+2 und LDAP+3 

verwendet. Falls Sie also den LDAP-Port 41389 angeben, aber keine anderen Portwerte, 

ist der LDAP-SSL-Port 41390, der Globale-Katalog-Port 41391 und der 

Globale-Katalog-SSL-Port 41392. Auch wenn das seltsam für jemanden aussieht, 

der die Standardports kennt, funktioniert es tatsächlich.

AD DS-Überwachung 261 

4. Stellen Sie mit Ldp.exe eine Verbindung zum LDAP-Port des Snapshots her, den Sie 

angegeben haben, als Sie den Snapshot im vorherigen Schritt als LDAP-Server verfügbar 

gemacht haben. 

5. Durchsuchen Sie den Snapshot wie jeden Online-DC. Sie können Dsamain beenden, 

indem Sie im Eingabeaufforderungsfenster STRG+C drücken. Falls Sie den Befehl im 

Remotezugriff ausführen, müssen Sie das stopservice-Attribut im rootDSE-Objekt 

setzen. 

Wenn Sie wissen, welche Organisationseinheiten oder Objekte gelöscht wurden, können Sie 

die gelöschten Objekte in den Snapshots suchen und aufzeichnen, welche Attribute und 

Rückwärtsverknüpfungen zu den gelöschten Objekten gehören. Dann erwecken Sie diese 

Objekte mit dem »Tombstone«-Feature wieder zum Leben. Einzelheiten zu diesem Vorgang 

finden Sie im Microsoft TechNet-Artikel »Reanimating Active Directory Tombstone Objects« 

unter http://www.microsoft.com/technet/technetmag/issues/2007/09/Tombstones/ 

default.aspx. 

Anschließend müssen Sie bei diesen Objekten von Hand die entfernten Attribute und Rückwärtsverknüpfungen 

hinzufügen, wie sie in den Snapshots vorliegen. Auch wenn Sie die 

entfernten Attribute und Rückwärtsverknüpfungen von Hand neu erstellen müssen, ermöglicht 

es Ihnen das Active Directory-Datenbankbereitstellungstool, gelöschte Objekte und 

ihre Rückwärtsverknüpfungen wiederherzustellen, ohne den DC in der Verzeichnisdienstwiederherstellung 

neu zu starten. Das spart eine Menge Zeit, das kann ich Ihnen versichern! 

Sie können das Tool auch verwenden, um bestimmte Aspekte vorheriger Konfigurationen 

von AD DS nachzusehen, zum Beispiel eingestellte Berechtigungen. Das kann eine große 

Hilfe sein, wenn Sie eine Wiederherstellung durchführen müssen. Dieses Feature ist auch 

sehr nützlich, falls Ihr AD DS nicht mehr läuft und Sie wissen wollen, wie er konfiguriert 

war, als er zuletzt funktionierte. 

AD DS-Überwachung 

Dieser Abschnitt behandelt ausschließlich die AD DS-Überwachung. Weitere Informationen 

über die Überwachung in Windows finden Sie in Kapitel 8, »Überwachung«. 

Meine Kunden haben oft nach einer Möglichkeit gesucht, alte und neue Werte zu protokollieren, 

wenn eine Änderung durchgeführt wird. Sie können jetzt die AD DS-Überwachung 

mit einer neuen Überwachungsrichtlinien-Unterkategorie namens Verzeichnisdienständerungen 

(engl. directory service changes) einrichten. Dabei werden die bisherigen und neuen 

Werte aufgezeichnet, wenn Änderungen an AD DS-Objekten und ihren Attributen vorgenommen 

werden. Das hilft Ihnen bei forensischen Untersuchungen und wenn Sie die Ereignisse 

verfolgen wollen, die vor einem Sicherheitsvorfall aufgetreten sind. 

Hinweis Dieses neue Überwachungsfeature steht auch für AD LDS zur Verfügung. 

Indem Sie die Systemzugriffssteuerungsliste (System Access Control List, SACL) eines 

Objekts verändern, können Sie steuern, welche Operationen überwacht werden. Das liefert 

Ihnen die Details, die Sie schon immer haben wollten. Falls Sie diese Richtlinieneinstellung 

definieren, indem Sie die Standarddomänencontrollerrichtlinie entsprechend ändern, können 

Sie festlegen, ob erfolgreiche Aktionen, fehlgeschlagene Aktionen oder gar keine Aktionen 

überwacht werden. Bei der Erfolgsüberwachung wird ein Überwachungseintrag generiert, 

wenn ein Benutzer erfolgreich auf ein Objekt zugreift, für das eine SACL definiert ist.


Bei der Fehlerüberwachung wird ein Überwachungseintrag generiert, wenn ein Benutzer 

erfolglos versucht, auf ein Objekt zuzugreifen, für das eine SACL definiert ist. 

Bisher zeichnete die AD DS-Überwachung nur den Namen des Attributs auf, das geändert 

wurde. Erst in Windows Server 2008-AD DS werden der bisherige und der neue Wert des 

Attributs protokolliert. Das hilft Ihnen, Änderungen und bisherige Werte zu ermitteln, sodass 

die Ereignisprotokolle noch nützlicher dabei werden, Änderungen über die Lebensdauer 

eines Objekts nachzuverfolgen. 

Überwachen von AD DS-Zugriffen 

Sie wissen vielleicht, dass Windows 2000 Server und Windows Server 2003 nur eine 

Überwachungsrichtlinie hatten (Verzeichnisdienstzugriff überwachen), die steuerte, ob die 

Überwachung für Verzeichnisdienstereignisse aktiviert oder deaktiviert war. In Windows 

Server 2008 ist diese Richtlinie in vier Unterkategorien untergliedert: 

Verzeichnisdienstzugriff 

Verzeichnisdienständerungen 

Verzeichnisdienstreplikation 

Detaillierte Verzeichnisdienstreplikation 

Wenn Sie Änderungen an Objekten überwachen wollen, müssen Sie die Unterkategorie 

Verzeichnisdienständerungen aktivieren. Tabelle 9.1 listet die Operationen auf, die überwacht 

werden können. 

Tabelle 9.1 AD DS-Operationen 

Typ Ereignis-ID Beschreibung 

Ändern 5136 Wird aufgezeichnet, sobald ein Attribut erfolgreich geändert wurde. 

Erstellen 5137 Wird aufgezeichnet, wenn ein neues Objekt erstellt wurde. 

Löschen rück- 

gängig machen 

5138 Wird aufgezeichnet, wenn ein gelöschtes Objekt wiederhergestellt wird. 

Verschieben 5139 Wird aufgezeichnet, wenn ein Objekt innerhalb der Domäne verschoben wird. 

Hinweis Die Löschoperation ist in Wirklichkeit eine Änderungsoperation. Das Attribut isDeleted wird auf 

True gesetzt, wenn ein Objekt gelöscht wird. 

Diese Operationen sind Änderungen, die an einem Objekt durchgeführt werden. Die entsprechenden 

Ereignisse werden im Sicherheitsprotokoll aufgezeichnet. 

Als Beispiel ändere ich in der Konsole Active Directory-Benutzer und -Computer das Büro- 

Attribut für einen Benutzer namens Jimmy Andersson. Daraufhin tauchen die zwei folgenden 

Ereignisse im Sicherheitsprotokoll auf: 

1. Das erste Ereignis teilt mit, dass ich den Wert für das Attribut physicalDeliveryOffice- 

Name gelöscht habe. Dies ist der tatsächliche Attributname, in dem das Büro-Feld in der 

Konsole Active Directory-Benutzer und -Computer seine Werte speichert. 

Ein Verzeichnisdienstobjekt wurde geändert. 


Sicherheits-ID: SECRESKIT08\Administrator


Kontodomäne: SECRESKIT08 

Anmelde-ID: 0x438594 

Verzeichnisdienst: 

Name: secreskit08.prv 

Typ: Active Directory-Domänendienste 


Objekt: 

DN: CN=Jimmy Andersson,OU=AuditPolicy,DC=secreskit08,DC=prv 

GUID: CN=Jim Andersson,OU=AuditPolicy,DC=secreskit08,DC=prv 

Klasse: user 

Attribut: 

LDAP-Anzeigename: physicalDeliveryOfficeName 

Syntax (OID): 2.5.5.12 

Wert: Uppsala HQ 

Vorgang: 

Typ: Wert wurde gelöscht 

Korrelations-ID: {31e232b9-35df-4b26-8bd0-e5797f5172b4} 

Anwendungskorrelations-ID: - 

2. Das zweite Ereignis verrät mir erneut, dass am selben Attribut etwas geändert wurde, 

und wie der neue Wert lautet: 

Ein Verzeichnisdienstobjekt wurde geändert. 


Sicherheits-ID: SECRESKIT08\Administrator 







Objekt: 

DN: CN=Jimmy Andersson,OU=AuditPolicy,DC=secreskit08,DC=prv 


Klasse: user 

Attribut: 

LDAP-Anzeigename: physicalDeliveryOfficeName 

Syntax (OID): 2.5.5.12 

Wert: HQ 

Vorgang: 

Typ: Wert wurde hinzugefügt 

Korrelations-ID: {31e232b9-35df-4b26-8bd0-e5797f5172b4} 

Anwendungskorrelations-ID: -


Alle Veränderungen, die in der Datenbank auftreten, werden als eigene Ereignisse aufgezeichnet, 

sobald etwas in die Datenbank geschrieben wird. Meine Änderung umfasst in 

Wirklichkeit zwei Schritte. Erst wird das Attribut gelöscht, und das nächste Ereignis zeigt, 

dass ein Wert hinzugefügt wurde. 

Aber falls Sie zum Beispiel einen Benutzer von einer Organisationseinheit in eine andere 

verschieben, zeigt das Ereignis sowohl den alten als auch den neuen Wert: 

Ein Verzeichnisdienstobjekt wurde verschoben. 


Sicherheits-ID: SECRESKIT08\Administrator 







Objekt: 

Alter DN: CN=Jimmy Andersson,OU=AuditPolicyExample,DC=secreskit08,DC=prv 

Neuer DN: CN=Jimmy Andersson,OU=Test,DC=secreskit08,DC=prv 


Klasse: user 

Vorgang: 

Korrelations-ID: {d8ed2341-aaa1-4d3c-9485-67a69de53622} 

Anwendungskorrelations-ID: - 

Dies war das Verhalten in Windows Server 2008 RC1. Ich weiß nicht, ob dies in der endgültigen 

Version ebenfalls so ist oder ob Microsoft bei allen Änderungsarten die alten und 

neuen Attribute einträgt, wie im obigen Beispiel beim Verschieben eines Benutzers. 

Falls Sie das neue Überwachungsfeature nutzen wollen, sollten Sie die Steuermöglichkeiten 

verwenden, die ich in den nächsten Abschnitten beschreibe. Ich empfehle, dass Sie alle Objekte 

genau überwachen, die Sie in Ihrer AD DS-Implementierung als kritisch einstufen. Auf 

diese Weise können Sie alle Änderungen verfolgen und die Ursache von Sicherheits- und 

anderen Problemen ermitteln, die zum Beispiel durch Veränderungen oder Löschaktionen 

ausgelöst werden. Sie sollten außerdem alle Veränderungen an privilegierten Konten und 

Gruppen genau beobachten. 

Globale Überwachungsrichtlinien 

Wenn Sie alle Unterkategorien für die Verzeichnisdienstrichtlinien aktivieren wollen, können 

Sie einfach die globale Überwachungsrichtlinie Verzeichnisdienstzugriff überwachen 

aktivieren. Sie stellen diese globale Überwachungsrichtlinie in der Standarddomänencontrollerrichtlinie 

unter Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie ein. 

Die zwei Überwachungsunterkategorien sind unabhängig voneinander, daher können Sie 

Verzeichnisdienstzugriff deaktivieren, bekommen aber trotzdem noch die Ereignisse zu sehen, 

die generiert werden, wenn die Unterkategorie Verzeichnisdienständerungen aktiviert ist.


Dasselbe gilt, wenn Sie Verzeichnisdienständerungen deaktivieren, aber Verzeichnisdienstzugriff 

aktivieren. 

Leider gibt es kein GUI-Tool, um die Überwachungsrichtlinien-Unterkategorien anzusehen 

oder zu verwalten. Sie müssen das Befehlszeilentool Auditpol.exe verwenden, wenn Sie die 

Unterkategorien von Überwachungsrichtlinien anzeigen oder ändern möchten. Der folgende 

Befehl aktiviert die Überwachungsunterkategorie Verzeichnisdienständerungen: 

auditpol /set /subcategory:"Verzeichnisdienständerungen" /success:enable 

Hinweis Mit dem Befehl auditpol /get /category:* können Sie sich eine Liste aller Kategorien und 

ihre aktuellen Einstellungen anzeigen lassen. 

SACL 

SACL ist der Teil in der Sicherheitsbeschreibung eines Objekts, der festlegt, welche Operationen 

überwacht werden. Um die Überwachung von Verzeichnisdienstereignissen zu aktivieren, 

müssen Sie die Überwachung für die entsprechende Unterkategorie von Ereignissen 

aktivieren und außerdem eine passende SACL konfigurieren. Falls Sie zum Beispiel Änderungsüberwachungsereignisse 

aufzeichnen wollen, muss ein Zugriffssteuerungslisteneintrag 

(Access Control List Entry, ACE) in der SACL vorhanden sein und die Überwachung für die 

Unterkategorie Verzeichnisdienständerungen muss aktiviert sein. Dieser ACE definiert, dass 

Attributänderungen aufgezeichnet werden, sogar wenn die Unterkategorie Verzeichnisdienständerungen 

aktiviert ist. Was das bedeutet, beschreibe ich am Beispiel des mobile-Attributs 

(Rufnummer im Feld Mobil). 

Falls es keinen ACE in einer SACL gibt, der Eigenschaft schreiben-Zugriff auf das mobile- 

Attribut erfordert, werden keine Überwachungsereignisse generiert, wenn das mobile- 

Attribut geändert wird. Das gilt sogar dann, wenn die Unterkategorie Verzeichnisdienständerungen 

aktiviert ist. 

Weitere Informationen zu SACLs und Überwachung finden Sie in Kapitel 8. 

Schema 

Falls Sie alle Ereignisse überwachen, wird eine enorme Zahl von Ereignissen generiert. 

Daher wird dies nicht empfohlen. Um dieses Problem zu vermeiden, erlaubt Ihnen ein zusätzliches 

Steuerelement im Schema, Ausnahmen zu definieren, die festlegen, was nicht 

überwacht wird. Falls Sie zum Beispiel Änderungen an allen Attributveränderungen eines 

Benutzerobjekts sehen, aber ein oder zwei Attribute ausnehmen wollen, können Sie mit der 

Eigenschaft searchFlag des Attributs definieren, ob es überwacht werden soll. Dies ist ein 

Flag, das Sie im Schema für das Attribut setzen können. Die searchFlags-Eigenschaft jedes 

Attributs definiert eine Reihe von Verhaltensweisen für das jeweilige Attribut. Falls Bit 9 

(Wert 256) für ein Attribut gesetzt ist, protokolliert AD DS keine Änderungsereignisse, wenn 

dieses Attribut geändert wird. Lesen Sie sich aber bitte die Microsoft-Onlinedokumentation 

unter http://msdn2.microsoft.com/en-us/library/ms679765.aspx durch, bevor Sie den search- 

Flags-Wert ändern. Dies kann nämlich große Auswirkungen auf Ihre AD DS-Implementierung 

haben.


Grundlagen von AD LDS 

AD LDS (Active Directory Lightweight Directory Services) war früher unter dem Namen 

Active Directory-Anwendungsmodus (Active Directory Application Mode, ADAM) bekannt. 

Ich nutze es, um einen Verzeichnisdienst bereitzustellen, den verzeichnisfähige Anwendungen 

einsetzen können, ohne sich mit dem Verwaltungsaufwand von Gesamtstrukturen 

und Domänen zu belasten. AD LDS ist ein LDAP-Verzeichnisdienst ohne die Abhängigkeiten, 

die für AD DS nötig sind. So erhalten Sie flexible Unterstützung für verzeichnisfähige 

Anwendungen, ohne eine Domäne mit DCs einrichten zu müssen. Trotzdem erhalten Sie 

fast dieselbe Funktionalität wie mit AD DS. Eines der Dinge, die ich an AD LDS am meisten 

schätze, ist die Fähigkeit, auf einem einzigen Computer gleichzeitig mehrere Instanzen 

mit unabhängigen Schemas auszuführen. Auf diese Weise kann ich pro Anwendung ein 

eigenes AD LDS einsetzen. Im Bezug auf Sicherheit heißt das, dass ich mehrere Instanzen 

auf einem einzigen physischen Server habe, obwohl sie nicht miteinander verbunden sind 

und sich daher keinerlei Daten teilen. 

Wie Sie wissen, stellt AD DS Verzeichnisdienste sowohl für verzeichnisfähige Anwendungen 

als auch Microsoft Windows Server-Betriebssysteme zur Verfügung. AD DS speichert 

wichtige Informationen über die Netzwerkinfrastruktur, Benutzer, Gruppen, Netzwerkdienste 

und so weiter. Zu diesem Zweck braucht AD DS ein einziges Schema, das überall in der 

gesamten Gesamtstruktur gilt. Dadurch verlieren Sie etwas Flexibilität. Aber wenn Sie die 

Serverrolle Active Directory Lightweight Directory Services verwenden, können Sie verzeichnisfähige 

Anwendungen Verzeichnisdienste zur Verfügung stellen, ohne dass dafür eine 

Active Directory-Gesamtstruktur erforderlich ist. Es gibt noch ein weiteres nettes Feature: 

Falls Sie bereits AD DS haben, können Sie es für die Authentifizierung von Windows-Sicherheitsprinzipalen 

einsetzen. Das ist zum Beispiel nützlich, wenn Sie eine Anwendung haben, 

die das Schema erweitern muss, aber Sie diese Operation aus irgendwelchen Gründen nicht 

durchführen dürfen oder wollen. Sie können dann das AD LDS-Schema erweitern und die 

Informationen dort speichern. Anschließend lassen Sie die Benutzer über AD DS authentifizieren, 

stellen die Verbindung zur Anwendung her und lassen die anwendungsspezifischen 

Werte von AD LDS speichern. 

Verzeichnisspeicher 

Alle verzeichnisfähigen Anwendungen können AD LDS als Verzeichnisspeicher nutzen, 

weil AD LDS eine LDAP-Verzeichnislösung ist, die für den Unternehmenseinsatz entworfen 

wurde. AD LDS wird oft eingesetzt, um private Verzeichnisdaten in einem lokalen Verzeichnisdienst 

zu speichern. Das hat den Vorteil, dass Sie keine Daten zu replizieren brauchen, die 

nur für die tatsächliche Anwendung relevant sind, und in manchen Szenarien können Sie die 

Daten auch auf demselben Server ablegen wie die Anwendung. Indem Sie AD LDS verwenden, 

können Sie den Replikationsverkehr zwischen DCs im Netzwerk verringern (der meiner 

Meinung nach ausschließlich genutzt werden sollte, um die Domäneninfrastruktur zu 

verwalten). Aber in manchen Fällen müssen Sie auch Daten zwischen mehreren AD LDS- 

Instanzen replizieren. 

Unternehmensanwendungen müssen oft persönliche Daten speichern, die mit authentifizierten 

Benutzern in AD DS verknüpft sind. Falls Sie diese Daten in AD DS speichern, sind Sie 

häufig gezwungen, das AD DS-Schema zu verändern. Denken Sie daran, dass Änderungen 

am AD DS-Schema für die komplette Gesamtstruktur gelten, selbst wenn Sie nur eine 

Anwendung mit einem bestimmten DC verbinden. Ich verwende in so einem Fall normaler-

Grundlagen von AD LDS 267 

weise AD LDS, um anwendungsspezifische Daten zu speichern, zum Beispiel Richtlinien- 

und Verwaltungsinformationen. Dann verwende ich die Benutzerprinzipale in AD DS für die 

Authentifizierung und für die Zugriffssteuerung auf Objekte in AD LDS. Diese Lösung 

macht es überflüssig, für jedes AD LDS-Verzeichnis eine eigene Benutzerdatenbank anzulegen. 

Somit vermeiden Sie, dass jedes Mal, wenn eine neue verzeichnisfähige Anwendung im 

Netzwerk eingeführt wird, die Zahl von Benutzer-IDs und Kennwörtern für Endbenutzer 

ansteigt. Nicht nur Endbenutzer, sondern auch die Administratoren profitieren davon. 

Extranetauthentifizierungsspeicher 

AD LDS kann in vielen Szenarien nützlich sein, zum Beispiel für ein Webportal, wo AD LDS 

Individualisierungsdaten für Benutzer speichert, die sich über AD DS authentifiziert haben. 

In diesem Fall speichern Sie Benutzer-IDs in AD DS und persönliche Daten in AD LDS. 

Indem Sie diese Informationen trennen, brauchen Sie das Schema im globalen AD DS nicht 

zu erweitern. Und Sie brauchen dort auch keine persönlichen Daten zu speichern, die nur für 

die eine Portalanwendung benötigt werden. Das verringert den Netzwerkverkehr für AD DS 

(insbesondere wenn sich die Daten häufig ändern). Falls Sie die persönlichen Daten aus 

Redundanzgründen auf mehreren Servern speichern wollen, können Sie eine weitere Instanz 

von AD LDS einrichten und die Replikation zwischen ihnen konfigurieren. 

Sie können AD LDS auch als Extranetauthentifizierungsspeicher in Kombination mit Active 

Directory-Verbunddiensten (Active Directory Federation Services, AD FS) bereitstellen, um 

einmaliges Anmelden (Single-Sign-On, SSO) im Web zu ermöglichen, damit Benutzer sich 

gegenüber mehreren Webanwendungen mit einem einzigen Benutzerkonto authentifizieren 

können. Im Abschnitt »Grundlagen der Active Directory-Verbunddienste« weiter unten in 

diesem Kapitel finden Sie dazu weiter Informationen. 

Konsolidieren von Identitätssystemen 

Meine letzten Projekte haben sich damit beschäftigt, unterschiedliche Identitätssysteme 

zu konsolidieren. Daher will ich Ihnen ein Beispiel schildern. Ein Projekt betraf eine internationale 

Organisation mit mehreren Gesamtstrukturen in verschiedenen Ländern, die 

jeweils mehrere Domänen enthalten. Jede Domäne hatte mehrere Identitätssysteme, zum 

Beispiel Active Directory, SAP-Datenbanken, Telefonsysteme, spezielle Anwendungen 

mit eigenen Identitätssystemen und so weiter. Um alle diese Systeme mit sämtlichen 

Informationen in ein gemeinsames System zu konsolidieren, verwendeten meine Kollegen 

und ich AD LDS in Kombination mit einem Metaverzeichnis (engl. metadirectory). 

Microsoft stellt zwei Versionen von Metaverzeichnissen zur Verfügung: MIIS (Microsoft 

Identity Integration Server) und IIFP (Microsoft Identity Integration Feature Pack). IIFP 

ist eine kostenlose Version von MIIS, aber mit deutlich abgespeckten Features. Das 

Metaverzeichnis erlaubt uns, verzeichnisfähigen Anwendungen eine einheitliche Ansicht 

aller bekannten Identitätsinformationen über Unternehmensbenutzer, Anwendungen und 

Netzwerkressourcen zur Verfügung zu stellen. Dazu wurden Identitäten zusammengefasst, 

Kennwörter synchronisiert und Verzeichnisse sowie Konten zwischen AD DS und 

AD LDS zusammengefasst beziehungsweise aufgetrennt.


Entwicklungsumgebung für AD DS und AD LDS 

AD LDS ist eine sehr gute Wahl für Entwickler, die verschiedene Active Directory-integrierte 

Anwendungen erstellen und testen wollen, weil AD LDS dasselbe Programmiermodell 

verwendet und fast genau so administriert wird wie AD DS. Wenn eine Anwendung 

in Entwicklung ist, benötigt sie oft ein anderes Schemas als im aktuellen AD DS des Serverbetriebssystems. 

Der Anwendungsentwickler kann der Anwendung mithilfe von AD LDS 

ein maßgeschneidertes Schema bereitstellen, ohne die Konfiguration der Active Directory- 

Produktivbereitstellung verändern zu müssen. Entwickler können mit einer lokalen Instanz 

von AD LDS auf einem Entwicklercomputer arbeiten und die Anwendung dann später auf 

AD DS verschieben, nachdem sie vollständig getestet und genehmigt wurde. 

AD LDS spart Entwicklern Zeit, weil es ein simples Verzeichnis ist, in das sie problemlos 

schreiben können, ohne während des Entwicklungsprozesses ein aufwendiges Setup oder 

Hardwareunterstützung zu benötigen. AD LDS kann auf der Arbeitsstation eines Entwicklers 

einfach installiert oder deinstalliert werden. Und es kann während des Anwendungsprototyping- 

und Entwicklungsprozesses blitzschnell in einem sauberen Zustand wiederhergestellt 

werden. 

Konfigurationsspeicher für verteilte Anwendungen 

Falls Sie eine verteilte Anwendung haben, die einen Konfigurationsspeicher mit Multimasterupdate- 

und Replikationsfähigkeiten benötigt, um ihre zahlreichen Komponenten zu bedienen 

(zum Beispiel eine Workflowanwendung, die auf Unternehmensdaten zugreift), kann 

es sinnvoll sein, AD LDS als unkomplizierten Konfigurationsspeicher einzusetzen. In einem 

Szenario wie diesem können Sie AD LDS in den Installationsvorgang der Anwendung aufnehmen, 

um sicherzustellen, dass die Anwendung sofort nach der Installation Zugriff auf ein 

Verzeichnis hat. Die Anwendung konfiguriert und verwaltet AD LDS dann selbst, oder es kann 

teilweise verwaltet werden. Das hängt davon ab, wie die Anwendung geschrieben wurde. 

Wie erstellen Sie eine AD LDS-Instanz? 

Die Rolle Active Directory Lightweight Directory Services bringt Features mit, die es Ihnen 

einfach machen, Ihre AD LDS-Instanzen einzurichten und zu verwalten. Es gibt einen Assistenten, 

der Sie durch den Erstellungsprozess leitet. Außerdem stehen Befehlszeilentools zur 

Verfügung, mit denen Sie unbeaufsichtigte Installationen und Deinstallationen von Instanzen 

durchführen, aber auch Instanzen verwalten, synchronisieren und auffüllen können. Es steht 

sogar ein MMC-Snap-In zum Konfigurieren und Verwalten Ihrer Instanzen und des Schemas 

bereit. Aber vergessen Sie nicht, dass Sie auch viele der AD DS-Tools benutzen können, um 

AD LDS-Instanzen zu administrieren! 

Neue Features für AD LDS in Windows Server 2008 

Die neuen Features sind unter anderem: 

Die Überwachung von AD LDS-Änderungen funktioniert auf dieselbe Weise wie in 

AD DS. 

Das Data-Mining-Tool funktioniert auf dieselbe Weise wie in AD DS. 

Unterstützung für Active Directory-Standorte und -Dienste. Damit Sie diese Konsole 

verwenden können, müssen Sie erst das Schema mit den Klassen erweitern, die Sie in 

MS-ADLDS-DisplaySpecifiers.ldf finden. Anschließend können Sie Active Directory-

Grundlagen der Active Directory-Verbunddienste 269 

Standorte und -Dienste verwenden, um die Replikation zwischen AD LDS-Instanzen zu 

verwalten. 

Generieren von IFM (Install From Media). Mit diesem Feature können Sie einen kompakten 

Ntdsutil.exe- oder Dsdbutil.exe-Prozess nutzen, um Installationsmedien für die 

nächsten Installationen zu erstellen. 

Da während des Instanzsetups eine dynamische Liste von LDIF-Dateien (LDAP Data 

Interchange Format) zur Verfügung steht, können Sie während des AD LDS-Setups benutzerdefinierte 

LDIF-Dateien verwenden. Sie brauchen sie lediglich zum Verzeichnis 

%SystemRoot%\adam hinzuzufügen, dann werden sie zusätzlich zu den Standard-LDIF- 

Dateien ausgeführt. 

Mithilfe rekursiver Abfragen zu verknüpften Attributen können Sie die Gruppenmitgliedschaft 

und den Stammbaum mit einer einzigen LDAP-Abfrage ermitteln. 

Grundlagen der Active Directory-Verbunddienste 

Ich werde immer häufiger gefragt, wie sich eine Lösung für Identitäten entwickeln lässt, die 

über mehrere Plattformen hinweg funktioniert, sogar in Nicht-Windows-Umgebungen. Kunden 

wollen eine Lösung, die sich ins Internet skalieren lässt, flexibel erweiterbar ist und eine 

Identitätszugrifflösung enthält, die so sicher wie möglich ist. In diesen Fällen untersuche ich 

immer, ob die Serverrolle Active Directory-Verbunddienste (Active Directory Federation 

Services, AD FS) geeignet ist, die im Betriebssystem Microsoft Windows Server 2008 enthalten 

ist. In den folgenden Abschnitten gebe ich einen Überblick über AD FS. AD FS soll 

die Möglichkeit bieten, einen Benutzer über einmaliges Anmelden (Single-Sign-On, SSO) 

gegenüber mehreren Webanwendungen über die gesamte Dauer einer bestimmten Sitzung zu 

authentifizieren. AD FS erreicht das, indem es eine digitale Identität auf sichere Weise über 

Sicherheitsgrenzen zur Verfügung stellt. Meines Wissens ist dies die sicherste Lösung. 

Was ist AD FS? 

Es ist nichts Ungewöhnliches, wenn man sich mehrere digitale Identitäten merken muss. 

Das passiert mir oft, wenn ich versuche, eine Anwendung zu benutzen, die sich nicht in dem 

Netzwerk befindet, in dem ich normalerweise arbeite. In diesem Fall liegen Ihre Anmeldeinformationen 

(mit denen Sie sich bereits an Ihrem Netzwerk angemeldet haben) nicht im 

selben Bereich (engl. realm) wie die Anwendung. Daher öffnet sich oft ein weiteres Anmeldedialogfeld, 

in dem Sie noch einmal Anmeldeinformationen eingeben müssen, wenn Sie 

auf die Anwendung zugreifen. Diese sekundären Anmeldeinformationen stehen für die Identität 

Ihres Benutzers in dem Bereich, in dem sich die Anwendung befindet. Der Webserver, 

der die Anwendung hostet, braucht diese Anmeldeinformationen normalerweise, um die 

Autorisierungsentscheidung zu treffen, ob er Ihnen Zugriff erlaubt oder verweigert. 

AD FS macht sekundäre Konten und ihre Anmeldeinformationen unnötig, weil es eine Vertrauensstellung 

zur Verfügung stellt, mit der Sie die digitale Identität eines Benutzers und 

die Zugriffsrechte auf Ihre vertrauenswürdigen Partner schützen können. In einer sogenannten 

Verbundumgebung (engl. federated environment) verwaltet jede Organisation ihre eigenen 

Identitäten (Benutzer). Jede Organisation erlaubt aber auch, Identitäten auf andere Organisationen 

zu übertragen und von anderen Organisationen zu übernehmen. Das macht den 

Vorgang für Endbenutzer nahtlos. Ein anderes häufiges Szenario ist die Bereitstellung von 

Verbundservern in mehreren Organisationen, um B2B-Transaktionen (Business-to-Business)


zwischen Ihren vertrauenswürdigen Partnern zu ermöglichen. B2B-Verbundpartnerschaften 

erlauben Ihnen, Geschäftspartner als eine der folgenden Organisationstypen einzustufen: 

Ressourcenorganisation (engl. resource organization) Dies ist eine Organisation, 

die die Ressourcen besitzt und verwaltet, auf die aus dem Internet zugegriffen werden 

kann. Eine Ressourcenorganisation kann AD FS-Verbundserver und AD FS-fähige Webserver 

bereitstellen, die den Zugriff auf geschützte Ressourcen für vertrauenswürdige 

Partner verwalten. 

Kontenorganisation (engl. account organization) Dies ist eine Organisation, die 

Benutzerkonten besitzt und verwaltet. Eine Kontenorganisation kann AD FS-Verbundserver 

bereitstellen, die lokale Benutzer authentifizieren und Sicherheitstoken erstellen, 

die die Verbundserver in der Ressourcenorganisation auswerten, um Autorisierungsentscheidungen 

zu treffen. 

Der Prozess, bei dem eine Authentifizierung gegenüber einem Netzwerk durchgeführt wird, 

aber auf Ressourcen in einem anderen Netzwerk zugegriffen wird, ohne dafür mehrere Anmeldungen 

durchführen zu müssen, wird als einmaliges Anmelden (Single-Sign-On, SSO) 

bezeichnet. AD FS stellt eine webbasierte SSO-Lösung zur Verfügung, die Benutzer gegenüber 

mehreren Webanwendungen authentifiziert, aber nur während derselben Browsersitzung. 

Das macht es den Endbenutzern einfacher: Sie brauchen sich nur ein Kennwort zu merken. 

Was ist neu in Windows Server 2008? 

In AD FS unter Windows Server 2008 hat Microsoft die neue Funktionalität so entworfen, 

dass der Verwaltungsaufwand erleichtert und die Unterstützung für Anwendungen erweitert 

wird. Folgende Features sind die wichtigsten Elemente: 

Installation AD FS ist jetzt als Serverrolle enthalten. 

Anwendungsunterstützung Bietet jetzt bessere Integration in Microsoft Office Share- 

Point Server 2007 und die Active Directory-Rechteverwaltungsdienste (Active Directory 

Rights Management Services, AD RMS). 

Benutzerzufriedenheit beim Einrichten von Verbundvertrauensstellungen Microsoft 

hat die Funktionen zum Importieren und Exportieren von Vertrauensrichtlinien verbessert, 

sodass Sie Probleme bei der Konfiguration minimieren können. 

AD FS-Rollendienste 

Wenn wir über die Serverrolle Active Directory-Verbunddienste reden, vergessen wir oft, 

dass sie eigentlich mehrere Dienste umfasst, zum Beispiel Verbunddienste, Proxydienste und 

Webagentendienste. Sie müssen diese Dienste konfigurieren, um Web-SSO zu ermöglichen, 

Web-Ressourcen zu einem Verbund zusammenzuschalten, den Zugriff anzupassen und zu 

verwalten, wie vorhandene Benutzern autorisiert werden, um auf Anwendungen zuzugreifen. 

Abhängig von Ihren Anforderungen können Sie Server bereitstellen, die beliebige der 

folgenden Dienste ausführen: 

Verbunddienst Mindestens ein oder mehrere Verbundserver, die sich eine gemeinsame 

Vertrauensrichtlinie teilen. Sie nutzen die Verbundserver, um Authentifizierungsanforderungen 

von Benutzerkonten an andere Organisationen weiterzuleiten. 

Ansprüche unterstützender Agent Wird auf einem Webserver benutzt, der eine 

Ansprüche unterstützende Anwendung hostet, um die Abfrage von AD FS-Sicherheitstokenansprüchen 

zu ermöglichen. Damit die Anwendung Ansprüche unterstützt, muss


sie Ansprüche einsetzen, die in einem AD FS-Sicherheitstoken vorhanden sind, um 

Autorisierungsentscheidungen zu treffen und Anwendungen individuell anzupassen. 

Verbunddienstproxy Dies ist ein Proxy für den Verbunddienst im Grenznetzwerk. 

Der Verbunddienstproxy setzt WS-F-PRP-Protokolle (WS-Federation Passive Requestor 

Profile) ein, um Benutzeranmeldeinformationen von Browserclients zu sammeln. Dann 

sendet er die Benutzeranmeldeinformationen im Namen der Benutzer an den Verbunddienst. 

Windows-Token-basierter Agent Wird auf einem Webserver benutzt, der eine 

Windows NT-Token-basierte Anwendung hostet, um die Konvertierung von einem 

AD FS-Sicherheitstoken in ein Windows NT-Zugriffstoken auf Identitätswechselebene 

zu ermöglichen. Eine Windows NT-Token-basierte Anwendung ist eine Anwendung, die 

Windows-Autorisierungsmechanismen einsetzt. 

Sie verwalten Serverrollen im MMC-Snap-In. Wenn Sie AD FS installieren, können Sie im 

Snap-In Active Directory-Verbunddienste die Rollendienste Verbunddienst und Verbunddienstproxy 

verwalten. Den Rollendienst Windows-Token-basierter Agent verwalten Sie im 

Internetinformationsdienste-Manager. 


Alle diese neuen Features in Active Directory helfen Ihnen bei Ihrer täglichen Aufgabe, Ihre 

Umgebung zu schützen. Damit Sie Ihre Umgebung so sicher wie möglich machen können, 

müssen Sie vor allem die eingesetzten Technologien beherrschen. Aber vergessen Sie niemals, 

dass »sicher« nur ein Eintrag im Wörterbuch ist. Nichts ist für alle Zeiten sicher (nur 

wenn Sie es erstmals implementieren und nur, bevor die Technologie allgemein bekannt wird), 

weil jemand versuchen wird, es zu hacken, sobald es verfügbar wird. Wir können niemals 

wissen, was morgen passiert. Aus diesem Grund ist es so wichtig, dass wir die zugrunde 

liegende Technologie und die größte Bedrohung von allen kennen: Benutzer. 


Microsoft Corporation (2007): Windows Server 2008-Homepage unter 

http://www.microsoft.com/windowsserver2008/default.mspx. 

Microsoft Corporation (2006, 2007): »New Networking Features in Windows Server 

2008 and Windows Vista« unter http://technet.microsoft.com/en-us/library/ 

bb726965.aspx. 

Microsoft Corporation (2007): »Windows Firewall with Advanced Security – Diagnostics 

and Troubleshooting« unter http://technet2.microsoft.com/WindowsVista/en/library/ 

9428d113-ade8-4dbe-ac05-6ef10a6dd7a51033.mspx?mfr=true. 

Microsoft Corporation (2007): Server and Domain Isolation-Homepage unter 


Microsoft Corporation (2007): Network Access Protection-Homepage unter 

http://technet.microsoft.com/en-us/network/bb545879.aspx.

K A P I T E L 1 0 

Implementieren der Active Directory- 

Zertifikatdienste 

Von Brian Komar 


Was ist neu in der Windows Server 2008-PKI? ............................... 274 

Bedrohungen für Zertifikatdienste und Eindämmungsmöglichkeiten ................. 275 

Schützen von Zertifikatdiensten .......................................... 286 

Empfehlungen ..................................................... 288 



Dieses Kapitel soll Sie in die Lage versetzen, die neuen Features zu erkennen, die in Windows 

Server 2008 zu den Active Directory-Zertifikatdiensten hinzugefügt wurden, die 

Bedrohungen für Active Directory-Zertifikatdienste und die Abwehrmöglichkeiten zum 

Verringern dieser Bedrohungen zu identifizieren, physische Sicherheitsmaßnahmen zum 

Schutz von Zertifizierungsstellen kennenzulernen und Verfahrensempfehlungen für Bereitstellungen 

der Active Directory-Zertifikatdienste zu bewerten. 

Die Installation der Active Directory-Zertifikatdienste ermöglicht Ihnen, in einem Microsoft- 

Netzwerk eine Zertifizierungsstelle (engl. Certification Authority, CA) zu konfigurieren, die 

digitale Zertifikate an Benutzer und Computer ausstellt. Die Active Directory-Zertifikatdienste 

sind die Kernkomponente der Microsoft Windows Server 2008-PKI (Public Key 

Infrastructure). 

Active Directory-Zertifikatdienste erlauben es, zwei Arten von Zertifizierungsstellen zu 

installieren: eigenständige Zertifizierungsstellen (engl. stand-alone certification authority) 

und Unternehmenszertifizierungsstellen (engl. enterprise certification authority). Eine eigenständige 

Zertifizierungsstelle wird normalerweise für Offlinezertifizierungsstellen eingesetzt 

(Zertifizierungsstellen, die nicht in das Netzwerk eingebunden sind, um die Sicherheit zu 

erhöhen). Eine Unternehmenszertifizierungsstelle wird normalerweise eingesetzt, um Zertifikate 

an Benutzer, Computer und Netzwerkgeräte auszustellen. 

Weitere Informationen Zertifikatdienste 

Dieses Kapitel konzentriert sich darauf, wie Sie Ihre Zertifikatdienstebereitstellung schützen. Einzelheiten, 

wie Sie Ihre PKI entwerfen, Zertifikatdienste implementieren, Zertifikatsvorlagen entwickeln und Zertifikate 

für übliche Anwendungen bereitstellen, finden Sie in Microsoft Windows Server 2008 – PKI und Zertifikatsicherheit 

(Microsoft Press, 2008). 

273

274 Kapitel 10: Implementieren der Active Directory-Zertifikatdienste 

Was ist neu in der Windows Server 2008-PKI? 

Windows Server 2008 führt einige neue Features für die PKI ein, darunter folgende: 

Cryptography Next Generation (CNG) Cryptography Next Generation ersetzt als 

Kryptografie-API die ursprüngliche Windows CryptoAPI. Die neuen APIs erlauben den 

Einsatz neuerer, stärkerer Verschlüsselungs- und Signaturalgorithmen bei der Implementierung 

von Kryptografie. Das bekannteste Feature von CNG ist die Implementierung 

der Suite-B-Algorithmen. Suite-B-Algorithmen wurden von der United States National 

Security Agency (NSA) im Jahr 2005 angekündigt. Sie stellen verbesserte Standards für 

symmetrische Verschlüsselung, Schlüsselaustausch, digitale Signaturen und Hash-Algorithmen 

zur Verfügung. Die Algorithmen sind zwar öffentlich bekannt, aber trotzdem 

sehr sicher. Das sind unter anderem ECDH (Elliptical Curve Diffie-Hellman) für Schlüsselaustausch, 

ECDS (Elliptical Curve Digital Signing) zum Signieren von Daten, längere 

SHA (Shivest Hash Algorithm) und AES (Advanced Encryption Standard) für symmetrische 

Verschlüsselung. 

Online Certificate Status Protocol (OCSP) Online Certificate Status Protocol erlaubt 

es Clients, sofortigen Sperrstatus für ein bestimmtes Zertifikat zu empfangen. Der OCSP- 

Client sendet die Anforderung an einen OCSP-Responder. Der OCSP-Responder ruft 

Sperrinformationen direkt von der Zertifizierungsstelle ab und antwortet mit dem Status 

des angefragten Zertifikats. OCSP bietet aktuellere Sperrinformationen als die üblichen 

Zertifikatsperrlisten (Certificate Revocation List, CRL) und generiert bekannte Datenverkehrsmuster, 

weil die Größe von Anforderung und Antwort bekannt ist. Der OCSP- 

Responder in Windows Server 2008 funktioniert mit Windows-Zertifizierungsstellen 

und Nicht-Windows-Zertifizierungsstellen. 

Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Services, 

NDES) Windows Server 2008 implementiert das SCEP (Simple Certificate Enrollment-Protokoll) 

von Cisco System als Standardkomponente des Betriebssystems. Während 

in Windows Server 2003 Add-On-Software aus dem Windows Server 2003 Resource 

Kit erforderlich war, steht NDES nun über den Assistenten "Rollen hinzufügen" zur 

Verfügung. NDES erlaubt es Netzwerkgeräten, die SCEP unterstützen, Zertifikate automatisch 

von einer Windows Server 2008-Zertifizierungsstelle anzufordern, auch wenn 

sie kein Computerkonto in Active Directory haben. 

Version-3-Zertifikatsvorlagen Windows Server 2008 bietet weitere Anpassungsmöglichkeiten 

für Zertifikatsvorlagen, indem es Version-3-Zertifikatsvorlagen einführt. Version-3-Zertifikatsvorlagen 

ermöglichen es Ihnen, CNG-Algorithmen innerhalb von Zertifikaten 

zu implementieren, die auf der Version-3-Zertifikatsvorlage basieren. Wegen der 

Anforderung, dass CNG-Algorithmen zur Verfügung stehen, können Version-3-Zertifikatsvorlagen 

nur von Windows Server 2008-Unternehmenszertifizierungsstellen herausgegeben 

werden.

Bedrohungen für Zertifikatdienste und Eindämmungsmöglichkeiten 275 

Bedrohungen für Zertifikatdienste und 

Eindämmungsmöglichkeiten 

Wenn Sie Zertifikatdienste bereitstellen, müssen Sie eine Reihe neuer Bedrohungen beachten, 

die in diesem Zusammenhang auftauchen. Diese Bedrohungen sind unter anderem: 

Kompromittierung des Schlüsselpaars einer Zertifizierungsstelle 

Verhinderung von Zertifikatsperrprüfungen 

Versuche, die Konfiguration der Zertifizierungsstelle zu verändern 

Versuche, eine Zertifikatsvorlage zu verändern 

Hinzufügen nichtvertrauenswürdiger Zertifizierungsstellen zum Speicher der vertrauenswürdigen 

Stammzertifizierungsstellen 

Registrierungs-Agenten, die nichtautorisierte Zertifikate ausstellen 

Kompromittierung einer Zertifizierungsstelle durch einen einzelnen Administrator 

Unautorisierte Wiederherstellung des privaten Schlüssels eines Benutzers aus der Zertifizierungsstellendatenbank 

Wir beginnen dieses Kapitel damit, dass wir uns diese Bedrohungen genauer ansehen und 

aufzeigen, welche Methoden zur Verfügung stehen, um die Bedrohungen einzudämmen. 

Kompromittierung des Schlüsselpaars einer Zertifizierungsstelle 

Jede Zertifizierungsstelle in einer Zertifizierungsstellenhierarchie hat ein digitales Zertifikat, 

das die Zertifizierungsstelle repräsentiert. Das Zertifikat enthält einen öffentlichen Schlüssel 

und den zugehörigen privaten Schlüssel. Falls Angreifer es schaffen, sich Zugriff auf den 

privaten Schlüssel einer Zertifizierungsstelle zu verschaffen und das Zertifikat mit den zugehörigen 

Schlüsseln zu exportieren, können Sie eine Kopie der Zertifizierungsstelle aufbauen 

und im Netzwerk gültige Zertifikate ausstellen. Sie müssen alle Paare aus privaten 

und öffentlichen Schlüsseln der Zertifizierungsstelle schützen, damit Angreifer niemals 

Zugriff darauf bekommen. 

Falls Sie einen softwarebasierten Kryptografiedienstanbieter (Cryptographic Service Provider, 

CSP) einsetzen, kann jedes Mitglied der lokalen Gruppe Administratoren den privaten 

Schlüssel und die Zertifikate der Zertifizierungsstelle in ein portables Dateiformat exportieren. 

Dieser exportierte private Schlüssel kann dann auf jedem Computer importiert werden, 

der darauf in der Lage ist, Zertifikate auszustellen, denen im Netzwerk Ihrer Organisation 

vertraut wird. Und weil die echte Zertifizierungsstelle die gefälschten Zertifikate gar nicht 

kennt, können sie nicht ohne Weiteres gesperrt werden. Die einzige Methode, einen solchen 

Angriff unwirksam zu machen, besteht darin, das Zertifikat der Zertifizierungsstelle zu sperren, 

eine Ersatzzertifizierungsstelle einzurichten und alle Zertifikate, die von der angegriffenen 

Zertifizierungsstelle ausgestellt wurden, neu auszustellen. 

Sie können folgende Maßnahmen ergreifen, um die Zertifizierungsstellen in Ihrer Zertifizierungsstellenhierarchie 

gegen diese Art Angriff zu schützen: 

Überwachen und Kontrollieren Sie die Mitgliedschaft in der lokalen Gruppe Administratoren. 

Indem Sie die Mitgliedschaft in der lokalen Gruppe Administratoren kontrollieren, 

können Sie einschränken, welche Benutzerkonten auf den privaten Schlüssel der Zertifizierungsstelle 

zugreifen dürfen. Außerdem sollten Sie die Mitgliedschaft überwachen, 

um festzustellen, ob ein nichtautorisierter Benutzer hinzugefügt wurde.


Implementieren Sie FIPS-140-2-Level-2 (Federal Information Processing Standards) 

oder -Level-3-Hardwareschutz für die privaten Schlüssel der Zertifizierungsstelle. Ein 

Hardwaresicherheitsmodul (Hardware Security Module, HSM) schützt den privaten 

Schlüssel der Zertifizierungsstelle in einem dedizierten Hardwaregerät. Das private 

Schlüsselmaterial wird mit Sicherheitstoken geschützt, die erzwingen, dass mehrere Personen 

anwesend sind, um auf den privaten Schlüssel der Zertifizierungsstelle zugreifen 

zu können. 

Verhinderung von Zertifikatsperrprüfungen 

Zertifikatbasierte Anwendungen überprüfen Zertifikate normalerweise, bevor sie die Zertifikate 

für Authentifizierung, Signierung oder Verschlüsselung einsetzen. Bei einer der durchgeführten 

Überprüfungen wird festgestellt, ob das vorgelegte Zertifikat vor seinem normalen 

Ablaufdatum gesperrt wurde. Wenn ein Zertifikat gesperrt wird, werden die Seriennummer 

des Zertifikats, der Sperrzeitpunkt und ein Grund für die Sperrung in einer Zertifikatsperrliste 

(Certificate Revocation List, CRL) aufgezeichnet. 

Ein Angreifer hat drei Möglichkeiten, eine solche Zertifikatsperrprüfung zu verhindern: 

Der Angreifer kann die Anwendung daran hindern, die Zertifikatsperrung zu prüfen. 

Bei diesem Angriff verhindert der Angreifer, dass die Anwendung den Sperrstatus eines 

Zertifikats überprüft. Zum Beispiel hat der Internet Explorer 7.0 sicherere Standardeinstellungen, 

sodass er automatisch den Sperrstatus für die Zertifikate von Anwendungsherausgebern 

und SSL-geschützten (Secure Sockets Layer) Websites prüft. Wie 

in Abbildung 10.1 zu sehen, kann für heruntergeladene Anwendungen und Websitezertifikate 

geprüft werden, ob sie gesperrt wurden. 

Abbildung 10.1 Aktivieren der Zertifikatsperrprüfung im Internet Explorer


Sie können diesen Angriff verhindern, indem Sie die Anwendungen sperren, um sicherzustellen, 

dass sie eine Zertifikatsperrprüfung erzwingen. Zum Beispiel können Sie in 

Internet Explorer die Zertifikatsperrprüfung über Gruppenrichtlinien aktivieren. 

Sie können ein Gruppenrichtlinienobjekt definieren, das die Einstellung Benutzerkonfiguration\Administrative 

Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Seite 

"Erweitert"\Auf gesperrte Serverzertifikate überprüfen aktiviert, 

um die Zertifikatsperrprüfung für alle Webserverzertifikate zu erzwingen. Genauso können 

Sie die Einstellung Benutzerkonfiguration\ Administrative Vorlagen\Windows-Komponenten\Internet 

Explorer\Internetsystemsteuerung\Seite "Erweitert"\Installation bzw. 

Ausführung von Software zulassen, auch wenn die Signatur ungültig ist aktivieren, um 

die Zertifikatsperrprüfung für Anwendungen zu erzwingen. 

Ein Angreifer kann den Zugriff auf die Server unterbinden, die die CRLs oder Zertifizierungsstellenzertifikate 

hosten. Falls eine Anwendung keine zwischengespeicherten, 

aktuellen Versionen der Zertifikatsperrliste oder Zertifizierungsstellenzertifikate hat, 

versucht die Anwendung, eine neue Version herunterzuladen. Dabei geht sie nach folgendem 

Schema vor: 

AIA-URLs (Authority Information Access) erlauben den Download von aktualisierten 

Zertifizierungsstellenzertifikaten, falls ein Zertifizierungsstellenzertifikat 

erneuert oder noch nicht auf den Client heruntergeladen wurde. 

Zertifikatsperrlisten erlauben den Download von aktualisierten Basis-CRLs oder 

Delta-CRLs (eine gekürzte Liste, die nur Zertifikate umfasst, die seit der Veröffentlichung 

der letzten Basis-CRL gesperrt wurden). 

Hinweis Bei der Zertifikatsperrprüfung müssen das Client- oder Serverzertifikat und alle Zertifizierungsstellenzertifikate 

in der Zertifikatkette geprüft werden. Falls irgendein Zertifikat in der Kette die 

Zertifikatsperrprüfung nicht besteht, gilt das Client- oder Serverzertifikat als gesperrt. Falls irgendeine 

Zertifikatsperrliste nicht verfügbar ist, wird das Zertifikat als nicht vertrauenswürdig eingestuft. Die Anwendung 

zeigt daraufhin meist eine Meldung an, dass der Sperrstatus nicht ermittelt werden kann. 

Ein Angreifer kann den Zugriff auf den Servercluster verhindern, der als OCSP-Responder 

(Online Certificate Status-Protokoll) agiert. OCSP ist ein Protokoll, das benutzt wird, 

um bei einem OCSP-Responder den Zertifikatstatus eines einzelnen Zertifikats abzufragen, 

dessen Seriennummer dabei angegeben wird. Der OCSP-Responder antwortet mit 

einer von drei möglichen Nachrichten: »OK«, »Gesperrt« (revoked) oder »Sperrstatus 

kann nicht ermittelt werden« (cannot determine revocation status). Falls der OCSP- 

Client nicht mit dem OCSP-Responder kommunizieren kann, stuft die Anwendung das 

Zertifikat als gesperrt ein, mit dem Grund »Sperrstatus kann nicht ermittelt werden«. 

Direkt von der Quelle: Vorsicht bei HTTP-URLs auf mehreren Servern 

Passen Sie auf, wenn Sie Zertifizierungsstellenzertifikate oder CRLs auf mehreren Servern 

hosten. Die Batchdatei, die das Zertifizierungsstellenzertifikat und die CRLs auf den 

Hostwebserver überträgt, muss sicherstellen, dass das Zertifizierungsstellenzertifikat oder 

die Zertifikatsperrliste auf alle Server im Cluster oder in der Servergruppe kopiert wird. 

Falls Zertifizierungsstellenzertifikat oder Zertifikatsperrliste nur auf einigen der Knoten 

im Cluster zur Verfügung steht, erhalten einige Clients bei der Sperrprüfung einen Fehler.


Bei Clients, die Verbindungen zu einem Knoten herstellen, dessen Zertifizierungsstellenzertifikat 

oder Zertifikatsperrliste abgelaufen oder nicht vorhanden ist, schlägt die Zertifikatsperrprüfung 

fehl, was unter Umständen die Ausführung der Anwendung verhindert. 

Etwa 80 Prozent der Anrufe beim Produktsupport zum Thema Zertifikatnutzung werden 

durch falsch veröffentlichte Zertifizierungsstellenzertifikat- und Zertifikatsperrlisteninformationen 

verursacht. 

Seth Scruggs, PSS Support Engineer 

Am besten können Sie Zertifikatsperrprüfungsangriffe verhindern, indem Sie sicherstellen, 

dass alle Benutzer jederzeit auf Veröffentlichungspunkte für die Zertifikatsperrprüfung zugreifen 

können. Das Zertifikatverkettungsmodul muss Zugriff auf die Zertifikatsperrliste 

und das Zertifizierungsstellenzertifikat jeder Zertifizierungsstelle in der Zertifikatkette oder 

auf den OCSP-Responder für jede Zertifizierungsstelle in der Kette haben, falls OCSP für 

die Zertifikatsperrprüfung eingesetzt wird. Falls irgendeine Zertifizierungsstelle in der Zertifikatsperrliste 

der Zertifikatkette, irgendein Zertifizierungsstellenzertifikat oder irgendein 

OCSP-Responder nicht verfügbar ist, verhindert das Verkettungsmodul, dass dieses Zertifikat 

benutzt wird (sofern die Zertifikatsperrung aktiviert ist). Sie können sicherstellen, dass 

die Clients Kontakt mit dem Zertifikatsperrlisten-Verteilungspunkt oder dem OCSP-Responder 

bekommen, indem Sie die URLs auf Serverclustern oder Lastverteilungsclustern mit 

sehr hoher Verfügbarkeit hosten. 

Abbildung 10.2 Die Reihenfolge der URLs ist sehr wichtig 

für die CDP- und AIA-Erweiterungen


Wenn Sie die CDP- und AIA-URLs definieren, sollten Sie sicherstellen, dass Sie die URLs 

so sortieren, dass die Mehrzahl der Anwendungen, die eine Zertifikatsperrprüfung durchführen, 

auf die primäre URL zugreifen. In Abbildung 10.2 sind die URLs so angeordnet, dass 

eine HTTP-URL die primäre URL ist und LDAP die sekundäre URL. Diese Reihenfolge 

erlaubt es Nicht-Windows-Computern, über die primäre URL auf Zertifikatsperrliste oder 

Zertifizierungsstellenzertifikat zuzugreifen, ohne auf die sekundäre URL zurückgreifen zu 

müssen. 

Falls Sie OCSP für die Zertifikatsperrprüfung implementieren, müssen Sie sicherstellen, 

dass der OCSP-Responder für alle Zertifikatsperrprüfungen zur Verfügung steht. Sie können 

Netzwerklastenausgleich implementieren, um sicherzustellen, dass der OCSP-Responder 

hochverfügbar ist. 

Versuche, die Konfiguration der Zertifizierungsstelle zu verändern 

Falls es einem Angreifer gelingt, sich auf dem Computer, der die Active Directory-Zertifikatdienste 

ausführt, Zugriff als lokaler Administrator zu verschaffen, kann er die Konfiguration 

der Zertifizierungsstelle verändern. Dabei kann er zum Beispiel die URLs für die Veröffentlichung 

von Zertifikatsperrlisten ändern, echte Zertifikate sperren und Zertifikate an ungültige 

Computer oder Benutzer ausstellen. 

Sie können solche Manipulationen an der Konfiguration der Zertifizierungsstelle verhindern, 

indem Sie die Mitgliedschaft in den Verwaltungsgruppen der Zertifizierungsstelle einschränken. 

Die Konfigurationsänderungen werden als Registrierungseinträge gespeichert. Nur Mitglieder 

der lokalen Gruppe Administratoren und Gruppen, denen die Berechtigung Zertifizierungsstelle 

verwalten für die Zertifizierungsstelle zugewiesen wurde, können Änderungen 

an der Konfiguration der Zertifizierungsstelle vornehmen. Das Problem ist, dass ein 

Mitglied der Gruppe Administratoren Änderungen an der Konfiguration der Zertifizierungsstelle 

vornehmen kann. Um feststellen zu können, wer eine autorisierte oder unautorisierte 

Änderung an der Konfiguration der Zertifizierungsstelle vorgenommen hat, sollten Sie die 

Überwachung auf der Zertifizierungsstelle aktivieren. In Windows Server 2008 können Sie 

definieren, welche Verwaltungsvorgänge im Sicherheitsprotokoll der Zertifizierungsstelle 

aufgezeichnet werden. Um sicherzustellen, dass alle Ereignisse im Bereich der Active Directory-Zertifikatdiensteüberwachung 

im Sicherheitsprotokoll aufgezeichnet werden, sollten 

Sie Erfolgs- und Fehlerereignisse für Objektzugriffsversuche auf der Zertifizierungsstelle 

aktivieren. Die Einstellungen können Sie direkt in der Konsole Lokale Sicherheitsrichtlinie 

vornehmen, Sie können aber auch ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) 

mit den erforderlichen Überwachungseinstellungen anwenden. 

Sobald Sie die Objektzugriffsüberwachung aktiviert haben, können Sie einzelne Überwachungseinstellungen 

in der Konsole Zertifizierungsstelle aktivieren. Wie in Abbildung 10.3 

gezeigt, können Sie folgende Überwachungsoptionen auf der Registerkarte Überwachung 

im Eigenschaftendialogfeld der Zertifizierungsstelle aktivieren: 

Datenbank der Zertifizierungsstelle sichern/wiederherstellen Protokolliert alle 

Versuche, die Zertifizierungsstellendatenbank zu sichern oder wiederherzustellen, im 

Windows-Sicherheitsprotokoll. 

Zertifizierungsstellenkonfiguration ändern Protokolliert alle Versuche, die Konfiguration 

der Zertifizierungsstelle zu verändern. Das umfasst unter anderem die Definition 

von AIA- (Authority Information Access) und CDP-URLs (CRL Distribution Point) oder 

eines Schlüsselwiederherstellungs-Agenten.


Sicherheitseinstellungen der Zertifizierungsstelle ändern Protokolliert alle Versuche, 

Berechtigungen der Zertifizierungsstelle zu ändern, zum Beispiel durch Hinzufügen 

von Zertifizierungsstellenadministratoren oder Zertifikatverwaltungen. 

Zertifikatanforderungen verwalten und ausstellen Protokolliert alle Versuche einer 

Zertifikatverwaltung, Zertifikatanforderungen zu gewähren oder zu verweigern, deren 

Genehmigung aussteht. 

Zertifikate sperren und Sperrlisten veröffentlichen Protokolliert alle Versuche einer 

Zertifikatverwaltung, ein ausgestelltes Zertifikat zu sperren, oder Versuche eines Zertifizierungsstellenadministrators, 

eine aktualisierte Zertifikatsperrliste zu veröffentlichen. 

Archivierte Schlüssel sichern und abrufen Protokolliert alle Versuche, während des 

Registrierungsprozesses private Schlüssel in der Zertifizierungsstellendatenbank zu archivieren, 

oder Versuche von Zertifikatverwaltungen, archivierte private Schlüssel aus 

der Zertifizierungsstellendatenbank abzurufen. 

Active Directory-Zertifikatdienste starten/beenden Protokolliert alle Versuche eines 

Zertifizierungsstellenadministrators, die Zertifikatdienste zu starten und zu beenden. 

Abbildung 10.3 Überwachungsoptionen für eine 

Windows Server 2008-Zertifizierungsstelle 

Versuche, eine Zertifikatsvorlage zu verändern 

Zertifikatsvorlagen können Sie sich als Baupläne für Zertifikate vorstellen, die eine Windows 

Server 2008-Unternehmenszertifizierungsstelle ausstellt. Falls Angreifer Zugriff auf der 

Ebene eines Unternehmensadministrators erhält (oder auf der Ebene eines Administrators 

für die Stammdomäne der Gesamtstruktur), kann er die Eigenschaften einer Zertifikatsvorlage 

im Container CN=Certificate Templates,CN=Public Key Services,CN=Services, 

CN=Configuration, verändern, wobei der


LDAP-Name (Lightweight Directory Access Protocol) der Gesamtstruktur-Stammdomäne 

ist. Wie umfangreich die Änderungen sind, die ein Angreifer vornehmen kann, hängt davon 

ab, welche Art von Zertifikatsvorlage er manipuliert: 

Bei Version-1-Zertifikatsvorlagen kann ein Angreifer lediglich die Berechtigungen für 

die einzelnen Zertifikatsvorlagen verändern. Das ermöglicht es dem Angreifer, ein Zertifikat 

auszustellen, das erhöhte Berechtigungen gewährt (zum Beispiel ein Zertifikat für 

einen Registrierungs-Agenten). So kann der Angreifer zusätzliche Zertifikate im Namen 

anderer Benutzer anfordern. 

Version-2- oder Version-3-Zertifikatsvorlagen, die von Unternehmenszertifizierungsstellen 

veröffentlicht werden, die unter Windows Server 2008 Enterprise Edition oder Datacenter 

Edition laufen, verschaffen einem Angreifer viele Möglichkeiten, die Konfiguration 

zu manipulieren. Zum Beispiel kann er den gesamten Zweck des Zertifikats, 

Anwendungsrichtlinien, Schlüsselarchivierungsanforderungen, Gültigkeitsdauer und 

Format des Antragstellernamens verändern. So kann ein Angreifer zum Beispiel den 

Zweck der Zertifikatsvorlage so ändern, dass die Schlüsselarchivierung aktiviert wird, 

sofern die Zertifikatsvorlage verschlüsselungsfähig ist. 

Hinweis Weitere Informationen zur Bedeutung von Zertifikatsvorlagen in einem Microsoft Windows- 

Netzwerk finden Sie im Whitepaper »Implementing and Administering Certificate Templates in Windows 

Server 2008« unter http://go.microsoft.com/fwlink/?LinkID=92522. 

Sie sollten regelmäßig die Zertifikatsvorlagendefinitionen für die Zertifikatsvorlagen überprüfen, 

die Sie in Ihrer Gesamtstruktur bereitstellen. Stellen Sie sicher, dass die Einstellungen 

Ihrem Entwurf entsprechen. Achten Sie besonders auf Berechtigungszuweisungen, um 

sicherzustellen, dass unautorisierte Benutzer keine Lesen- und Registrieren-Berechtigungen 

für eine Zertifikatsvorlage zugewiesen bekommen. Zum Beispiel könnte ein Angreifer versuchen, 

sich Zugriff auf ein Zertifikat mit besonderen Privilegien zu verschaffen, zum Beispiel 

ein Registrierungs-Agent-Zertifikat. Das Registrierungs-Agent-Zertifikat erlaubt dem 

Besitzer, das Zertifikat im Namen eines anderen Benutzers anzufordern. Wenn ein Angreifer 

über ein Registrierungs-Agent-Zertifikat verfügt, kann er ein Zertifikat für jeden Benutzer in 

der Gesamtstruktur anfordern, ohne Konto oder Kennwort des Benutzers wissen zu müssen. 

Hinzufügen nichtvertrauenswürdiger Zertifizierungsstellen zum Speicher 

der vertrauenswürdigen Stammzertifizierungsstellen 

Falls Angreifer ein nicht vertrauenswürdiges Zertifizierungsstellenzertifikat zum Speicher 

der vertrauenswürdigen Stammzertifizierungsstellen hinzufügen kann, werden alle Zertifikate, 

deren Zertifikatkette zu diesem Stammzertifizierungsstellenzertifikat zurückführen, als 

vertrauenswürdig eingestuft. Ein Zertifikat, das auf ein vertrauenswürdiges Stammzertifizierungsstellenzertifikat 

zurückführt, gilt für alle Zwecke als vertrauenswürdig. Ein vertrauender 

Partner vertraut einem solchen Zertifikat genauso wie er einem Zertifikat vertraut, das 

von einer gültigen Zertifizierungsstelle in derselben Hierarchie ausgestellt wurde. 

Stattdessen könnte ein Angreifer auch versuchen, eine Zertifikatvertrauensliste (Certificate 

Trust List, CTL) zu erstellen. Dies ist eine Liste der Zertifizierungsstellenzertifikate, die 

nicht von der Zertifizierungsstellenhierarchie Ihres Unternehmens ausgestellt werden, denen 

aber für bestimmte Zwecke und bestimmte Zeiträume vertraut wird. Das ermöglicht es dem 

Angreifer, in Ihrem Netzwerk ein Zertifikat zu benutzen, das von einer fremden, nicht ver-


trauenswürdigen Zertifizierungsstelle ausgestellt wurde. Wenn ein ahnungsloser Client die 

Zertifikatvertrauensliste lädt, vertraut er dem Zertifikat des Angreifers. 

In der Standardeinstellung bieten Windows Vista und Windows Server 2008 folgende 

Mechanismen zum Schutz gegen die Installation eingeschleuster Stammzertifizierungsstellenzertifikate: 

Benutzerkontensteuerung (User Account Control, UAC) Nur Mitglieder der lokalen 

Gruppe Administratoren können ein Stammzertifizierungsstellenzertifikat zum Speicher 

der vertrauenswürdigen Stammzertifizierungsstellen des Computers hinzufügen. 

Falls der Angreifer eine Verknüpfung auf sein eingeschleustes Stammzertifikat angibt, 

warnt die UAC den Client, dass administrative Privilegien erforderlich sind, um das 

Stammzertifikat zu installieren. 

Gruppenrichtlinien für vertrauenswürdige Stammzertifizierungsstellen Über 

Gruppenrichtlinien können Sie Regeln definieren, wie Stammzertifizierungsstellenzertifikate 

hinzugefügt werden dürfen. Wie in Abbildung 10.4 zu sehen, können Sie festlegen, 

ob ein vom Benutzer hinzugefügtes Stammzertifikat verwendet werden kann, um 

Zertifikate zu validieren. Sie können auch steuern, ob der Client Peervertrauenszertifikaten 

vertrauen kann und ob die Clientcomputer sowohl kommerziellen als auch Stammzertifizierungsstellen 

des Unternehmens vertrauen oder nur Stammzertifizierungsstellen 

des Unternehmens. 

Abbildung 10.4 Definieren von Gruppenrichtlinieneinstellungen für 

vertrauenswürdige Stammzertifizierungsstellen


Registrierungs-Agenten, die nichtautorisierte Zertifikate ausstellen 

In älteren Windows-Versionen war die Rolle Registrierungs-Agent in der Lage, Smartcard- 

Zertifikate für beliebige Benutzer in Active Directory auszustellen. Viele Organisationen 

betrachteten das als Sicherheitsproblem, weil ein Registrierungs-Agent eine Smartcard für 

ein privilegiertes Konto, zum Beispiel ein Mitglied von Organisations-Admins, ausstellen 

und dann in dieser Rolle agieren konnte. Ein Benutzer, der ein Registrierungs-Agent war, 

war also genauso vertrauenswürdig und mächtig wie jeder andere Benutzer in der Domäne. 

Bei einer Unternehmenszertifizierungsstelle, die unter Windows Server 2008 Enterprise 

Edition oder Windows Server 2008 Datacenter Edition läuft, können Sie Einschränkungen 

für Registrierungs-Agenten erzwingen. Diese Einschränkungen verhindern, dass ein 

Registrierungs-Agent Smartcards an unautorisierte Benutzer ausstellt. 

Abbildung 10.5 Einschränken von Registrierungs-Agenten 

Wie in Abbildung 10.5 gezeigt, können Sie Registrierungs-Agenten nun auf zwei Arten 

einschränken: 

Sie können Registrierungs-Agenten so einschränken, dass sie nur Zertifikate aus einer 

vordefinierten Liste von Zertifikatsvorlagen anfordern dürfen. Selbst wenn der Registrierungs-Agent 

versehentlich Lesen- und Registrieren-Berechtigungen für weitere 

Zertifikatsvorlagen zugewiesen bekommen hat, bleibt der Registrierungs-Agent auf die 

Liste beschränkt, die auf der Registerkarte Registrierungs-Agents definiert ist. In beiden 

Dialogfeldern in Abbildung 10.5 wird die Gruppe West RAs darauf beschränkt, nur 

Smartcard-Zertifikate auf Basis der Zertifikatsvorlagen Federal Bridge Signing und 

Corporate Smart Card Logon auszustellen. 

Sie können noch weiter einschränken, an welche Gruppen Smartcard-Zertifikate anhand 

von Zertifikatsvorlagen ausgestellt werden dürfen. Das linke Dialogfeld in Abbildung 10.5


zeigt, dass die Gruppe West RAs nur Zertifikate auf Basis der Zertifikatsvorlage Corporate 

Smart Card Logon für Mitglieder der Gruppe West Smart Card Users anfordern 

darf. Und im rechten Dialogfeld ist festgelegt, dass die Gruppe West RAs nur Zertifikate 

auf Basis der Zertifikatsvorlage Federal Bridge Signing für Mitglieder der Gruppe Federal 

Bridge Users anfordern darf. 

Tipp Sie brauchen nicht alle Zertifikatsvorlagen aufzulisten, wenn Sie einer bestimmten Registrierungs- 

Agent-Gruppe erlauben wollen, Zertifikate für alle Zertifikatsvorlagen oder alle Benutzer anzufordern. Sie 

können im Feld Zertifikatsvorlagen den Eintrag auswählen und für die Benutzer die Gruppe Jeder. 

Außerdem können Sie explizite Verweigern-Berechtigungen hinzufügen, um zu verhindern, dass Zertifikate 

an eine bestimmte Gruppe oder auf Basis einer bestimmten Zertifikatsvorlage ausgestellt werden. 

Kompromittierung einer Zertifizierungsstelle durch einen 

einzelnen Administrator 

In der Standardeinstellung gewährt Windows Server 2008 der integrierten Gruppe Administratoren 

Berechtigungen und Benutzerrechte, um alle administrativen Aufgaben auszuführen. 

Falls der Computer, auf dem die Zertifikatdienste laufen, ein eigenständiger Computer 

ist, werden die Berechtigungen der lokalen Gruppe Administratoren zugewiesen. Falls der 

Computer Mitglied einer Domäne ist, werden die Berechtigungen auch den Gruppen Organisations-Admins 

und Domänen-Admins der Gesamtstruktur-Stammdomäne zugewiesen. 

Wenn alle Verwaltungsberechtigungen einem einzigen Konto oder einer Gruppe zugewiesen 

werden, kann jedes Mitglied der administrativen Gruppen sämtliche Verwaltungsfunktionen 

durchführen, ohne Beaufsichtigung durch andere Administratoren. Es ist möglich, dass ein 

böswilliger Administrator Änderungen an der Konfiguration der Zertifizierungsstelle vornimmt, 

eine große Menge von Zertifikaten sperrt, das Überwachungprotokoll löscht, um 

seine Spuren zu verwischen, oder eine Datensicherung der privaten Schlüssel und Datenbank 

der Zertifizierungsstelle durchführt, um eine Kopie der Zertifizierungsstelle anzulegen. 

Sie können die Gefahr, die von einem einzelnen böswilligen Administrator ausgeht, dadurch 

verringern, dass Sie den Empfehlungen in »Certificate Issuing and Management Components 

(CIMC) Family of Protection Profiles« folgen, einem Standarddokument des National 

Institute of Standards and Technology (NIST). Dieses Dokument definiert Anforderungen 

für die Ausstellung, Sperrung und Verwaltung von X.509-Zertifikaten. 

Hinweis Die CIMC-Schutzprofile werden oft als Common-Criteria-Richtlinien bezeichnet. 

Die Windows Server 2008-PKI folgt den Empfehlungen im Standarddokument. Eine Organisation 

kann daher eine PKI bereitstellen, die das Schutzprofil der Sicherheitsstufe 4 erfüllt. 

Dieses Profil definiert vier PKI-Verwaltungsrollen: 

Zertifizierungsstellenadministrator Diese Rolle übernimmt die Aufgabe der Kontoadministration 

und Schlüsselgenerierung für das Schlüsselpaar des Zertifizierungsstellenzertifikats. 

Ein Mitglied dieser Rolle kann die Konfiguration der Zertifizierungsstelle 

ändern. Sie weisen diese Rolle zu, indem Sie dem Benutzer oder der Gruppe in der Konsole 

Zertifizierungsstelle die Berechtigung Zertifizierungsstelle verwalten zuweisen. 

Zertifikatverwaltung Dieser Rolle fällt die Aufgabe zu, die Zertifikate zu verwalten. 

Zu den Verwaltungsfunktionen gehört das Ausstellen und Sperren von Zertifikaten und 

das Extrahieren der Blobs für private Schlüssel aus der Zertifizierungsstellendatenbank,


während Schlüsselwiederherstellungsoperationen durchgeführt werden. Sie weisen diese 

Rolle zu, indem Sie dem Benutzer oder der Gruppe in der Konsole Zertifizierungsstelle 

die Berechtigung Zertifikate ausstellen und verwalten zuweisen. 

Revisor Diese Rolle hat die Aufgabe, die Überwachungsprotokolle der Zertifizierungsstelle 

zu verwalten und zu konfigurieren. Sie weisen diese Rolle zu, indem Sie dem 

Benutzer oder der Gruppe entweder in der Konsole Lokale Sicherheitsrichtlinie oder in 

einem Gruppenrichtlinienobjekt, das mit der Organisationseinheit verknüpft ist, in dem 

das Computerkonto der Zertifizierungsstelle liegt, das Benutzerrecht Verwalten von 

Überwachungs- und Sicherheitsprotokollen zuweisen. 

Datensicherungsoperator Diese Rolle hat die Aufgabe, Datensicherungen von PKI- 

Informationen vorzunehmen. Sie weisen diese Rolle zu, indem Sie dem Benutzer oder 

der Gruppe entweder in der Konsole Lokale Sicherheitsrichtlinie oder in einem Gruppenrichtlinienobjekt, 

das mit der Organisationseinheit verknüpft ist, in dem das Computerkonto 

der Zertifizierungsstelle liegt, das Benutzerrecht Sichern von Dateien und 

Verzeichnissen zuweisen. 

Windows Server 2008 Enterprise Edition und Windows Server 2008 Datacenter Edition 

ermöglichen Ihnen, die Common-Criteria-Rollentrennung zu erzwingen, sodass niemals 

dieselbe Person mehrere Common-Criteria-Rollen übernehmen kann. Ein Benutzer kann nur 

eine einzige der Rollen Zertifizierungsstellenadministrator, Zertifikatverwaltung, Revisor 

oder Datensicherungsoperator übernehmen. Werden einem Benutzer zwei oder mehr dieser 

Rollen zugewiesen, wird der Benutzer von allen Zertifikatverwaltungsaktionen ausgeschlossen. 

In der Standardeinstellung sind Mitglieder der Gruppen Organisations-Admins, Domänen- 

Admins der Gesamtstruktur-Stammdomäne und der lokalen Gruppe Administratoren auf der 

Zertifizierungsstelle von der PKI-Verwaltung ausgeschlossen, wenn Sie die Rollentrennung 

aktivieren. Dieser Ausschluss wird durchgeführt, weil diese Gruppen aufgrund der Standardberechtigungszuweisungen 

sowohl die Rolle des Revisors als auch des Datensicherungsoperators 

einnehmen. 

Hinweis Common-Criteria-Rollentrennungserzwingung kann von einem lokalen Administrator aktiviert 

werden, indem er an der Eingabeaufforderung certutil –setreg CA\RoleSeparationEnabled 1 eingibt 

und dann die Zertifikatdienste neu startet. Denken Sie daran, dass alle Benutzer, denen mehr als eine 

Zertifikatadministrationsrolle zugewiesen ist, ab diesem Zeitpunkt von allen Zertifizierungsstellenverwaltungsaktivitäten 

ausgeschlossen sind. Das können Sie rückgängig machen, indem Sie die Erzwingung der 

Common-Criteria-Rollentrennung mit dem Befehl certutil –delreg CA\RoleSeparationEnabled 

deaktivieren und dann die Zertifikatdienste neu starten. 

Unautorisierte Wiederherstellung des privaten Schlüssels 

eines Benutzers aus der Zertifizierungsstellendatenbank 

Windows Server 2008 bietet die Möglichkeit, den privaten Schlüssel, der mit dem Verschlüsselungszertifikat 

eines Benutzers verknüpft ist, zu archivieren (hinterlegen), sofern die 

Zertifizierungsstelle unter Windows Server 2008 Enterprise Edition oder Windows Server 

2008 Datacenter Edition läuft. Ein Angreifer könnte das Zertifikat eines beliebigen Benutzers 

und den privaten Schlüssel aus der Zertifizierungsstellendatenbank abrufen, falls 

der Angreifer sowohl ein lokaler Administrator als auch ein vorhandener Schlüsselwieder-


herstellungs-Agent auf dem Zertifizierungsstellencomputer ist, auf dem der private Schlüssel 

des Benutzers archiviert ist. 

Falls der Angreifer Zugriff auf den privaten Schlüssel des Benutzers erlangt, kann der Angreifer 

alle Informationen entschlüsseln, die mit dem ausgespähten Zertifikat geschützt sind. 

Und falls das Zertifikat eine Signierung ermöglicht, kann der Angreifer sich für den Benutzer 

ausgeben, um Daten digital zu signieren. 

Sie können diesen Angriff verhindern, indem Sie Zertifikatverwaltungen von Schlüsselwiederherstellungs-Agenten 

trennen. Das hat folgende Konsequenzen: 

Der Inhaber der Rolle Zertifikatverwaltung stellt fest, wer der Schlüsselwiederherstellungs-Agent 

für den archivierten privaten Schlüssel ist, und extrahiert eine verschlüsselte 

PKCS#7-Blob-Datei aus der Zertifizierungsstellendatenbank. Nur der Inhaber der Rolle 

Zertifikatverwaltung kann diese Blob-Datei extrahieren. 

Der Inhaber der Rolle Schlüsselwiederherstellungs-Agent kann die verschlüsselte Blob- 

Datei mit dem privaten Schlüssel im Zertifikat des Schlüsselwiederherstellungs-Agenten 

entschlüsseln. Nur der Schlüsselwiederherstellungs-Agent hat Zugriff auf den privaten 

Schlüssel, der die verschlüsselte Blob-Datei entschlüsseln kann. 

Ein Administrator kann sich selbst zu einem Schlüsselwiederherstellungs-Agenten für vorhandene 

archivierte Zertifikate machen. Der Schlüsselwiederherstellungs-Agent wird zu 

dem Zeitpunkt bestimmt, an dem der private Schlüssel archiviert wird. Solange der private 

Schlüssel geschützt bleibt (indem er zum Beispiel auf einer Smartcard gespeichert wird), 

kann ein Administrator keinen Zugriff auf den privaten Schlüssel bekommen. 

Schützen von Zertifikatdiensten 

Um die Wahrscheinlichkeit zu verringern, dass die verschiedenen weiter oben beschriebenen 

Bedrohungen für einen erfolgreichen Angriff genutzt werden, können Sie folgende Maßnahmen 

ergreifen: 

Implementieren von physischen Sicherheitsmaßnahmen 

Implementieren von logischen Sicherheitsmaßnahmen 

Implementieren physischer Sicherheitsmaßnahmen 

Physische Sicherheitsmaßnahmen verhindern, dass Angreifer physischen Zugriff auf den 

Computer bekommen, der die Active Directory-Zertifikatdienste ausführt. Wenn ein Angreifer 

physischen Zugriff auf einen Computer erhält, ist eine Vielzahl von Angriffen möglich. 

Physische Sicherheitsmaßnahmen können Folgendes umfassen: 

Verwenden Sie Offlinezertifizierungsstellen. Indem Sie eine dreischichtige Hierarchie 

aufbauen, können Stammzertifizierungsstelle und Zertifizierungsstellen der zweiten 

Ebene (auch als Richtlinienzertifizierungsstellen bezeichnet) Offlinezertifizierungsstellen 

sein, auf die kein Remotezugriff möglich ist. Sie brauchen nicht einmal eingeschaltet 

zu sein. Bei einer zweischichtigen Hierarchie kann nur die Stammzertifizierungsstelle 

eine Offlinezertifizierungsstelle. Eine Offlinezertifizierungsstelle ist nicht an das Netzwerk 

angeschlossen; sie wird nur eingeschaltet, um neue Zertifikate für untergeordnete 

Zertifizierungsstellen auszustellen, Zertifikate für untergeordnete Zertifizierungsstellen 

zu erneuern und aktualisierte CRLs zu veröffentlichen. Selbst während dieser Operationen 

ist sie nicht mit dem Netzwerk verbunden und braucht nicht von ihrem sicheren

Schützen von Zertifikatdiensten 287 

Aufstellungsort wegbewegt zu werden. Die Zertifikate und CRLs können von einem 

Menschen an den Ort getragen werden, wo sie bereitgestellt werden. 

Installieren Sie Offlinezertifizierungsstellen in physisch geschützten Orten, zum Beispiel 

Tresorräumen, Safes oder geschützten Serverräumen, je nachdem, was die Sicherheitsrichtlinie 

Ihres Unternehmens vorschreibt. 

Stellen Sie Hardwareschlüsselmodule bereit, zum Beispiel Hardwaresicherheitsmodule 

(Hardware Security Module, HSM), um das Schlüsselpaar der Zertifizierungsstelle zu 

generieren und zu schützen und alle ausgestellten Zertifikate und CRLs zu signieren. 

HSMs ermöglichen Ihnen, eine getrennte Schlüsselverwaltung zu implementieren, wobei 

mehrere Schlüsselbesitzer anwesend sein müssen, um den privaten Schlüssel einer 

Offlinezertifizierungsstelle zu aktivieren und zu benutzen. Zum Beispiel können Sie 

festlegen, dass für den Zugriff auf den privaten Schlüssel der Stammzertifizierungsstelle 

4 Token aus einem Pool von insgesamt 11 Token vorhanden sein müssen, wobei jedes 

Token von einer anderen Person aufbewahrt wird. 

Implementieren Sie die BitLocker-Laufwerkverschlüsselung (BitLocker Drive Encryption, 

BDE), um das Festplattenlaufwerk der Stammzertifizierungsstelle für den Fall zu 

schützen, dass das Festplattenlaufwerk aus dem Computer der Zertifizierungsstelle ausgebaut 

wird und jemand versucht, damit einen Offlineangriff durchzuführen. BitLocker 

verhindert auch den Zugriff auf den lokalen Computer, falls die Person an der Konsole 

das TPM-Kennwort (Trusted Platform Module) oder den BDE-Wiederherstellungsschlüssel 

auf einem USB-Token nicht bereitstellen kann. 

Warnung Wenn Sie BDE auf einer Offlinezertifizierungsstelle implementieren, können Sie den Wiederherstellungsschlüssel 

nicht in Active Directory speichern, weil das Computerkonto kein Mitglied 

einer Domäne ist. Speichern Sie unbedingt mehrere Exemplare des Wiederherstellungsschlüssels auf 

unterschiedlichen USB-Token und bewahren Sie die Wiederherstellungsschlüssel an sicheren Orten auf. 

Deaktivieren Sie Hardware im BIOS des Zertifizierungsstellencomputers. Falls Sie verhindern 

wollen, dass der Zertifizierungsstellencomputer an das Netzwerk angeschlossen 

wird, können Sie die Netzwerkkarten im BIOS des Servers deaktivieren und BDE mit 

einem TPM-Kennwort implementieren, um einen unautorisierten Konsolenzugriff auf 

die Zertifizierungsstelle zu verhindern. Außerdem können Sie die USB-Anschlüsse und 

andere Geräte deaktivieren, um zu verhindern, dass Daten von der Festplatte des Zertifizierungsstellencomputers 

kopiert werden. 

Warnung Es ist wirklich nicht empfehlenswert, BIOS-Startkennwörter zu nutzen, um eine Offlinezertifizierungsstelle 

zu schützen. BIOS-Startkennwörter können bei manchen Systemen auf ein leeres 

Kennwort zurückgesetzt werden, indem man die Batterie auf dem Motherboard des Computers kurzschließt. 

Es ist auf jeden Fall besser, BDE zu implementieren, um unautorisierten Konsolenzugriff zu 

verhindern. 

Implementieren Sie Syskey-Level-2- oder -Level-3-Sicherheit, um den Start einer Offlinezertifizierungsstelle 

einzuschränken. Syskey-Level-2 erfordert, dass ein Kennwort 

eingegeben wird, bevor auf die lokale Kontendatenbank zugegriffen wird, was erforderlich 

ist, damit der Offlinezertifizierungsstellencomputer starten kann. Die Syskey-Level- 

3-Einstellung verbessert die Sicherheit, indem erzwungen wird, dass eine Diskette, die 

das Syskey-Kennwort enthält, eingelegt wird, um den Computer zu starten.


Warnung Falls Sie Syskey-Level-2- oder -Level-3-Sicherheit implementieren und das Kennwort vergessen 

oder keinen Zugriff mehr auf das Kennwort auf dem Syskey-Datenträger haben, können Sie 

überhaupt nicht mehr auf den Offlinezertifizierungsstellencomputer zugreifen. Stellen Sie sicher, dass 

das Kennwort an einem sicheren Ort aufgezeichnet wird oder dass Kopien des Syskey-Datenträgers 

vorhanden sind, um solche Probleme zu vermeiden. 

Empfehlungen 

Sie sollten die folgenden Verfahrensempfehlungen beachten, um Active Directory-Zertifikatdienste 

zu schützen: 

Erhöhen Sie die Sicherheit der Stammzertifizierungsstellencomputer Sie können 

für diesen Zweck Offlinezertifizierungsstellen und (sofern möglich) Offlinerichtlinienzertifizierungsstellen 

bereitstellen, je nachdem, was die Sicherheitsrichtlinie Ihres Unternehmens 

vorschreibt. 

Implementieren Sie ein Hardwaresicherheitsmodul Sie sollten dies nur tun, falls die 

Sicherheitsrichtlinie Ihres Unternehmen oder der Organisationen, mit denen Sie Zertifikate 

austauschen wollen, einen starken Schutz des Schlüsselpaars der Zertifizierungsstelle 

fordert. 

Stellen Sie sicher, dass CRLs und Zertifizierungsstellenzertifikate an Stellen veröffentlicht 

werden, auf die zugegriffen werden kann Das Zertifikatverkettungsmodul 

muss Zugriff auf alle CRLs und Zertifizierungsstellenzertifikate in der Zertifikatkette 

haben, um ein vorgelegtes Zertifikat überprüfen zu können. Falls irgendein Zertifikat 

oder eine Zertifikatsperrliste nicht verfügbar ist, kann sein Status nicht bestimmt werden. 

Stellen Sie sicher, dass OCSP-Responder hochverfügbar sind Falls Sie OCSP implementieren, 

müssen Sie sicherstellen, dass die OCSP-Responder nicht nur für interne 

und externe Benutzer verfügbar sind, sondern hochverfügbar. Sie können die Windows- 

Lastausgleichsdienste implementieren, um sicherzustellen, dass der OCSP-Responder 

auch dann noch OCSP-Anforderungen bedienen kann, wenn ein einzelner Knoten im 

Cluster ausfällt. 

Aktivieren Sie die Zertifikatsperrlistenprüfung in allen Anwendungen Die Zertifikatsperrlistenprüfung 

stellt sicher, dass ein vorgelegtes Zertifikat alle Überprüfungen besteht, 

bevor es akzeptiert wird. Falls das Zertifikat irgendeinen Test nicht besteht, wird 

es als ungültig eingestuft. 

Wenden Sie die neuesten Service Packs und Sicherheitsupdates auf Zertifizierungsstellen 

an Auf diese Weise stellen Sie sicher, dass die Zertifizierungsstelle gegen bekannte 

Sicherheitslücken geschützt ist. 

Trennen Sie die Rollen von Zertifikatverwaltung und Schlüsselwiederherstellungs- 

Agent Falls eine Person beide Rollen wahrnimmt, ist es möglich, dass dieser Benutzer 

einen verschlüsselten privaten Schlüssel aus einer Windows Server 2003-Zertifizierungsstelle 

abruft und entschlüsselt, um ihn für eigene Zwecke zu missbrauchen. Indem 

Sie die Rollen trennen, erzwingen Sie, dass zwei Personen am Wiederherstellungsprozess 

teilnehmen müssen. 

Implementieren Sie Rollentrennung Indem Ihre Organisation den Common-Criteria- 

Richtlinien folgt, kann sie sicherstellen, dass niemals eine einzige Person alle PKI- 

Verwaltungsrollen wahrnimmt. Wenn Sie Rollentrennung implementieren, kann der


PKI-Verwaltungsprozess überwacht werden, sodass sichergestellt ist, dass eine Person 

nicht alle Verwaltungsfunktionen ausführen kann. Falls Ihre Sicherheitsrichtlinie es 

erfordert, müssen Sie die Rollentrennung aktivieren, um zu verhindern, dass jemand 

PKI-Verwaltungsaufgaben übernimmt, falls er zwei oder mehrere Common-Criteria- 

Rollen wahrnimmt. 

Aktivieren Sie alle Überwachungsoptionen in einer Windows Server 2008-Zertifizierungsstelle 

Indem Sie alle Überwachungsoptionen aktivieren, stellen Sie sicher, 

dass alle Veränderungen an der PKI im Sicherheitsereignisprotokoll der Zertifizierungsstelle 

aufgezeichnet werden. 

Aktivieren Sie Einschränkungen für Registrierungs-Agenten Stellen Sie sicher, 

dass ein Registrierungs-Agent nur Zertifikate für autorisierte Benutzer anfordern kann, 

indem Sie die Einschränkungen für Registrierungs-Agenten aktivieren. Sie können einen 

Registrierungs-Agenten auf eine bestimmte Zertifikatsvorlage einschränken und erzwingen, 

dass er nur Zertifikate für bestimmte Sicherheitsgruppen anfordern darf. 


Wenn Sie Ihre Sicherheitsstrategie für Active Directory-Zertifikatdienste entwerfen, müssen 

Sie sicherstellen, dass Sie alle Bedrohungen identifizieren, die für Ihre Bereitstellung relevant 

sind. Stellen Sie für jede Bedrohung sicher, dass Sie Maßnahmen zu deren Eindämmung 

ergreifen, aber auch den Funktionsumfang zur Verfügung stellen, den Sie von den 

Zertifikatdiensten brauchen. 

Neben der Eindämmung von Bedrohungen sollten Sie sicherstellen, dass Sie gute physische 

Sicherheit für Ihre Zertifizierungsstellen gewährleisten: 

Offlinezertifizierungsstellen sollten niemals an das Netzwerk angeschlossen sein, und sie 

sollten an physisch geschützten Orten aufgestellt sein. 

Onlinezertifizierungsstellen sollten mit derselben physischen Sicherheit wie Domänencontroller 

ausgestattet sein. 

Und schließlich sollten Sie sicherstellen, dass Sie den Verfahrensempfehlungen für die 

Bereitstellung von Zertifizierungsstellen folgen. 


Microsoft Windows Server 2008 – PKI und Zertifikatsicherheit von Brian Komar 

(Microsoft Press, 2008). 

Microsoft Official Curriculum Course 2821: Designing and Managing a Windows Public 

Key Infrastructure (http://www.microsoft.com/learning/syllabi/en-us/2821Afinal.mspx). 

Microsoft Windows Server 2003 PKI und Zertifikatsicherheit von Brian Komar und dem 

Microsoft PKI-Team (Microsoft Press, 2004). 

Windows Server 2008 Security Guide unter https://www.microsoft.com/downloads/ 

details.aspx?familyid=FB8B981F-227C-4AF6-A44B-B115696A80AC&displaylang=en. 

Security Watch – PKI Enhancements in Windows von John Morello unter 

http://www.microsoft.com/technet/technetmag/issues/2007/08/SecurityWatch/.


Das Whitepaper »Best Practices for Implementing a Microsoft Windows Server 2003 

Public Key Infrastructure« unter http://www.microsoft.com/technet/prodtechnol/ 

windowsserver2003/technologies/security/ws3pkibp.mspx. 

Das Whitepaper »Windows Server Active Directory Certificate Services Step-by-Step 

Guide« unter http://go.microsoft.com/fwlink/?LinkID=85472. 

Das Whitepaper »Key Archival and Recovery in Windows Server 2008« unter 

http://go.microsoft.com/fwlink/?LinkID=92523. 

Das Whitepaper »Troubleshooting Certificate Status and Revocation« unter 

http://technet.microsoft.com/en-us/library/bb457027.aspx. 

»Certificate Issuing and Management Components Family of Protection Profiles« unter 

http://www.commoncriteriaportal.org/public/files/ppfiles/PP_CIMCPP_SL1-4_V1.0.pdf. 

»Installing, Configuring, and Troubleshooting Microsoft Online Responder« unter 

http://technet2.microsoft.com/windowsserver2008/en/servermanager/activedirectory 

certificateservices.mspx. 

nCipher HSMs (http://www.ncipher.com/cryptographic_hardware/hardware_security_ 

modules/). 

SafeNet HSMs (http://www.safenet-inc.com/products/pki/index.asp). 

Knowledge Base-Artikel 281271, »Windows 2000 Certification Authority Configuration 

to Publish Certificates in Active Directory of Trusted Domain« unter 

http://support.microsoft.com/kb/281271. 

»Certificate-Related Changes for Vista« unter http://technet2.microsoft.com/Windows 

Vista/en/library/73bdca07-a9f0-40d7-a26e-6f4f11759e4c1033.mspx?mfr=true.

K A P I T E L 1 1 

Implementieren der Active Directory- 

Rechteverwaltungsdienste 

Von Kurt Dillard 


Grundlagen von RMS ................................................ 293 

Implementieren von AD RMS ........................................... 297 

Integration mit Microsoft Office .......................................... 311 

Einsetzen von RMS, um bestimmte Anforderungen zu erfüllen ..................... 312 

Einschränkungen von AD RMS .......................................... 314 



Verschlüsselung wird seit vielen Jahren genutzt, um elektronische Daten vor neugierigen 

Augen zu schützen. Aber die verwendeten Methoden hingen stark davon ab, ob die Daten 

auf ein Speichermedium geschrieben oder zwischen Computern übertragen wurden. Der 

Austausch elektronischer Daten in Echtzeit wird als Daten im Transit (engl. data in transit) 

bezeichnet. Es werden zahlreiche Technologien dafür eingesetzt, zum Beispiel IPsec und 

SSL/TLS. Daten, die auf eine Festplatte, CD-ROM, ein Flashlaufwerk oder irgendein anderes 

Medium geschrieben werden, werden als Daten in Ruhe (engl. data at rest) bezeichnet. 

Sollen Daten in Ruhe auf sichere Weise gespeichert werden, müssen auch die Datenströme 

verschlüsselt werden, ohne die Vorgänge so stark zu verzögern, dass die Benutzerfreundlichkeit 

leidet. 

BitLocker, EFS und sogar die Technologien zum Schutz von Daten im Transit helfen nicht 

weiter, wenn es darum geht, Daten gemeinsam mit anderen Leuten zu nutzen. Falls Sarah 

ein EFS-geschütztes Dokument gemeinsam mit John bearbeiten möchte, muss sie es erst 

entschlüsseln; sobald John das ungeschützte Dokument erhalten hat, kann er damit machen, 

was immer er will. An diesem Punkt kommen die Active Directory-Rechteverwaltungsdienste 

(Active Directory Rights Management Services, AD RMS) ins Spiel. Eines ihrer zentralen 

Features ist die Möglichkeit, Benutzern zu erlauben, gemeinsam an verschlüsselten Dokumenten 

zu arbeiten. Ein Benutzer wendet eine RMS-Richtlinie auf ein Dokument an. Die 

Richtlinie legt fest, wer mit dem Dokument was machen kann. Anders ausgedrückt: Sie 

können Sarah Leseberechtigungen und John Lese-, Schreib- und Druckberechtigungen gewähren. 

Wenn Sarah ein Exemplar des Dokuments bekommt, kann sie daran keine Änderungen 

vornehmen. Falls sie es an eine andere Person weiterleitet, der keine Berechtigungen 

in der RMS-Richtlinie zugewiesen wurden, kann diese Person das Dokument nicht einmal 

ansehen. John kann dagegen Änderungen am Dokument vornehmen, bevor er es an Sie zurückgibt. 

Die Regeln in den RMS-Richtlinien können beliebig einfach oder komplex sein. 

Die meisten Organisationen legen eine Liste mit nur einer Handvoll von Richtlinien fest, die 

291

292 Kapitel 11: Implementieren der Active Directory-Rechteverwaltungsdienste 

praktisch jede vorstellbare Geschäftssituation abdeckt. Und Benutzer wählen eine dieser 

Richtlinien aus der Liste aus, wenn sie entscheiden, wie sie ihre Dokumente schützen sollen. 

Was passiert mit Ihren Daten, wenn Sie sie anderen 

zur Verfügung stellen? 

Wenn Sie Ihre Daten freigeben, gehören sie nicht mehr Ihnen, Sie haben die Kontrolle 

darüber verloren. Das mag offensichtlich klingen, aber es passiert ständig, dass Leute Informationen, 

die geheim bleiben sollten, an andere Leute versenden, denen sie vertrauen, 

nur um dann feststellen zu müssen, dass einer der Empfänger das Geheimnis an andere 

Leute, Konkurrenten oder die Medien weitergegeben hat. Wenn ich Ihnen eine peinliche 

Geschichte über einen Vorfall in meiner Schulzeit erzähle, was soll ich dann tun, wenn 

Sie diese Geschichte in Ihrem Blog in die Welt hinausposaunen? Geschäftliche und politische 

Kommunikation enthält oft Informationen, von denen die beteiligten Organisationen 

erwarten, dass sie vertraulich bleiben. Die Konsequenzen von Indiskretionen können 

der Verlust von viel Geld, das Ende von Karrieren, die Vernichtung von Firmen und sogar 

der Verlust von Menschenleben sein, wenn es sich um diplomatische Informationen handelt. 

Einige der bekanntesten Indiskretionen betreffen Microsoft. Zum Beispiel war Brian 

Valentine, früher Senior Vice President für den Bereich Windows-Entwicklung, gar nicht 

erfreut, als sein vertrauliches Memo über die Strategie des Unternehmens im Konkurrenzkampf 

mit Open-Source-Softwareprojekten im Jahr 2001 an The Register weitergeleitet 

wurde. The Register veröffentlichte Zitate aus dem Memo, zum Beispiel »Linux ist die 

langfristige Bedrohung für unser Kerngeschäft. Vergessen Sie das nie!« und »Sie sollten 

Ihre potenziellen Kunden aus allen Richtungen bearbeiten, und falls Sie irgendwo Linux 

und/oder IBM entdecken, dann konzentrieren Sie sich nur darauf. Gönnen Sie Linux 

nicht einen einzigen Sieg.« 

Es hat viele weitere Vorfälle gegeben. Erinnern Sie sich noch an die berüchtigten Halloween-Dokumente 

aus dem Jahr 1998? Das war eine Reihe interner Memos, die Microsofts 

Sorgen bezüglich der Konkurrenz durch Open-Source-Softwareprojekte dokumentierten 

und Strategien zu ihrer Bekämpfung vorschlugen. Etwas aktuellere Fälle waren 

Dell Computer, Home Depot und Northern Rock, die es mit unerfreulichen Konsequenzen 

zu tun bekamen, weil vertrauliche Geschäftsdokumente öffentlich gemacht wurden. 

(Im Abschnitt »Weitere Informationen« am Ende dieses Kapitels finden Sie Verweise auf 

diese Vorfälle.) 

In den folgenden Abschnitten dieses Kapitels erfahren Sie, wie AD RMS Ihnen helfen kann, 

die Gefahr solcher Indiskretionen zu minimieren. Das Wort »minimieren« habe ich in dieser 

Formulierung mit Bedacht gewählt: Keine Technologie kann uneingeschränkt garantieren, 

dass die geschützten Daten niemals öffentlich werden. AD RMS ist ein Werkzeug für die 

Richtlinienerzwingung, das verhindern hilft, dass ehrliche Benutzer Fehler machen. Es ist 

aber keine Sicherheitslösung, die böswillige Insider, die die Berechtigung zum Anzeigen 

eines Dokuments haben, davon abhalten kann, die gelesenen Informationen an andere weiterzugeben.

Grundlagen von RMS 293 

Grundlagen von RMS 

AD RMS-Server arbeiten mit Active Directory-Domänencontrollern zusammen, um Benutzeridentitäten 

zu überprüfen, Verschlüsselungsschlüssel als Reaktion auf Benutzeranforderungen 

auszustellen, Entschlüsselungsschlüssel für jedes Dokument zu speichern und die 

Entschlüsselungsschlüssel weiterzuleiten, wenn Benutzer, die autorisiert sind, ein bestimmtes 

Dokument zu öffnen, dies anfordern. Vertrauenswürdige Benutzer können rechtegeschützte 

Dokumente mit RMS-fähigen Anwendungen erstellen. Nur andere vertrauenswürdige 

Benutzer, denen in der RMS-Richtlinie, die auf das Dokument angewendet wird, die 

entsprechenden Rechte zugewiesen wurden, können sich das Dokument ansehen oder etwas 

anderes mit seinem Inhalt tun. Der Prozess lässt sich folgendermaßen zusammenfassen: 

1. Jespers Clientcomputer wird mit RMS-Clientsoftware, Zertifikat, RMS-Richtlinien und 

RMS-fähigen Anwendungen hochgefahren. 

2. Jesper erstellt ein Dokument und wendet eine RMS-Richtlinie darauf an. 

3. Der RMS-Client stellt sicher, dass das Dokument noch nicht geschützt ist, nimmt Kontakt 

zum RMS-Server auf und fordert eine Veröffentlichungslizenz an. 

4. Der Server überprüft, ob Jesper Dokumente veröffentlichen darf, und sendet die Lizenz 

an den Client. Die Lizenz umfasst die Nutzungsrechte und -bedingungen für den Inhalt. 

5. Der RMS-fähige Client generiert symmetrische Schlüssel, mit denen er den Inhalt verschlüsselt. 

6. Jesper sendet das Dokument in einer E-Mail an Devon. 

7. Was passiert, wenn Devon versucht, den Inhalt zu öffnen, hängt davon ab, ob er die 

passende RMS-fähige Anwendung hat, ob er eine vertrauenswürdige Entität in derselben 

RMS-Infrastruktur wie Jesper ist und ob ihm in der RMS-Lizenz, die mit dem Dokument 

verknüpft ist, die Rechte zugewiesen wurden, das Dokument zu öffnen. Falls er 

nicht die richtige Anwendung hat, bleibt das Dokument verschlüsselt und somit unbenutzbar. 

Falls er die richtige Anwendung hat, aber keine entsprechenden Rechte besitzt 

oder kein Mitglied der Infrastruktur ist, weigert sich die Anwendung, Schlüssel anzufordern, 

mit denen das Dokument geöffnet werden kann. 

8. Falls alle Bedingungen erfüllt sind, kann Devon das Dokument öffnen. 

9. Sofern Devon alle Bedingungen erfüllt, fordert der RMS-Client eine Lizenz beim RMS- 

Server an. Die Lizenz enthält den Entschlüsselungsschlüssel für dieses Dokument. 

RMS gibt es zwar schon einige Jahre, aber AD RMS ist die erste Version, die in Windows 

Server eingebaut ist. Die vielen neuen Features umfassen die Verwaltung über eine Microsoft 

Management Console (MMC), Integration mit Active Directory-Verbunddiensten (Active 

Directory Federation Services, AD FS), Selbstregistrierung von AD RMS-Servern und die 

Fähigkeit, administrative Rollen zu delegieren. Auch die Erstinstallation und Konfiguration 

der Serverrolle Active Directory-Rechteverwaltungsdienste wurde deutlich verbessert.


Abbildung 11.1 Ablauf der Rechteverwaltung 

Direkt von der Quelle: Verhindern der Datenweitergabe 

mit RMS und IRM 

Wenn Alice eine Datei erstellt und Bob Lese-/Schreibzugriff geben, Phil Lesezugriff gewähren 

und allen anderen den Lesezugriff verweigern will, ist dafür beim herkömmlichen 

Ansatz eine Menge Arbeit erforderlich, die von jemand anders als Alice erledigt werden 

muss. Alice muss beim Netzwerkadministrator betteln und drängeln, dass er eine Dateifreigabe 

anlegt, zwei Sicherheitsgruppen erstellt, Bob zur einen und Phil zur anderen hinzufügt 

und Zugriffssteuerungseinträge in der Zugriffssteuerungsliste der Freigabe definiert. 

Das ist eine Menge Arbeit für jemanden, dem die Probleme von Alice eigentlich völlig 

egal sind. Und das reicht noch nicht: Zwar kann Eve nicht auf die Datei in der Freigabe 

zugreifen, aber sie kann natürlich Phil beschwatzen, dass er ihr eine Kopie überlasst. Der 

Lesezugriff erlaubt auch das Kopieren. Falls Phil besonders böswillig ist, kann er seine 

lokale Kopie des Dokuments vorher noch manipulieren. Zugriffssteuerung über Netzwerkfreigaben 

funktioniert eben nur so lange, wie das geschützte Objekt innerhalb des 

Netzwerks bleibt. Sobald jemand die Datei öffnet, gibt es für die lokale Kopie im Speicher 

des Computers keinerlei Einschränkungen mehr. 

Die Windows-Rechteverwaltungsdienste und Microsoft Office-IRM (Information Rights 

Management) stellen Ihnen eine andere Form der Zugriffssteuerung zur Verfügung, die 

direkt in den Dokumenten implementiert ist, unabhängig davon, wo sie sich befinden. 

Wenn Alice Bob Lese-/Schreibzugriff gewährt und Phil reinen Lesezugriff, braucht sie 

sich dafür überhaupt nicht an den Netzwerkadministrator zu wenden. Der Zugriff, den Sie 

zuweist, wird direkt im Dokument gespeichert und von IRM erzwungen. Wenn Bob das 

Dokument öffnet, prüft Word zuerst die Berechtigungen von Bob und deaktiviert dann 

ausgewählte Funktionen, damit Bob mit dem Dokument nur die Dinge tun kann, die ihm

Grundlagen von RMS 295 

erlaubt wurden. Im Fall von Phil weigert sich Microsoft Office Word, ihn etwas anderes 

tun zu lassen, als sich den Inhalt im Fenster anzuschauen. 

Neben der Durchsetzung der Richtlinie mit IRM schützt RMS Dokumente dadurch, dass 

es sie verschlüsselt. RMS-geschützte Dokumente bleiben im Speicher und bei der Übertragung 

verschlüsselt. Sie werden erst entschlüsselt, wenn ein autorisierter Benutzer authentifiziert 

wurde und seine Berechtigungen erzwungen wurden. Falls jemand außerhalb 

der RMS-Domäne versucht, die Datei zu öffnen, bekommt er nur Unsinn angezeigt. Sofern 

Ihr Computer nicht in RMS eingetragen ist und Sie sich nicht auf der Liste der autorisierten 

Benutzer befinden, ist dieses Dokument nutzlos für Sie. Es ist auch für Bekannte 

nutzlos, denen Sie Kopien auf diesen allgegenwärtigen USB-Laufwerken zukommen lassen, 

die sich in Ihren Schreibtischschubladen tummeln. 

Steve Riley, Security Evangelist, Microsoft 

Erforderliche Clientkomponenten 

Der Clientcomputer benötigt RMS-Clientsoftware und RMS-fähige Anwendungen. Zum 

Beispiel stellen Windows Vista, Office 2007 und Office 2003 RMS-fähige Anwendungen 

zur Verfügung, etwa Microsoft Office Outlook, Word und Microsoft Internet Explorer 7.0. 

Windows Mobile 6.0 kann genutzt werden, um RMS-geschützte E-Mails zu erstellen sowie 

zu lesen und RMS-geschützte Office 2007-Dokumente zu lesen. Internet Explorer 6.0 kann 

RMS-fähig gemacht werden, indem Sie den RMS-Client für Internet Explorer installieren. 

Eine große Zahl von Microsoft-Partnern stellen weitere clientseitige Fähigkeiten für RMS 

zur Verfügung, zum Beispiel Unterstützung für andere Anwendungen und Plattformen. 

Erforderliche Serverrollen 

Wie der Name andeutet, ist AD RMS mit Active Directory integriert. Daher setzt es Active 

Directory-Domänencontroller und DNS-Server (Domain Name System) voraus. AD RMS 

benötigt außerdem eine Datenbank, zum Beispiel Microsoft SQL Server, die auf demselben 

oder einem anderen Server laufen kann als dem, auf dem die anderen AD RMS-Komponenten 

bereitgestellt werden. Die AD RMS-Server selbst setzen voraus, dass eine Reihe von 

Windows Server 2008-Komponenten aktiviert sind, zum Beispiel Message Queuing und 

Internetinformationsdienste mit ASP.NET. Falls diese Komponenten noch nicht installiert 

und aktiviert sind, übernimmt der Serverrollenassistent das automatisch. 

Vorsicht Die interne Windows-Datenbank (früher als Microsoft SQL Server Desktop Engine oder MSDE 

bekannt) ist eine leistungsfähige, günstige Möglichkeit zum Entwickeln und Testen Ihrer RMS-Architektur. 

Die interne Windows-Datenbank mag auch wie eine pfiffige Methode aussehen, etwas Geld in Ihrer Produktivumgebung 

zu sparen, aber ihr fehlen einige Schlüsselfeatures für eine Unternehmensarchitektur, zum 

Beispiel die Fähigkeit, Verbindungen über das Netzwerk herzustellen und auf Berichtsdaten zuzugreifen. 

Für Ihre Produktivbereitstellung sollten Sie ein voll ausgestattetes Datenbankverwaltungssystem (Database 

Management System, DBMS) bereitstellen, zum Beispiel Microsoft SQL Server.


Denkbare Architekturen 

Sofern es sich nicht um eine ganz kleine Bereitstellung handelt, sollten Sie ein gewisses 

Maß an Lastausgleich und Redundanz implementieren, wie in Abbildung 11.2 gezeigt. In 

großen Unternehmen ist es sinnvoll, Lizenzierungs- und Zertifizierungsaufgaben auf unterschiedliche 

Server zu verteilen, um die Leistung zu verbessern. Diese Architektur wird in 

Abbildung 11.3 gezeigt. 

Der Kontozertifizierungsdienst erstellt Rechtekontozertifikate. Jedes Zertifikat verknüpft ein 

Benutzerkonto mit einem bestimmten Computer. Dieses Benutzerkonto ermöglicht es einem 

Benutzer, RMS-geschützte Dokumente auf diesem Computer zu veröffentlichen oder zu benutzen. 

Der Kontozertifizierungsdienst kann nur auf dem RMS-Stammzertifizierungsserver 

oder -cluster laufen. Der Lizenzierungsdienst kann dagegen entweder auf dem Stammzertifizierungsserver 

beziehungsweise -cluster oder auf einem separaten Server beziehungsweise 

Cluster laufen. Der Lizenzierungsdienst stellt Lizenzen aus, die es Benutzern erlauben, RMSgeschützte 

Dokumente zu benutzen. 

Abbildung 11.2 Eine typische RMS-Bereitstellung

Abbildung 11.3 Eine robustere RMS-Bereitstellung 

Implementieren von AD RMS 297 

Implementieren von AD RMS 

Wie bei vielen IT-Projekten sind zwei sich überlappende Planungsprojekte nötig, um eine 

erfolgreiche Bereitstellung von AD RMS durchzuführen. Auf der technischen Seite müssen 

Sie die anfänglichen Anforderungen an Hard- und Software abschätzen, dabei aber auch eine 

möglichst flexible Architektur entwerfen, die künftiges Wachstum nicht behindert. Auf der 

geschäftlichen Seite müssen Sie Entscheidungen darüber treffen, wie Sie die RMS-Richtlinien 

so implementieren, dass sie am besten zu den Geschäftsanforderungen Ihrer Organisation 

passen. Falls dieses letzte Element bei AD RMS vernachlässigt wird, wird es für die 

Benutzer später mühsam, Rechteverwaltung auf ihre Dokumente anzuwenden. Und das 

Management wird sich dann schwer überzeugen lassen, dass die Investition gerechtfertigt


war. Dieses Buch konzentriert sich zwar auf die Technologie, aber es ist auch sehr wichtig, 

dass Sie Ihre RMS-Richtlinien so planen, dass sie einerseits kurzfristig von den Benutzern 

angenommen werden und andererseits langfristig nutzbar bleiben. Das bedeutet, dass die 

RMS-Richtlinien, die Sie implementieren, mindestens 90 Prozent der Anwendungsfälle 

abdecken, die Sie dokumentieren, während Sie das Projekt mit Unternehmensmanagern aus 

Ihrer gesamten Organisation durchsprechen. Es soll aber auch nicht darauf hinauslaufen, 

dass jeder Benutzer eine Liste mit Dutzenden von Richtlinien präsentiert bekommt, wenn er 

ein Dokument schützen will. Unter Umständen lässt sich eine Handvoll Richtlinien für alle 

Benutzer anwenden, und etwa ein halbes Dutzend weitere können für jede Abteilung oder 

Unternehmenseinheit entwickelt werden. Wenn Benutzer versuchen, RMS zu verwenden, 

bekommen sie das Popupmenü aus Abbildung 11.4 angezeigt. Je länger die Liste der RMS- 

Richtlinien, desto mehr Zeit müssen Benutzer damit verbringen herauszufinden, welche 

Richtlinie sie verwenden sollen. Offensichtlich sollten Sie auch jeder Richtlinie einen aussagekräftigen 

Namen geben, damit ihr Zweck für jeden Benutzer sofort erkennbar ist. 

Abbildung 11.04 Das RMS-Richtlinienmenü in Office Word 2007 

Eine vollständige Beschreibung, wie Sie RMS-Richtlinien entwickeln, die die Geschäftsanforderungen 

von Organisationen unterschiedlicher Größen und in unterschiedlichen Branchen 

erfüllen, würde den Rahmen dieses Kapitels sprengen. Microsoft hat viele Partner, die 

Organisationen bei der Planung und Bereitstellung von RMS zur Seite stehen. Einige finden 

Sie auf der Windows Rights Management Partners-Website unter http://www.microsoft.com/ 

windowsserver2003/partners/rmspartners.mspx. Der Rest dieses Abschnitts konzentriert 

sich auf die technischen Aspekte bei der Bereitstellung von AD RMS. Sie werden dabei 

durch den Prozess zum Einrichten einer Laborumgebung für Testzwecke geleitet.


Vorbereiten der Infrastruktur 

AD RMS erfordert eine Active Directory-Domäne mit der Domänenfunktionsebene Windows 

Server 2003 oder höher, damit Sie universelle Active Directory-Gruppen verwenden 

können. Ich setze im Folgenden voraus, dass Sie bereits einen Windows Server 2008-Server 

haben, der Mitglied einer solchen Domäne ist, und konzentriere mich auf die AD RMSspezifischen 

Tätigkeiten. Die Benutzerkonten und Gruppen für die Tests sollten jeweils eine 

E-Mail-Adresse in ihr Active Directory-Objekt eingetragen haben. Sie müssen ein Domänenbenutzerkonto 

anlegen, um den RMS-Dienst auszuführen. Der Assistent "Rollen hinzufügen" 

weist darauf hin, dass das Domänenkonto ein Standarddomänenbenutzerkonto ohne 

zusätzliche Privilegien sein soll. Sobald Sie dieses Konto angelegt haben, können Sie den 

Assistenten "Rollen hinzufügen" starten und die Rolle Active Directory-Rechteverwaltungsdienste 

zu Ihrem Mitgliedserver hinzufügen. Weil dieses Dienstkonto Privilegien auf vielen 

Computern in Ihrer Active Directory-Domäne hat, sollten Sie ihm unbedingt ein sehr langes 

und komplexes Kennwort geben, um die Gefahr zu verringern, dass ein böswilliger Benutzer 

es kompromittiert. 

Vorsicht Der Assistent "Rollen hinzufügen" weist darauf hin, dass Ihr AD RMS-Dienstkonto ein Domänenbenutzerkonto 

ohne zusätzliche Privilegien sein soll. Unter Release Candidate 1 von Windows Server 

2008 habe ich allerdings festgestellt, dass ich das Dienstkonto zur Gruppe Domänen-Admins hinzufügen 

musste, um die Installation der Rolle Active Directory-Rechteverwaltungsdienste erfolgreich abschließen zu 

können. Dieses Verhalten kann sich in der endgültigen Version von Windows Server 2008 geändert haben, 

daher sollten Sie diesen Punkt prüfen. (Anmerkung des Übersetzers: Ist immer noch wie unter RC1.) 

Abbildung 11.5 Die Seite Serverrollen auswählen im Assistenten "Rollen hinzufügen"


Bereitstellen des RMS-Servers 

Sie haben mehrere Möglichkeiten, den Assistenten "Rollen hinzufügen" zu starten. Zum 

Beispiel können Sie im Server-Manager mit der rechten Maustaste auf das Objekt Rollen im 

linken Fensterabschnitt klicken und im Kontextmenü den Befehl Rollen hinzufügen wählen. 

Auf der Seite Serverrollen auswählen des Assistenten finden Sie den Eintrag für die Rolle 

Active Directory-Rechteverwaltungsdienste (Abbildung 11.5). 

Vorsicht In Abbildung 11.5 können Sie sehen, dass ich auf demselben Host auch Active Directory- 

Domänendienste und DNS-Server installiert habe. Das ist für eine einfache Testumgebung in Ordnung, 

aber bei einem umfangreichen Testprojekt sollten Sie dies nicht tun. Und in Ihrer Produktivbereitstellung 

sollten Sie diese Dienste auf gar keinen Fall auf denselben Servern betreiben, auf denen Sie die Rolle 

Active Directory-Rechteverwaltungsdienste installieren. 

Wenn Sie die Serverrolle Active Directory-Rechteverwaltungsdienste installieren, werden 

auch die Internetinformationsdienste (Internet Information Services, IIS) 7.0, Message 

Queuing, Windows-Prozessaktivierungsdienst und interne Windows-Datenbank installiert. 

Wenn Sie die Rolle Active Directory-Rechteverwaltungsdienste aktivieren, zeigt der Assistent 

ein Dialogfeld an, in dem er darauf aufmerksam macht, dass IIS, Windows-Prozessaktivierungsdienst, 

Message Queuing und einige ihrer Unterkomponenten erforderlich sind 

(Abbildung 11.6). Klicken Sie auf Erforderliche Rollendienste hinzufügen. 

Abbildung 11.6 Das Dialogfeld weist darauf hin, dass zusätzliche Rollen 

für die AD RMS-Unterstützung benötigt werden 

Die Seite Serverrollen auswählen zeigt nun, dass die Rollen Active Directory-Rechteverwaltungsdienste 

und Webserver (IIS) installiert werden (Abbildung 11.7). Klicken Sie auf 

Weiter.


Abbildung 11.7 Die Seite Serverrollen auswählen zeigt, welche Rollen installiert werden 

Abbildung 11.8 Die Seite Active Directory-Rechteverwaltungsdienste im Assistenten "Rollen hinzufügen"


Nun öffnet sich die erste Seite im Assistenten "Rollen hinzufügen", die sich speziell auf 

AD RMS bezieht (Abbildung 11.8). Eine kurze Einführung in AD RMS wird angezeigt, 

darin finden Sie auch einige Links auf weitere Informationen. Klicken Sie auf Weiter. 

Die Seite Rollendienste auswählen wird angezeigt (Abbildung 11.9). Hier können Sie auswählen, 

ob Sie Ihre AD RMS-Bereitstellung in die Active Directory-Verbunddienste (Active 

Directory Federation Services, AD FS) integrieren. Für diese Testbereitstellung führen wir 

keine Integration mit AD FS durch, aber falls Ihre Benutzer AD RMS-geschützte Dokumente 

gemeinsam mit Benutzern in anderen Organisationen verwenden wollen, sollten Sie sich mit 

den Verbundfähigkeiten von Windows Server 2008 vertraut machen. Klicken Sie auf Weiter. 

Abbildung 11.9 Die Seite Rollendienste auswählen 

Die Seite Erstellen eines AD RMS-Clusters oder Beitreten zu einem AD RMS-Cluster 

wird angezeigt. Weil wir den ersten AD RMS-Server installieren, müssen wir einen neuen 

AD RMS-Cluster erstellen. Dies ist die Standardoption, wie in Abbildung 11.10 zu sehen. 

Klicken Sie auf Weiter. 

Die Seite Auswählen der Konfigurationsdatenbank wird angezeigt (Abbildung 11.11). Weil 

wir ein System einrichten, das nur für Testzwecke genutzt wird, reicht die Standardoption 

Interne Windows-Datenbank auf diesem Server verwenden. Aber in einer Produktivumgebung 

sollten Sie einen separaten Datenbankserver konfigurieren und auf dieser Seite den Servernamen 

und die Datenbankinstanz angeben, die AD RMS verwenden soll. Klicken Sie auf 

Weiter.


Abbildung 11.10 Die Seite Erstellen eines AD RMS-Clusters oder Beitreten zu einem AD RMS-Cluster 

Abbildung 11.11 Die Seite Auswählen der Konfigurationsdatenbank


Nun wird die Seite Angeben des Dienstkontos angezeigt (Abbildung 11.12). Hier definieren 

Sie, welches Domänenbenutzerkonto der AD RMS-Dienst verwendet. Klicken Sie auf 

Angeben, um das Konto auszuwählen. Daraufhin öffnet sich ein Dialogfeld, in dem Sie die 

Anmeldeinformationen des Kontos eingeben, das Sie vorher für AD RMS angelegt haben. 

Klicken Sie auf Weiter. 

Abbildung 11.12 Die Seite Angeben des Dienstkontos 

Die Seite Konfigurieren des AD RMS-Clusterschlüsselspeichers wird angezeigt (Abbildung 

11.13). Die Standardoption Zentral verwalteten AD RMS-Schlüsselspeicher verwenden 

eignet sich für unsere Testumgebung, aber auch für die meisten Produktivbereitstellungen. 

Die zweite Option, CSP-Schlüsselspeicher verwenden, ist eine erweiterte Möglichkeit, bei 

der Sie den Kryptografiedienstanbieter angeben und den Schlüssel von Hand verteilen müssen, 

wenn Sie neue Server zum Cluster hinzufügen. Dies ist eine sicherere Möglichkeit, sie 

erfordert aber mehr Arbeit. Klicken Sie auf Weiter. 

Die Seite Angeben des AD RMS-Clusterschlüsselkennworts wird angezeigt (Abbildung 11.14). 

Geben Sie ein starkes Kennwort in das Feld Kennwort und dann noch einmal in Kennwort 

bestätigen ein und klicken Sie auf Weiter. Vergessen Sie dieses Kennwort nicht!

Abbildung 11.13 Die Seite Konfigurieren des AD RMS-Clusterschlüsselspeichers 

Abbildung 11.14 Die Seite Angeben des AD RMS-Clusterschlüsselkennworts 

Implementieren von AD RMS 305


Nun wird die Seite Auswählen der AD RMS-Clusterwebsite angezeigt (Abbildung 11.15). 

Geben Sie die Website an, auf der AD RMS installiert wird, und klicken Sie auf Weiter. In 

vielen Fällen reicht es, Standardwebsite auszuwählen. Sie können aber auch eine andere 

Website auswählen, falls Sie diese Site in der IIS-Konsole erstellt haben, bevor Sie den Assistenten 

"Rollen hinzufügen" gestartet haben. Natürlich müssen Sie in diesem Fall auch die 

Rolle Webserver (IIS) schon installiert haben, bevor Sie die Installation der Rolle Active 

Directory-Rechteverwaltungsdienste beginnen. 

Abbildung 11.15 Die Seite Auswählen der AD RMS-Clusterwebsite 

Die Seite Angeben der Clusteradresse Seite wird angezeigt (Abbildung 11.16). Es wird 

empfohlen, dass Sie eine SSL-verschlüsselte Verbindung verwenden, was auch die 

Standardeinstellung ist. Sie müssen den vollqualifizierten Domänennamen (FQDN) des 

AD RMS-Clusters eingeben. Weil dies der erste Server ist und wir lediglich eine einfache 

Testumgebung einrichten, können wir den FQDN des Servers selbst verwenden. Falls Sie 

noch kein Serverzertifikat installiert haben, bietet der Assistent Ihnen an, ein selbstsigniertes 

zu erstellen. Das ist für Testzwecke in Ordnung, aber für Ihre Produktivumgebung sollte Sie 

ein Zertifikat von einer Zertifizierungsstelle installieren, der alle Hosts in Ihrer Active Directory-Gesamtstruktur 

vertrauen. Klicken Sie auf Weiter. 

Sie müssten jetzt die Seite Benennen des Server-Lizenzgeberzertifikats angezeigt bekommen 

(Abbildung 11.17). Dies ist der Name des AD RMS-Clusters, den Benutzer zu sehen bekommen. 

Normalerweise ist dies derselbe Name wie der Hostname, den Sie auf der vorherigen 

Seite angegeben haben, in diesem Beispiel der erste Teil des FQDN: SERVER41. Klicken 

Sie auf Weiter.

Abbildung 11.16 Die Seite Angeben der Clusteradresse 

Abbildung 11.17 Die Seite Benennen des Server-Lizenzgeberzertifikats 

Implementieren von AD RMS 307


Abbildung 11.18 Die Seite Registrieren des AD RMS-Dienstverbindungspunkts 

Abbildung 11.19 Die Seite Installationsauswahl bestätigen


Die Seite Registrieren des AD RMS-Dienstverbindungspunkts wird angezeigt (Abbildung 

11.18). In den meisten Fällen sollten Sie hier den Verbindungspunkt registrieren, 

was auch die Standardoption ist. Klicken Sie auf Weiter. 

Beim Abschluss der Installation wird die Seite Installationsauswahl bestätigen angezeigt 

(Abbildung 11.19). Diese Seite fasst alle Einstellungen zusammen, die Sie im Assistenten 

ausgewählt haben. Klicken Sie auf Weiter. 

Die Seite Installationsstatus wird angezeigt, während die Installation durchgeführt wird. 

Sobald die Installation abgeschlossen ist, erscheint die Seite Installationsergebnisse (Abbildung 

11.20). Beachten Sie, dass die AD RMS-Installation zwar erfolgreich war, aber dass 

Sie sich ab- und wieder anmelden müssen, damit Sie AD RMS auf diesem Host verwalten 

können. Der Grund dafür ist, dass Sie das Sicherheitstoken Ihres Kontos aktualisieren 

müssen, weil der Assistent das Konto zur Gruppe AD RMS-Organisationsadministratoren 

hinzugefügt hat. 

Abbildung 11.20 Die Seite Installationsergebnisse 

Erstellen von RMS-Richtlinienvorlagen 

Sie können nun beginnen, AD RMS von einem Clientcomputer aus zu testen, den Sie zur 

selben Domäne hinzufügen. Dafür können Sie eine RMS-fähige Anwendung verwenden, 

zum Beispiel Office Word 2007. Sie können aber auch RMS-Richtlinienvorlagen erstellen 

und testen. Um die Administration der Vorlagen zu erleichtern, können Sie sie an einem 

zentralen Speicherort ablegen, sodass sie von dort auf die AD RMS-Clients kopiert werden 

können. Die meisten Organisationen verwenden eine automatisierte Verteilungsmethode, 

zum Beispiel Systems Management Server oder Gruppenrichtlinien. Sie können die Vorla-


gen aber auch verfügbar machen, indem Sie sie in eine Netzwerkfreigabe legen, auf die alle 

Clients zugreifen können. Das funktioniert für Clients, die an das interne Netzwerk angeschlossen 

sind, aber nicht für Clients, die im Remotezugriff arbeiten. Sie können die Vorlagen 

auch von Hand verteilen, indem Sie sie auf die AD RMS-Clients kopieren. 

Gehen Sie folgendermaßen vor, um eine neue AD RMS-Richtlinienvorlage zu erstellen: 

1. Öffnen Sie die Konsole Active Directory-Rechteverwaltungsdienste. Klicken Sie dazu 

im Startmenü auf Verwaltung und dann auf Active Directory-Rechteverwaltungsdienste. 

2. Falls die Konsole Active Directory-Rechteverwaltungsdienste nicht automatisch eine 

Verbindung zum AD RMS-Dienst herstellt, müssen Sie sie dorthin umleiten, indem Sie 

auf LocalHost klicken. 

3. Falls Sie ein selbstsigniertes Zertifikat für Ihren RMS-Cluster verwenden, wird unter Umständen 

eine Sicherheitswarnung angezeigt (Abbildung 11.21). Klicken Sie darin auf Ja. 

Abbildung 11.21 Die Sicherheitswarnung wegen des selbstsignierten Zertifikats 

4. Klicken Sie im Bereich Aufgaben des mittleren Fensterabschnitts auf Vorlagen für 

Benutzerrechterichtlinien verwalten (Abbildung 11.22). 

Abbildung 11.22 Die Verwaltungskonsole Active Directory-Rechteverwaltungsdienste

Integration mit Microsoft Office 311 

5. Klicken Sie im Fensterabschnitt Aktionen auf Eigenschaften, um den Export der AD RMS- 

Benutzerrechterichtlinienvorlagen zu ermöglichen. 

6. Aktivieren Sie das Kontrollkästchen Export aktivieren, geben Sie den UNC-Pfad für den 

Ordner, in dem die Richtlinienvorlagen gespeichert werden sollen, in das Feld Geben Sie 

den Vorlagenspeicherort an (UNC) ein und klicken Sie auf OK. Beachten Sie, dass das 

AD RMS-Dienstkonto Schreibberechtigungen für den Ordner und die Netzwerkfreigabe 

haben muss. 

7. Klicken Sie im Fensterabschnitt Aktionen auf Verteilte Vorlage für Benutzerrechterichtlinie 

erstellen, um den Assistenten Verteilte Vorlage für Benutzerrechterichtlinie erstellen 

zu starten. 

8. Klicken Sie auf Hinzufügen. 

9. Wählen Sie in der Dropdownliste Sprache die gewünschte Sprache für die Benutzerrechterichtlinienvorlage. 

10. Geben Sie im Feld Name einen Namen für die Richtlinienvorlage ein. 

11. Geben Sie im Feld Beschreibung eine aussagekräftige Beschreibung der Richtlinienvorlage 

ein und klicken Sie auf Hinzufügen. 

12. Klicken Sie auf Weiter. 

13. Klicken Sie auf Hinzufügen, geben Sie die Namen der Benutzer, die diese Vorlage verwenden 

dürfen, im Feld E-Mail-Adresse eines Benutzers oder einer Gruppe ein und 

klicken Sie auf OK. 

14. Aktivieren Sie das Kontrollkästchen Ansicht, um der Gruppe Lesezugriff auf alle Dokumente 

zu gewähren, die mithilfe dieser AD RMS-Benutzerrechterichtlinienvorlage 

erstellt wurden. 

15. Klicken Sie auf Fertig stellen. 

Das ist auch schon alles, was Sie tun müssen, um eine benutzerdefinierte Richtlinienvorlage 

mit AD RMS zu erstellen! 

Integration mit Microsoft Office 

Verschiedene Endbenutzeranwendungen von Microsoft sind RMS-fähig. Die Office 2003- 

Suite bietet Unterstützung in Office Outlook, Office Word, Office PowerPoint und Office 

Excel. In Office 2007 ist zusätzlich Office Infopath 2007 RMS-fähig. Aus Sicht des Benutzers 

ist es ganz einfach, RMS einzusetzen. Der Benutzer wählt lediglich die gewünschte 

Richtlinie aus dem Menü aus, das sich öffnet, wenn er im Untermenü Dokument für die 

Verteilung vorbereiten den Eintrag Berechtigung einschränken wählt (siehe Abbildung 11.4 

weiter oben). 

Außerdem ist Microsoft Office SharePoint Server 2007 mit AD RMS integriert, sodass folgende 

Features zur Verfügung stehen: 

Geschützte Dokumentbibliotheken, sodass AD RMS-Richtlinien auf alle Dokumente 

in der Bibliothek angewendet werden 

Schützen von Dokumenten beim Download 

Geschützte Dokumente, die trotzdem auf dem Server durchsucht werden können 

Standardmäßige Unterstützung für die unterschiedlichen Dateiformate, zum Beispiel 

Office Word, Office Excel, Office PowerPoint, Office Infopath und XPS


Viele Microsoft-Partner haben RMS-fähige Plug-Ins für andere Anwendungen erstellt. Einige 

haben auch neue Funktionen hinzugefügt, zum Beispiel die Fähigkeit, Daten aus einem 

geschützten Dokument zu kopieren, sodass die Daten ihre Berechtigungen aus dem ursprünglichen 

Dokument beibehalten, wenn sie in ein anderes Dokument eingefügt werden. 

Es können also nur autorisierte Benutzer diesen geschützten Abschnitt des neuen Dokuments 

ansehen. Partner stellen auch Tools mit erweiterten Verwaltungsfähigkeiten zur Verfügung. 

Weitere Informationen über diese Fremdhersteller finden Sie auf der Windows 

Rights Management Partners-Website unter http://www.microsoft.com/windowsserver2003/ 

partners/rmspartners.mspx. 

Einsetzen von RMS, um bestimmte Anforderungen 

zu erfüllen 

Digitale Daten sind überall. Sogar bei Leuten, die gar keine Computer benutzen, sind viele 

oder gar alle ihrer Personendaten in digitalem Format auf Computern gespeichert, die ihrer 

Regierung gehören, und auch bei Unternehmen, mit denen sie zu tun haben. Während schon 

länger Hacker in Computer eindringen, fällt in den letzten Jahren auf, dass es immer mehr 

Angriffe durch Kriminelle gibt, die sich finanzielle Vorteile davon versprechen. Diese Datendiebe 

missbrauchen Personendaten für Identitätsdiebstahl und andere Unternehmensdaten 

für Erpressung, Diebstahl von geistigem Eigentum und viele andere Verbrechen aller Art. 

Nationale, Länder- und kommunale Regierungen haben im Lauf der letzten Jahre zahlreiche 

Datenschutzgesetze verabschiedet. 

Gesetze mit Auswirkungen darauf, wie Organisationen 

Aufzeichnungen archivieren 

Gesetze zum Schutz von Daten sind vor allem in den USA, Kanada und Europa sehr umfassend. 

Viele andere Länder stellen eigene gesetzliche Anforderungen, wie Computer und die 

darauf gespeicherten Daten geschützt werden müssen. Sogar in Ländern, wo es keine derartigen 

Gesetze gibt, müssen Organisationen, die international tätig sind, die gesetzlichen 

Anforderungen aller Länder erfüllen, in denen sie Geschäfte abwickeln. Einige der wichtigsten 

US-amerikanischen Gesetze werden in den folgenden Abschnitten kurz vorgestellt. 

USA 

Der Sarbanes-Oxley Act aus dem Jahr 2002 (SOX) wurde vom US-Kongress verabschiedet, 

nachdem eine Reihe von Unternehmensskandalen viel öffentliche Aufmerksamkeit bekamen, 

bei denen Aktionäre, Steuerzahler und Angestellte der betreffenden Firmen Milliarden 

von Dollar verloren. Dieses Gesetzespaket macht die Zuständigen von öffentlichen Firmen 

persönlich für Falschdarstellungen im Bereich finanzieller Daten haftbar. Als Reaktion auf 

SOX suchen Organisationen nach Lösungen, die unautorisierten Zugriff auf Dokumente verhindern 

und verfolgen, wer Aufzeichnungen ansieht und ändert. 

Der USA Patriot Act hat eine Vielzahl von Auswirkungen. Abschnitt 311 versucht, die Geldwäsche 

zu einzuschränken, indem er definiert, wie Banken und andere Finanzinstitute Aufzeichnungen 

vorhalten müssen, insbesondere für internationale Transaktionen. Diese Organisationen 

brauchen ein sicheres System zum Archivieren der Daten, aber die Daten müssen 

auch für den Zugriff durch autorisierte Benutzer zur Verfügung stehen, falls die Regierung 

sie später einer Überprüfung unterziehen will.

Einsetzen von RMS, um bestimmte Anforderungen zu erfüllen 313 

Der Privacy Act aus dem Jahr 1974 verpflichtet Regierungseinrichtungen, Datensätze zu 

schützen, die Personendaten enthalten. Allerdings gibt der Freedom of Informationen Act 

(FOIA) Personen das Recht, ihre Daten zu prüfen. Daher suchen Regierungseinrichtungen 

nach Möglichkeiten, Daten vor unautorisiertem Zugriff zu schützen, ohne dabei jedoch die 

gesetzlichen Verpflichtungen zu behindern. Der Financial Modernization Act aus dem Jahr 

1999 (auch als Gramm-Leach-Bliley Act bekannt) und der Health Insurance Portability and 

Accountability Act (HIPAA) aus dem Jahr 1996 schreiben kommerziellen und Regierungseinrichtungen 

den Schutz von Finanz- beziehungsweise Gesundheitsdaten vor. Diese Gesetze 

haben Auswirkungen darauf, wie Banken, Krankenhäuser, Ärzte und andere Beteiligte die 

Datensätze ihrer Kunden verwalten. Auf den ersten Blick fordert HIPAA genau das Gegenteil, 

weil dieses Gesetzespaket versucht, einerseits den Schutz der Daten zu verbessern, 

dabei aber auch Organisationen vorschreibt, die Daten von Patienten einfacher als Organisationen 

weiterzugeben, die vom Patienten dazu autorisiert wurden. 

Der Federal Information Security Management Act (FISMA) betrifft nicht nur alle Regierungseinrichtungen, 

sondern auch viele Organisationen, die mit ihnen in Geschäftsbeziehungen 

stehen. FISMA deckt einen weiten Bereich der Computersicherheit ab, wobei ein Teil 

davon Anforderungen für den Schutz vertraulicher Daten gegen unautorisierten Zugriff 

definiert. 

Gesetze in einzelnen US-Staaten 

Viele Staaten in den USA haben Gesetze verabschiedet, die Organisationen, die mit ihren 

Bürgern Geschäftsbeziehungen unterhalten, vorschreiben, Schutzmaßnahmen gegen den 

Diebstahl persönlicher Daten zu implementieren. Diese Vorschriften gehen teils über das 

hinaus, was die Bundesgesetze vorschreiben. Kalifornien ist führend in diesem Bereich. 

Zum Beispiel schreiben SB 1386 und Civil Code Section 1798.81.5 Unternehmen vor, die 

Sicherheit der persönlichen Daten kalifornischer Bürger sicherzustellen, zum Beispiel 

Sozialversicherungsnummern und Führerscheindaten. 

Andere Länder 

Viele Länder in Europa, dem Nahen Osten und Asien haben irgendwelche Gesetze zum 

Schutz von Daten verabschiedet. Diese Gesetze schreiben normalerweise den Schutz von 

Personendaten ihrer Bürger vor, unabhängig davon, wo und wie sie aufgezeichnet wurden. 

Konsequenzen, wenn die Anforderungen nicht erfüllt werden 

Viele bekannte Datenlecks wurden von der Presse ausführlich breitgetreten. Zum Beispiel 

wurden fünf der größten Investmentbanker der Welt zu einer Strafe von 8.000.000 US- 

Dollar verurteilt, weil sie E-Mails nicht wie im Securities Exchange Act gefordert archiviert 

hatten. Ein anderer jüngerer Fall könnte für einen kalifornischen Anbieter von Gesundheitsdienstleistungen 

eine Strafe von 250.000 US-Dollar und 10 Jahre Gefängnis bedeuten, weil 

er die HIPAA-Anforderungen nicht erfüllt hat. Neben der Gefahr von Gefängnis- und hohen 

Geldstrafen setzen Organisationen, die Daten über ihre Angestellten, Partner und Kunden 

nicht richtig schützen, auch ihre Umsätze und Börsenkurse einem hohen Risiko aus, wenn 

sich bei einem Vorfall die öffentliche Meinung gegen das Unternehmen richtet.


Wie AD RMS helfen kann 

Organisationen mit E-Mail-Archiven und Dokumentspeichern können von den Fähigkeiten 

von AD RMS profitieren. Sie können AD RMS-Richtlinien implementieren, die den Zugriff 

auf Dokumente auf autorisierte Benutzer beschränken, aber gleichzeitig sicherstellen, dass 

ein Administrator oder ein anderer Verantwortlicher Jahre später ein Dokument abrufen 

kann, das für einen Kunden oder eine Regierungseinrichtung benötigt wird. Zum Beispiel 

schreibt SOX vor, dass öffentliche Firmen E-Mail-Nachrichten archivieren müssen, und 

zwar auch Nachrichten, die unter Umständen vertrauliche Daten enthalten. Organisationen 

können solche E-Mail-Archive mithilfe von AD RMS schützen und so verhindern, dass 

Daten versehentlich oder absichtlich öffentlich gemacht werden, aber gleichzeitig sicherstellen, 

dass die Nachrichten bei Bedarf abgerufen werden können. 

Einschränkungen von AD RMS 

AD RMS und andere Rechteverwaltungslösungen für den Unternehmensbereich können 

verhindern, dass Benutzer die geschützten Dateien weitergeben. Aber ein entschlossener 

Krimineller, der in der Lage ist, das Dokument zu lesen, weil er in den angewendeten RMS- 

Richtlinien die entsprechende Berechtigung hat, kann eine Vielzahl digitaler Angriffe durchführen. 

Er kann den Computermonitor abfotografieren, während er das Dokument durchblättert, 

er kann das Dokument einem Komplizen am Telefon vorlesen oder er kann es in eine 

andere Datei abtippen; wenn er ein gutes Gedächtnis hat, kann er den Inhalt möglicherweise 

lange, nachdem er das Dokument gelesen hat, auswendig heruntersagen. Auch digitale Angriffe 

sind möglich. Falls der Benutzer beliebige Anwendungen ausführen darf, könnte er 

einen Debugger starten und Textseiten aus dem RAM-Abschnitt kopieren, in dem das Dokument 

für die Anzeige in Office Word oder der verwendeten Anwendung gespeichert wird. 

Sie können diesen Angriff abwehren, indem Sie Richtlinien für Softwareeinschränkung 

definieren, die Benutzer daran hindern, unautorisierte Anwendungen wie zum Beispiel 

Debugger auszuführen. Aber ich will Ihnen hier vor allem klarmachen, wo AD RMS an 

seine Grenzen stößt, wenn Sie die Bereitstellung in Ihrer Organisation planen. 


Dieses Kapitel begann mit einem kurzen Überblick über Datenverschlüsselung und die 

Technologietypen, die sich für verschiedene Situationen am besten eignen. Dann haben wir 

uns die Active Directory-Rechteverwaltungsdienste angesehen, ihre Fähigkeiten, die grundlegende 

Architektur, Anforderungen und eine Testbereitstellung. Schließlich haben Sie einen 

kurzen Überblick erhalten, welche RMS-fähigen Anwendungen Microsoft zur Verfügung 

stellt. AD RMS unterscheidet sich von anderen Dateiverschlüsselungstechnologien dadurch, 

dass eines der zentralen Entwurfsziele darin bestand, die Zusammenarbeit möglichst nahtlos 

zu machen. AD RMS hat gegenüber anderen Rechteverwaltungslösungen für den Unternehmensbereich 

den Vorteil, dass es eng in Microsoft Office und Microsoft SharePoint Server 

integriert ist und von einer Vielzahl von Microsoft-Partnern unterstützt wird, die leistungsfähige 

Lösungen auf Basis dieser Technologieplattform anbieten.



CNet Networks (2007): »Leaked memo exposes Dell’s plans« unter http://www.zdnet. 

com.au/news/business/soa/Leaked-memo-exposes-Dell-s-plans/0,139023166,339275194- 

2,00.htm. 

HuffingtonPost.com (2007): »Leaked Memos Turn Orange Home Depot Bright Red« 

unter http://www.huffingtonpost.com/al-norman/leaked-memos-turn-orange-_b_ 

58467.html. 

Microsoft Corporation (2006): »AES-CBC + Elephant difuser: A Disk Encryption Algorithm 

for Windows Vista« unter http://www.microsoft.com/downloads/details.aspx 

?familyid=131dae03-39ae-48be-a8d6-8b0034c92555&displaylang=en. 

Microsoft Corporation (2007): »Keys to Protecting Data with BitLocker Drive Encryption« 

unter http://www.microsoft.com/technet/technetmag/issues/2007/06/BitLocker/ 

default.aspx. 

Microsoft Corporation (2007): »Active Directory Rights Management Services« unter 

http://technet2.microsoft.com/windowsserver2008/en/servermanager/activedirectory 

rightsmanagementservices.mspx. 

Microsoft Corporation (2007): »Active Directory Rights Management Services Overview« 

unter http://technet2.microsoft.com/windowsserver2008/en/library/74272acc- 

0f2d-4dc2-876f-15b156a0b4e01033.mspx. 

Microsoft Corporation (2007): »Windows Rights Management Services« unter 

http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx. 

The Register (2001-2007): »MS promotes Linux from threat to ›the‹ threat – Memo« 

unter http://www.theregister.co.uk/2001/11/12/ms_promotes_linux_from_threat. 

Scotsman.com (2007): »Leaked memo ›could ruin Northern takeover‹« unter 

http://edinburghnews.scotsman.com/business.cfm?id=1803412007.

T E I L I I I 

Sicherheitsszenarien 


Kapitel 12: Schützen von Serverrollen ..................................... 319 

Kapitel 13: Patchverwaltung ............................................ 349 

Kapitel 14: Schützen des Netzwerks . ...................................... 377 

Kapitel 15: Schützen von Zweigstellen ..................................... 405 

Kapitel 16: Aspekte für kleine Unternehmen ................................. 429 

Kapitel 17: Schützen von Serveranwendungen ............................... 471

K A P I T E L 1 2 

Schützen von Serverrollen 



Rollen und Features ................................................. 320 

Ihr Server vor der Installation von Rollen . ................................... 328 

Server Core ....................................................... 328 

Tools zum Verwalten von Serverrollen ..................................... 333 

Der Sicherheitskonfigurations-Assistent .................................... 336 

Server mit mehreren Rollen ............................................ 346 


Es sollte recht offensichtlich sein, dass jeder Server irgendeine Rolle wahrnimmt. Manche 

sind Webserver, manche Dateiserver, andere Domänencontroller (Domain Controller, DC) 

oder Infrastrukturserver, zum Beispiel DNS (Domain Name System) und DHCP (Dynamic 

Host Configuration Protocol). Und natürlich gibt es den DC/Dateiserver/Webserver/Anwendungsserver/Firewall/DHCP/DNS-Server, 

in kleinen Unternehmen auch als »der Server« 

bekannt. (Mehr zu diesem Thema finden Sie in Kapitel 16, »Aspekte für kleine Unternehmen«.) 

Aber keiner davon tut irgendetwas, bevor Sie nicht eine oder mehrere Rollen darauf 

bereitstellen. 

Weil jeder Server anders ist, ist klar, dass sich eine Einheitskonfiguration nicht für jeden 

Server eignet. Das wird relativ offensichtlich, wenn Sie sich überlegen, dass jede Rolle erfordert, 

dass auf dem Server bestimmte Software installiert und Einstellungen vorgenommen 

werden müssen. Sobald Sie neue Software auf einem Server installieren, verändern Sie, wie 

der Server arbeitet. Und das bedeutet, dass Sie erneut analysieren müssen, wie dieser Server 

geschützt wird. Dies wird ausführlich in Kapitel 14, »Schützen des Netzwerks«, beschrieben. 

Trotz der offensichtlichen Tatsache, dass Server entsprechend ihren Rollen geschützt werden 

müssen, gibt es Tools und Dokumentation, die das wirklich unterstützen, erst seit relativ kurzer 

Zeit. Das erste Tool, das explizit für diese Aufgabe entwickelt wurde, war der Sicherheitskonfigurations-Assistent 

(Security Configuration Wizard, SCW), der erstmals im Jahr 

2005 für Windows Server 2003 Service Pack 1 zur Verfügung gestellt wurde. In diesem 

Kapitel beschreibe ich das Konzept der rollenbasierten Sicherheit, die Tools, mit denen Sie 

Serverrollen in Windows Server 2008 verwalten, und den ultimativen rollenbasierten Server: 

Server Core. Bevor wir damit beginnen, brauchen wir aber erst einmal Klarheit über die 

Terminologie. 

319

320 Kapitel 12: Schützen von Serverrollen 

Rollen und Features 

Windows Server 2008 wird völlig über Rollen verwaltet. Das Konzept, viele separate Komponenten 

zu installieren, wie es in älteren Serverbetriebssystemen üblich war, ist ganz verschwunden. 

In Windows Server 2008 entscheiden Sie, welche Rolle Ihr Server übernehmen 

soll, und das Tool Server-Manager stellt die dafür erforderliche Software bereit. 

Microsoft unterscheidet zwischen Rollen (engl. role) und Features (engl. feature). Eine Rolle 

ist eine Sammlung von Software, die es in ihrer Kombination dem Server ermöglicht, irgendeinen 

Dienst im Netzwerk zur Verfügung zu stellen. Im Allgemeinen ist eine Rolle das, 

wofür Sie den Server gekauft haben. Ein Beispiel für eine Rolle ist »Domänencontroller« 

oder »Anwendungsserver« (zum Beispiel ein Webserver mit Anwendungsframeworks). Oft 

kann eine Rolle in einem einzigen Schritt installiert werden, erfordert aber eine Menge Konfiguration, 

bis sie so arbeitet, wie Sie sich das vorstellen. Zum Beispiel können Sie einen 

Server ganz einfach zu einem Domänencontroller hochstufen, aber bis Sie Benutzer- und 

Computerkonten hinzufügen, nützt Ihnen der DC nicht besonders viel. 

Features sind dagegen einfacher. Dies sind Dinge, die viele Server brauchen und für deren 

Vorhandensein es gute Gründe gibt, die Sie aber nicht als wichtige Gründe für den Kauf des 

Servers einstufen. Sie beschreiben den Server nicht so, wie Rollen das tun. In manchen Fällen 

haben Features gar nichts mit Diensten zu tun. Ein Beispiel ist das Feature Verbindungs- 

Manager-Verwaltungskit, das lediglich ein Tool ist. Andere Features sind mit Diensten verknüpft. 

In vielen Fällen ist ein Feature einfach eine Möglichkeit, einem Administrator die 

Installation eines Dienstes zugänglich zu machen. Viele der Dinge, die Sie in der Windows 

Vista-Systemsteuerung unter Programme und Funktionen angezeigt bekommen, werden in 

Windows Server 2008 als Features aufgelistet. In manchen Fällen ist die Grenze zwischen 

Rollen und Features recht fließend. Zum Beispiel sind DHCP (Dynamic Host Configuration 

Protocol) und DNS (Domain Name System) Rollen, aber WINS (Windows Internet Name 

Service) ist ein Feature. WINS verwaltet über DHCP zugewiesene IP-Adressen (Internet 

Protocol) und stellt für alte Windows-Netzwerke genau dieselben Dienste zur Verfügung, die 

DNS für aktuelle Netzwerke anbietet. Wenn Sie sich die Features ansehen, stoßen Sie auf 

einige optionale Komponenten, die als veraltet gekennzeichnet sind. Sie können nur noch als 

Features installiert werden. 

Einige Rollen benötigen bestimmte Features, um zu funktionieren. Zum Beispiel braucht die 

Rolle Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management 

Services, AD RMS) das Feature Interne Windows-Datenbank (Microsoft SQL Server 2005 

Embedded Edition). Und einige Features benötigen andere Features, zum Beispiel der Windows-Systemressourcen-Manager 

(Windows System Resource Manager, WSRM), der ebenfalls 

die interne Windows-Datenbank braucht. 

In vielen Fällen sind die Verbindungen zwischen Features und Rollen recht verwickelt. Betrachten 

Sie zum Beispiel einen Anwendungsserver. Wenn Sie versuchen, diese Rolle auf 

einem neu eingerichteten Server zu installieren, werden Sie aufgefordert, zwei Features zu 

installieren: .NET Framework 3.0-Features und Windows-Prozessaktivierungsdienst (Abbildung 

12.1).

Rollen und Features 321 

Abbildung 12.1 Wenn Sie eine Rolle oder ein Feature installieren, fordert der Assistent "Rollen 

hinzufügen" Sie auf, zusätzlich alle Rollen und Features zu installieren, die dafür benötigt werden 

Sofern Sie die Standardauswahl nicht explizit ändern, werden alle Rollen und Features, die 

für die Kerndienste der jeweiligen Rolle benötigt werden, zusammen mit der grundlegenden 

Featureunterstützung installiert. Sie können Elemente abwählen, die Sie nicht haben möchten, 

aber falls Sie etwas deaktivieren, was unbedingt gebraucht wird, teilt Ihnen das System 

mit, dass Sie die Rolle in diesem Fall nicht installieren können. 

Standardrollen und -features 

Bei einem frisch installierten Server sind in der Standardeinstellung keine Rollen oder 

Features installiert. Es gibt insgesamt 16 Rollen in den Standard-, Enterprise- und Datacenter-Editionen; 

34 Features in der Standard Edition; und 35 Features in den Enterprise- 

und Datacenter-Editionen. Tabelle 12.1 zeigt alle Rollen, Tabelle 12.2 alle Features. 

Tabelle 12.1 Rollen in Windows Server 2008 

Rollenname Beschreibung Abhängigkeiten 

Active Directory- 

Zertifikatdienste 

(Active Directory 

Certificate Services, 

AD CS) 


Domänendienste 


Domain Services, 

AD DS) 


Verbunddienste 


Federation Services, 

AD FS) 

Wird benutzt, um Zertifizierungsstellen einzurichten. 

Diese Rolle trug früher den Namen Microsoft-Zertifikatdienste. 

Sie wird ausführlich in Kapitel 10, »Implementieren 

der Active Directory-Zertifikatdienste«, 

beschrieben. 

Diese Rolle macht den Server zu einem Domänencontroller. 

Dazu müssen Sie diese Rolle installieren und 

(wie in früheren Versionen) von Hand Dcpromo.exe 

ausführen. Diese Rolle wird in Kapitel 9, »Optimieren 

der Active Directory-Domänendienste für Sicherheit«, 

ausführlich beschrieben. 

Ein Verbunddienst bietet die Möglichkeit eines einmaligen 

Anmeldens an mehrere Webanwendungen, 

zumindest während derselben Sitzung. 

Keine 

Keine, aber irgendwo im Netzwerk 

muss ein DNS-Server vorhanden 

sein. 

Keine, aber bestimmte Komponenten 

von AD FS müssen auf separaten 

Computern laufen. Außerdem werden 

AD DS und AD LDS im Netzwerk 

benötigt.



Active Directory 

Lightweight Directory 

Services (AD 

LDS) 


Rechteverwaltungsdienste 

(Active 

Directory Rights 

Management Services, 

AD RMS) 

Ein LDAP-Anbieter für Organisationen, die Microsofts 

LDAP-Dienste ohne Active Directory einsetzen wollen. 

Ein Dienst, der es Benutzern erlaubt, Nutzungsrichtlinien 

für Daten festzulegen, die sie anderen Benutzern 

zur Verfügung stellen. So können sie einschränken, 

was andere Benutzer mit den Daten tun dürfen. 

Zum Beispiel kann ein Benutzer ein Microsoft Office 

Word-Dokument erstellen und darauf eine Richtlinie 

anwenden, die anderen das Lesen des Dokuments 

erlaubt, aber das Bearbeiten, Speichern und Drucken 

verbietet. AD RMS erledigt die Authentifizierungsaufgaben 

im Rahmen der Richtlinienerzwingung. Diese 

Rolle wird in Kapitel 11, »Implementieren der Active 

Directory-Rechteverwaltungsdienste«, ausführlich 

beschrieben. 

Anwendungsserver Bietet Zugriff auf Programme, die mithilfe eines Anwendungsframeworks 

geschrieben wurden. Diese 

Rolle wird normalerweise nicht allein eingesetzt, sondern 

in Kombination mit der Rolle Webserver (IIS). 

Beachten Sie, dass die Rolle Anwendungsserver das 

Feature Windows-Prozessaktivierungsdienst erfordert. 

Dieses Feature ist innerhalb des Webservers üblicherweise 

deaktiviert, sofern Sie es nicht explizit 

aktivieren. 

DHCP-Server Stellt Computern im gesamten Netzwerk DHCP 

(dynamische IP-Adresszuweisung) zur Verfügung. 

DNS-Server Stellt Namensauflösungsdienste für das gesamte 

Netzwerk zur Verfügung, die Hostnamen in IP- 

Adressen konvertieren. 

Faxserver Stellt zentralisierte Faxdienste in einem Netzwerk zur 

Verfügung. 

Dateidienste Fügt zusätzliche Dateiserverdienste hinzu, zum Beispiel 

das verteilte Dateisystem (Distributed File System, 

DFS), Verwaltungstools für freigegebene Ordner 

und NFS (Network File System) für Unix-Clients. 

Grundlegende Windows-Dateifreigabedienste stehen 

schon standardmäßig zur Verfügung, dafür brauchen 

Sie diese Rolle nicht zu installieren. Anders ausgedrückt: 

Falls Sie diese Rolle nicht installieren, sondern 

eine Freigabe von Hand anlegen, betrachtet Ihr Computer 

diese Rolle automatisch als installiert und öffnet 

die Firewall, um SMB-Protokollverkehr (Server Message 

Block) zu erlauben. 

Keine 

Die Computer müssen Domänenmitglieder 

sein. 

Die Features .NET Framework 3.0- 

Features und Windows-Prozessaktivierungsdienst. 

Die Rolle Webserver (IIS) ist erforderlich, 

falls Sie die Webserverunterstützung 

installieren. 

Die Rolle Webserver (IIS) sowie die 

Features .NET Framework 3.0- 

Features und Message Queuing sind 

für die Unterstützung des Windows- 

Prozessaktivierungsdienstes erforderlich. 

Keine 

Keine 

Druckdienste 

Keine


Netzwerkrichtlinien- 

und Zugriffsdienste 

Diese Rolle stellt die Sammlung von Diensten zur 

Verfügung, die für Remotenetzwerkzugriff benötigt 

werden. Das umfasst Microsofts VPN-Server sowie 

Microsofts Netzwerkzugriffsschutzdienst (Network 

Access Protection, NAP), der eine Richtlinienerzwingung 

auf Netzwerkverbindungen zur Verfügung ermöglicht. 

Druckdienste Stellt erweiterte Druckerverwaltungsdienste zur Verfügung. 

In der Standardeinstellung umfasst diese Rolle 

nur das Snap-In Druckverwaltung. Sie können damit 

weitere Druckdienste für Unix-Computer und Clients 

im Internet zur Verfügung stellen. Beachten Sie, dass 

diese Rolle nicht erforderlich ist, um auf dem Servercomputer 

zu drucken. Sie wird auch nicht gebraucht, 

um Drucker im Netzwerk freizugeben oder auf freigegebene 

Drucker zuzugreifen. Diese Funktionen werden 

bereits standardmäßig unterstützt. 

Terminaldienste Erstellt einen Terminaldienste-Anwendungsserver ein, 

auf dem Benutzer Programme ausführen können. 

Beachten Sie, dass Sie diese Rolle in Windows Server 

2008 aktivieren müssen, sogar für administrative 

Terminaldienste. 

UDDI-Dienste UDDI-Dienste (Universal Description, Discovery, and 

Integration) sind eine Technologie, die Erkennung und 

Abruf von Informationen über Webdienste ermöglicht. 

Webserver (IIS) Falls während der Installation dieser Rolle keine Konfigurationsoptionen 

vorgenommen werden, bietet IIS 

7.0 in der Standardeinstellung nur Unterstützung für 

statisches HTML. In Kapitel 17, »Schützen von 

Serveranwendungen«, finden Sie ausführliche 

Informationen über IIS. 

Windows-Bereitstellungsdienste 

(Windows Deployment 

Services, 

WDS) 

WDS ist die neueste Microsoft-Technologie für 

die Remotebereitstellung des Betriebssystems auf 

Computern im Netzwerk. 


Erfordert die Rolle Webserver (IIS), 

falls die Integritätsregistrierungsstelle 

oder die Rollendienste für das Host 

Credential Authorization-Protokoll 

installiert sind. 

Erfordert, dass die Rolle Webserver 

(IIS) installiert ist, falls der Rollendienst 

Internetdrucken installiert wird. 

Erfordert die Rolle Webserver (IIS), 

falls die Rollendienste Terminaldienstegateway 

oder Terminaldienste-Webzugriff 

installiert werden. 

Der Rollendienst Terminaldienstegateway 

erfordert wiederum die Rolle 

Netzwerkrichtlinien- und Zugriffsdienste 

und das Feature RPC-über- 

HTTP-Proxy. 

Erfordert Interne Windows-Datenbank, 

falls die UDDI-Dienstedatenbank 

auf diesem Computer installiert 

wird. Erfordert außerdem die Rolle 

Webserver (IIS), falls die UDDI- 

Webdiensteanwendung installiert 

wird. 

Keine 

Keine


Tabelle 12.2 Features in Windows Server 2008 

Featurename Beschreibung Abhängigkeiten 

.NET Framework 

3.0-Features 

BitLocker-Laufwerkverschlüsselung 

BITS-Servererweiterungen 

Verbindungs- 

Manager-Verwaltungskit 

Desktopdarstellung 

Failover-Clusterunterstützung 

(nur Enterprise 

und Datacenter 

Edition) 

Gruppenrichtlinienverwaltung 

Internetdruckclient 

iSNS (Internet 

Storage Name 

Server) 

Eine Sammlung von Unterfeatures, die zusammen die 

Unterstützung für das .NET Framework 3.0- 

Anwendungsframework bereitstellen. 

BitLocker stellt eine vollständige Festplattenverschlüsselung 

zur Verfügung. Es wird in Kapitel 15, »Schützen 

von Zweigstellen«, ausführlich beschrieben. 

BITS-Servererweiterungen erlauben einem Server, 

Dateien über den intelligenten Hintergrundübertragungsdienst 

zu empfangen, einen asynchronen Dateiübertragungsdienst, 

der mit dem Ziel entwickelt wurde, 

Dateien effizient zu übertragen, ohne den normalen 

Netzwerkverkehr zu verhindern. 

Mit dem Verbindungs-Manager-Verwaltungskit kann 

ein Administrator automatisierte Verbindungsprofile 

erstellen, die eine Verbindung zu einem Microsoft- 

VPN-Server herstellen. 

Bewirkt, dass Windows Server 2008 dieselbe Benutzeroberfläche 

wie Windows Vista bekommt. Umfasst 

Designs, Windows Media Player und Windows Fotogalerie. 

Dieses Feature sollte auf Produktivservern 

niemals installiert werden. 

Stellt Clusterdienste für clusterfähige Anwendungen 

zur Verfügung. 

Webserver und Windows-Prozessaktivierungsdienst 

sind nur erforderlich, 

falls die WCF-Aktivierung ausgewählt 

ist. 

Keine 

Rolle Webserver (IIS) und Feature 

Windows-Prozessaktivierungsdienst. 

Keine 

Keine 

Keine 

Installiert die Konsole Gruppenrichtlinienverwaltung. Keine 

Installiert einen Druckclient, damit der Server über IPP 

(Internet Printing Protocol) auf Druckservern ausdrucken 

kann. 

Stellt Suchdienste für SAN (iSCSI Storage Area Network) 

bereit. 

LPR-Portmonitor Druckclient für LPD-Druckserver (Line Printer 

Daemon), wie sie in Unix eingesetzt werden. 

Message Queuing 

Stellt Nachrichtenübertragungsdienste mit sicherer, 

nach Prioritäten geordneter und garantierter Auslieferung 

zur Verfügung, sogar wenn der Empfängerdienst 

gerade offline ist. 

Keine 

Keine 

Keine 

Erfordert die Rolle Webserver (IIS) und 

das Feature Windows-Prozessaktivierungsdienst, 

falls HTTP-Unterstützung 

installiert wird. Manche Dienste werden 

nur in Domänenumgebungen oder auf 

einem DC unterstützt, zum Beispiel der 

Routingdienst und die Windows 2000- 

Clientunterstützung.


Multipfad-E/A Bietet Unterstützung für mehrere E/A-Kanäle (Ein-/ 

Ausgabe) zum selben Gerät. Wird in erster Linie auf 

hochleistungsfähigen Speicherservern benutzt. 

Netzwerklastenausgleich 

Peer Name Resolution-Protokoll 

Verbessertes 

Windows- 

Audio-/Video- 

Streaming 

Remoteunterstützung 

Remotedifferenzialkomprimierung 

Remoteserver- 

Verwaltungstools 

Wechselmedien- 

Manager 

Stellt Lastverteilungsdienste für Windows zur Verfügung. 

Wird vor Serverclustern benutzt. 

Erlaubt es Peer-to-Peer-Anwendungen, Namen zu 

registrieren und aufzulösen, um Anwendungen leichter 

erkennen zu können. 

Stellt QoS-Dienste (Quality of Service) für das Streaming 

von Audio und Video über IP-Netzwerke zur 

Verfügung. Wird in erster Linie für Heimnetzwerke 

eingesetzt. Auf Serverplattformen bietet qWAVE nur 

Flussraten- und Prioritätsdienste. 

Remoteunterstützung wird eingesetzt, um interaktiven 

technischen Support zur Verfügung zu stellen. Das 

Feature Remoteunterstützung umfasst Funktionalität 

für den Benutzer, der die Unterstützung anfordert, und 

den Helfer, der sie gewährt. 

Wird benutzt, um lediglich Differenzdaten (Deltas) von 

Dateien über ein Netzwerk zu übertragen. 

Eine Sammlung von Tools, mit denen andere Server 

im Remotezugriff verwaltet werden können. Das Feature 

Remoteserver-Verwaltungstools umfasst Unterstützung 

für die Verwaltung der meisten Rollen und 

von sechs Features, ohne dass die entsprechende 

Rolle oder das Feature installiert werden müsste. 

Diese Tools stehen auch als Download unter download.microsoft.com 

zur Verfügung, sodass Sie sie 

unter Windows Vista installieren können. 

Verwaltet und katalogisiert Wechseldatenträger und 

verwaltet automatisierte Wechselmediengeräte. 

Keine 

Keine 

Keine 

Keine 

Keine 

Keine 


Die Abhängigkeiten unterscheiden sich 

je nachdem, welche Rollen und Features 

Sie unterstützen wollen. Die 

Webservertools erfordern das Feature 


Die BITS-Servererweiterungstools 

erfordern die Rolle Webserver (IIS) und 

das Feature Windows-Prozessaktivierungsdienst. 

Die SMTP-Servertools 

erfordern die Rolle Webserver (IIS). 

Keine



RPC-über-HTTP- 

Proxy 

Einfache TCP/IP- 


Unterstützt die Fähigkeit, RPC-Verbindungen (Remote 

Procedure Call, Remoteprozeduraufruf) über HTTP- 

(Hypertext Transport Protocol) und HTTPS- 

Verbindungen zu tunneln. Dieses Feature wird zum 

Beispiel eingesetzt, um Outlook Anywhere-Zugriff zu 

ermöglichen, sodass Benutzer von Microsoft Office 

Outlook von überall im Internet aus auf ihren Microsoft 

Exchange Server zugreifen können. Das mag wie ein 

Sicherheitsproblem klingen, aber wenn es richtig 

implementiert wird, kann es die Netzwerksicherheit 

deutlich verbessern. 

Die große Mehrheit der VPN-Verbindungen wird ausschließlich 

für E-Mail-Zugriff benutzt, bietet dem Benutzer 

aber vollständigen Zugriff auf das Unternehmensnetzwerk. 

Indem Organisationen nur RPC 

über HTTP zur Verfügung stellen und Benutzern die 

Verbindung mit Microsoft Outlook erlauben, werden 

viele dieser VPN-Verbindungen überflüssig. Das verringert 

die Gefahr, dass Malware über eine VPN- 

Verbindung in das Unternehmensnetzwerk eindringt. 

Wurde ursprünglich entwickelt, um eine Problembehandlung 

für TCP/IP-Verbindungen durchzuführen, als 

solche Verbindungen noch sehr unzuverlässig waren. 

Heutzutage gibt es keinen Grund mehr, das Feature 

Einfache TCP/IP-Dienste in einem Netzwerk zu installieren. 

Die Dienste umfassen einen Zeichengenerator, 

die Befehle Daytime, Discard (ein Dienst, der beliebige 

Eingaben annimmt und schlicht verwirft), Echo und 

Quote of the day. Falls diese Dienste installiert sind, 

kann ein Angreifer ganz einfach alle Netzwerkoperationen 

in einem Host zum Erliegen bringen, indem er 

Ausgaben vom Zeichengenerator in den Echodienst 

leitet. 

SMTP-Server Stellt Mailübertragungsdienste und -Relays zur Verfügung. 

SNMP-Dienst SNMP (Simple Network Management Protocol) ist ein 

sehr häufig genutztes Protokoll, um Überwachungsinformationen 

von Netzwerkgeräten abzurufen und zu 

sammeln. 

Speicher-Manager 

für SANs 

Subsystem für 

Unix-basierte 

Anwendungen 

(Subsystem for 

Unix-based Applications, 

SUA) 

Rolle Webserver (IIS) und Feature 


Keine 

Rolle Webserver (IIS) und Feature Remoteserver-Verwaltungstools. 

Keine 

Verwaltungstool für SANs. Keine 

Enthält ein POSIX-Subsystem. Ein Satz von Unix- 

Tools, darunter eine Bash-Shell, steht als Download 

bei Microsoft bereit. 

Keine


Telnet-Client Ein Telnet-Client für Remotebefehlszeilenzugriff auf 

Telnet-Servern. 

Telnet-Server Ein Telnet-Server. Es wird dringend davon abgeraten, 

dieses Feature zu installieren und zu nutzen. Telnet ist 

ein Klartextprotokoll, es gilt als sehr unsicher, sofern 

der Kanal nicht verschlüsselt ist. Verwenden Sie stattdessen 

die Terminaldienste. 

TFTP-Client Ein Client für TFTP (Trivial File Transfer Protocol). 

TFTP ist ein schlankes, Dateiübertragungsprotokoll, 

das völlig ohne Authentifizierung arbeitet. Es wird von 

Angreifer hauptsächlich benutzt, um Dateien auf einen 

kompromittierten Server zu übertragen. Es sollte niemals 

auf einem Server installiert sein. 

Interne Windows- 

Datenbank 

Windows Power- 

Shell 

Windows-Prozessaktivierungsdienst 

Windows Server- 

SicherungsfeaturesWindows-Systemressourcen- 

Manager (WSRM) 

Eine Version der Microsoft SQL Server Embedded 

Edition. Es stellt Datenbankdienste für andere Dienste 

zur Verfügung und sollte nicht als eigenständige 

Datenbank eingesetzt werden. 

Keine 

Keine 

Keine 

Keine 

Eine sehr leistungsfähige Befehlsshell. Keine 

Stellt Remoteprozessdienste für Anwendungen über 

WCF (Windows Communication Foundation) zur Verfügung. 

Früher stand diese Möglichkeit nur für HTTP- 

Anwendungen über IIS zur Verfügung. Indem diese 

Dienste in ein separates Feature ausgelagert wurden, 

konnte die Abhängigkeit von IIS entfernt werden. 

Im Unterschied zu Windows Server 2003 und älteren 

Versionen werden die Datensicherungstools nicht 

standardmäßig installiert. Dieses Feature installiert sie. 

Erlaubt Ihnen, die Ressourcenzuweisung innerhalb 

des Systems zu verwalten. 

WINS-Server WINS stellt Hostnamenauflösung für ältere Windows- 

Netzwerke zur Verfügung. Seit Windows 2000 wird 

WINS nicht mehr benötigt, seine Funktionalität wurde 

von DNS übernommen. Dieser Dienst sollte nicht 

installiert werden, sofern keine zwingenden Gründe 

bestehen. 

WLAN-Dienst Stellt Konfigurationsunterstützung für Drahtlosnetzwerkkarten 

zur Verfügung. Dieser Dienst wird nicht 

benötigt, falls der Server keine Drahtlosnetzwerkkarten 

eingebaut hat. 

Keine 


Die Befehlszeilentools erfordern die 

Windows PowerShell. 

Interne Windows-Datenbank. 

Keine 

Keine 

Auf der CD Auf der CD finden Sie ein Dokument, das die Dienste den verschiedenen Rollen und 

Features zuordnet, sodass Sie genau sehen können, welche Dienste von einer bestimmten Rolle und 

einem Feature benutzt werden. Sie finden dieses Dokument in den Materialien zu Kapitel 6.


Beachten Sie, dass die Spalte »Abhängigkeiten« zwar gesamte Rollen auflistet, in vielen 

Fällen aber nur ein kleiner Teil dieser Rolle für eine andere Rolle oder ein Feature benötigt 

wird. Zum Beispiel benötigt der SMTP-Server nur die IIS 6.0-Verwaltungstools aus der 

Rolle Webserver (IIS) und die SMTP-Servertools aus dem Feature Remoteserver-Verwaltungstools. 

Welche Abhängigkeiten tatsächlich bestehen, können Sie nur herausfinden, indem Sie 

versuchsweise einzelne Features deaktivieren. 

Ihr Server vor der Installation von Rollen 

Wenn Sie zusätzliche Rollen oder Features installieren, brauchen Sie dazu nicht das Installationsmedium 

einzulegen. Alle Daten, die erforderlich sind, um sämtliche Rollen und Features 

bereitzustellen, werden nämlich während der Erstinstallation auf die Festplatte kopiert. 

Das bedeutet, dass die Dateien eigentlich schon vorhanden sind. Sie befinden sich aber noch 

nicht in ihrer endgültigen Form an den normalen Speicherorten des Dateisystems. Stattdessen 

sind sie im Verzeichnis %SystemRoot%\winsxs gespeichert. Das ist wichtig für Features 

wie zum Beispiel Telnet-Client und TFTP-Client. Diese Features sind nichts anderes als 

ausführbare Dateien, die im Dateisystem bereitliegen. Damit Sie diese Programme starten 

können, müssen auch die zugehörigen Katalog- und Manifestdateien installiert sein. Und 

genau diese Dateien werden erst dann installiert, wenn das Feature selbst installiert wird. 

Natürlich kann ein Krimineller, der über administrativen Zugriff verfügt, das Feature problemlos 

installieren, daher brächte es kaum einen Sicherheitsvorteil, würden die Dateien bei 

der Erstinstallation nicht auf die Festplatte übertragen. 

Dieses Konzept, alle Dateien, die irgendwann möglicherweise benötigt werden, gleich bei 

der Erstinstallation auf der Festplatte verfügbar zu machen, ist in Microsoft Office seit der 

Version Office 2003 üblich. Letztlich wird dafür weniger Festplattenplatz benötigt, als sie 

wahrscheinlich glauben, aber dennoch eine ganze Menge: Die 32-Bit-Editionen von Windows 

Server 2008 belegen etwa 5,3 GByte (gemessen an einer der der letzten Prerelease- 

Versionen). Dagegen kam Windows Server 2003 R2 mit 1,72 GByte aus. 

Standardmäßig installierte Dienste 

Schon bevor Sie einen Server konfigurieren, indem Sie verschiedene Rollen und Features 

hinzufügen, führt er eine ganze Menge Dienste aus. In der Standardeinstellung gibt es 

105 Dienste, von denen 42 automatisch gestartet werden, 55 manuell und 8 deaktiviert sind. 

Bei einer Neuinstallation von Windows Server 2003 R2 waren dagegen standardmäßig 

86 Dienste installiert, von denen 34 automatisch gestartet wurden, 32 bei Bedarf und 20 

deaktiviert waren. Trotz der Definition von Rollen und der Verringerung der standardmäßig 

bereitgestellten Rollen ist der Umfang von Windows Server 2008 also deutlich angewachsen. 

Daher müssen Sie besonders sorgfältig sein, wenn Sie das System absichern. Weitere 

Informationen über die Diensthärtung finden Sie in Kapitel 6, »Dienste«. 

Server Core 

Wir haben Server Core bereits einige Male erwähnt. Es ist eine abgespeckte Version von 

Windows Server 2008, die keine grafische Benutzeroberfläche enthält und nur einen Teil der 

Rollen und Features unterstützt. Die Benutzeroberfläche in Server Core ist eine schlichte 

Befehlszeile (Abbildung 12.2).

Abbildung 12.2 Server Core ist eine abgespeckte Version von Windows Server 2008, die nur 

einen Teil der Rollen unterstützt 

Server Core 329 

Abbildung 12.3 Server Core ist eine Installationsoption, die während des Setups angeboten wird


Server Core ist genau genommen keine separate Version, sondern eine Installationsoption, 

die während des Setups angeboten wird. Sobald Sie Ihren Product Key eingegeben haben, 

können Sie auswählen, ob Sie die vollständige Version oder die Server Core-Version der 

gekauften Edition installieren wollen. Das Auswahldialogfeld sehen Sie in Abbildung 12.3. 

Server Core ist eine hervorragende Wahl für viele Infrastrukturserver, weil Sie damit die 

Möglichkeit bekommen, diese Server mit möglichst wenigen Features zu betreiben. 

Hinweis Server Core hat in der Standardeinstellung ein leeres Administratorkennwort. Das Kennwort für 

den lokalen Administrator wird während der ersten Anmeldung dieses Benutzers festgelegt. Weil Sie sich 

normalerweise am Computer anmelden, um ihn zu einer Domäne hinzuzufügen, werden Sie normalerweise 

bei dieser Gelegenheit aufgefordert, das Kennwort zu ändern. Trotzdem ist es wichtig zu wissen, dass 

anfangs ein leeres Kennwort verwendet wird. 

Es ist nicht unbedingt schlecht, das Kennwort für das integrierte Administratorkonto leer zu lassen. Falls der 

Computer physisch sicher ist, bieten Sie dadurch keine wesentliche Angriffsfläche, weil Konten mit leeren 

Kennwörtern nicht im Remotezugriff benutzt werden können. Andererseits wird die Verwaltung der Kennwörter 

für die lokalen Administratorkonten auf Hunderten oder Tausenden von Servern in einem Datencenter 

deutlich einfacher, wenn Sie das Kennwort leer lassen. Analysieren Sie Ihre Situation: Falls Sie auf die 

physische Sicherheit Ihrer Server vertrauen, kann es am sinnvollsten sein, das Kennwort leer zu lassen. 

Das ist wahrscheinlich deutlich sicherer, als auf Tausenden von Servern dasselbe Kennwort zu verwenden. 

Falls irgendeiner dieser Tausenden von Servern kompromittiert wird, müssen alle als kompromittiert betrachtet 

werden. Diese Art von Sicherheitsabhängigkeit wird in Kapitel 14 beschrieben. 

In Server Core unterstützte Rollen 

Server Core unterstützt nur einen Teil der Rollen, die in einer vollständigen Installation zur 

Verfügung stehen. Es wurde in erster Linie für den Einsatz als Infrastrukturserver entworfen. 

Server Core unterstützt folgende Rollen: 

Active Directory-Domänendienste 

Active Directory Lightweight Directory Services (einfach LDAP, früher ADAM) 

DHCP-Server 

DNS-Server 

Dateidienste 

IIS 

Druckdienste 

Die meisten Rollen werden mit dem Befehl OCSetup.exe installiert, der auf den Paketmanager 

(pkgmgr.exe) zurückgreift. In Anleitungen können beide Programme genannt werden, 

um Rollen zu installieren. Beachten Sie, dass das Befehlszeilenprogramm ServerManager- 

Cmd.exe, das bei einer vollständigen Installation vorhanden ist, in Server Core nicht zur 

Verfügung steht. 

Welche Rollen verfügbar sind, können Sie sich mit OCList.exe anzeigen lassen. Dieses Tool 

steht nur in Server Core zur Verfügung. Zum Beispiel können Sie mit dem folgenden Befehl 

die Rolle DNS-Server installieren: 

start /w ocsetup DNS-Server-Core-Role 

Sie müssen ocsetup hier über den Befehl start ausführen, weil ocsetup andernfalls sofort 

zurückkehrt und Sie keine Rückmeldung erhalten, ob die Installation erfolgreich war. Indem


Sie ocsetup innerhalb von start /w aufrufen, stellen Sie sicher, dass die Befehlszeile erst 

dann zurückkehrt, wenn die Installation abgeschlossen ist. 

Es gibt eine Ausnahme für diese Installationsprozedur: die Rolle Active Directory-Domänendienste. 

Wenn Sie diese Rolle installieren, wird der Computer nicht automatisch zu einem 

Domänencontroller hochgestuft. Sie schaffen damit lediglich die Voraussetzung, diese Hochstufung 

anschließend durchzuführen, indem Sie wie in älteren Windows-Versionen das Tool 

DCPromo ausführen. In Server Core liegt das Problem darin, dass Sie eine Anwortdatei 

einsetzen müssen, um die Active Directory-Domänendienste zu installieren, es gibt nämlich 

keinen GUI-Assistenten. Weitere Informationen, wie Sie eine Server Core-Installation auf 

Active Directory hochstufen und wie Sie Server Core generell verwalten, finden Sie im 

Artikel »Server Core Installation Option of Windows Server 2008 Step-by-Step Guide« 

auf Microsoft TechNet unter http://technet2.microsoft.com/windowsserver2008/en/library/ 

47a23a74-e13c-46de-8d30-ad0afb1eaffc1033.mspx?mfr=true. 

In Server Core unterstützte Features 

Server Core unterstützt auch nur einen Teil der Features, die in den vollständigen Editionen 

von Windows Server zur Verfügung stehen. Folgende Features sind in Server Core enthalten: 

Datensicherung 

BitLocker-Laufwerkverschlüsselung 

Failover-Clusterunterstützung (nur Enterprise und Datacenter Edition) 

Multipfad-E/A 

Netzwerklastenausgleich 

Wechselmedien-Manager 

Verbessertes Windows-Audio-/Video-Streaming 

SNMP-Dienst 

Subsystem für UNIX-basierte Anwendungen 

Telnet-Client 

WINS-Server 

Was in Server Core nicht enthalten ist 

Es gibt eine ganze Menge, was in Server Core nicht enthalten ist. Am deutlichsten fällt das 

Fehlen von Windows-Explorer und Internet Explorer auf. Server Core ist die erste Windows-Version 

seit vielen Jahren, die keinen Webbrowser mitbringt. Server Core enthält auch 

keine Version des Windows Media Player, und die meisten anderen Tools, die sich nur an 

Endverbraucher richten, fehlen völlig. Wichtig ist allerdings, dass Server Core weniger 

Dienste ausführt und weniger Festplatteplatz benötigt. Im Vergleich zur vollständigen Installation, 

die 5,3 GByte Festplattenplatz benötigt, kommt Server Core mit gut 1 GByte aus. 

Außerdem werden in Server Core nur 38 Dienste automatisch gestartet, weitere 30 starten 

bei Bedarf und einer (Browser) ist deaktiviert. Die 37 Dienste, die in Tabelle 12.3 aufgelistet 

sind, fehlen in einer Server Core-Installation gegenüber einer vollständigen Installation desselben 

Produkts.


Für Minimalisten und alle, die ihren Computer nur für eine einzige Aufgabe brauchen, ist 

Server Core offensichtlich das Mittel der Wahl. 

Tabelle 12.3 Dienste, die gegenüber der vollständigen Installation in Server Core fehlen 

Kurzbezeichnung Dienst 

alg Gatewaydienst auf Anwendungsebene 

appinfo Anwendungsinformationen 

AudioEndpointBuilder Windows-Audio-Endpunkterstellung 

Audiosrv Windows-Audio 

clr_optimization_ Microsoft .NET Framework 

CscService Offlinedateien 

dot3svc Automatische Konfiguration (verkabelt) 

EapHost Extensible Authentication-Protokoll 

fdPHost Funktionssuchanbieter-Host 

FDResPub Funktionssuche-Ressourcenveröffentlichung 

IPBusEnum PNP-X-IP-Busauflistung 

MMCSS Multimediaklassenplaner 

Netman Netzwerkverbindungen 

RasAuto Verwaltung für automatische RAS-Verbindung 

RasMan RAS-Verbindungsverwaltung 

RemoteAccess Routing und RAS 

RpcLocator RPC-Locator 

SharedAccess Gemeinsame Nutzung der Internetverbindung 

ShellHWDetection Shellhardwareerkennung 

SLUINotify SL-Benutzerschnittstellen-Benachrichtigungsdienst 

Spooler Druckwarteschlange 

SSDPSRV SSDP-Suche 

SstpSvc SSTP-Dienst 

SysMain Superfetch 

TapiSrv Telefonie 

Themes Designs 

Threadorder Server für Threadsortierung 

TrkWks Überwachung verteilter Verknüpfungen (Client) 

UI0Detect Erkennung interaktiver Dienste 

upnphost UPnP-Gerätehost 

UxSms Sitzungs-Manager für Desktopfenster-Manager 

wercplsupport Unterstützung in der Systemsteuerung unter Lösungen für Probleme 

WerSvc Windows-Fehlerberichterstattungsdienst 

WPDBusEnum Enumeratordienst für tragbare Geräte 

wudfsvc Windows Driver Foundation – Benutzermodus-Plattformbibliothek

Tools zum Verwalten von Serverrollen 333 

Tools zum Verwalten von Serverrollen 

Windows Server 2003 R2 lieferte erstmals den neuen Serververwaltungs-Assistenten mit. 

Dies war das erste Tool, mit dem Administratoren ihre Server einfach konfigurieren konnten, 

um beliebige Rollen zu unterstützen. Die Tools in Windows Server 2008 wurden etwas 

leistungsfähiger und der Funktionsumfang ist gestiegen. In diesem Abschnitt sehen wir uns 

die drei zentralen Tools an, mit denen Sie Serverrollen in einer vollständigen Installation 

von Windows Server 2008 verwalten. Insbesondere achten wir dabei darauf, welche Sicherheitsaspekte 

jeweils wichtig sind. 

Aufgaben der Erstkonfiguration 

Das erste Tool, mit dem Sie wahrscheinlich zu tun haben, hieß unter Windows Server 2003 

Serververwaltungs-Assistent. In Windows Server 2008 trägt es den Namen Aufgaben der 

Erstkonfiguration (Initial Configuration Tasks, ICT). Es wird geöffnet, sobald Sie sich zum 

ersten Mal anmelden. Wie in Abbildung 12.4 zu sehen, zeigt dieses Tool grundlegende Konfigurationsinformationen 

zu Ihrem Server an und gibt Ihnen die Möglichkeit, die Assistenten 

zum Hinzufügen von Rollen und Features zu starten. 

Abbildung 12.4 Das neue Tool Aufgaben der Erstkonfiguration zeigt einige nützliche Informationen über 

Ihren Server an und gibt Ihnen Zugriff auf die Konfigurationstools


Das Tool Aufgaben der Erstkonfiguration ist recht nützlich für die ersten Schritte. Es liefert 

außerdem einige brauchbare Informationen, sogar auf einem stabilen, konfigurierten Server. 

Der Server-Manager enthält die meisten dieser Informationen ebenfalls, aber seine Seite ist 

viel größer. Es kann durchaus sinnvoll sein, das Fenster Aufgaben der Erstkonfiguration 

offen zu lassen. 

Die Assistenten Rollen hinzufügen und Features hinzufügen 

Wenn Sie im Tool Aufgaben der Erstkonfiguration auf Rollen hinzufügen oder Features 

hinzufügen klicken, wird der entsprechende Assistent gestartet. Diese Assistenten leiten Sie 

durch die Schritte, die erforderlich sind, um eine bestimmte Rolle beziehungsweise ein Feature 

auf dem Server zu aktivieren. 

Sie können Rollen und Features auch über die Befehlszeile mit dem Befehl ServerManager- 

Cmd.exe hinzufügen. In einer Server Core-Installation müssen Sie natürlich die Befehlszeile 

verwenden, weil es dort keine grafische Benutzeroberfläche (Graphical User Interface, GUI) 

gibt. Wenn Sie Rollen unter Server Core verwalten, verwenden Sie aber gewöhnlich Pkgmgr.exe 

oder Ocsetup.exe. Die meisten Administratoren entscheiden sich aber für einen der 

zwei Assistenten Rollen hinzufügen und Features hinzufügen. Sie sind sich sehr ähnlich 

und können entweder in Aufgaben der Erstkonfiguration oder im Server-Manager gestartet 

werden. 

Abbildung 12.5 Der Server-Manager versammelt die meisten Tools, die Sie für die Verwaltung eines 

Servers brauchen, in einer Konsole

Tools zum Verwalten von Serverrollen 335 

Server-Manager 

Der Server-Manager (Abbildung 12.5) kombiniert die Features des Systemsteuerungsmoduls 

Programme hinzufügen/entfernen, des Windows-Sicherheitscenters, der Konsole Computerverwaltung 

und verschiedener MMC-Snap-Ins – alles in einem einzigen Tool. 

Wenn Sie eine Rolle installieren wollen, können Sie entweder im Server-Manager oder 

in Aufgaben der Erstkonfiguration auf Rollen hinzufügen klicken. Daraufhin wird eine Seite 

mit einigen Erklärungen angezeigt. Klicken Sie auf Weiter. Nun sehen Sie die Seite aus 

Abbildung 12.6. 

Abbildung 12.6 Rollen wählen Sie auf der Hauptseite im Assistenten "Rollen hinzufügen" aus 

Auf der Seite aus Abbildung 12.6 treffen Sie die wichtigsten Entscheidungen. Vergessen Sie 

aber nicht, dass danach noch etliche Seiten folgen können. Falls Sie zum Beispiel die Rolle 

Anwendungsserver auswählen, öffnet sich das Dialogfeld aus Abbildung 12.1 weiter oben in 

diesem Kapitel. Sie können hier nichts ändern, sondern nur die vorgeschlagenen Einstellungen 

bestätigen. Nachdem Sie einige Male auf Weiter geklickt haben, wird die Seite aus 

Abbildung 12.7 angezeigt. 

In Abbildung 12.7 werden mehrere Elemente angeboten, die Sie wahrscheinlich nicht auf 

Ihrem Anwendungsserver brauchen. Abhängig von der Rolle können Sie einige davon entfernen, 

andere nicht. Zum Beispiel können Sie darauf verzichten, COM+-Netzwerkzugriff 

zu installieren, aber in manchen Fällen sind die Abhängigkeiten fest einprogrammiert. Daher 

müssen Sie den Rollendienst Application Server Foundation aktiviert lassen. Welche 

Abhängigkeiten bestehen, hängt von der jeweiligen Rolle ab, die Sie installieren wollen.


Abbildung 12.7 Im Rahmen der Rolleninstallation können Sie auswählen, welche Rollendienste 

Sie konfigurieren wollen 

Der Sicherheitskonfigurations-Assistent 

Die neue Einteilung in Rollen und Features für die Serververwaltung ist recht nützlich und 

hilft dabei, einen Server so zu konfigurieren, dass er eine möglichst kleine Angriffsfläche 

bietet. Aber während die Assistenten Rollen hinzufügen und Features hinzufügen Ports in der 

Firewall öffnen, können Sie in diesen Assistenten die Zugriffe nicht auf bestimmte Hosts 

einschränken. Die Assistenten schließen die Ports auch nicht wieder, wenn Sie eine Rolle 

entfernen. Sie installieren lediglich die Rollen/Features, konfigurieren die benötigten Dienste 

und andere Einstellungen und öffnen die verwendeten Ports für alle im Netzwerk. Um die 

Sicherheit zu erhöhen, müssen Sie die Firewall so konfigurieren, dass der Zugriff auf den 

Server eingeschränkt wird. Das war früher sehr schwierig und erforderte eine ausgefeilte 

Analyse, welche Ports für welche Computer und in welchen Diensten geöffnet werden 

mussten. Dann erschien in Windows Server 2003 Service Pack 1 erstmals der Sicherheitskonfigurations-Assistent 

(Security Configuration Wizard, SCW). 

Direkt von der Quelle: Der Sicherheitskonfigurations-Assistent 

Der Sicherheitskonfigurations-Assistent ist ein Tool, mit dem Sie die Angriffsfläche verringern 

können. Es wurde erstmals für die Windows Server 2003-Familie entwickelt. Es 

stellt fest, welche Funktionalität für die Rolle oder Rollen eines Servers mindestens erforderlich 

ist, und deaktiviert die Funktionalität, die nicht gebraucht wird. Vor dem Erscheinen 

des SCW stammten die meisten Leitfäden zur Serverkonfiguration bei unseren

Der Sicherheitskonfigurations-Assistent 337 

Kunden aus mehreren Quellen, und sie bestanden aus umfangreichen Dokumenten. Es 

war für Administratoren keine leichte Aufgabe, ihre Server abhängig von der Rolle und 

der Umgebung des Computers optimal zu schützen. Wir entwickelten SCW als De-facto- 

Tool zum Formulieren einer Sicherheitsrichtlinie für Windows-Server. Es erlaubt nicht 

nur Systemadministratoren, die Richtlinie für jede Computerrolle zu definieren, sondern 

unterstützt auch die Unternehmensbereitstellung dieser Richtlinien über Gruppenrichtlinien 

oder direkte Client/Server-Kommunikation. Alle Computerrollen, die in SCW enthalten 

sind, wurden von unseren Produktgruppen getestet. Sie sind außerdem erweiterbar, 

sodass Administratoren eigene Computerrichtlinien auf Basis der Standardvorlagen definieren 

können. Der Sicherheitskonfigurations-Assistent ist ein hervorragendes Tool für 

unsere Kunden! 

Lara Sosnosky, Senior Program Manager 

Windows Experience 

SCW wählt für die Serverhärtung einen ganz anderen Ansatz als bisherige Tools. SCW verwendet 

ebenfalls eine Einteilung in Rollen, um das System so zu konfigurieren, dass es die 

gewählten Rollen unterstützt, aber darüber hinaus so wenig Angriffsfläche wie möglich bietet. 

SCW hilft Ihnen nicht nur, die Firewall zu konfigurieren, er deaktiviert auch unnötige Dienste 

und konfiguriert einige Sicherheitseinstellungen. Und während die Assistenten Rollen hinzufügen 

und Features hinzufügen nur die Rollen installieren und konfigurieren können, die 

in Windows integriert sind, ist SCW flexibel erweiterbar. Ein Entwickler oder Administrator 

kann eine benutzerdefinierte Rollen- und/oder Featurekonfigurationsdatei schreiben und 

dann beliebige Produkte mit dem SCW konfigurieren. 

Sie können sich die Assistenten Rollen hinzufügen und Features hinzufügen als Tools vorstellen, 

die einen Standardserver so konfigurieren, dass er auf sichere Weise die von Ihnen 

gewünschten Rollen und Features unterstützt. Der SCW ist dagegen ein Tool, das Ihren Server 

so konfiguriert, dass er ausschließlich die von Ihnen ausgewählten Rollen und Features 

unterstützt. SCW hat auch eine pädagogische Wirkung, weil er Ihnen hilft, besser zu verstehen, 

wie der Server konfiguriert ist. Daher empfehle ich Ihnen dringend, den SCW auszuführen, 

sobald Sie den Server mit den vorgesehenen Rollen und Features konfiguriert haben. 

Überwachen und Verbessern der Sicherheit aller Serverrollen mit dem SCW 

SCW sollte ausgeführt werden, sobald Sie alle Rollen und Features installiert haben, die für 

den Server vorgesehen sind. Um zu demonstrieren, wie der SCW arbeitet, habe ich einen 

Server mit folgenden Rollen und Features konfiguriert: 

Rollen 

Anwendungsserver 

DNS-Server 

Webserver (IIS) 

Features 

.NET Framework 3.0-Features 

Windows-Prozessaktivierungsdienst 

Offensichtlich ist das keine besonders logische Kombination von Rollen und Features, aber 

sie soll ja auch nur demonstrieren, wie die Tools arbeiten. Den SCW können Sie im Menü


Verwaltung mit dem Befehl Sicherheitskonfigurations-Assistent starten. Daraufhin bekommen 

Sie die Seite aus Abbildung 12.8 angezeigt. 

Abbildung 12.8 Der SCW fragt erst einmal, welchen Vorgang Sie durchführen wollen 

Im ersten Schritt wählen Sie aus, ob Sie eine neue Sicherheitsrichtlinie erstellen, eine vorhandene 

Richtlinie bearbeiten oder anwenden oder die vorherige Richtlinie wiederherstellen 

wollen, sodass das System auf die ursprünglichen Einstellungen zurückgesetzt wird. Die 

Optionen sind eigentlich selbsterklärend. Wenn Sie Neue Sicherheitsrichtlinie erstellen wählen, 

erstellt der SCW eine neue Richtlinie, wobei er einen Computer als Vorlage hernimmt, 

die festlegt, was die Richtlinie unterstützen muss. Er analysiert dann den Computer, stellt 

fest, welche Features und Rollen er unterstützt, und stellt sicher, dass diese Features und 

Rollen funktionieren, aber unnötige Features nicht unterstützt werden. Denken Sie immer 

daran, dass der SCW nach diesem Prototypansatz arbeitet. Sie sollten den Computer daher 

so konfigurieren, dass er das tut, was Sie von ihm wollen, bevor Sie den SCW starten. Der 

SCW soll Ihren Computer sicher für die Rollen konfigurieren, die Sie ausgewählt haben. 

Er installiert keine Rollen für Sie. 

Sie können eine Richtlinie auf einem System erstellen und dann auf mehrere Systeme anwenden. 

Falls Sie ein Netzwerk mit vielen Systemen aufbauen, empfiehlt es sich, Hostklassen 

zu definieren, die separat konfiguriert werden. Dann können Sie eine Richtlinie erstellen, 

die ein System als Prototyp verwendet, und die Richtlinie ohne oder mit geringen Änderungen 

auf die anderen Systeme anwenden. 

Wenn Sie auf Weiter klicken, fragt der SCW, welchen Computer Sie als Basis oder Prototyp 

für die neue Richtlinie verwenden wollen. Normalerweise wählen Sie hier den lokalen 

Computer, aber Sie können auch einen Remotecomputer verwenden. Während der Analysephase 

listet der SCW auf, welche Rollen und Features installiert sind, und vergleicht sie mit 

einer Datenbank der Rollen und Features. Die Datenbank enthält Informationen darüber, 

welche Dienste von jeder Rolle und jedem Feature benutzt werden, welche Netzwerkports 

sie brauchen und andere Konfigurationsinformationen. Sobald die Analyse abgeschlossen


ist, können Sie auf Konfigurationsdatenbank anzeigen klicken (Abbildung 12.9) und sich 

ansehen, was der SCW herausgefunden hat. Dies ist eine schreibgeschützte Ansicht, die Sie 

nicht ändern können, aber Sie liefert eine Fülle von Informationen über die Konfiguration 

des Computers. 

Abbildung 12.9 Sobald der SCW Ihren Computer analysiert hat, 

können Sie sich die Konfigurationsdatenbank ansehen 

Wenn Sie auf Weiter klicken, gelangen Sie in den ersten der vier Abschnitte im SCW, Rollenbasierte 

Dienstkonfiguration (Abbildung 12.10.) Hier entscheiden oder bestätigen Sie, 

welche Rollen Ihr Server unterstützen soll. Die Antworten, die Sie in diesem Abschnitt eingeben, 

sind sehr wichtig, weil sie steuern, was Sie später im Netzwerkabschnitt angezeigt 

bekommen. Die Erkennungslogik ist aber recht gut und normalerweise ist der richtige Satz 

von Rollen ausgewählt. Beachten Sie auch, dass Sie in der Standardeinstellung die Ansicht 

Installierte Rollen angezeigt bekommen. Das sind die Rollen, die der Server in seiner 

momentanen Konfiguration unterstützen kann. Sie können sich auch alle Rollen anzeigen 

lassen, indem Sie in der Dropdownliste den Eintrag Alle Rollen auswählen. 

In Abbildung 12.11 fällt Ihnen wahrscheinlich auf, dass die Rollen, die im SCW angezeigt 

werden, etwas anders aussehen als in den anderen Rollentools. Die Rollen, die Sie im Assistenten 

"Rollen hinzufügen" installieren können, finden Sie zum größten Teil wieder, aber es 

gibt etliche zusätzliche, und einige fehlen auch. Zum Beispiel ist die Rolle Anwendungsserver, 

die wir für das Beispiel ausgewählt haben, nicht vorhanden. Der SCW verwendet nämlich 

eine etwas andere Rolleneinteilung als der Assistent "Rollen hinzufügen". Diese Diskrepanz 

in der Rolleneinteilung ist recht verwirrend und gewöhnungsbedürftig. Auch andere 

Programme, die Sie installieren, fügen unter Umständen Rollen und Features zum SCW 

hinzu. Falls Sie Ihre eigenen Rollen- und Featuredefinition schreiben wollen, informieren 

Sie sich im Dokument »Extending the Security Configuration Wizard« unter 

http://www.microsoft.com/downloads/details.aspx?FamilyID=903fd496-9eb9-4a45-aa00- 

3f2f20fd6171&DisplayLang=en.


Abbildung 12.10 Jeder Abschnitt im SCW wird mit einer Seite 

eingeleitet, die erklärt, was Sie in diesem Abschnitt tun 

Abbildung 12.11 Im SCW wählen Sie aus, welche Rollen Ihr Server unterstützen soll 

Nach der Rollenkonfiguration wählen Sie aus, welche Clientfeatures Sie unterstützen wollen. 

Der Featuresatz ist dem weiter oben erwähnten Assistenten "Features hinzufügen" ähnlich, 

aber nicht mit ihm identisch. Im SCW sind weniger Features aufgeführt. Auch hier gilt, 

dass die Features anders untergliedert sind und dass sich der SCW erweitern lässt. Wie Sie 

in Abbildung 12.12 sehen, ist ein »Feature« im SCW etwas, das der Computer tut, während 

er als Client agiert. Dagegen ist eine »Rolle« etwas, das er tut, wenn er als Server agiert.

Abbildung 12.12 Im SCW ist ein »Feature« immer ein Clientfeature 


Das ist ein anderes Schema als in den anderen Tools, wo eine Rolle eine Sammlung von 

Diensten ist, Features als eine Einheit definiert sind und ein Feature etwas ist, das Rollen 

unterstützt. Die beiden unterschiedlichen Definitionen für denselben Begriff führen leider 

immer wieder zu Verwirrung. 

Normalerweise haben Sie auf der Seite aus Abbildung 12.11 bereits den richtigen Satz von 

Rollen ausgewählt. Überprüfen Sie, ob die Analyse das erwartete Ergebnis geliefert hat. Ist 

das nicht der Fall, müssen Sie prüfen, ob die Rolle installiert wurde. Bei Bedarf müssen Sie 

die fehlende Rolle installieren und dann den SCW erneut ausführen. Falls Sie einen Fehler 

machen, ist das nicht weiter schlimm. Der SCW kann die Einstellungen auf den Zustand 

zurücksetzen, die gültig waren, bevor Sie eine Richtlinie angewendet haben. 

Wenn Sie auf der Seite Clientfeatures im SCW auf Weiter klicken, können Sie Verwaltungs- 

und weitere Optionen auswählen (Abbildung 12.13). 

Eine Option ist im SCW etwas, auf das die Bezeichnung Rolle oder Feature nicht passt. Sie 

kann administrative Unterstützung zur Verfügung stellen oder ein einziger Dienst sein, zum 

Beispiel der Dienst Erkennung interaktiver Dienste. Auch hier gilt wieder, dass die Standardoptionen 

normalerweise richtig sein dürften. Sehen Sie sich aber auch die Dropdownliste 

an. Sie führt Optionen auf, die für die Rollen und Features relevant sind, die Sie vorher 

ausgewählt haben. Der Inhalt dieser Liste kann sich daher von Computer zu Computer 

unterscheiden. 

Auf der nächsten Seite, Nicht angegebene Dienste verwenden (Abbildung 12.14), können 

Sie auswählen, was mit Diensten geschehen soll, die Sie nicht konfigurieren. Diese Option 

ist nur relevant, falls Sie die erstellte Richtlinie auf einen anderen Computer anwenden. 

Falls auf diesem Computer andere Dienste konfiguriert sind als auf dem, auf dem Sie die 

Richtlinie erstellen, muss der SCW wissen, was er mit diesen Diensten tun soll. Eine Option 

ist, sie unverändert zu lassen, dies ist die Standardeinstellung. Die andere Option ist, sie zu 

deaktivieren. Das ist sicherer, kann aber dazu führen, dass etwas nicht mehr funktioniert. 

Falls Sie den Rat befolgen, Richtlinien nur auf Server anzuwenden, die exakt so konfiguriert


sind, wie der, auf dem Sie die Richtlinie erstellt haben, ist es egal, welche Option Sie auf 

dieser Seite auswählen. 

Abbildung 12.13 Die Seite Verwaltungs- und weitere Optionen auswählen 

führt weitere Dienste und Features auf 

Abbildung 12.14 Auf der Seite Nicht angegebene Dienste verwenden legen Sie fest, 

wie Dienste behandelt werden, die nicht in der SCW-Datenbank beschrieben sind 

Damit ist der Rollenkonfigurationsabschnitt im SCW abgeschlossen. Der Assistent listet auf, 

welche Einstellungen Sie vorgenommen haben. Wie Sie in Abbildung 12.15 sehen, verringern 

Sie die Angriffsfläche des Computers recht deutlich, selbst wenn Sie sich einfach mit


Weiter durch die Seiten geklickt haben. Weil dieser Computer zum Beispiel kein Druckserver 

ist und keine Drucker installiert hat, gibt es keinen Grund, den Dienst Druckwarteschlange 

zu installieren. Der SCW deaktiviert alle Dienste, die nicht benötigt werden. Auf 

unserem Testserver deaktiviert SCW 17 Dienste, die den Starttyp Automatisch hatten, und 

deaktiviert 42 Dienste, die vorher den Starttyp Manuell hatten. Die Ergebnisse bei Ihrem 

Computer dürften natürlich etwas anders aussehen, je nachdem, wie Ihr Server konfiguriert 

ist, aber der SCW ermöglicht Ihnen offensichtlich, recht einfach eine Richtlinie auf Ihre 

spezifischen Server zuzuschneidern. 

Abbildung 12.15 Am Ende jedes Abschnitts listet der SCW auf, 

was Sie in diesem Abschnitt geändert haben 

Sie kommen jetzt zum wahrscheinlich wichtigsten Abschnitt im SCW: Netzwerksicherheit. 

Nach der Einführungsseite bekommen Sie die Seite aus Abbildung 12.16 angezeigt, die alle 

Firewallregeln auflistet, die SCW vorschlägt. Die vorgeschlagenen Regeln basieren auf der 

Rollenunterstützung, die Sie auf den vorherigen Seiten ausgewählt haben. Falls Sie keine 

weitere Konfiguration im Netzwerkabschnitt vornehmen, stellt der SCW Firewallregeln zusammen, 

die alle Netzwerkschnittstellen so blockieren, dass nur diese Rollen und Features 

unterstützt werden, aber alle Clients darauf zugreifen können. In Kapitel 14 sehen wir uns 

an, wie Sie diese Angriffsfläche mithilfe der Gefahrenmodellierung minimieren können. Der 

SCW ist ein wertvolles Werkzeug bei diesem Prozess. 

Sie können Einschränkungen für die vorgeschlagenen Regeln konfigurieren, indem Sie eine 

Regel auswählen und auf die Schaltfläche Bearbeiten klicken. Daraufhin öffnet sich das 

Dialogfeld aus Abbildung 12.17. Auf den vier Registerkarten können Sie weitere Einschränkungen 

für die Netzwerkregel definieren. Zum Beispiel können Sie IPsec-Authentifizierung 

verpflichtend machen, wie in Abbildung 12.17 gezeigt. In diesem Fall können Sie auch den 

Port an bestimmte Endpunkte binden. Falls Sie zum Beispiel Remoteverwaltung nur von 

bestimmten Hosts aus erlauben wollen, können Sie dies mit SCW konfigurieren. 

Diese Fähigkeit, Regeln auf Basis der ausgewählten Rollen zu erstellen, erfüllt zwei wichtige 

Aufgaben. Erstens ist es eine hervorragende Möglichkeit zu erfahren, was Ihre Server


tun. Sie brauchen einen Server dazu nicht einmal fertig zu konfigurieren. Führen Sie einfach 

den Assistenten aus, nehmen Sie unterschiedliche Einstellungen vor und sehen Sie sich an, 

wie sie sich auf die Optionen in den späteren Seiten auswirken. Zweitens können Sie das sehr 

abstrakte Konzept eines Ports mit dem wesentlich realistischeren Konzept eines Dienstes 

verknüpfen und Netzwerkeinschränkungen anhand der Aufgaben konfigurieren, die das 

System tatsächlich erfüllt. Wenn Sie dies sorgfältig machen, können Sie eine sehr strikte 

Konfiguration für Ihre Server erstellen. Im Netzwerkabschnitt des SCW sollten Sie zweifellos 

am meisten Zeit verbringen, während Sie die Sicherheitsrichtlinie Ihrer Server zusammenstellen. 

Abbildung 12.16 Der Abschnitt Netzwerksicherheit enthält eine Liste 

aller Regeln, die SCW als erforderlich vorschlägt 

Abbildung 12.17 Sie können im SCW Firewall- und IPsec-Regeln 

definieren, ohne den Assistenten zu verlassen


In den übrigen Abschnitten des SCW können Sie Überwachung und einige Registrierungseinstellungen 

konfigurieren. Im Allgemeinen reichen die Standardeinstellungen bei diesen 

Parametern für die meisten Organisationen aus. Sofern Sie keine speziellen Anforderungen 

haben, brauchen Sie hier nicht viel zu tun. Die Rollen- und Firewalleinstellungen sind bei 

Weitem die wichtigsten. 

Wenn Sie Ihre Richtlinie erstellt haben, können Sie sie speichern und auf diesen Computer 

oder andere Computer anwenden. Sie können Ihre Richtlinie auch mit dem Befehl scwcmd.exe 

/transform in ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) umwandeln. Falls 

Sie allerdings computerspezifische Einstellungen in der Richtlinie haben, verläuft das unter 

Umständen nicht erfolgreich – möglicherweise erhalten Sie auch nur sehr seltsame Ergebnisse. 

Falls Sie zum Beispiel im Netzwerkabschnitt Endpunkteinschränkungen erstellen, die 

lokale Adapter betreffen, gilt die Richtlinie als computerspezifisch und lässt sich nicht erfolgreich 

konvertieren. SCW lässt sich viel besser für einzelne Server einsetzen, und es ist 

ein hervorragendes Lernmittel. In großen Serverfarmen können Sie SCW einsetzen, um sich 

über die Computer zu informieren und eine grundlegende Richtlinie zu entwickeln. Dann 

nehmen Sie diese Richtlinie und erstellen Sie neu, sodass sie mit dem Tool angewendet 

werden kann, das Sie für die Konfiguration Ihrer Server einsetzen, zum Beispiel Gruppenrichtlinien 

oder ein EMS (Enterprise Management System) wie Microsoft Systems Center. 

Direkt von der Quelle: Leichen im SCW-Keller 

Zu jedem Produkt gibt es einige Anekdoten von seiner Entwicklung zu berichten. Bei 

SCW ist das nicht anders. Hier sind ein paar: 

Der ursprüngliche Codename für SCW war »Secure Server Roles« (Sichere Serverrollen). 

Dieser Name ist noch nicht völlig in der Versenkung verschwunden. Wenn Sie 

dcomcnfg.exe ausführen und den Knoten DCOM-Konfiguration aufklappen, sehen Sie 

eine Klasse namens Ssr DCOM Back-end classes. 

Wenn Sie sich die TCP/IP-Eigenschaften dieser Klasse ansehen, stellen Sie fest, dass 

die SSR-DCOM-Komponente einen fest einprogrammierten Port überwacht, wenn sie 

aktiviert ist: 64129. Diese Portnummer leitet sich von meinem Geburtsdatum ab, dem 

29. Oktober 1964. Ich sagte den Entwicklern, sie sollten irgendeine Portnummer wählen, 

die sie wollten, solange sie vorübergehend war und eine Websuche nichts lieferte, 

das diese Nummer benutzte. Das kam dabei heraus! 

SCW wurde beinahe SPW getauft, für »Security Policy Wizard« (Sicherheitsrichtlinien-Assistent), 

um seine Aufgabe als Richtlinienerstellungstool zu unterstreichen. 

Ein anderer Namensvorschlag war FSW für »Firewall and Service Wizard« (Firewall- 

und Dienstassistent). 

Ursprünglich hatten wir keinen Verantwortlichen für die Benutzeroberfläche von 

SCW. Erst als ich meine eigenen Entwürfe für die Benutzeroberfläche präsentierte, 

kam Bewegung in die Sache und die Stelle wurde bewilligt. 

Der UI-Designer erfand ein neues Steuerelement für den Assistenten. Das Konzept 

stammte aus dem Web. Den nach rechts zeigenden Pfeil (>) bekommen Sie in anderen 

Windows-Anwendungen nicht zu sehen. 

Kirk Soluk, ursprünglicher SCW Program Manager, 

derzeit Senior University Security Analyst, University of Michigan


Server mit mehreren Rollen 

Bevor wird das Kapitel abschließen, sollte ich noch einige Punkte zu Servern mit mehreren 

Rollen (engl. multi-role server) anmerken. Dies sind Server, die mehr als eine Rolle unterstützen. 

Zum Beispiel ist ein DNS-Server, der auch ein Active Directory-Domänencontroller 

ist, ein Server mit mehreren Rollen. In Fällen wie diesem Beispiel sind Server mit mehreren 

Rollen akzeptabel und werden sogar empfohlen. Generell verringen Server mit mehreren 

Rollen die erzielbare Sicherheit, daher wird davon abgeraten, sie einzusetzen. Bei einem 

Server mit mehreren Rollen wird die Verwaltung komplexer, weil Sie berücksichtigen müssen, 

wie jede Rolle sich beim Vorhandensein anderer Rollen verhält. Unter Umständen ist es 

daher aufwendiger, den Server auf dem neuesten Stand zu halten. Sie stellen möglicherweise 

fest, dass bestimmte dringend empfohlene Sicherheitseinstellungen für eine Rolle nicht 

funktionieren, falls eine andere Rolle vorhanden ist. Aus diesem Grund sollten Sie, falls 

irgend möglich, Server mit mehreren Rollen vermeiden. Im Vergleich zu den Aufräumkosten 

nach einem Einbruch, der einfacheren Konfiguration und den niedrigeren Verwaltungskosten 

sind eine Handvoll zusätzlicher Server oder virtualisierter Server relativ billig. 

Es gibt zwei wichtige Ausnahmen von dieser Regel: Windows Small Business Server 2008 

und Windows Essential Business Server, die Windows Server 2008-Edition für kleinere 

Unternehmen. Beides sind Server mit mehreren Rollen, die daher Kompromisse beim Thema 

Sicherheit eingehen. Allerdings müssen diese Nachteile im Kontext ihrer Bereitstellungsszenarien 

bewertet werden. Sie wurden für Organisationen ohne große IT-Abteilungen entworfen, 

deren Personal über keine umfangreichen Kenntnisse in den Bereichen Serververwaltung 

und Sicherheit verfügt. Es wäre natürlich möglich, ein Netzwerk mit mehreren 

Servern aufzubauen, die dieselben Funktionen wie Windows Small Business Server 2008 

übernehmen, aber das würde die Kompetenz der IT-Zuständigen in kleinen Unternehmen 

überfordern (ganz zu schweigen von ihrem Budget). Und gäbe es diese Produkte nicht, würden 

diese Organisationen versuchen, dieselben Dienste in Eigenregie auf einem oder wenigen 

Servern zusammenzufassen. Das Ergebnis wäre fast immer viel unsicherer als die vorgefertigte 

Konfiguration von Windows Small Business Server 2008 und Windows Essential 

Business Server. In einem Fall brauchte ein Consultant drei Tage, um Microsoft Exchange 

Server so zu konfigurieren, dass es auf einem einzelnen Computer läuft, und das gelang ihm 

auch erst, als er Windows Small Business Server 2008 als Vorbild untersuchen konnte. Für 

ihre Zielgruppen füllen Server mit mehreren Rollen eine wichtige Lücke. Wenn Sie alle 

diese Faktoren berücksichtigen, füllen Windows Small Business Server 2008 und Windows 

Essential Business Server eine wichtige Marktnische, auch wenn sie Kompromisse im Bereich 

der Sicherheit eingehen. 


Die nach Rollen untergliederte Serververwaltung ist heutzutage eines der wichtigsten Konzepte 

im Bereich der Sicherheit. Moderne Server sind viel zu komplex für den normalen Administrator, 

und die Interaktionen und Abhängigkeiten zwischen den verschiedenen Diensten 

und Features sind so schwer zu durchschauen und zu modellieren, dass eine simplere Abstraktion 

gebraucht wird. Rollenbasierte Verwaltung bietet genau das. Sie erlaubt es, uns auf 

eine kleine Zahl von Rollen zu konzentrieren, statt uns mit über 100 Diensten auseinandersetzen 

zu müssen. Entscheidungen können auf dieser Abstraktionsebene getroffen werden. 

Bei Bedarf können wir aber auch eine Ebene tiefer gehen und die Dienste einzeln verwalten.


Der Begriff »Rolle« ist leider nicht allzu eindeutig, was Sie daran sehen können, dass die 

Assistenten Rollen hinzufügen und Features hinzufügen andere Rollen- und Featuredefinitionen 

verwenden als der SCW. Der Begriff kann für unterschiedliche Leute unterschiedliche 

Bedeutung haben. Das macht die Verwaltung etwas schwieriger, aber immer noch viel einfacher, 

als sie ohne Rollen wäre.

K A P I T E L 1 3 

Patchverwaltung 

Von Brian M. Lich 


Die vier Phasen der Patchverwaltung ...................................... 349 

Der Aufbau eines Sicherheitsupdates ...................................... 356 

Tools für Ihr Patchverwaltungsarsenal ..................................... 358 



Patchverwaltung ist der Prozess, bei dem Softwareupdates auf Computern in Ihrem Netzwerk 

bereitgestellt werden. Softwareupdates können viele Bereiche betreffen, zum Beispiel 

Leistung, Zuverlässigkeit und Sicherheit. Es ist wichtig, dass Sie eine Patchverwaltungsstrategie 

entwerfen, um sicherzustellen, dass Updates innerhalb akzeptabler Zeiträume bereitgestellt 

werden und dabei möglichst wenig oder keine negativen Auswirkungen auf Ihren Geschäftsbetrieb 

auftreten. 

In diesem Kapitel sehen wir uns an, welche vier Phasen Sie bei der Entwicklung Ihrer 

Patchverwaltungsstrategie durcharbeiten müssen. Nach einem Überblick über die Patchverwaltung 

sehen wir uns einige der Dienste und Produkte an, die Microsoft zur Verfügung 

stellt, damit Sie Computer identifizieren können, auf denen die erforderlichen Updates nicht 

installiert sind. Dazu gehören das Microsoft Download Center, Microsoft Update-Katalog, 

Windows Update (WU), Automatische Updates (AU), Microsoft Security Baseline Analyzer 

(MBSA), Windows Server Update Services (WSUS) und System Center Essentials 2007. 

Hinweis Die meisten der in diesem Kapitel genannten Informationsquellen stehen nur auf Englisch zur 

Verfügung. 

Die vier Phasen der Patchverwaltung 

Patchverwaltung hat vier Phasen, wie in Abbildung 13.1 gezeigt. Wenn Sie jede Phase einzeln 

analysieren, kann Ihnen das beim Entwickeln Ihrer Patchverwaltungsstrategie helfen. 

Die folgende Liste gibt einen Überblick über jede Phase. Ausführliche Erklärungen zu den 

einzelnen Phasen folgen in den nächsten Abschnitten. 

Phase 1: Bewerten Die Bewertungsphase dient dazu, Informationen über die Computer 

in Ihrem Netzwerk zu sammeln, Richtlinien und Prozeduren zum Festlegen von 

Sicherheitsstandards in Ihrer Organisation zu beurteilen (oder zu erstellen, falls nötig) 

und zu entscheiden, mit welcher Infrastruktur Updates verwaltet und bereitgestellt werden. 

Phase 2: Identifizieren Die Identifizierungsphase ist der Prozess, bei dem Sie über 

neue Updates benachrichtigt werden, sobald sie freigegeben werden. Nach dieser 

349

350 Kapitel 13: Patchverwaltung 

Benachrichtigung prüfen Sie, ob das Update für die Computertypen in Ihrem Netzwerk 

relevant ist, und legen die Priorität fest (innerhalb Ihres Änderungsverwaltungsprozesses), 

mit der das Update auf Computern in Ihrem Produktivnetzwerk bereitgestellt werden 

soll. 

Phase 3: Auswerten und Planen In der Auswertungs- und Planungsphase treffen Sie 

die letzte Entscheidung, wie und wann das Update bereitgestellt wird. Diese Phase umfasst 

auch ausreichende Tests in einer separaten Umgebung, um sicherzustellen, dass das 

Update keine negativen Auswirkungen auf irgendwelche unternehmenskritischen Anwendungen 

hat. 

Phase 4: Bereitstellen Die Bereitstellungsphase ist die letzte Phase, in der das Update 

auf Computern im Netzwerk Ihrer Organisation bereitgestellt wird. Diese Phase entscheidet 

über den Erfolg der Bereitstellung, darin wird unter anderem geprüft, ob das 

Update tatsächlich erfolgreich installiert wurde. 

Abbildung 13.1 Die vier Phasen der Patchverwaltung 

Phase 1: Bewerten 

Das Ziel dieser Phase besteht darin, den aktuellen Zustand Ihrer Organisation zu ermitteln 

und Lücken zu identifizieren, die durch Ihre Patchverwaltungsstrategie geschlossen werden 

müssen. 

Zuerst müssen Sie detaillierte Informationen über die Computer in Ihrem Netzwerk sammeln. 

Das Inventar sollte Informationen über Hardwarekonfiguration, Betriebssystemversion und 

alle auf dem Computer installierten Anwendungen umfassen. Wenn ein neues Update freigegeben 

wird, helfen Ihnen diese Informationen, schnell festzustellen, ob ein Update für 

Ihre Organisation von Bedeutung ist. In großen Organisationen kann es schwierig sein, das 

Inventar aller Computer immer auf dem aktuellen Stand zu halten, weil sich diese Liste 

ständig verändert. Stattdessen können Sie Computer in Form von Klassen zu logischen 

Gruppen zusammenfassen und Updates entsprechend der jeweiligen Klasse bereitstellen. 

Zum Beispiel könnte die Klasse »IIS-Webserver« (Internet Information Services, Internetinformationsdienste) 

alle IIS-Webserver in Ihrer Organisation umfassen. Wenn ein IIS-Update 

herausgegeben wird, können Sie sich bei Ihrer Patchverwaltung auf diese Klasse von

Die vier Phasen der Patchverwaltung 351 

Computern konzentrieren. Genauso können Sie für Apache-Webserver, Datei- und Druckserver, 

Domänencontroller und so weiter vorgehen. 

Hinweis Sie können System Center Essentials 2007 verwenden, um Inventardaten zu sammeln. Weitere 

Informationen über die System Center-Produktfamilie finden Sie unter http://www.microsoft.com/system 

center. 

Prüfen Sie anschließend die Sicherheitsstandards Ihrer Organisation und stellen Sie fest, ob 

sie auf dem aktuellen Stand sind. Falls sie veraltet (oder gar nicht vorhanden) sind, müssen 

Sie diese Phase nutzen, um diese Richtlinien und Prozeduren zu formalisieren und an alle 

Benutzer innerhalb Ihrer Organisation zu verteilen. Nehmen Sie darin Elemente wie zum 

Beispiel Standards für starke Kennwörter, Anwendungssicherheitseinstellungen, Betriebssystemsicherheitseinstellungen 

und so weiter auf. Wenn die Richtlinien und Prozeduren 

definiert sind, sollten sie mit automatisierten Tools durchgesetzt werden, die erkennen, falls 

ein Computer die Anforderungen nicht mehr erfüllt. Wenn das passiert, sollte der Besitzer 

benachrichtigt und aufgefordert werden, das Problem zu beseitigen. 

Der letzte Schritt in der Bewertungsphase besteht darin, sich Ihre aktuelle Infrastruktur 

anzusehen und festzustellen, welche Produkte für Ihre Organisation am nützlichsten sind. 

Es gibt verschiedene Produkte, die auf unterschiedliche Unternehmensanforderungen zugeschnitten 

sind. Im Abschnitt »Tools für Ihr Patchverwaltungsarsenal« weiter unten in diesem 

Kapitel stelle ich einige Angebote von Microsoft vor. 

Phase 2: Identifizieren 

Sie haben die Auswahl zwischen mehreren Benachrichtigungsmethoden, um herauszufinden, 

dass ein neues Sicherheitsupdate herausgegeben wurde. Sie können sich über Sicherheitsupdates 

von Microsoft benachrichtigen lassen, indem Sie die Microsoft Technical Security 

Notifications abonnieren. Sie können dabei zwischen E-Mail- oder RSS-Feed-Benachrichtigung 

wählen. Die Microsoft Technical Security Notifications liefern Ihnen frühzeitig 

Informationen über alle Sicherheitsupdates, die im nächsten Sicherheitsupdatezyklus herausgegeben 

werden, detaillierte technische Informationen über die Sicherheitsupdates, sobald 

sie freigegeben wurden, und alle Advisories, die vom Microsoft Security Response Center 

(MSRC) veröffentlicht werden. Sie können die Microsoft Technical Security Notifications 

abonnieren unter http://www.microsoft.com/technet/security/bulletin/notify.mspx. 

Folgende Hersteller unterhalten ebenfalls Websites, auf denen Sie benachrichtigt werden, 

sobald neue Updates verfügbar sind: 

Adobe (http://www.adobe.com/support/security/) 

Apple (http://docs.info.apple.com/article.html?artnum=61798) 

Sun Microsystems (http://sunsolve.sun.com/show.do?target=patches/patch-access) 

Oracle (http://www.oracle.com/technology/deploy/security/alerts.htm) 

Mozilla Firefox (http://www.mozilla.org/security/) 

Apache (http://httpd.apache.org/security_report.html) 

Die folgenden Websites helfen Ihnen, auf dem neuesten Stand zu bleiben, was veröffentlichte 

Sicherheitsempfehlungen betrifft. Einige dieser Sites liefern unter Umständen frühere Vorwarnungen, 

weil Sicherheitslücken dort zum ersten Mal öffentlich beschrieben werden:


MSRC-Blog Das MSRC-Blog wird immer aktualisiert, wenn eine Sicherheitsempfehlung 

veröffentlicht wird. Ein Blogeintrag kann viel schneller geschrieben und veröffentlicht 

werden als die anderen Kommunikationsmethoden. Sie sollten diesen Blog unter 

http://blogs.technet.com/msrc regelmäßig besuchen. 

Microsoft TechNet Security Center Das TechNet Security Center ist eine Sammlung 

von Links, die sich darauf konzentrieren, Microsoft-Software sicher zu halten. Von hier 

aus gelangen Sie zu Seiten mit Sicherheitsbulletins und -Advisories, oder Sie können 

sich über die neuesten Updatetools, die Microsoft anbietet, und viele andere Bereiche informieren, 

die für IT-Experten von Interesse sind. Sie finden das Microsoft TechNet 

Security Center unter http://www.microsoft.com/technet/security/default.mspx. 

United States Computer Emergency Readiness Team (US-CERT) Das US-CERT 

veröffentlicht Sicherheitsempfehlungen für eine Vielzahl von Produkten, sowohl von 

Microsoft als auch anderen Herstellern. Sie finden diese Website unter http://www. 

us-cert.gov. 

Full Disclosure-Mailingliste Hersteller haben es zwar lieber, wenn Sicherheitsforscher 

mit ihnen zusammenarbeiten, um entdeckte Sicherheitslücken auf verantwortungsvolle 

Weise zu veröffentlichen, aber das passiert nicht immer. Stattdessen werden Details 

zu Sicherheitslücken (und manchmal sogar der Exploit-Code) im Internet veröffentlicht. 

Dadurch vergrößert sich die Bedrohung für Ihre Organisation gewaltig, weil die Angreifer 

genauso schnell von der Lücke erfahren wie der Hersteller, sodass noch kein Sicherheitsupdate 

zur Verfügung steht. Es ist trotzdem wichtig, informiert zu bleiben und genauso 

schnell wie die Angreifer zu wissen, welche Verwundbarkeiten bekannt sind. Full 

Disclosure ist eine Mailingliste, die Sicherheitslücken für eine große Bandbreite von 

Produkten behandelt. Sie finden sie unter http://archives.neohapsis.com/archives/ 

fulldisclosure/. 

Hinweis Full Disclosure verschafft Ihnen einen guten Eindruck, womit Angreifer sich beschäftigen. 

Vergessen Sie aber nicht, dass die Mailingliste auch viel Geschwätz enthält. Nicht alles, was in der 

Liste geschrieben wird, ist auch richtig. 

SANS Internet Storm Center Diary Im SANS Internet Storm Center Diary schreiben 

mehrere unterschiedliche Autoren Einträge zu den Ereignissen des Tages. Dieses »Tagebuch« 

ist eine gute Stelle, um sich über neue Trends zu informieren und gelegentlich 

Tipps zu bekommen, wie Sie Ihr Netzwerk sicherer machen können. Das SANS Internet 

Storm Center finden Sie unter http://isc.sans.org. 

Festlegen, welche Sicherheitsupdates für Sie relevant sind 

Nicht jedes Sicherheitsupdate ist für alle Organisationen relevant. Manche Sicherheitsupdates 

betreffen nur bestimmte Komponenten und werden nur gebraucht, falls diese Komponenten 

installiert sind. Daher müssen Sie in der Lage sein festzustellen, ob ein Sicherheitsupdate 

relevant ist. Sie können dazu das Sicherheitsbulletin lesen, das im Sicherheitsupdate enthalten 

ist, und die Angaben mit Ihrem Inventar vergleichen. 

Jedes Sicherheitsupdate wird von einem Sicherheitsbulletin begleitet. Das Bulletin liefert 

detaillierte Informationen über das Sicherheitsupdate, untergliedert in verschiedene 

Abschnitte, die in Tabelle 13.1 beschrieben sind.

Tabelle 13.1 Abschnitte eines Sicherheitsbulletins 

Abschnitt Beschreibung 

Allgemeine 

Informationen 

Verwundbarkeits- 

informationen 

Update- 

informationen 

Andere 

Informationen 


Dieser Abschnitt enthält eine kurze Zusammenfassung der Verwundbarkeit, eine Empfehlung, 

wann dieses Update angewendet werden sollte, eventuelle bekannte Probleme und eine Tabelle 

der Produktversionen, die von der Verwundbarkeit betroffen sind oder nicht. 

Dieser Abschnitt enthält alle technischen Details, die Microsoft zu dieser Verwundbarkeit veröffentlicht 

hat, darunter häufig gestellte Fragen, Eindämmungsfaktoren, die Ihnen helfen können, die 

Angriffsfläche zu verkleinern, und eventuelle provisorische Abhilfemaßnahmen, die auf Ihren 

Computern angewendet werden können, bis das Sicherheitsupdate erfolgreich bereitgestellt 

wurde. 

Dieser Abschnitt listet die unterschiedlichen Erkennungs- und Bereitstellungstools auf, die Microsoft 

zur Verfügung stellt, und beschreibt, ob sie dieses Sicherheitsupdate erkennen oder bereitstellen 

können. Außerdem listet dieser Abschnitt die unterstützten Befehlszeilenargumente auf, 

die einzelnen Dateien (und Dateiversionen), die bei diesem Update ersetzt werden, und die 

Registrierungseinträge, mit denen verfolgt werden kann, ob die Installation erfolgreich war. 

Dieser Abschnitt nennt Sicherheitsforscher, denen das Aufdecken der Sicherheitslücke gelungen 

ist, und ein Änderungsprotokoll für die Versionen des Sicherheitsbulletins selbst. 

Sie sollten die Informationen im Sicherheitsbulletin sorgfältig lesen und mit Ihrer Inventarliste 

vergleichen, um festzustellen, ob dieses Sicherheitsupdate für Ihre Organisation relevant 

ist. Falls Sie feststellen, dass das Sicherheitsupdate in Ihrer Umgebung benötigt wird, 

sollten Sie die Priorität für seine Installation festlegen. 

Festlegen der Priorität für die Installation 

Welche Priorität Sie für die Installation des Sicherheitsupdates festlegen, hängt von der Infrastruktur 

Ihrer Organisation ab. Wenn Sie die Priorität bestimmen, sollten Sie alle provisorischen 

Lösungen untersuchen, die im Sicherheitsbulletin beschrieben sind, und überprüfen, 

ob Sie eine davon nutzen können, während die festgelegten Änderungsverwaltungsrichtlinien 

eingehalten werden. Für den Fall, dass keine der provisorischen Lösungen in Ihrer 

Organisation hilft und der Schweregrad des Sicherheitsbulletins als kritisch angegeben ist, 

sollten Sie einen Prozess vorbereitet haben, mit dem Sie die Installation eines Sicherheitsupdates 

auf kürzestem Weg in Ihrer Produktivumgebung vornehmen können. 

Vorsicht Auch falls Sie sich entscheiden, ein Sicherheitsupdate beschleunigt und unter Umgehung der 

üblichen Verfahren einzuspielen, müssen Sie ausreichende Tests durchführen, um sicherzustellen, dass 

das Sicherheitsupdate mit Ihren kritischen Unternehmensanwendungen funktioniert. Wenn Sie das Sicherheitsupdate 

nicht ausreichend testen, kann das Datenverlust und Produktionsausfall zur Folge haben. Wie 

schnell Sie ein Update bereitstellen, ist eine Risikomanagemententscheidung. Sie sollten feststellen, ob 

das Update wichtig genug ist, das Risiko einzugehen, dass wertvolle Computer nicht mehr richtig funktionieren, 

falls das Update nicht erfolgreich verläuft. 

Phase 3: Auswerten und Planen 

Diese Phase kann in drei Teile untergliedert werden: Feststellen der erforderlichen Änderungen, 

die sich für die Anforderungen Ihrer Organisation am besten eignen, Planen der Bereitstellung, 

indem Sie potenzielle Hindernisse identifizieren, und zuletzt Entscheiden, wie das 

Softwareupdate innerhalb Ihrer Produktivumgebung bereitgestellt wird.


Der beste Ansatz, um die Verwundbarkeit einzudämmen 

Ihnen stehen eine Reihe unterschiedlicher Möglichkeiten zur Verfügung, wenn Sie feststellen, 

wie sich eine Verwundbarkeit am wirksamsten eindämmen lässt. Zum Beispiel können 

Sie das Sicherheitsupdate bereitstellen oder die Verwundbarkeit eindämmen, indem Sie 

Gegenmaßnahmen anwenden, die die Angriffsfläche verkleinern. 

Falls die Binärdateien, die von der Verwundbarkeit betroffen sind, auf dem Computer installiert 

sind, ist es meist am besten, wenn Sie das Sicherheitsupdate bereitstellen. Indem Sie 

das Sicherheitsupdate bereitstellen, reparieren Sie direkt die Dateien, die für die Verwundbarkeit 

verantwortlich sind. Falls die Binärdateien allerdings mit einem Dienst verbunden 

sind, den Sie nicht verwenden, kann es sinnvoller sein, diesen Dienst einfach zu entfernen. 

Falls zum Beispiel IIS auf einem Computer installiert ist, Sie diesen Computer aber gar 

nicht als Webserver nutzen, können Sie IIS einfach deinstallieren. Dann brauchen Sie das 

Sicherheitsupdate nicht bereitzustellen, weil die betroffenen Dateien gar nicht mehr auf dem 

Computer vorhanden sind. Das Anwenden von Gegenmaßnahmen sollte nur eine provisorische 

Lösung sein, bis Sie das Sicherheitsupdate installieren. Zwei Beispiele für Gegenmaßnahmen 

sind das Deaktivieren von Diensten und das Aktivieren der Internet Explorer- 

»Kill Bits«. Weitere Informationen über die Internet Explorer-Kill-Bits finden Sie unter 

http://support.microsoft.com/kb/240797. Provisorische Lösungen für ein bestimmtes Sicherheitsupdate, 

die von Microsoft getestet und freigeben wurden, werden im Abschnitt mit den 

Verwundbarkeitsinformationen im entsprechenden Sicherheitsbulletin aufgeführt. 

Hinweis Oft kann Ihre Analyse der Priorität eines Sicherheitsupdates helfen, sich für eine Eindämmungsstrategie 

zu entscheiden. Falls Sie zum Beispiel entschieden haben, dass ein bestimmtes Sicherheitsupdate 

für Ihre Organisation kritisch ist, haben Sie unter Umständen nicht genug Zeit, um es ausgiebig zu 

testen. Wenn Sie sich die verfügbaren provisorischen Lösungen ansehen, entscheiden Sie möglicherweise, 

eine dieser Lösungen anzuwenden, während das Sicherheitsupdate den vollständigen Testzyklus durchläuft. 

Stellen Sie aber auf jeden Fall sicher, dass die Analyse anhand der entsprechenden Computerklassen 

durchgeführt wird. Zum Beispiel ist ein Angriff, bei dem im Remotezugriff Code über QuickTime ausgeführt 

werden kann, für eine Arbeitsstation kritisch, aber falls sich jemand auf Ihren Domänencontrollern YouTube- 

Filmchen ansieht, haben Sie ein ganz anderes Problem, das Sie schleunigst angehen müssen. 

Planen der Bereitstellung 

Sobald Sie entschieden haben, wie Sie vorgehen wollen, ist der nächste Schritt das Planen 

der Änderungsverwaltung. Zuerst müssen Sie herausfinden, wie viele Computer von der 

Verwundbarkeit betroffen sind. An dieser Stelle ist das Inventar wieder sehr nützlich. Anschließend 

sollten Sie eventuelle Hindernisse identifizieren, die eine Bereitstellung verhindern 

können. Einige dieser Bereitstellungshindernisse sind zum Beispiel nicht ausreichender 

Festplattenplatz auf den Computern, die das Sicherheitsupdate benötigen, Gruppenrichtlinienobjekte, 

die eine Softwareinstallation blockieren, oder Wartungsfenster im Rahmen 

der Änderungsverwaltung auf Servern, für die hohe Verfügbarkeitsanforderungen bestehen. 

Wichtig Stellen Sie sicher, dass Sie alle Wartungsfenster der Änderungsverwaltung berücksichtigen, 

wenn Sie die Bereitstellung von Sicherheitsupdates planen.


Festlegen des Bereitstellungsmechanismus 

Glücklicherweise haben die meisten Sicherheitsupdates von Microsoft standardisierte Befehlszeilenparameter 

und Bereitstellungsmethoden. Das ist nützlich, wenn Sie diese Sicherheitsupdates 

über ein Startskript der Active Directory-Domänendienste bereitstellen. Die 

Befehlszeilenparameter werden weiter unten in diesem Kapitel beschrieben. 

WSUS lädt Microsoft-Sicherheitsupdates automatisch auf einen internen Updateserver herunter, 

sodass Sie die Bereitstellung flexibler steuern können. WSUS berücksichtigt allerdings 

nur Sicherheitsupdates, die von Microsoft herausgegeben werden. 

Hinweis WSUS unterstützt nur Microsoft-Produkte. Für Anwendungen anderer Hersteller sollten Sie sich 

System Center Essentials 2007 ansehen, mit dem Sie benutzerdefinierte Bereitstellungspakete erstellen 

können. 

Phase 4: Bereitstellen 

In der Bereitstellungsphase machen Sie die Änderung inklusive der konkreten Bereitstellungszeiten 

bekannt, testen das Sicherheitsupdate auf einer kleinen Gruppe von Computern 

und führen dann die Bereitstellung auf allen Computern in Ihrer Organisation durch. Die 

Bereitstellungsphase entscheidet, ob ein Sicherheitsupdate ein Erfolg oder ein Fehlschlag 

wird. 

Bekanntmachen der Änderung 

Das Bekanntmachen der Änderung ist ein wichtiger Aspekt innerhalb der Updateverwaltung. 

Sie müssen sicherstellen, dass jeder, der davon unter Umständen betroffen wird, Bescheid 

weiß, wann das Sicherheitsupdate bereitgestellt wird. Und Sie müssen einen Rücknahmeplan 

für den Fall entwickeln, dass die Dinge nicht verlaufen wie erwartet. Sie sollten 

sich die Details von den Zuständigen genehmigen lassen, zum Beispiel den Zeitpunkt, an 

dem das Sicherheitsupdate bereitgestellt wird, und wann die Computer neu gestartet werden. 

Wenn Sie sich zu diesen Details nicht die Zustimmung einholen oder die Änderungen nicht 

ausreichend vermitteln, kann das zu Unzufriedenheit führen, was möglicherweise künftige 

Bereitstellungen verzögert. 

In großen Umgebungen ist es nicht immer möglich, die Änderung innerhalb eines überschaubaren 

Zeitraums bekannt zu machen. In einem solchen Fall können Sie eine Lösung 

über eine Serviceabteilung implementieren, die Änderungen verfolgt und die entsprechenden 

Leute benachrichtigt, wenn eine Änderung angefordert wird. System Center Service 

Manager ist ein Microsoft-Produkt, das diese Funktionalität zur Verfügung stellt. Zum Zeitpunkt, 

als dieses Kapitel geschrieben wurde, war dieses Produkt noch in der Betaphase, aber 

Sie können sich auf der Microsoft-Website unter http://www.microsoft.com/systemcenter/ 

svcmgr/default.mspx darüber informieren. 

Testen des Sicherheitsupdates auf einer kleinen Gruppe von Computern 

Alle Probleme vorherzusehen, die durch Konflikte zwischen unternehmenskritischen Anwendungen 

und dem Sicherheitsupdate auftreten könnten, ist eine der wichtigsten Aufgaben 

innerhalb Ihrer gesamten Patchverwaltungsstrategie. Anwendungskompatibilitätsprobleme 

können Sie im Vorfeld nur herausfinden und beseitigen, indem Sie das Sicherheitsupdate 

zusammen mit Ihren Anwendungen testen.


Ein Ansatz für diese Aufgabe lautet, einige Computer zur Hand zur haben, auf denen die 

entsprechenden Anwendungen installiert sind. Installieren Sie das Sicherheitsupdate auf 

diesen Computern und testen Sie so viele Szenarien wie möglich. Diese Methode kann allerdings 

zu unerwarteten Problemen führen, falls der Mitarbeiter, der die Anwendung testet, 

nicht wirklich alles ausprobiert. Ein besserer Ansatz besteht darin, das Sicherheitsupdate auf 

einer Gruppe von Computern zu installieren, die für die ganz normale Arbeit eingesetzt werden. 

Stellen Sie sicher, dass die Benutzer über die Installation des Sicherheitsupdates auf 

ihren Computern informiert sind, und lassen Sie sich eventuell auftretende Probleme sofort 

melden. Wenn Sie mehrere Benutzer mit unterschiedlichen Aufgaben innerhalb Ihrer Organisation 

aussuchen, sind Ihre Chancen größer, alle Szenarien abzudecken, als wenn nur ein 

Grüppchen von IT-Personal die festgelegten Anwendungsfälle von Hand durchgeht. Aber 

selbst bei diesem Ansatz ist unwahrscheinlich, dass wirklich alle Szenarien abgedeckt werden, 

die getestet werden sollten. 

Hinweis Falls Sie Ihre Sicherheitsupdates über WSUS bereitstellen, können Sie eine Testcomputergruppe 

einrichten, Ihre Testclientcomputer zu dieser Gruppe hinzufügen und dann die Updates ausschließlich 

für diese Gruppe bereitstellen. 

Bereitstellen des Sicherheitsupdates für alle Benutzer 

Wenn Sicherheitsupdates bereitgestellt werden, sollte dies innerhalb eines vorher geplanten 

Wartungsfensters geschehen. Die Änderungswartung sollte allen betroffenen Benutzern 

bekannt gemacht werden, damit sie darüber informiert sind, dass ein Update zu erwarten ist. 

Sobald dies erledigt ist, sollten Sie das Sicherheitsupdate testen, bis Sie überzeugt sind, dass 

keine unerwarteten Probleme auftreten. Nun können Sie sich das Update von den Zuständigen 

genehmigen lassen. Schließlich ist der Zeitpunkt gekommen, den großen, grünen Los 

geht’s-Schalter zu drücken. 

Nach der Bereitstellung sollten Sie den Prozess mit den Zuständigen der betroffenen Abteilungen 

und dem IT-Management noch einmal durchgehen und feststellen, ob irgendwelche 

Verbesserungen oder Optimierungen an Ihrer Updateverwaltungsstrategie erforderlich sind. 

Die Updateverwaltung ist ein Prozess, der sich ständig weiterentwickelt und immer wieder 

aufs Neue überprüft werden sollte. 

Der Aufbau eines Sicherheitsupdates 

Bei Windows Vista und Windows Server 2008 liegen Sicherheitsupdates in Form einer einzigen 

MSU-Datei vor. Das Paket wird über das eigenständige Windows-Updateinstallationsprogramm 

(Windows Update Stand-Alone Installer Process, wusa.exe) installiert. Es enthält 

eine Cabinet-Datei (.cab) mit dem Update, eine XML-Datei, die das Update beschreibt, und 

einer Eigenschaftendatei, die die vom Installer verwendeten Texte enthält. (Falls ein Paket 

mehrere Updates umfasst, ist für jedes Update eine eigene CAB-Datei enthalten.) 

Unterstützte Befehlszeilenparameter 

Im Unterschied zu den Vorgängerversionen der Sicherheitsupdatepakete funktioniert das 

Befehlszeilenargument /X nicht mehr. Sie können das erweiterte Befehlszeilenprogramm 

verwenden, das im Betriebssystem Windows enthalten ist, oder eine Dateiarchivierungsanwendung 

von einem anderen Hersteller, die mit MSU-Dateien umgehen kann, zum Beispiel

Der Aufbau eines Sicherheitsupdates 357 

7-Zip (http://www.7-zip.org/). Tabelle 13.2 beschreibt alle verfügbaren Befehlszeilenparameter, 

die vom eigenständigen Windows-Updateinstallationsprogramm unterstützt werden. 

Tabelle 13.2 Befehlszeilenparameter von wusa.exe 

Parameter Beschreibung 

/?, /help oder /h Zeigt die Befehlszeilenhilfe für das eigenständige Windows-Updateinstallationsprogramm an. 

/quiet Stiller Modus. Zeigt während der Installation keine Benutzeroberfläche an. 

/norestart Verhindert das Neustarten des Computers, sofern erforderlich. 

Eine praktische Neuerung beim neuen MSU-Paket ist die Möglichkeit, das Sicherheitsupdate 

mithilfe des Paketmanagers (pkgmgr.exe) zu installieren. Das folgende Beispiel zeigt, 

wie das geht: 

Expand –F:* “%TEMP%\X86-all-windows6.0-kb941651-x86_cf2d8dd55a356b9d27b75ead67ff45c 

f3d2d9a14.msu” %TEMP% 

Pkgmgr /n:%TEMP%\Windows6.0-KB941651-x86.xml 

Integrieren von MSU-Dateien in eine Windows-Abbilddatei 

Sie können die Sicherheitsupdates in ein Offlineabbild integrieren, sodass bei allen neuen 

Computern, bei denen dieses Abbild (engl. image) eingespielt wurde, das Sicherheitsupdate 

bereits installiert ist. Gehen Sie folgendermaßen vor, um Sicherheitsupdates in eine Windows-Abbilddatei 

(Windows Image, WIM) zu integrieren: 

Wichtig Bevor Sie diese Schritte durcharbeiten, sollten Sie das Windows Automated Installation Toolkit 

herunterladen und installieren, das unter http://www.microsoft.com/downloads/details.aspx?familyid= 

C7D4BC6D-15F3-4284-9123-679830D629F2&displaylang=en zur Verfügung steht. 

1. Laden Sie die MSU-Dateien herunter, die Sie in die WIM integrieren wollen. In dieser 

Beispielanleitung speichern wir alle Updates im Ordner %TEMP%. 

2. Entpacken Sie die MSU-Dateien. Wiederholen Sie diesen Schritt für jede heruntergeladene 

Sicherheitsupdatedatei. 

Expand –F:* “%TEMP%\X86-all-windows6.0-kb941651-x86_cf2d8dd55a356b9d27b75ead67ff45c 

f3d2d9a14.msu” %TEMP% 

3. Stellen Sie die Abbilddatei bereit, in die Sie diese Updates integrieren wollen. 

Imagex /mountrw d:\imaging\vista.wim c:\mounted_images 

4. Fügen Sie die MSU-Dateien zur bereitgestellten Abbilddatei hinzu. 

Peimg /import=%TEMP%\Windows6.0-KB941651-x86.cab c:\mounted_images\mount\windows 

5. Installieren Sie die Pakete in der WIM-Datei. 

Peimg /install=*Package* c:\mounted_images\mount\windows 

6. Bestätigen Sie Ihre Änderungen und heben Sie die Bereitstellung der WIM-Datei auf. 

Imagex /unmount /commit c:\mounted_images


Tools für Ihr Patchverwaltungsarsenal 

Microsoft stellt eine Vielzahl von Produkten zur Verfügung, die Ihnen dabei helfen, Sicherheitsupdates 

in Ihrer Organisation bereitzustellen. 

Microsoft Download Center 

Das Microsoft Download Center (http://www.microsoft.com/downloads/) ist eine Website, 

die ausschließlich Updates, Tools, Trialsoftware und Dokumente zur Verfügung stellt, und 

zwar zu fast allem. Im Bereich von Sicherheitsupdates ist das Microsoft Download Center 

wichtig, weil Sie darin nach einem bestimmten Sicherheitsupdate suchen und es herunterladen 

können. Sobald das Update heruntergeladen ist, können Sie es von Hand installieren, 

in selbstentwickelte Skripts einbauen oder für die Bereitstellung über ein Patchverwaltungssystem 

vorbereiten. Beispiele für VBScript- oder PowerShell-Skripts, die Ihnen bei 

der Bereitstellung von Updates helfen, finden Sie im Microsoft Script Repository unter 

http://www.microsoft.com/technet/scriptcenter/scripts/default.mspx?mfr=true. 

Microsoft Update-Katalog 

Der Microsoft Update-Katalog (http://catalog.update.microsoft.com/) ist eine Website, auf 

der Sie praktisch alles finden, was der Microsoft Update-Dienst anbietet. Die angebotenen 

Downloads umfassen Sicherheitsupdates, Gerätetreiberupdates, Updates für andere Microsoft-Produkte 

und Hotfixes, die früher nur für Kunden verfügbar waren, die sich an Microsoft 

Customer Service and Support (CSS) wandten. Der Microsoft Update-Katalog bietet 

folgende Features: 

Auswahlkorb Im Microsoft Update-Katalog können Sie mehrere Downloads in einen 

Auswahlkorb legen und dann gemeinsam herunterladen. 

Volltextsuche Sie können nach Schlüsselwort, Produkt, Knowledge Base-Artikelnummer, 

MSRC-Bulletinnummer, Gerätetreiberhersteller, Gerätetreibermodell und 

Gerätetreiberversion suchen. 

RSS-Feeds Der Microsoft Update-Katalog unterstützt RSS-Feeds (Really Simple 

Syndication), sodass Sie Ihre Suche in einem RSS-Feed speichern können. Sie werden 

benachrichtigt, wenn neue Downloads verfügbar werden, die Ihren Kriterien entsprechen. 

BITS-Unterstützung Der intelligente Hintergrundübertragungsdienst (Background 

Intelligent Transfer Service, BITS) ist ein Dienst, der die gerade von Ihnen verwendete 

Bandbreite überwacht und die Downloadrate entsprechend anpasst. Außerdem bietet 

BITS die Möglichkeit, unterbrochene Downloads fortzusetzen. Falls also Ihre Internetverbindung 

abbricht, wenn Sie mit einem Download halb (oder gar zu 98%) fertig sind, 

wird der Download an dieser Stelle fortgesetzt, sobald die Verbindung wieder verfügbar 

ist. 

Die Startseite des Microsoft Update-Katalogs sehen Sie in Abbildung 13.2.

Tools für Ihr Patchverwaltungsarsenal 359 

Abbildung 13.2 Sie können den Microsoft Update-Katalog durchsuchen, um alle Sicherheitsupdates 

herunterzuladen, die vom Microsoft Update-Dienst zur Verfügung gestellt werden 

Windows Update und Microsoft Update 

Windows Update ist eine Anwendung, mit der Sie prüfen, ob Updates auf Ihrem Computer 

fehlen, und sie dann bei Bedarf installieren. Optional können Sie mit Microsoft Update auch 

Updates für das 2007 Office-System, Gerätetreiberupdates und andere Microsoft-Produkte 

einspielen. 

Sicherheitswarnung Sie müssen Mitglied der lokalen Gruppe Administratoren sein, um Windows Update 

auszuführen. 

Die Benutzeroberfläche von Windows Update sehen Sie in Abbildung 13.3. 

Windows Update bietet Ihnen mehrere Optionen, wenn Sie das Systemsteuerungsapplet 

Windows Update öffnen. 

Updates für weitere Produkte Wenn Sie auf diese Schaltfläche klicken, wird die 

Microsoft Update-Website geöffnet, sodass Sie den Microsoft Update-Dienst installieren 

können.


Nach Updates suchen Damit können Sie den Windows Update- oder Microsoft 

Update-Dienst nach neuen Updates abfragten, die für Ihren Computer zur Verfügung 

stehen. 

Einstellungen ändern Hier können Sie die Einstellungen für die automatischen 

Windows-Updates ändern (mehr dazu im nächsten Abschnitt). 

Updateverlauf anzeigen Zeigt Ihnen alle Updates an, die auf diesem Computer installiert 

sind, sowie den Status eines Updates (ob es erfolgreich installiert wurde), den Typ 

des Updates und den Zeitpunkt, zu dem es installiert wurde. 

Ausgeblendete Updates anzeigen Sie können Windows Update anweisen, Sie über 

bestimmte Updates nicht mehr zu informieren. Mit der Option Ausgeblendete Updates 

anzeigen können Sie solche Updates reaktivieren, sodass sie wieder aufgelistet werden. 

Updates: Häufig gestellte Fragen Öffnet die Hilfe und Support-Seite, die beschreibt, 

welche Änderungen an Windows Update in Windows Vista und Windows Server 2008 

vorgenommen wurden. 

Abbildung 13.3 Mit Windows Update können Sie Ihren Computer auf dem neuesten Stand halten 

Automatische Windows-Updates 

Wie bereits erwähnt, wurde das Feature Automatische Updates (auch als Automatische 

Updates für Windows bezeichnet) in das Systemsteuerungsapplet Windows Update integriert, 

wo Sie die automatischen Updates konfigurieren können, indem Sie auf Einstellungen 

ändern klicken. Das Einstellungsfenster von Automatische Updates sehen in Abbildung 

13.4. 

Die Standardeinstellungen sehen Sie in Abbildung 13.4, sie eignen sich aber nicht für alle 

Organisationen. Zum Beispiel brauchen Server Hochverfügbarkeit und daher genauere 

Steuerungsmöglichkeiten, wann Updates installiert und der Server neu gestartet wird. In 

diesem Fall können Sie die automatischen Updates von Hand mit den Einstellungen in 

Abbildung 13.4 ausschalten oder mithilfe von Gruppenrichtlinien auf mehreren Computern 

deaktivieren.


Abbildung 13.4 Sie können Automatische Updates für Windows so konfigurieren, dass alle 

Sicherheitsupdates zu einer bestimmten Uhrzeit heruntergeladen und installiert werden 

Es gibt vier Optionen, mit denen Sie konfigurieren können, wie Updates auf Ihrem Computer 

heruntergeladen und installiert werden: 

Updates automatisch installieren Bei dieser Option werden die Updates zu dem 

Zeitpunkt, der im Feld Installationszeitpunkt für neue Updates angegeben ist, heruntergeladen 

und installiert. 

Updates herunterladen, aber Installation manuell durchführen Bei dieser Option 

werden Updates heruntergeladen und Sie werden benachrichtigt, wenn sie für die Installation 

bereitstehen. Sie können entscheiden, ob Sie die Updates installieren wollen oder 

nicht. 

Nach Updates suchen, aber Zeitpunkt zum Herunterladen und Installieren manuell 

festlegen Bei dieser Option werden Sie benachrichtigt, sobald neue Updates als Download 

zur Verfügung stehen. Nachdem Sie die Updates heruntergeladen haben, können Sie 

sie installieren. 

Nie nach Updates suchen Damit schalten Sie die automatischen Windows-Updates 

aus. Auf Clientcomputern wird diese Option nicht empfohlen. Auf Servern, wo Sie genau 

kontrollieren wollen, welche Updates heruntergeladen und installiert werden, kann 

es sinnvoll sein, diese Option auszuwählen. 

In der Standardeinstellung benachrichtigt die automatische Windows-Updatefunktion Sie 

nur, wenn neue Sicherheitsupdates verfügbar sind. Sie können das Kontrollkästchen Empfohlene 

Updates beim Herunterladen, Installieren und bei Benachrichtigungen einschließen 

aktivieren, um auch empfohlene Updates mit aufzunehmen. Empfohlene Updates sind


Updates, die keine Sicherheitslücke schließen, aber für Ihren Computer nützlich sein könnten. 

Das sind zum Beispiel neue Versionen von .NET Framework, Windows Media Player oder 

DirectX. 

Wenn die Updates installiert sind, fragt Automatische Updates für Windows nach, ob Sie den 

Computer jetzt neu starten oder damit noch warten wollen. Diese Frage wird nur gestellt, 

wenn ein Neustart erforderlich ist. 

Microsoft Baseline Security Analyzer 

Der Microsoft Baseline Security Analyzer (MBSA) ist ein Tool, das Ihr Netzwerk analysiert 

und Sie benachrichtigt, falls bei Computern Sicherheitseinstellungen falsch konfiguriert sind 

oder Sicherheitsupdates fehlen. MBSA 2.1 war die erste Version, die Unterstützung für Windows 

Vista und Windows Server 2008 bot. 

Hinweis MBSA 2.1 war noch in der Betaphase, als dieses Buch geschrieben wurde. In der endgültigen 

Version könnten sich daher einige Details ändern. Außerdem stand die Betaversion nur in englischer Sprache 

zur Verfügung, von der endgültigen Version dürfte wie beim Vorgänger auch wieder eine deutsche 

Version angeboten werden. 

MBSA 2.1 steht als kostenloser Download auf der MBSA-Website unter 

http://www.microsoft.com/mbsa zur Verfügung. 

Das Startfenster von MBSA sehen Sie in Abbildung 13.5. 

Abbildung 13.5 Mit MBSA können Sie einen Computer oder mehrere gleichzeitig untersuchen


MBSA-Analyse im interaktiven Modus 

Wenn Sie die Analyse im interaktiven Modus durchführen, stehen mehrere Optionen zur 

Verfügung (Abbildung 13.6). 

Abbildung 13.6 Bei der Analyse im interaktiven Modus stehen etliche Optionen zur Verfügung 

Vorsicht Ihr Benutzerkonto muss auf jedem Computer, den Sie untersuchen wollen, Mitglied der lokalen 

Gruppe Administratoren sein. 

Gehen Sie folgendermaßen vor, um im interaktiven Modus ausschließlich nach fehlenden 

Sicherheitsupdates zu suchen: 

1. Starten Sie den Microsoft Baseline Security Analyzer. Klicken Sie im Startmenü auf Alle 

Programme und dann auf Microsoft Sicherheit Baseline Analyzer 2.1. 

2. Klicken Sie auf Scan a computer. Falls Sie mehrere Computer gleichzeitig untersuchen 

wollen, die Sie anhand des Domänennamens oder IP-Adressbereichs auswählen, können 

Sie stattdessen auf Scan multiple computers klicken. 

3. Geben Sie im Feld Computer name den Computer ein, den Sie untersuchen wollen. Als 

Standardeinstellung ist hier der lokale Computer eingetragen. Falls Sie lieber über die 

IP-Adresse angeben, welcher Computer untersucht werden soll, können Sie die Adresse 

im Feld IP address eingeben. 

4. Deaktivieren Sie folgende Kontrollkästchen: 

a. Check for Windows administrative vulnerabilities (nach administrativen Windows- 

Verwundbarkeiten suchen)


b. Check for weak passwords (nach schwachen Kennwörtern suchen) 

c. Check for IIS administrative vulnerabilities (nach administrativen IIS- 

Verwundbarkeiten suchen) 

d. Check for SQL administrative vulnerabilities (nach administrativen SQL Server- 

Verwundbarkeiten suchen) 

Hinweis MBSA kann noch wesentlich mehr Informationen liefern als lediglich Daten über fehlende 

Sicherheitsupdates. Wenn Sie Analysen im Rahmen einer Sicherheitsbewertung durchführen, sollten 

Sie die in Schritt 4 deaktivierten Kontrollkästchen aktivieren. 

5. Klicken Sie auf Start scan. 

Sobald die Untersuchung abgeschlossen ist, wird ein Bericht angezeigt, der die Ergebnisse 

zusammenfasst (Abbildung 13.7). 

Abbildung 13.7 MBSA liefert Ihnen einen zusammenfassenden Bericht, sobald die Analyse 

abgeschlossen ist 

Tipp Die MBSA-Berichte werden in Ihrem Benutzerprofil im Ordner SecurityScans gespeichert. Diese 

Berichte liegen im XML-Format mit der Dateierweiterung .mbsa vor. 

MBSA-Analysen von der Eingabeaufforderung 

Der MBSA bietet auch die Möglichkeit, eine Analyse von der Eingabeaufforderung aus zu 

starten. Dafür steht die Befehlszeilenversion Mbsacli.exe zur Verfügung. Das ist nützlich, 

wenn Sie Analysen im Startskript eines Gruppenrichtlinienobjekts durchführen und den


Bericht in einer Netzwerkfreigabe abspeichern wollen. Wenn Sie Mbsacli.exe benutzen, 

erhalten Sie denselben Funktionsumfang wie bei einer interaktiven Analyse. 

Sie können Mbsacli.exe folgende Argumente übergeben: 

/target Domäne\Computer Untersucht den Computer mit dem angegebenen Computernamen. 

/target IP-Adresse Untersucht den Computer mit der angegebenen IP-Adresse. 

/r IP-Bereich Untersucht alle Computer im angegebenen IP-Adressbereich (in der 

Form 10.0.0.1–10.0.0.100). 

/listfile Datei Untersucht Computer, deren Computernamen oder IP-Adressen aus 

einer Textdatei gelesen werden. 

/d Domäne Untersucht alle Computer in der angegebenen Domäne. Der Parameter Domäne 

muss in der Form des NETBIOS-Namens angegeben werden, nicht als FQDN. 

/n Option Legt fest, welche Prüfungen bei dieser Analyse nicht durchgeführt werden. 

Der Parameter Option kann die folgenden Werte annehmen, die sich mit einem Pluszeichen 

(+) ohne Leerzeichen zwischen den Werten auch kombinieren lassen: 

OS Prüft keine administrativen Windows-Verwundbarkeiten. 

Password Prüft nicht, ob schwache Kennwörter verwendet werden. 

IIS Prüft keine administrativen IIS-Verwundbarkeiten. 

SQL Prüft keine administrativen SQL Server-Verwundbarkeiten. 

Updates Sucht nicht nach fehlenden Sicherheitsupdates. 

/wa Falls der Computer so konfiguriert ist, dass er Updates von einem WSUS-Server 

installiert, sucht MBSA nur nach Updates, die auf WSUS genehmigt wurden. 

/wi Falls der Computer so konfiguriert ist, dass er Updates von einem WSUS-Server 

installiert, sucht MBSA nach genehmigten und ungenehmigten Updates. 

/nvc Prüft nicht, ob eine neue Version von MBSA verfügbar ist. 

/o Dateiname Gibt den Pfad der XML-Datei an, die für die Ausgabe verwendet wird. In 

der Standardeinstellung verwendet Mbsacli.exe das Muster %D – %C – (%T). 

/qp Zeigt keine Fortschrittsmeldungen an. 

/qt Zeigt keinen Bericht an, wenn die Analyse abgeschlossen ist. 

/qe Zeigt keine Fehlerliste an. 

/qr Zeigt keine Berichtsliste an. 

/q Zeigt keine Fortschrittsmeldungen an, keinen Bericht, wenn die Analyse abgeschlossen 

ist, keine Fehlerliste und keine Berichtsliste. 

/Unicode Die Ausgabedatei enthält Unicodetext. 

/u Benutzername Die Analyse wird unter dem angegebenen Benutzernamen ausgeführt. 

/p Kennwort Die Analyse wird mit dem angegebenen Kennwort ausgeführt. 

/catalog Dateiname Gibt die Datenquelle an, die Daten über die Sicherheitsupdates 

enthält. 

/ia Aktualisiert bei Bedarf den Windows Update-Agent auf dem untersuchten Computer, 

bevor die Analyse gestartet wird.


/mu Konfiguriert den untersuchten Computer so, dass er Microsoft Update statt Windows 

Update verwendet. 

/nd Lädt bei der Analyse keine Dateien von der Microsoft-Website herunter. 

/xmlout Bei der Analyse wird ausschließlich geprüft, ob Updates vorhanden sind. 

/l Listet alle verfügbaren Berichte auf. 

/ls Listet die Berichte der letzten Analyse auf. 

/lr Zeigt den zusammenfassenden Bericht an. 

/ld Zeigt den detaillierten Bericht an. 

/? Zeigt die Befehlszeilenhilfe für Mbsacli.exe an. 

Windows Server Update Services 

WSUS (Windows Server Update Services) setzt einen Server ein, um Updates zu hosten, die 

auf Computern bereitgestellt werden, die unter Microsoft Windows Server 2003, Windows 

Server 2008, Windows Vista, Microsoft Windows XP und Windows 2000 mit Service Pack 4 

laufen. 

Der WSUS-Server stellt den WSUS-Clients die Updates mithilfe eines Webdienstes bereit. 

Die Clients können in einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) oder 

durch eine manuelle Änderung in der Registrierung des Clientcomputers so konfiguriert 

werden, dass sie die Verbindung zum WSUS-Server herstellen. Dieses Kapitel beschreibt die 

Methode mit der GPO-Bereitstellung. Weitere Informationen, wie Sie WSUS auf einem 

Client von Hand mithilfe der Registrierung konfigurieren können, finden Sie unter 

http://technet2.microsoft.com/windowsserver/en/library/1776f85d-a326-4f1d-a2ed- 

2fdd21d590d71033.mspx. 

Ein Administrator muss alle Updates genehmigen, bevor die WSUS-Clients sie installieren 

können. Wenn ein WSUS-Client Kontakt mit dem WSUS-Server aufnimmt, bekommt er 

eine Liste der Updates, die für seine Versionen von Betriebssystem und Microsoft-Produkten 

genehmigt wurden, die auf dem Computer installiert sind. Wenn der WSUS-Client ein Update 

erfolgreich installiert hat, benachrichtigt er den WSUS-Server und das Ereignis wird in 

der WSUS-Datenbank aufgezeichnet. So kann ein Administrator Berichte über den aktuellen 

Updatestatus aller Computer zusammenstellen, die vom WSUS-Server verwaltet werden. 

Was ist neu in WSUS 3.0 

WSUS 3.0 stellt viele neue Features zur Verfügung, die Administratoren dabei helfen, 

Updates auf ihren WSUS-Clients besser zu verwalten. Diese Features sind zum Beispiel: 

Die neue MMC-Verwaltungskonsole (Microsoft Management Console) 

Die Fähigkeit, die WSUS-Verwaltungskonsole auf anderen Computern als dem WSUS- 

Server zu installieren 

Verbesserte Berichterstattung, zum Beispiel Updatestatusberichte über WSUS-Clients 

In WSUS unterstützte Microsoft-Produkte 

Mit jeder neuen Version von WSUS wird Unterstützung für noch mehr Microsoft-Produkte 

verfügbar. Tabelle 13.3 listet die Produkte auf, die in WSUS 3.0 unterstützt werden.

Tabelle 13.3 In WSUS 3.0 unterstützte Produkte 

Windows 2000 mit Service Pack 4 

Windows XP (32-Bit-, IA-64- und x64-Edition) 

Windows Vista 

Windows Server 2003 


Windows Small Business Server 2003 

Exchange Server 2000 



Computer Cluster 

CAPICOM SDK Components 

Microsoft Core XML Service 

Visual Studio 2005 

Windows-Defender 

Windows Live 

Office XP 

Office 2003 

Das 2007 Office-System 

Office Communications Server 2007 

Microsoft Internet Security and Acceleration Server 2004 

Microsoft Internet Security and Acceleration Server 2006 

Microsoft Data Protection Manager 2006 

System Center Virtual Machine Manager 2007 

Microsoft ForeFront 

Network Monitor 3 

Systems Management Server 2003 

Virtual PC 2007 

Virtual Server 2005 

SQL Server 2005 


Voraussetzungen für WSUS 3.0 

Damit Sie WSUS 3.0 auf einem Windows Server 2008-Computer installieren können, müssen 

Sie sicherstellen, dass folgende Voraussetzungen erfüllt sind: 

Falls Sie keinen Server haben, der SQL Server ausführt und den Sie für WSUS verwenden 

können, ist es möglich, die interne Windows-Datenbank zu verwenden. 

Vorsicht Die interne Windows-Datenbank unterstützt keine Remoteverbindungen, daher können Sie 

die WSUS-Verwaltungskonsole nicht auf einem anderen Computer installieren, falls Sie die interne 

Windows-Datenbank verwenden.


Weil WSUS auf einem Webdienst aufsetzt, müssen Sie die Rolle Webserver (IIS) konfigurieren, 

bevor Sie die Installation starten. 

Falls Sie nicht WSUS 3.0 mit Service Pack 1 oder neuer verwenden, muss die Webserver-Konfigurationsdatei 

geändert werden, um das Modul für benutzerdefinierte Fehler 

zu entfernen. 

Hinweis Um auf bestimmte WSUS-Berichte zugreifen zu können, müssen Sie Microsoft Report Viewer 

Redistributable 2005 installieren, das unter http://go.microsoft.com/fwlink/?LinkId=70410 zur Verfügung 

steht. 

Installieren der internen Windows-Datenbank 

WSUS kann alle seine Daten in der internen Windows-Datenbank speichern. Sie können die 

interne Windows-Datenbank in Windows Server 2008 mit dem Server-Manager installieren: 

1. Klicken Sie im Startmenü auf Verwaltung und dann auf Server-Manager. 

2. Klicken Sie auf Features und dann auf Features hinzufügen. 

3. Aktivieren Sie auf der Seite Features auswählen das Kontrollkästchen Interne Windows- 

Datenbank. 

4. Klicken Sie auf Ja und dann auf Weiter. 

5. Klicken Sie auf Installieren. 

6. Warten Sie, bis die Installation abgeschlossen ist, und klicken Sie dann auf Schließen. 

Installieren der Rolle Webserver (IIS) 

Sie installieren die Rolle Webserver (IIS) in Windows Server 2008 mit dem Server-Manager. 

Nicht alle Komponenten der Rolle Webserver (IIS) sind erforderlich, damit WSUS einwandfrei 

funktioniert. Sie sollten die Standardrollendienste aktiviert lassen und zusätzlich 

ASP.NET, Windows-Authentifizierung und IIS 6-Verwaltungskompatibilität aktivieren. 

Weitere Informationen darüber, wie Sie Rollen mit dem Server-Manager installieren, finden 

Sie in Kapitel 12, »Schützen von Serverrollen«. 

Konfigurieren von WSUS-Voraussetzungen mit 

ServerManagerCmd.exe 

Windows Server 2008 führt ein neues Feature namens Server-Manager ein. Der Server- 

Manager ist eine zentrale Konsole, in der Sie die auf Ihrem Server installierten Rollen 

und Features verwalten können. Auch eine Befehlszeilenversion des Server-Managers, 

ServerManagerCmd.exe, ist vorhanden. Sie können mit ServerManagerCmd.exe einzelne 

Rollen installieren oder eine Antwortdatei (im XML-Format) erstellen, um bestimmte 

Rollen, Rollendienste und Features installieren zu lassen. Der folgende Befehl übergibt 

eine Antwortdatei an ServerManagerCmd.exe: 

servermanagercmd -inputpath Antwortdatei.xml 

Der folgende Code ist eine XML-Antwortdatei, mit der Sie die Rollendienste und Features 

installieren können, die für WSUS benötigt werden:


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Ändern der Webserverkonfigurationsdatei 

Falls Sie nicht WSUS 3.0 mit Service Pack 1 oder neuer einsetzen, müssen Sie das benutzerdefinierte 

Fehlermodul aus der Konfigurationsdatei des Webservers entfernen, bevor Sie 

WSUS installieren. Dafür können Sie einen Texteditor verwenden, in dem Sie eine neue 

Zeile in das Tag einfügen. Gehen Sie dazu folgendermaßen 

vor: 

1. Wechseln Sie in den Ordner %WinDir%\System32\inetsrv\config. 

2. Öffnen Sie im Windows-Editor die Datei namens applicationHost.config. 

3. Löschen Sie im Tag die Zeile , sofern sie vorhanden ist. 

4. Fügen Sie im Tag die Zeile ein. Speichern und schließen Sie die Datei. 

5. Geben Sie in einer Eingabeaufforderung den Befehl iisreset ein und drücken Sie die 

EINGABETASTE. 

Voraussetzungen für WSUS 3.0-Server 

Tabelle 13.4 listet die Hardware- und Softwaremindestvoraussetzungen für WSUS 3.0 auf.


Tabelle 13.4 Mindestvoraussetzungen für WSUS 3.0 Server 

Anforderung Details 

Betriebssystem Windows Server 2003 SP1 oder neuer 


Vorinstallierte 

Software- 

komponenten 

Internetinformationsdienste 

Interne Windows-Datenbank oder Microsoft SQL Server 2005 mit Service Pack 1 (SP1) 

.NET Framework 2.0 

Microsoft Management Console 3.0 

Microsoft Report Viewer 

Festplattenplatz 1 GByte auf der Systempartition 

2 GByte auf dem Datenbankvolume 

20 GByte auf dem Volume, auf dem die Updates gespeichert werden 

Installieren und Konfigurieren von WSUS 3.0 

Sie können WSUS entweder mit der internen Windows-Datenbank oder einem dedizierten 

Datenbankserver installieren. Für eine Produktivumgebung wird dringend empfohlen, einen 

dedizierten Datenbankserver einzusetzen. Gehen Sie folgendermaßen vor, um WSUS zu 

installieren : 

1. Laden Sie WSUS 3.0 von http://www.microsoft.com/downloads/details.aspx?FamilyID= 

e4a868d7-a820-46a0-b4db-ed6aa4a336d9&DisplayLang=en herunter. 

2. Starten Sie die Installation, indem Sie doppelt auf WSUS3Setup.exe kilcken. 

3. Klicken Sie auf der Seite Willkommen beim Setup-Assistenten für Windows Server 

Update Services 3.0 auf Weiter. 

4. Wählen Sie die Option Vollständige Serverinstallation einschließlich Verwaltungskonsole 

aus und klicken Sie auf Weiter. 

5. Wählen Sie Ich stimme den Bedingungen des Lizenzvertrags zu aus und klicken Sie auf 

Weiter. 

6. Wählen Sie den Speicherort aus, an dem WSUS Updates speichern soll, und klicken Sie 

auf Weiter. 

7. Wählen Sie die Option Es wird ein vorhandener Datenbankserver auf einem Remotecomputer 

verwendet aus, geben Sie den Computernamen des Datenbankservers ein und 

klicken Sie auf Weiter. Diesen Schritt sehen Sie in 12.8. 

8. Klicken Sie auf der Seite Verbindungsherstellung mit der SQL Server-Instanz auf Weiter. 

9. Wählen Sie die Option Die vorhandene IIS-Standardwebsite verwenden aus und klicken 

Sie auf Weiter. 

10. Klicken Sie auf Fertig stellen, um die Installation zu beginnen. 

11. Warten Sie, bis die Installation abgeschlossen ist, und klicken Sie dann auf Fertig stellen. 

12. Der Assistent für die Konfiguration von Windows Server Update Services wird automatisch 

angezeigt, sobald die Installation beendet ist. Klicken Sie auf der Seite Vorbemerkung 

auf Weiter.

Abbildung 13.8 WSUS kann eine vorhandene SQL Server-Datenbank 

oder die interne Windows-Datenbank verwenden 

Abbildung 13.9 Sie können Ihre Updates vom Microsoft Update-Dienst 

oder einem anderen WSUS-Server innerhalb Ihrer Organisation beziehen 


13. Wählen Sie die Option Ja, ich möchte am Programm zur Verbesserung von Microsoft 

Update teilnehmen, falls Sie sich an diesem Programm beteiligen wollen, und klicken 

Sie auf Weiter.


14. Wählen Sie die Option Synchronisieren von Microsoft Update aus und klicken Sie auf 

Weiter (Abbildung 13.9). Falls Sie einen anderen WSUS-Server innerhalb Ihrer Organisation 

betreiben, können Sie stattdessen auch diesen Server für die Synchronisation verwenden. 

15. Falls Ihre Organisation einen Proxyserver verwendet, um die Verbindung zum Internet 

herzustellen, können Sie auf der nächsten Seite die Proxyinformationen eingeben. Klicken 

Sie andernfalls einfach auf Weiter. 

16. Klicken Sie auf Verbindung starten. Warten Sie, bis die Verbindung steht, und klicken 

Sie dann auf Weiter. 

17. Wählen Sie aus, in welchen Sprachen die Updates lokal auf Ihrem WSUS-Computer 

gespeichert werden sollen, und klicken Sie auf Weiter. 

18. Geben Sie an, für welche Produkte Sie Updates wollen, und klicken Sie auf Weiter. 

19. Legen Sie die Klassen von Updates fest, die Sie synchronisieren wollen. In der Standardeinstellung 

sind nur die Typen Updates mit hoher Priorität und Sicherheitsupdates 

ausgewählt. 

20. Stellen Sie den Synchronisierungszeitplan ein und klicken Sie auf Weiter. In der Standardeinstellung 

ist eine manuelle Synchronisierung eingestellt, aber Sie können Ihren 

WSUS-Server auch täglich mit dem Microsoft Update-Dienst synchronisieren. 

21. Falls Sie jetzt eine Synchronisierung durchführen wollen, können Sie das Kontrollkästchen 

Erstsynchronisierung starten aktivieren und auf Weiter klicken. Wie lange es dauert, 

die Synchronisierung zwischen Ihrem lokalen WSUS-Server und dem Microsoft 

Update-Dienst oder einem anderen WSUS-Server in Ihre Organisation durchzuführen, 

hängt von der verfügbaren Bandbreite ab. Im Durchschnitt dürfte es mehrere Minuten 

dauern. 

22. Klicken Sie auf Fertig stellen. 

Abbildung 13.10 zeigt die WSUS-Verwaltungskonsole nach einer erfolgreichen Installation. 

Abbildung 13.10 In der WSUS-Verwaltungskonsole können Sie Sicherheitsupdates genehmigen, 

Clientcomputer verwalten und Berichte anzeigen


Konfigurieren von WSUS-Clients 

Ein WSUS-Client ist ein Clientcomputer in Ihrem Netzwerk, dessen Updates von einem 

WSUS-Server verwaltet werden. WSUS-Clients verwenden das Feature Automatische 

Updates, um Updates vom WSUS-Server zu erhalten. Sie können die WSUS-Clients mit 

einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) konfigurieren. Die GPO- 

Einstellungen für WSUS finden Sie im Knoten Computerkonfiguration\Administrative 

Vorlagen\Windows-Komponenten\Windows Update. 

Es stehen mehrere Richtlinieneinstellungen zur Verfügung, um Windows Update zu konfigurieren. 

Für WSUS sind die beiden Einstellungen Automatische Updates konfigurieren und 

Internen Pfad für den Microsoft Updatedienst angeben nötig. 

Abbildung 13.11 zeigt die Richtlinieneinstellung Automatische Updates konfigurieren. 

Abbildung 13.11 In der Richtlinieneinstellung Automatische Updates konfigurieren 

können Sie Windows Update für alle Clientcomputer in Ihrem Netzwerk konfigurieren 

Sie können in der Richtlinieneinstellung Automatische Updates konfigurieren folgende Einstellungen 

wählen: 

Vor Herunterladen und Installation benachrichtigen Updates werden nicht automatisch 

heruntergeladen oder installiert. Falls ein Benutzer, der Mitglied der lokalen 

Gruppe Administratoren ist, am Clientcomputer angemeldet ist, wird er benachrichtigt, 

dass Updates zum Herunterladen und Installieren bereitstehen. 

Autom. Herunterladen, aber vor Installation benachrichtigen Updates werden 

automatisch heruntergeladen, aber nicht installiert. Falls ein Benutzer, der Mitglied der 

lokalen Gruppe Administratoren ist, am Clientcomputer angemeldet ist, wird er benachrichtigt, 

dass Updates heruntergeladen wurden und zur Installation bereitstehen. 

Autom. Herunterladen und laut Zeitplan installieren Updates werden automatisch 

heruntergeladen und installiert. Der Zeitpunkt dafür wird durch die Felder Geplanter 

Installationstag und Geplante Installationszeit konfiguriert.


Lokalen Administratoren ermöglichen, Einstellung auszuwählen Benutzer, die 

Mitglieder der lokalen Gruppe Administratoren sind, können konfigurieren, wie Updates 

auf dem Clientcomputer verarbeitet werden. Es ist ihnen aber nicht erlaubt, Automatische 

Updates zu deaktivieren. 

In der Richtlinieneinstellung Internen Pfad für den Microsoft Updatedienst angeben leiten 

Sie den Clientcomputer so um, dass er keine Verbindung zu Windows Update herstellt, sondern 

Ihren WSUS-Server benutzt. Sie müssen Adressen sowohl in Interner Updatedienst 

zum Ermitteln von Updates als auch Intranetserver für die Statistik eintragen, aber sie können 

beide Male denselben Server angeben. Die Richtlinieneinstellung Internen Pfad für den 

Microsoft Updatedienst angeben sehen Sie in Abbildung 13.12. 

Abbildung 13.12 Diese Richtlinieneinstellung konfiguriert die Clientcomputer so, 

dass Sie statt Windows Update Ihren WSUS-Server benutzen 

Wenn Sie die Gruppenrichtlinieneinstellungen konfiguriert haben, können Sie warten, bis 

die Clientcomputer sie automatisch aktualisieren, oder auf einem Client eine Aktualisierung 

erzwingen, indem Sie an einer Eingabeaufforderung auf dem Clientcomputer den Befehl 

gpupdate /force eingeben. Nachdem die Gruppenrichtlinieneinstellungen konfiguriert wurden, 

sollten Sie etwa 20 Minuten warten, bis ein Clientcomputer automatisch Kontakt zum 

WSUS-Server aufnimmt. Mit dem Befehl wuauclt.exe /detectnow können Sie den Client 

auch zwingen, sofort eine Verbindung zum WSUS-Server herzustellen. 

System Center Essentials 2007 

Der Großteil dieses Kapitels konzentriert sich auf kostenlose Produkte, die Microsoft zur 

Verfügung stellt, um Ihnen bei der Patchverwaltung zu helfen. Microsoft bietet auch ein 

Produkt an, das alles innerhalb einer einzigen Anwendung erledigt. Microsoft System Center 

Essentials 2007 ist ein Verwaltungsprodukt, das für mittelgroße Unternehmen entworfen 

wurde. Es soll Ihnen die Aufgabe erleichtern, Computer in Ihrem Netzwerk zu verwalten. 

System Center Essentials 2007 bietet eine einheitliche Oberfläche, proaktive Verwaltung 

und bessere Effizienz für tägliche Arbeiten. In diesem Abschnitt sehen wir uns an, wie sich


System Center Essentials 2007 in Ihre Patchverwaltungsstrategie einfügt. Große Organisationen 

sollten Microsoft System Center Configuration Manager 2007 einsetzen. Weitere 

Informationen über die System Center-Produktfamilie finden Sie unter http://www.micro 

soft.com/systemcenter. 

Wir sind noch nicht auf das Problem eingegangen, wie Sie ein genaues Inventar aller Computer 

in Ihrem Netzwerk erhalten. System Center Essentials 2007 gibt Ihnen die Möglichkeit, 

ein Hardware- und Softwareinventar zu erstellen und zu verwalten. System Center 

Essentials 2007 bietet folgende Inventarfeatures: 

Automatische Erkennung System Center Essentials 2007 kann Active Directory 

abfragen und feststellen, ob irgendwelche neuen Computer zu Ihrer Domäne hinzugekommen 

sind, die noch nicht inventarisiert wurden. Werden neue Computer gefunden, 

kann System Center Essentials 2007 sie ins Inventar aufnehmen, sobald sie das nächste 

Mal mit dem Netzwerk verbunden sind. 

Ausführliche Berichte Das Berichterstellungsmodul ermöglicht Ihnen, detaillierte 

Daten über die Computer in Ihrem Netzwerk zusammenzustellen. Außerdem lassen sich 

die Berichte anpassen, sodass Sie brandaktuelle Berichte erstellen können, die einen 

Eindruck vom momentanen Aufbau Ihres Netzwerks vermitteln. 

Da Sie nun ein genaues Computerinventar haben, können Sie diese Informationen nutzen, 

um Updates für die Computer in Ihrem Netzwerk bereitzustellen. Dafür steht in System 

Center Essentials 2007 der Updatekonfigurationsassistent zur Verfügung. Er bietet folgende 

Features, die in den bisher in diesem Kapitel beschriebenen Produkten fehlen: 

Unterstützung für Nicht-Microsoft-Updates Sie können Updates bereitstellen, die 

von beliebigen Softwareherstellern herausgegeben wurden. So können Sie sicherstellen, 

dass Sie alle Ihre Software pflegen, die auf Computern innerhalb Ihres Netzwerks installiert 

ist. 

Termin für die Updatebereitstellung Zu jedem Update können Sie einen Termin 

festlegen, an dem das Update unbedingt installiert sein muss. Falls das Update zu diesem 

Zeitpunkt nicht installiert ist, bietet System Center Essentials 2007 dem Benutzer nicht 

mehr an, das Update zu installieren. Es wird zwangsweise installiert und der Computer 

wird bei Bedarf neu gestartet. 

Installieren bei Bedarf System Center Essentials 2007 ermöglicht Ihnen, das Sicherheitsupdate 

sofort zu installieren, ohne auf den geplanten Installationszeitpunkt warten 

zu müssen. Das kann praktisch sein, falls ein Sicherheitsupdate freigegeben wurde, das 

eine ernste Sicherheitslücke schließt. 

Gemeinsam genutztes Updateschema System Center Essentials 2007 unterstützt die 

Verwendung eines gemeinsam genutzten Updateschemas, mit dem Sie Kataloge von anderen 

Updateanbietern als Microsoft importieren können. 

Weitere Informationen über System Center Essentials 2007 finden Sie auf der Microsoft 

System Center Essentials 2007-Homepage unter http://www.microsoft.com/sce.



Sie sollten eine Patchverwaltungsstrategie entwickeln, damit Sie geeignete Richtlinien und 

Prozeduren sowie die richtigen Tools für diese Aufgabe bereitstehen haben. Das erfordert 

ausgiebige Planung, das zahlt sich aber später aus, weil die Produktivität Ihres Unternehmens 

deutlich weniger gestört wird. 

Dieses Kapitel hat die vier Phasen beim Entwickeln einer Patchverwaltungsstrategie vorgestellt: 

Bewerten, Identifizieren, Auswerten & Planen und Bereitstellen. Jeder Schritt ist 

wichtig, um den Erfolg einer Patchverwaltungsstrategie sicherzustellen, die für alle in Ihrer 

Organisation Beschäftigten Vorteile bringt. Außerdem hat dieses Kapitel einige Microsoft- 

Produkte und -Tools vorgestellt, die Ihnen sicherstellen helfen, dass die Computer in Ihrem 

Netzwerk auf dem neuesten Stand bleiben, wenn Updates veröffentlicht werden. 

Ein Produkt, das in diesem Kapitel nicht behandelt wurde, ist der Netzwerkzugriffsschutz 

(Network Access Protection, NAP). Sie können mit NAP sicherstellen, dass auf allen Heimcomputern, 

die über VPN eine Verbindung zu Ihrem Netzwerk herstellen, bestimmte Updates 

installiert sind, bevor sie in das Netzwerk gelassen werden. Weitere Informationen, 

wie Sie mit NAP die Updateausstattung von Heimcomputern, die Verbindung zu Ihrem 

Netzwerk herstellen, steuern können, finden Sie in Kapitel 5, »Windows-Firewalls«. 


Microsoft Corporation (2008): »Security Guidance for Patch Management« unter 

http://www.microsoft.com/technet/security/guidance/patchmanagement.mspx. 

Microsoft Corporation (2007): »Patch Management Process« unter http://www.microsoft. 

com/technet/security/guidance/patchmanagement/secmod193.mspx. 

Microsoft Corporation (2008): »Microsoft Update Catalog« unter http://catalog.update. 

microsoft.com/v7/site/Home.aspx. 

Microsoft Corporation (2008): »Microsoft Download Center« unter http://download. 

microsoft.com. 

Microsoft Corporation (2008): »Microsoft Baseline Security Analyzer« unter 

http://www.microsoft.com/mbsa. 

Microsoft Corporation (2008): »Update Management Center« unter http://technet. 

microsoft.com/en-us/library/bb466251.aspx. 

Microsoft Corporation (2008): »Microsoft Update« unter http://update.microsoft.com. 

Microsoft Corporation (2008): »Windows Server Software Update Services« unter 

http://technet.microsoft.com/en-us/wsus/default.aspx. 

Microsoft Corporation (2008): »System Center Essentials 2007« unter 

http://www.microsoft.com/sce. 

Microsoft Corporation (2008): »Microsoft Security Tools« unter http://www.microsoft. 

com/technet/security/tools/default.mspx.

K A P I T E L 1 4 

Schützen des Netzwerks 



Einführung in Sicherheitsabhängigkeiten . ................................... 380 

Abhängigkeitstypen .................................................. 385 

Eindämmen von Abhängigkeiten ......................................... 389 



Ich werde oft gefragt, wie die Arbeitsstationen in einem Netzwerk geschützt werden sollen. 

Diese Frage wird meist anlässlich des neuesten Angrifftyps gestellt, der gerade auf irgendeiner 

Konferenz demonstriert wurde. Zum Beispiel sind momentan viele Leute sehr besorgt 

wegen der allgegenwärtigen USB-Flashspeicher. Das sind die unglaublich praktischen, winzig 

kleinen Festspeichergeräte, die inzwischen in fast schon absurden Kapazitäten erhältlich 

sind. Viele Leute haben Angst vor einem Angriff, bei dem ein Angreifer ein USB-Flashlaufwerk 

an einen Computer ansteckt oder den Benutzer dazu bringt, das zu tun. Das USB- 

Flashlaufwerk enthält eventuell Malware, die entweder automatisch oder nach minimaler 

Benutzerinteraktion auf dem Computer ausgeführt wird. 

Sich so auf die USB-Flashlaufwerke zu konzentrieren, greift zu kurz, wenn Sie bedenken, 

dass es viel größere Probleme mit Wechselmediengeräten gibt: CDs, DVDs, FireWire-Laufwerke, 

Parallelanschlussgeräte (hat irgendwer so etwas noch?) und praktisch jeder andere 

Anschluss am Computer, über den ein Zugriff auf externe Inhalte möglich ist. Allzu oft machen 

sich Leute nur Sorgen wegen ihrer Arbeitsstationen, aber nicht wegen des übrigen 

Netzwerks. Ich denke, dass die Frage nicht lauten sollte, wie Sie verhindern, dass Arbeitsstationen 

gehackt werden, sondern wie Sie verhindern können, dass der Rest des Netzwerks 

umfällt wie Dominosteine, sobald das einmal passiert ist. Sehen wir uns ein paar Zahlen an. 

Nehmen wir an, Sie haben 10.000 Endbenutzer in einem Netzwerk. Wie groß ist die Wahrscheinlichkeit, 

dass Sie all diese Arbeitsstationen sicher halten können? Nehmen wir ruhig 

an, dass jede dieser Arbeitsstationen auf dem aktuellen Stand ist, was Sicherheitsupdates 

betrifft, vollständig verwaltet ist und von Benutzern bedient wird, die genug über Sicherheit 

wissen, dass sie in 99,99 Prozent der Zeit keine böswilligen Inhalte ausführen. Ignorieren 

wir erst einmal die vollständig absurden Annahmen und konzentrieren wir uns auf das errechnete 

Ergebnis. Bei 10.000 Arbeitsstationen bedeuten diese Zahlen, dass die Wahrscheinlichkeit, 

zu irgendeinem bestimmten Zeitpunkt ein sicheres Netzwerk zu haben, 37 Prozent 

beträgt. Bei 20.000 Arbeitsstationen sinken Ihre Chancen auf etwa 13 Prozent. Wenn wir 

etwas realistischere Annahmen treffen, mit welcher Wahrscheinlichkeit Ihre Arbeitsstationen 

sicher sind, stellen Sie fest, dass die Wahrscheinlichkeit, sie alle gleichzeitig sicher halten zu 

können, mit zunehmender Größe Ihres Netzwerks asymptotisch gegen 0 geht. 

377

378 Kapitel 14: Schützen des Netzwerks 

Natürlich ist es absolut unverzichtbar, das Netzwerk als Ganzes vor der Kompromittierung 

einer einzelnen Arbeitsstation zu schützen. Als IT-Manager behaupte ich, dass das wichtigste, 

was Sie tun können, um die Sicherheit Ihre Betriebsumgebung zu verbessern, darin besteht, 

die Abhängigkeiten in Ihrem Netzwerk so zu verwalten, dass Einbrüche isoliert bleiben. 

Ein Element bei diesen Maßnahmen ist, dass Sie die Kommunikation innerhalb Ihres 

Netzwerks einschränken. Microsoft nennt dies Server- und Domänenisolierung. Das Puzzle 

enthält aber noch einige weitere Teile. 

Direkt von der Quelle: Server- und Domänenisolierung 

Server- und Domänenisolierung ist eines der versteckten Sicherheitshighlights in Windows 

Server 2008, das einen genaueren Blick verdient. In älteren Versionen hatten Sie 

zwar schon die Möglichkeit, virtuelle Netzwerke über Endpunktauthentifizierung einzurichten, 

aber in Windows Vista und Windows Server 2008 haben wir viel dafür getan, 

dass dies noch einfacher bereitzustellen ist. Indem wir IPsec-Verbindungssicherheitsregeln 

mit Windows-Firewallfiltern kombinieren, geben wir Windows Server 2008- 

Administratoren ein leistungsfähiges Tool an die Hand, um die Sicherheit in ihren Netzwerken 

zu verbessern und ihre wichtigen Daten besser zu schützen. Und all das steht zur 

Verfügung, ohne neue Software installieren zu müssen. 

Chris Black, Program Manager 

Windows Networking 

Viele Organisationen vertrauen nach wie vor viel zu sehr darauf, dass ihre Grenzfirewall das 

Problem für sie löst. Aber Grenzfirewalls sind in den heutigen Umgebungen praktisch bedeutungslos. 

Um zu verstehen, warum das so ist, müssen wir uns einmal ansehen, was es 

alles für Zugangspunkte zu Ihrem Netzwerk gibt. Falls Sie ein mittelgroßes oder großes 

Netzwerk haben, wette ich ein Essen in einem sehr guten Restaurant, dass Sie bei der letzten 

Analyse einige Wege zum Herausschmuggeln von Daten gefunden haben, von denen Sie 

bisher nichts wussten. Jeder Computer in einem virtuellen privaten Netzwerk (VPN) ist ein 

potenzieller Einbruchsweg. Jedes System, das Sie nicht aktualisiert haben, ist ein potenzieller 

Eindringpunkt. Jede unsichere, speziell entwickelte Software ist ein potenzieller Eindringpunkt. 

Jedes falsch konfigurierte Gerät, ob Router, Firewall, VPN-Gerät und Drahtloszugriffspunkt, 

ist ein potenzieller Eindring- und Ausgangspunkt. 

Wichtig Das Prinzip der gestaffelten Verteidigung (engl. defense in depth) fordert, dass Sie erheblichen 

Aufwand betreiben, um die Auswirkungen einer Kompromittierung in Ihrem Netzwerk gering zu halten. 

Eine offensichtliche Möglichkeit, das Problem durch den Missbrauch von Wechseldatenträgern 

zu beseitigen, besteht darin, alles zu verbieten, was sich unter Umständen für unlautere 

Zwecke missbrauchen lässt. USB-Flashlaufwerk sind nur ein kleiner Teil davon. Wir müssten 

alle Wechseldatenträgergeräte verbieten, inklusive allem, was sich an irgendeinen Gerätebus 

im Computer anstecken lässt. Ich habe schon öfters erklärt, am besten ließe sich das 

Problem mit einer gigantischen Tube Harz lösen, mit der Sie alle Öffnungen zukleben, die 

Sie vorne und hinten, rechts und links, oben und unten am Computer finden. 

Dieser Ansatz verursacht einige Probleme. Erstens könnte es passieren, dass Ihre Benutzer 

Sie auf dem Weg zu Ihrem Auto abfangen und lynchen, falls Sie so etwas wirklich durchziehen. 

Zweitens lägen ihre Benutzer damit gar nicht so falsch. Viele der erwähnten Geräte

Schützen des Netzwerks 379 

werden für die normale Arbeit benötigt. Zum Beispiel ist allgemein anerkannt, dass die 

sicherste Konfiguration der BitLocker-Verschlüsselungstechnologie in Windows Vista darin 

besteht, einen externen Schlüssel auf einem USB-Flashlaufwerk zu verwenden. Das würde 

deutlich erschwert, wenn Sie die USB-Anschlüsse mit Harz verkleben. Natürlich könnten 

Sie das USB-Flashlaufwerk im Anschluss festkleben, aber das würde Sinn und Zweck der 

externen Speicherung des Schlüssels zunichte machen. Dasselbe Argument gilt für die meisten 

Anschlüsse eines modernen Computers. 

Sofern es sich nicht um eine extrem kritische Umgebung handelt, ist es wahrscheinlich deutlich 

sinnvoller, die Gefahr bestmöglich abzuwehren und Einbrüche zu begrenzen. Wir müssen 

hier eine unwiderlegbare Tatsache akzeptieren. Gesetz 3 der »10 unveränderlichen Gesetzen 

der Sicherheit« (siehe http://www.microsoft.com/technet/archive/community/ 

columns/security/essays/10imlaws.mspx?mfr=true) gilt nach wie vor: 

Falls ein Angreifer uneingeschränkten physischen Zugriff auf Ihren Computer bekommt, 

ist das nicht mehr Ihr Computer. 

Falls ein Angreifer Zugriff auf Ihren Computer hat (oder jemals hatte), muss dieser Computer 

als kompromittiert eingestuft werden. Diese Art von Angriff kann sogar aus der Ferne 

gelingen, wenn der Angreifer Sie dazu bringt, böswilligen Code auf Ihrem Computer auszuführen. 

Gesetz 1 der unveränderlichen Gesetze besagt: 

Falls ein Angreifer Sie überzeugen kann, sein Programm auf Ihrem Computer auszuführen, 

ist das nicht mehr Ihr Computer. 

Wenn wir es als gegeben nehmen, dass diese unveränderlichen Gesetze weiterhin gelten (das 

können wir wahrscheinlich, weil sie sich als erstaunlich widerstandsfähig erwiesen haben 

und kaum anzunehmen ist, dass sie sich als ungültig erweisen, solange es keine grundlegenden 

Umwälzungen bei der Funktionsweise von Computern gibt), können wir es nicht dabei 

belassen, einige Registrierungseinstellungen zu konfigurieren, um Wechseldatenträger unschädlich 

zu machen. Wir müssen ganz offensichtlich zusätzliche Schutzebenen einziehen. 

Schon wenn wir einfach die recht vernünftige Annahme treffen, dass viele unserer Clientcomputer 

entweder bereits kompromittiert sind oder von Leuten bedient werden, denen 

unsere Sicherheitsinteressen nicht sonderlich wichtig sind (oder beides), kommen wir zu 

dem Schluss, dass wir die Auswirkungen auf den Rest des Netzwerks eindämmen müssen. 

Dafür müssen wir zwangsläufig die Sicherheitsabhängigkeiten kennen, analysieren und 

eindämmen. 

Sicherheitswarnung: Über die Wirksamkeit von Sicherheitsleitfäden 

Die letzten ca. 15 Jahre über wurde ein unglaublicher Aufwand betrieben, um Sicherheitsleitfäden 

zusammenzustellen. Ich habe im Lauf der Jahre selbst an einem halben 

Dutzend davon mitgearbeitet. Diese Leitfäden umfassen eine Liste verschiedener Sicherheitsoptimierungen, 

die Sie (so behaupten die Autoren) an der Standardinstallation irgendeiner 

Software durchführen müssen, um irgendeine Sicherheitsanforderung zu erfüllen. 

Welche Anforderung das ist, wird oft gar nicht erwähnt, und viele Leitfäden sind 

lediglich Listen aller möglichen Optimierungen, von denen die Autoren dachten, dass sie 

möglicherweise irgendeine winzige Auswirkung auf die Sicherheit haben. Meist wurde 

dabei überhaupt nicht berücksichtigt, welche Funktionalität Ihre Computer zur Verfügung 

stellen müssen oder welchen Bedrohungen Ihre Computer ausgesetzt sind. Oft funktionie-


ren die Einstellungen, die solche Leitfäden empfehlen, nicht wirklich bei der Software, 

für die der Leitfaden geschrieben wurde. 

Die besten dieser Leitfäden machen ganz deutlich, was die Einstellungen tun, welche 

Auswirkungen auf die Anwendungskompatibilität Sie davon erwarten können und welche 

konkreten Bedrohungen sie eindämmen. Aber sogar die besten Leitfäden lassen das Problem 

der Netzwerksicherheit als Gesamtes weitgehend außen vor. Die Leitfäden konzentrieren 

sich fast ausschließlich darauf, einen einzelnen Computer gegen Angriffe zu 

schützen, ohne wirklich zu berücksichtigen, in welcher Umgebung dieser Computer bereitgestellt 

wird. Der wichtigste Punkt ist: Sobald ein Angreifer erst einmal in einem 

Netzwerk Fuß gefasst hat, sind sämtliche Einstellungen im Sicherheitsleitfaden völlig 

egal. Darüber, dass die Kontosperrung nach drei Falscheingaben unbegrenzt aktiviert 

wird (was jeden Benutzer in den Wahnsinn treibt), kann ein Angreifer, der über administrative 

Privilegien verfügt, nur lachen. 

Statt Ihre Anstrengungen darauf zu konzentrieren, welche Optimierungen Sie an Ihren 

Computern vornehmen sollten, ist es sinnvoller, wenn Sie einfach annehmen, dass ein 

Teil Ihres Netzwerks nicht vertrauenswürdig ist und das auch immer so bleiben wird. Die 

Realität sieht so aus, dass heutige Unternehmensnetzwerke irgendwo zwischen feindlich 

und vertrauenswürdig einzuordnen sind, sagen wir mal halb-feindlich. Akzeptieren wir 

das als bedauerliche, aber unvermeidliche Tatsache und finden wir uns damit ab. Wir 

kümmern uns um dieses Problem, indem wir das Netzwerk als Ganzes gegen die wenigen 

böswilligen Elemente schützen. Sie können eine Gesellschaft nicht dadurch sicher machen, 

dass Sie Regeln formulieren und eine feste Mauer um die Gesellschaft bauen. Sie 

brauchen auch eine Polizei. Das Vorhandensein von Polizisten beweist im Grunde, dass 

die Gesellschaft akzeptiert, dass ein Teil ihrer Mitglieder sich weigert, die festgelegten 

Grenzen zu respektieren. In Ihrem Netzwerk ist das nicht anders. 

Einführung in Sicherheitsabhängigkeiten 

Eine Sicherheitsabhängigkeit (engl. security dependency) tritt auf, wenn die Sicherheit eines 

Computers von der Sicherheit eines anderen abhängt. Das ist nichts Ungewöhnliches und in 

vielen Fällen sogar erwünscht. Zum Beispiel ist Ihnen wahrscheinlich bekannt, dass Ihr gesamtes 

Netzwerk gehackt wurde, falls ein Angreifer es schafft, Ihren Domänencontroller 

(Domain Controller, DC) zu hacken. Das bedeutet schlicht, dass die Sicherheit aller Domänenmitglieder 

von den DCs abhängt. Falls der Domänencontroller nicht geschützt wird, 

können die Mitgliedscomputer unmöglich sicher sein. Ein Angreifer, der die Sicherheitskonfiguration 

der Domäne ändern kann, kann jeden Computer in der Domäne übernehmen. Er 

kann zum Beispiel neue Konten zur Gruppe Administratoren auf einem Mitgliedscomputer 

hinzufügen. Das erklärt, warum jede sogenannte Verwundbarkeit, die es einem Administrator 

erlaubt, ein System oder Netzwerk zu kompromittieren, nicht wirklich eine Sicherheitslücke 

ist. Ein Administrator soll schließlich definitionsgemäß vollständigen Zugriff auf das 

System oder Netzwerk haben, das er verwaltet. 

Abhängigkeiten in Computersystemen lassen sich offensichtlich nicht vermeiden. Das heißt 

aber nicht, dass sie grundsätzlich akzeptabel sind: Manche sind akzeptabel und sogar erwünscht, 

andere dagegen inakzeptabel. Bevor wird die unterschiedlichen Arten von Abhängigkeiten 

untersuchen und uns ansehen, wie sie sich eindämmen lassen, müssen wir erst 

einmal wissen, welche Arten von Abhängigkeiten akzeptabel sind und welche nicht.

Einführung in Sicherheitsabhängigkeiten 381 

Akzeptable Abhängigkeiten 

Akzeptable Abhängigkeiten lassen sich mit folgender Regel aus Protect Your Windows Network 

zusammenfassen: 

Die Sicherheit eines weniger kritischen Systems darf von einem kritischeren System abhängen. 

Computer (und Systeme im Allgemeinen) können anhand ihrer Sicherheitsanforderungen in 

Klassen eingeteilt werden. Ein System, das kritischer ist, hat höhere Sicherheitsanforderungen, 

und eines, das weniger kritisch ist, benötigt weniger Sicherheit. Wie die Klassen in einer 

bestimmten Umgebung konkret aussehen, ist für diese allgemeine Beschreibung irrelevant. 

Wichtig ist nur, dass es inhärente Klassifizierungen gibt. Nehmen wir aus Gründen der Anschaulichkeit 

an, dass wir zwei Klassen von Systemen haben: Arbeitsstationen und Domänencontroller. 

Die DCs sind offensichtlich viel kritischer als die Arbeitsstationen. Falls Sie 

eine Arbeitsstation kontrollieren, dürften Sie theoretisch nur Zugriff auf die Daten bekommen, 

die in dieser Arbeitsstation benutzt werden. Falls Sie dagegen einen DC kontrollieren, 

haben Sie den Schlüssel zur Stadt: Sie bekommen vollständigen Zugriff auf alle Elemente in 

der Gesamtstruktur. In diesem Fall ist es akzeptabel, dass die Sicherheit der Arbeitsstationen 

von den DCs abhängt. Die DC-Klasse ist viel kritischer als die Arbeitsstationen, sie muss 

daher entsprechend aufwendiger geschützt werden. Dies ist eine Form einer akzeptablen 

Abhängigkeit. 

Dasselbe gilt für Benutzerkonten. Es ist akzeptabel, dass ein Administrator auf Daten zugreifen 

kann, die einem Benutzer gehören, das ist schließlich der Grund, warum es überhaupt 

einen Administrator gibt. Administratoren haben uneingeschränkten (wenn auch nicht immer 

direkten und offensichtlichen) Zugriff auf den Computer und alles, was sich darauf befindet. 

Wenn uns das klar ist und wir die Computer entsprechend verwalten, ergibt sich daraus kein 

Problem. 

Software kann genauso analysiert werden. Eine weniger kritische Software, zum Beispiel 

ein Webbrowser, kann von einer kritischeren Software abhängen, zum Beispiel dem Betriebssystem 

selbst. Das ist akzeptabel. Falls das Betriebssystem einen Bug hat, ist es nicht 

weiter verwunderlich, wenn der Webbrowser gegen ein neues Problem verwundbar ist. 

Wenn das passiert, ist der Webbrowser wahrscheinlich ein recht kleines Problem. Das hilft 

uns zu verstehen, wo Bugfixes wirksam werden müssen. Der Bug sollte so nah wie möglich 

am Problem beseitigt werden, damit die Schutzwirkung so groß wie möglich ist. Statt das 

Problem im Webbrowser zu umgehen, sollten Sie es lieber im Betriebssystem reparieren. 

Stattdessen können Sie auch den Webbrowser so umschreiben, dass er weniger Abhängigkeiten 

von Funktionalität im Betriebssystem aufweist. Dieser Ansatz ist sinnvoll, falls die 

Funktionalität im Betriebssystem niemals für den Zweck gedacht war, für den sie eingesetzt 

wird, oder falls die Funktionalität gar nicht dazu entworfen wurde, vor dem konkreten Angriff 

zu schützen, dem der Webbrowser ausgesetzt ist. 

Inakzeptable Abhängigkeiten 

Was inakzeptable Abhängigkeiten sind, sollte jetzt offensichtlich sein. Noch einmal ein Zitat 

aus Protect Your Windows Network: 

Die Sicherheit eines kritischeren Systems darf niemals von einem weniger kritischen System 

abhängen.


Wenn wir wieder Klassen festlegen, um zu bestimmen, wie kritisch ein System ist, lässt sich 

diese Aussage leicht verstehen. Falls die Kompromittierung einer Arbeitsstation dazu führt, 

dass die Sicherheit des Domänencontrollers zusammengebrochen ist, haben wir ein gewaltiges 

Sicherheitsproblem. Wie bereits erwähnt, ist es unmöglich, ein Netzwerk zu schützen, 

falls seine Gesamtsicherheit davon abhängt, dass jeder einzelne Computer in diesem Netzwerk 

sicher ist. Die Wahrscheinlichkeit, dass das Netzwerk sicher ist, ist umgekehrt exponentiell 

zur Größe des Netzwerks. Ein etwas größeres Netzwerk ist praktisch niemals völlig 

sicher. Das macht es so wichtig, dass kritischere Systeme vor weniger kritischen geschützt 

werden. 

Dieses Prinzip lässt sich auch auf Benutzerkonten und Software anwenden. Zum Beispiel 

erlaubt der neue Terminaldiensteclient für Windows die Speicherung von Benutzernamen 

und Kennwörtern, um eine praktisch transparente Terminaldiensteanmeldung zu ermöglichen. 

Diese Anmeldeinformationen werden mithilfe der Credential Manager API gespeichert, 

geschützt durch die Anmeldeinformationen, die für die primäre Anmeldesitzung eingegeben 

wurden. 

Um zu sehen, wie dies eine Sicherheitsabhängigkeit erzeugen kann, wollen wir den Fall 

betrachten, dass ein Netzwerkadministrator sich an seiner persönlichen Arbeitsstation anmeldet. 

Er benutzt diese Arbeitsstation für E-Mail, Webbrowser und andere typische Arbeiten 

eines Angestellten im IT-Bereich. Selbstverständlich benutzt er für diesen Zweck ein 

Domänenkonto mit geringen Privilegien. Irgendwann an diesem Tag stellt er eine Verbindung 

zu einem der Domänencontroller her, um eine Verwaltungsaufgabe durchzuführen. Er 

benutzt dafür den Terminaldiensteclient und entscheidet sich, sein Kennwort zu speichern, 

damit die Verbindung künftig einfacher hergestellt werden kann. Das erzeugt mindestens 

eine, möglicherweise sogar zwei inakzeptable Sicherheitsabhängigkeiten. Die erste ist, dass 

die Anmeldeinformationen für sein administratives Domänenkonto jetzt durch die Anmeldeinformationen 

seines Standardbenutzerkontos geschützt werden, das nur geringe Privilegien 

hat. Falls sein Standardbenutzerkonto kompromittiert wird, wird auch sein administratives 

Domänenkonto kompromittiert, und damit ist die gesamte Domäne kompromittiert. 

Die zweite Abhängigkeit ergibt sich aus der Tatsache, dass er die Anmeldeinformationen für 

ein administratives Domänenkonto auf einem Computer eingibt, der kein Domänencontroller 

ist. Sofern seine persönliche Arbeitsstation nicht mindestens genauso gut geschützt ist 

wie Domänencontroller (kaum anzunehmen), haben wir eine Abhängigkeitssituation, bei der 

die Sicherheit des Domänencontrollers von der Sicherheit der persönlichen Arbeitsstation 

des Benutzers abhängt. Falls zum Beispiel ein verärgerter Angestellter, der im selben Büro 

arbeitet, einen Hardware-Keystroke-Logger in der Arbeitsstation des Netzwerkadministrators 

installiert hat, sind die Anmeldeinformationen für das administrative Domänenkonto 

jetzt in diesem Keystroke-Logger gespeichert. Jedes Mal, wenn Sie Anmeldeinformationen 

für ein administratives Domänenkonto auf einem Nicht-Domänencontroller eintippen, haben 

Sie die gesamte Domäne allen Sicherheitslücken auf diesem Nicht-Domänencontroller ausgesetzt. 

Falls zum Beispiel ein Angreifer ein Wechsellaufwerk an einen Computer anschließt, 

auf dem ein Domänenadministrator gerade angemeldet ist, auf dem er früher einmal angemeldet 

war oder auf dem er sich in Zukunft anmelden wird, ist das Konto des Domänenadministrators 

kompromittiert, und damit ist es auch die gesamte Domäne. Es ist absolut unverzichtbar, 

dass Sie verstehen, wie diese Abhängigkeiten funktionieren. Nur so können Sie 

verhindern, dass sie in Ihrem Netzwerk entstehen. Das heißt zum Beispiel, dass Sie sehr 

vorsichtig sein müssen, welche Computer Sie benutzen, um kritische Computer im Netzwerk 

zu administrieren.

Einführung in Sicherheitsabhängigkeiten 383 

Diese Analyse führt uns zu zwei ganz konkreten Ratschlägen. Erstens sollten Sie niemals 

einen Computer benutzen, um Daten, die kritischer sind als der Computer selbst, einzugeben, 

abzurufen, zu verarbeiten oder zu speichern. Denken Sie daran, dass jedes Datenelement, 

das von einem Computer verarbeitet wird, unter Umständen jedem offensteht, der 

diesen Computer jemals benutzt hat oder benutzen wird. Wenn Sie Anmeldeinformationen 

auf einem Computer speichern, bei dem sie allen Benutzern vertrauen, ist das sicher. Wenn 

Sie solche Daten auf einem Computer speichern, der möglicherweise von nichtvertrauenswürdigen 

Benutzern bedient wird oder auf dem irgendwann Malware installiert werden 

könnte, ist das unsicher. 

Zweitens sollten Sie niemals einen kritischen Computer von einem Computer aus verwalten, 

der weniger kritisch ist. Für die Praxis bedeutet das, dass Sie dedizierte Verwaltungsstationen 

verwenden sollten, auf denen hochkritische Computer wie zum Beispiel Domänencontroller 

administriert werden. Wenn Sie lediglich runas oder die Benutzerkontensteuerung 

(User Account Control, UAC) einsetzen, bietet das keine ausreichende Sicherheit. 

Dasselbe gilt natürlich für Software. Nehmen wir zum Beispiel an, wir wollen einen hochsicheren 

Webbrowser schreiben. Dieser Browser soll viel sicherer sein als der integrierte 

Browser. In diesem Fall können wir überhaupt keine Funktionen nutzen, die der integrierte 

Browser zur Verfügung stellt. Im Fall von Windows, wo der Browser einen Großteil der 

clientseitigen Internetfunktionalität des Betriebssystems implementiert, dürfen wir nicht 

einmal die integrierten URL-Überprüfungsfunktionen (Uniform Resource Locator) oder 

irgendwelche HTML-Anzeigefunktionen (Hypertext Markup Language) nutzen, die das 

Betriebssystem zur Verfügung stellt, weil dies in Wirklichkeit Komponenten des Internet 

Explorers sind. Wenn wir auf Funktionalität zurückgreifen, die der integrierte Browser zur 

Verfügung stellt, haben wir eine Sicherheitsabhängigkeit vom integrierten Browser. Da unser 

Ziel lautet, mehr Sicherheit als der integrierte Browser zu bieten, ist diese Abhängigkeit 

inakzeptabel. 

Abhängigkeitsanalyse eines Angriffs 

An diesem Punkt dürfte es nützlich sein, einen kleinen Abstecher zu machen und einen Angriff 

aus Sicht der Abhängigkeitsproblematik zu analysieren. Weiter oben haben wir gesehen, 

was passieren kann, wenn ein Wechseldatenträger in böser Absicht an den Computer 

angeschlossen wird. Weniger offensichtlich ist, was mit dem Netzwerk geschieht, an das 

dieser Computer angeschlossen ist. Nehmen wir an, dass der betroffene Computer ein 

Domänenmitglied ist, wie in Abbildung 14.1 gezeigt. 

Abbildung 14.1 zeigt ein Abhängigkeitsdiagramm für den Idealfall. Die Pfeile geben die 

Richtung der Abhängigkeit an: Die Sicherheit der Arbeitsstation hängt von der Sicherheit 

des Domänencontrollers ab, und die Sicherheit des Benutzers hängt von der Sicherheit 

der Arbeitsstation ab. Der Angreifer ist möglicherweise in der Lage, die Arbeitsstation zu 

kompromittieren, wodurch auch alle Informationen kompromittiert werden, die der Benutzer 

auf dieser Arbeitsstation gespeichert hat. Aber die Kompromittierung bleibt auf diesem 

Computer isoliert. 

Ändern wir das Szenario ein wenig. Nehmen wir an, der Benutzer, der sich an der Arbeitsstation 

anmeldet, ist ein Mitglied der lokalen Gruppe Administratoren auf dem Server. Und 

nehmen wir weiter an, dass sich häufiger ein Domänenadministrator am Server anmeldet. 

Die fetten Pfeile in Abbildung 14.2 stehen für diese neuen Abhängigkeiten.


Abbildung 14.1 Abhängigkeiten in einer Domäne 

Abbildung 14.2 Inakzeptable Abhängigkeiten in einer Domäne 

Wie Sie in Abbildung 14.2 erkennen, können wir die Sicherheit des gesamten Netzwerks 

schlicht dadurch verletzen, dass wir einfach die Annahme ändern, wer sich an welchem 

Computer anmeldet. Weil sich ein Domänenadministrator am Server anmeldet, hängt die 

Sicherheit des Domänencontrollers (und damit der Domäne) von der Sicherheit des Servers 

ab. Das wäre akzeptabel, wenn der Server genauso sicher verwaltet würde wie der Domänencontroller. 

Aber ein Benutzer, der sich an der Arbeitsstation anmeldet, ist ein Mitglied 

der Gruppe Administratoren auf dem Server, sodass die Sicherheit des Servers von der Arbeitsstation 

abhängt. Abhängigkeiten sind transitiv, das bedeutet, dass nun die Sicherheit der 

gesamten Domäne von der Sicherheit der Arbeitsstation abhängt, wo der Benutzer dummerweise 

gerade die böswilligen Tools des Angreifers ausgeführt hat. Aus diesem Grund ist es 

so wichtig, dass Sie Ihre Abhängigkeiten richtig verwalten.

Abhängigkeitstypen 385 

Abhängigkeitstypen 

Sie müssen viele unterschiedliche Arten von Abhängigkeiten verwalten. Einige würden den 

Rahmen dieses Buchs sprengen, zum Beispiel inhärente Abhängigkeiten aus der Softwareentwicklung. 

Zum Beispiel hängt die Sicherheit des Codes auf einer Website davon ab, dass 

in den Webbrowsern, die von allen Besuchern benutzt werden, eine geeignete Isolierung 

erzwungen wird. Es gibt aber mehrere unterschiedliche Abhängigkeitstypen, die für ein 

Netzwerk relevant sind. In diesem Abschnitt will ich sie vorstellen und beschreiben, wie Sie 

diese Abhängigkeiten mithilfe von Standardanalysetechniken eindämmen können und wie 

diese Techniken in Windows Server 2008 implementier t sind. 

Nutzungsabhängigkeiten 

Die erste und einfachste Art der Abhängigkeit ist die Nutzungsabhängigkeit (engl. usage 

dependency). Eine Nutzungsabhängigkeit ergibt sich daraus, dass Computerressourcen und 

-daten auf eine Weise benutzt werden, die nicht den Vertrauensstufen dieser Ressourcen 

entspricht. Das erste Beispielszenario in diesem Kapitel, der Wechseldatenträger, ist ein 

Beispiel für eine Nutzungsabhängigkeit. Ein Benutzer, der einen Wechseldatenträger verwendet, 

erzeugt eine Nutzungsabhängigkeit auf diesem Gerät. Jedes Mal, wenn ein Benutzer 

auf einer Vertrauensstufe eine Ressource verwendet, die sich auf einer anderen Vertrauensstufe 

befindet, ergibt sich das Potenzial für Nutzungsabhängigkeiten. 

Es gibt auch andere Arten von Nutzungsabhängigkeiten. Ein hervorragendes Beispiel ist die 

Nutzung derselben Anmeldeinformationen an mehreren Stellen. Nehmen wir zum Beispiel 

an, Ihr Netzwerk ist in eine Datencenter-Gesamtstruktur und eine Unternehmens-Gesamtstruktur 

untergliedert. Alle Benutzer in der Datencenter-Gesamtstruktur haben auch Konten 

in der Unternehmens-Gesamtstruktur. Die Wahrscheinlichkeit, dass zumindest ein Benutzer 

für beide Konten denselben Benutzernamen und dasselbe Kennwort verwendet, ist sehr 

hoch. Aber das macht den Zweck zunichte, weswegen überhaupt die zwei Gesamtstrukturen 

eingeführt wurden: Es sollte sichergestellt werden, dass eine Kompromittierung in einer 

Gesamtstruktur nicht dazu führt, dass die andere ebenfalls kompromittiert wird. Indem ein 

Befehl dasselbe Kennwort an beiden Stellen verwendet, hat er eine mögliche Verbindung 

zwischen den beiden geschaffen. Ein Angreifer, der in einen Computer in einer Gesamtstruktur 

einbricht, die dieser Benutzer verwendet, kann den Kennworthashwert extrahieren 

und sich damit an Ressourcen in der anderen Gesamtstruktur authentifizieren. 

So funktioniert’s: Kennworthashwerte sind klartextäquivalent 

Praktisch jedes moderne Computersystem akzeptiert in wenigstens einigen Fällen eine 

Kennwortauthentifizierung. In Windows Server 2008 (wie schon in älteren Windows Server-Versionen) 

können Sie eine Domäne so konfigurieren, dass Smartcards für die Authentifizierung 

bestimmter Benutzer erforderlich sind. Aber aus Kapitel 2, »Authentifizierung 

und Authentifizierungsprotokolle«, wissen Sie, dass es sogar in diesem Fall einen 

Kennworthashwert für den Benutzer gibt. Dieser Hashwert wird jedes Mal, wenn sich der 

Benutzer authentifiziert, an den Client übertragen, um einen automatischen Zugriff auf 

NTLM-geschützte Ressourcen zu ermöglichen. Das bedeutet, dass ein Angreifer, der 

Zugriff auf diesen Hashwert hat, als dieser Benutzer auf Netzwerkressourcen zugreifen 

kann. Weitere Informationen dazu finden Sie in Kapitel 2.


Zugriffsabhängigkeiten 

Eine Zugriffsabhängigkeit (engl. access-based dependency) tritt auf, wenn ein Benutzer auf 

einer Vertrauensstufe so auf eine Ressource zugreift, dass der Benutzer von der Sicherheit 

dieser Ressource abhängig wird. Zugriffsabhängigkeiten ergeben sich aus dem Zugriff 

selbst, nicht aus der Nutzung einer Ressource oder eines Datenverarbeitungsgeräts. Oft ergeben 

sie sich daraus, dass ein Benutzer oder eine Entität einer anderen Entität vertraut, bei 

der ein Sicherheitsproblem besteht. 

Nehmen wir zum Beispiel an, Benutzerin Alice greift auf eine Netzwerkressource zu. Die 

Netzwerkressource liegt auf dem Server LOKE, der (was Alice nicht weiß) einige Stunden 

vorher von Bob gehackt wurde. Bob hat ein Rootkit auf dem Server installiert, das dafür 

sorgt, dass Authentifizierungen in eine unsichere Form der Authentifizierung umgewandelt 

werden. Der Computer von Alice läuft unter Windows XP, das standardmäßig so konfiguriert 

ist, dass es eine Authentifizierung aushandelt, auf die sich Server und Client einigen 

können. Dabei sendet Alice eine Frage-Antwort-Sequenz (engl. challenge-response), die der 

Angreifer erneut gegenüber dem Computer von Alice abspielen kann, wodurch er sich 

Zugriff auf ihren Computer verschafft. Dabei erhält er dieselben Privilegien wie Alice. 

Anhand von Abbildung 14.3 können Sie sich diesen Ablauf klarmachen; hier sehen Sie 

erst einmal den normalen Authentifizierungsfluss von einem Client zu einem Server. 

Abbildung 14.3 Ein normaler Frage-Antwort-Fluss von einem Client zu einem Server

Abhängigkeitstypen 387 

Beim normalen Ablauf baut ein Client eine Verbindung zum Server auf. Der Server antwortet 

mit einer Frage. Der Client generiert die Antwort auf die Frage, indem er eine kryptografische 

Operation mit dem Authentifizierer (normalerweise einem Kennworthashwert) und 

der Frage durchführt und das Ergebnis als Antwort zurücksendet. Der Server führt dieselbe 

Berechnung durch und vergleicht die Ergebnisse. Falls sie übereinstimmen, war die Authentifizierung 

erfolgreich. 

Sehen Sie sich jetzt Abbildung 14.4 an. In diesem Fall antwortet der Server nicht, wie er 

sollte. 

Abbildung 14.4 Mithilfe eines Reflektionsangriffs kann der Client die Frage des 

Servers an den Client »zurückspiegeln«, um eine gültige Antwort zu erhalten 

In Abbildung 14.4 versucht der Client wie zuvor, eine Verbindung herzustellen. An diesem 

Punkt sollte der Server eine Frage zurücksenden. Aber der Server antwortet stattdessen 

mit seinem eigenen Verbindungsversuch in Fluss 2. Der Client antwortet auf diesen Verbindungsversuch 

mit einer Frage (Fluss 3), die der Server wieder zurück an den Client spiegelt, 

sodass dies die Frage für die Verbindung wird, die der Client angefordert hat (Fluss 4). Der 

Client bekommt also dieselbe Frage, die er ursprünglich hingesendet hat. Ohne dass dem 

Client etwas auffällt, berechnet er eine gültige Antwort auf diese Frage, die er selbst ursprünglich 

gesendet hat, und schickt sie an den Server für die Verbindung zurück, die der 

Client eingeleitet hat (Fluss 5). Der Server nimmt diese Antwort und gibt sie als Antwort auf 

die Frage zurück, die der Client für die eingehende Verbindung (Fluss 6) ausgestellt hat. Das 

Ergebnis ist, dass wir jetzt zwei erfolgreiche Verbindungen haben: eine vom Client zum


Server und eine zweite vom Server zum Client. Dies wird als Reflektionsangriff (engl. reflection 

attack) bezeichnet. In Windows Vista und Windows Server 2008 wird dieser Angriff 

durch die statusbehaftete Frage-Antwort-Verwaltung unwirksam gemacht. Das bedeutet, 

dass der Computer keine eingehende Frage annimmt, die einer ausstehenden Frage entspricht, 

die er selbst gesendet hat. In älteren Versionen lässt sich der Angriff mithilfe verschiedener 

Sicherheitseinstellungen abwehren. 

Dieser Angriff funktioniert aufgrund einer Zugriffsabhängigkeit. Es gibt andere Formen 

dieser Abhängigkeit. Ein Benutzer könnte an einem öffentlichen Kioskcomputer über Microsoft 

Office Outlook-Webzugriff seine E-Mail abrufen. Öffentliche Kioskcomputer sind oft 

die am meisten mit Malware verseuchten, am wenigsten vertrauenswürdigen, gefährlichsten 

Computer überhaupt. Sie sollten davon ausgehen, dass auf jede Ressource, die Sie in einem 

öffentlichen Kioskcomputer verwenden, jeder Benutzer zugreifen kann, der jemals auf diesen 

Computer zugegriffen hat oder das in Zukunft tut. Hier entsteht eine Zugriffsabhängigkeit 

zwischen der Sicherheit des öffentlichen Kioskcomputers (auf die Sie keinen Einfluss 

haben) und jeder Ressource, auf die Sie mithilfe von Anmeldeinformationen zugreifen, die 

Sie an diesem öffentlichen Computer eingeben. 

Administrative Abhängigkeiten 

Einer der häufigsten Abhängigkeitstypen ist eine administrative Abhängigkeit (engl. administrative 

dependency), die auftritt, wenn dasselbe Konto benutzt wird, um zwei unterschiedliche 

Ressourcen zu verwalten. Wenn Sie zum Beispiel ein administratives Domänenkonto 

benutzen, um Mitgliedserver zu verwalten (wie in Abbildung 14.2 weiter oben), erzeugen 

Sie eine administrative Abhängigkeit. Das mag ganz ähnlich wie eine Nutzungsabhängigkeit 

aussehen, und das ist es auch. Aber es gibt einen wichtigen Unterschied: Administrative 

Abhängigkeiten müssen nicht nutzungsbasiert sein. Nehmen wir an, dass die 

Gruppe Administratoren auf Server A die Benutzer Teddy, Maggie und Alex umfasst, und die 

Gruppe Administratoren auf Server B die Benutzer Maggie, Jesper und Jennifer. Nehmen 

wir außerdem an, dass Maggie sich noch nie an Server A angemeldet hat. Aber nun wird 

Server B kompromittiert. Wenn Maggie sich an Server B anmeldet, hat der Angreifer, der 

Server B kompromittiert hat, Zugriff auf die Anmeldeinformationen von Maggie. Er kann 

damit nun auch auf Server A zugreifen. 

Dienstkontoabhängigkeiten 

Dienstkontoabhängigkeiten (engl. service account dependency) treten auf, wenn dieselbe 

Identität benutzt wird, um einen Dienst an mehreren Orten auszuführen. Nehmen wir an, Sie 

setzen eine netzwerkweite EMS (Enterprise Management Solution) ein. Das EMS-Paket 

enthält einen Agenten, der auf allen Computern läuft, um die Remotebereitstellung von 

Software, Remoteverwaltung und etliche weitere praktische Features zu ermöglichen. Der 

Agent läuft unter dem Konto _DomainTools. Das Konto _DomainTools muss offensichtlich 

erhöhte Privilegien auf allen Mitgliedcomputern haben, damit diese Art der Remoteverwaltung 

möglich ist. Das erzeugt eine Dienstkontoabhängigkeit zwischen allen Computern, auf 

denen das Konto _DomainTools hohe Privilegien hat. Falls irgendeiner dieser Computer 

kompromittiert wird, werden möglicherweise alle kompromittiert, weil der Angreifer jetzt 

Zugriff auf ein Konto mit hohen Privilegien hat.

Eindämmen von Abhängigkeiten 389 

Betriebsabhängigkeiten 

Schließlich haben wir noch die Betriebsabhängigkeit (engl. operational dependency). Betriebsabhängigkeiten 

entstehen aufgrund der Art und Weise, wie ein Netzwerk betrieben 

wird. Zum Beispiel erzeugt Active Directory automatisch eine Betriebsabhängigkeit. Die 

Sicherheit jedes Elements innerhalb einer Gesamtstruktur hängt von der Gesamtstruktur ab. 

Falls die Gesamtstruktur kompromittiert wird, gilt dies auch für alle Elemente innerhalb 

der Gesamtstruktur. Die Sicherheit der Gesamtstruktur hängt wiederum von allen Domänen 

in der Gesamtstruktur ab. Falls eine Domäne kompromittiert wird, gilt das auch für die 

Gesamtstruktur. 

Sicherheitswarnung Die Gesamtstruktur, nicht die Domäne, ist und war immer die Sicherheitsgrenze 

in Active Directory. 

Eine andere sehr häufige Abhängigkeit in einem Netzwerk entsteht durch das Softwareverteilungssystem. 

Sehr oft wird eine einzige Serverfreigabe oder ein Satz von DFS-Freigaben 

(Distributed File System, Verteiltes Dateisystem) benutzt, um Software an Computer im 

Netzwerk zu verteilen. Falls ein Angreifer den oder die Server kompromittiert, die diese 

Software hosten, werden möglicherweise alle Computer kompromittiert, die Software von 

diesen Servern erhalten. Die Betriebsabhängigkeit hat eine Zugriffsabhängigkeit in den 

Softwareverteilungsservern erzeugt. 

Kategorien für Abhängigkeiten 

Inzwischen ist Ihnen sicherlich aufgefallen, dass die Grenzen zwischen den unterschiedlichen 

Abhängigkeitstypen nicht immer deutlich sind und dass eine einzige Abhängigkeit 

zu mehreren Kategorien gehören kann. Zum Beispiel ist ein Dienstkonto, das auf mehreren 

Computern benutzt wird, sowohl eine Dienstkontoabhängigkeit als auch eine administrative 

Abhängigkeit. Die Einteilung der Abhängigkeiten in verschiedene Typen soll es 

einfacher machen, damit umzugehen. Der eine Abhängigkeitstyp ist nicht zwangsläufig 

wesentlich schlimmer als ein anderer. Einzelne Fälle von Abhängigkeiten können mehr 

oder weniger schwerwiegend sein, aber dafür sind die Merkmale dieser konkreten Abhängigkeit 

verantwortlich, nicht die Abhängigkeitskategorie, zu der er gehört. Verwenden 

Sie die Kategorien als Richtlinie, die Ihnen bei der Vorstellung von der Untergliederung 

Ihres Netzwerks hilft, nicht als aufgezwungenes Schema, in das die Dinge unbedingt gezwungen 

werden müssen. Falls Sie feststellen, dass eine andere Einteilung für Sie nützlicher 

ist, sollten Sie sie ruhig verwenden. 

Es gibt hier nur eine Regel: Alles, was Sie tun, sollte die Sicherheit Ihres Netzwerks 

verbessern. 

Eindämmen von Abhängigkeiten 

Nachdem Sie fast in der Mitte dieses Kapitels angelangt sind, kommen wir endlich zu der 

Frage, wie Sie das Problem lösen. Es hat so lange gedauert, weil die Konzepte, mit denen 

wir uns bisher beschäftigt haben, in den meisten Dokumenten zum Thema Sicherheit kaum 

angesprochen werden. Oft werden diese Probleme nicht einmal am Rand erwähnt.


Eine der heute wichtigsten Techniken für die Eindämmung von Sicherheitsabhängigkeiten 

ist die Isolierung von Computern, die nicht miteinander kommunizieren müssen. Dadurch 

wird es solchen Computern unmöglich gemacht, überhaupt miteinander zu kommunizieren. 

Microsoft bezeichnet dies als Server- und Domänenisolierung (engl. server and domain 

isolation). Eine entsprechende Strategie lässt sich am besten schrittweise entwickeln: 

1. Definieren Sie ein Klassifizierungsschema. 

2. Modellieren Sie Ihr Netzwerk. 

3. Analysieren Sie Ihr Netzwerkmodell im Bezug auf das Klassifizierungsschema. 

4. Passen Sie das Klassifizierungsschema bei Bedarf an und analysieren Sie es erneut. 

5. Definieren Sie eine Isolierungsstrategie, die Ihrer Risikomanagementstrategie folgt. 

6. Leiten Sie eine Betriebsstrategie aus Ihrer Isolierungsstrategie ab. 

7. Bauen Sie eine Serverimplementierung auf Basis Ihrer Isolierungsstrategie auf. 

Diese 7 Schritte sind deutlich komplizierter, als sie auf den ersten Blick wohl aussehen. Vor 

allem müssen Sie sich klarmachen, dass sich dies nicht mal eben an einem ruhigen Nachmittag 

erledigen lässt. Sie müssen sich viel eingehender mit der Struktur und den Nutzungsmustern 

in Ihrem Netzwerk vertraut machen, als es in den meisten Organisationen üblich ist. 

Selbst wenn das einzige Ergebnis darin besteht, dass Sie Ihr Netzwerk besser verstehen, 

haben Sie schon eine Menge gewonnen. Der Rest dieses Kapitels beschreibt, wie Sie mithilfe 

dieser Konzepte eine Serverisolierungsstrategie entwerfen und implementieren. 

Wichtig Bevor wir fortfahren, müssen wir unbedingt den Begriff Serverisolierung (engl. server isolation) 

genauer definieren. Als Microsoft diesen Begriff prägte, geschah das in Kombination mit dem Begriff Domänenisolierung 

(engl. domain isolation). Domänenisolierung bedeutete einfach, dass Sie ein Domänenmitglied 

sein mussten, um mit irgendeinem anderen Domänenmitglied kommunizieren zu können (es gab 

allerdings ein paar Ausnahmen). Diese Art der Isolierung ist recht simpel. Sie ist zwar nützlich, hat aber 

auch etliche gewaltige Lücken, weil sie annimmt, dass alle Domänenmitglieder wohlerzogen und nett sind. 

Serverisolierung ist der nächste Schritt. Bei der Serverisolierung wird bei jedem Server der eingehende 

Verkehr eingeschränkt, normalerweise mit IPsec, sodass nur der Verkehr zugelassen wird, den der Server 

benötigt, um die vorgesehenen Aufgaben zu erfüllen. Das bietet in der Tat eine sehr gute Isolierung. 

Als Microsoft und andere Kunden begannen, diese Isolierungsmechanismen zu implementieren, stellten sie 

fest, dass Domänenisolierung zwar ein simples Prinzip ist, die Implementierung der Serverisolierung aber 

deutlich einfacher war, weil IPsec in einem großen Netzwerk sehr schwierig zu beherrschen ist. Daher 

begannen sie im Allgemeinen mit der Serverisolierung. 

Was die meisten Beobachter aber bei der Serverisolierung vergessen, ist die Tatsache, dass jeder Windows-Computer 

ein Server ist. Jede Arbeitsstation führt standardmäßig auch den Serverdienst aus, und 

falls Sie den eingehenden Verkehr nicht einschränken, haben Sie ein Netzwerk, in dem jeder Client jeden 

anderen Client angreifen (mit ihm kommunizieren) kann. Das gilt sogar dann, wenn Sie Domänenisolierung 

nutzen. Vergessen Sie daher nicht, Clients in Ihre Serverisolierungsstrategie einzubeziehen. 

Schritt 1: Erstellen eines Klassifizierungsschemas 

Der erste Schritt beim Erstellen einer Serverisolierungsstrategie besteht darin, Systeme zu 

klassifizieren. Sie können sich das so vorstellen, dass die Netzwerkschutzmechanismen 

in einem bestimmten Spektrum angeordnet sind. Nehmen wir zum Beispiel administrative 

Konten. Ein Ende des Spektrums besteht darin, ein einziges Konto für alle Aufgaben zu


benutzen, auf allen Computern, von allen Administratoren. Beim anderen Extrem haben Sie 

ein Konto pro Administrator pro Aufgabe pro Computer, mit jeweils gerade so vielen Privilegien, 

wie unbedingt nötig sind, um die Aufgabe auszuführen. Auch wenn das erste Beispiel 

in der Praxis durchaus vorkommen kann, verletzt es mehr Sicherheitsprinzipien, als wir hier 

auflisten können. Das zweite Beispiel ist zwar sehr sicher, aber kaum zu verwalten und so 

umständlich zu benutzen, dass es wahrscheinlich von allen Beteiligten ignoriert wird. Für 

alle anderen Techniken gibt es ähnliche Spektren. Zum Beispiel können Sie beim Einschränken 

der Kommunikation natürlich jeden einzelnen Computer analysieren und den 

Zugriff auf jeden einzelnen so einschränken, dass er gerade noch seine speziellen Aufgaben 

erfüllen kann. Aber in einem Netzwerk mit vielen Tausend Computern ist das praktisch unmöglich. 

Sie würden gehackt werden, lange bevor Sie die Analyse abgeschlossen haben. 

Weit sinnvoller ist es, ein Klassifizierungsschema zu erstellen. Dieses Schema kann beliebig 

einfach oder komplex sein. Das Konzept, Computer in Kategorien einzuteilen, ist sinnvoll 

für ein Unternehmen. Klassifizierungen können viele Formen annehmen. Im militärischen 

Bereich ist es üblich, ein zweidimensionales Klassifizierungsschema zu verwenden, ein 

Beispiel sehen Sie in Tabelle 14.1. 

Tabelle 14.1 Ein militärisches Klassifizierungsschema 

Klasse 

Nicht geheim Geheim Streng geheim 

Stufe Stufe 1 

Stufe 2 

Stufe 3 

Die Klassifizierung im militärischen Stil lässt sich recht leicht so anpassen, dass sie auf 

Computer passt. Eine Variante zeigt Tabelle 14.2. 

Tabelle 14.2 Systemklassifizierung anhand der Rolle 

Klasse 

Öffentlich Arbeitsstationen Server 

Stufe Kioskcomputer Arbeitsstationen für Sachbearbeiter Domänencontroller 

Infrastrukturserver Entwicklerarbeitsstationen Dateiserver 

Tabelle 14.2 zeigt einen Ausschnitt aus einer Computerklassifizierung, die auf der Rolle der 

Systeme basiert. Unabhängig davon, wie Sie Ihre Klassifizierungen entwerfen, drängt sich 

praktisch immer das Konzept auf, als Basis die Rolle zu nehmen, die der Computer erfüllt. 

Je detaillierter Sie das Klassifizierungsschema machen (das heißt, je näher Sie an eine einzige 

Rolle kommen), desto sicherer wird die darauf aufbauende Implementierung. Übertreiben 

Sie es aber nicht mit dieser Klassifizierung. Erstens müssen Sie Ihr Schema wahrscheinlich 

noch einmal überarbeiten, sobald Sie mit der Analyse Ihres Netzwerks beginnen und feststellen, 

dass Sie etwas vergessen haben und einige Rollen nicht sonderlich sinnvoll sind. 

Zweitens sollten Sie dies als Risikomanagementaufgabe behandeln. Falls Sie ein Klassifizierungsschema 

für eine Umgebung mit sehr großen Gefahren entwickeln, ist es angebracht, 

mehr ins Detail zu gehen. Falls Sie eine Umgebung mit geringen Gefahren haben, reicht 

wahrscheinlich ein gröberes System aus.


Abbildung 14.5 Ein Klassifizierungssystem im Stil eines Organisationsdiagramms 

ist nützlich für komplexe Umgebungen, wo viele Untertypen benötigt werden, um die 

Sicherheitsanforderungen der Computer angemessen wiederzugeben


Möglicherweise ist Ihnen aufgefallen, dass ein potenzielles Problem bei der Verwendung 

eines zweidimensionalen Klassifizierungssystems, das sich aus dem militärischen Schema 

ableitet, darin besteht, dass Sie nicht berücksichtigen können, welche Daten ein bestimmter 

Computer eines bestimmten Typ verarbeitet und um welchen Servertyp es sich handelt. Zum 

Beispiel sind nicht alle Datenbankserver gleich. Manche verarbeiten sehr kritische persönliche 

Daten, zum Beispiel Ausweisnummer. Andere speichern öffentlich verfügbare Informationen, 

zum Beispiel Webseiten, die von allen Benutzern gelesen, aber nur von wenigen 

geändert werden können. Wieder andere Server können völlig öffentlich sein und werden 

einfach als zentrale Temporärordner genutzt. Sie können für jeden Computertyp weitere 

Zeilen zur Klassifizierung hinzufügen, aber weil viele Parameter, die Sie auf Computer 

innerhalb eines Haupttyps anwenden müssen, sehr ähnlich sind, ist das keine besonders 

elegante Methode. 

Etwas sauberer lässt sich der Untertyp von Computern berücksichtigen, indem Sie eine andere 

Modellierungsmethode verwenden. Ich mag die Abbildung als Organisationsdiagramm. 

Es ist unendlich erweiterbar und erlaubt die einfache Definition von Untertypen. Sie können 

natürlich auch ein komplizierteres Modellierungsschema verwenden, aber weil ich Übersichtlichkeit 

in diesem Punkt wichtiger finde als die Verfügbarkeit von Hunderten von Modellierungskonstrukten, 

neige ich dazu, einfache Modellierungsschemas zu verwenden. Wenn 

wir ein Organisationsdiagramm als Vorbild nehmen, ergibt sich zum Beispiel ein Aufbau wie 

in Abbildung 14.5. 

Wie Abbildung 14.5 zeigt, kann ein Klassifizierungsmodell im Stil eines Organisationsdiagramms 

schnell sehr groß werden. Daher eignet es sich nicht für alle Umgebungen. Beachten 

Sie auch, dass viele Kategorien wahrscheinlich gar keine Computer enthalten. Während 

zum Beispiel Server eine nützliche abstrakte Klasse ist, sollten ihr keine Computer zugewiesen 

werden. Alle Computer sollten einer spezielleren Klasse zugeordnet werden. Bei der 

Beschreibung von Serverrollen (siehe Kapitel 12, »Schützen von Serverrollen«) kann diese 

Art von hierarchischer Zuordnung aber sehr nützlich sein. 

Sobald Sie ein vorläufiges Klassifizierungsmodell haben, sollten Sie beginnen, es auf Herz 

und Nieren zu prüfen, indem Sie Ihre Analyse durchführen. Eine nützliche Technik für die 

Analysephase ist die Netzwerkgefahrenmodellierung, die erstmals in Protect Your Windows 

Network beschrieben wurde. 

Schritte 2 und 3: Netzwerkgefahrenmodellierung 

Im nächsten Schritt prüfen Sie, wie gut Ihr Klassifizierungsmodell auf die tatsächlichen 

Computer in Ihrem Netzwerk passt. Falls Sie noch keine Übersicht Ihres Netzwerks haben, 

sollten Sie jetzt eine erstellen. Sie sollte alle wichtigen Elemente in Ihrem Netzwerk aufführen, 

allerdings können Sie identische Elemente zu Gruppen zusammenfassen. Das Ziel besteht 

darin, Ihnen etwas an die Hand zu geben, was Ihnen zeigt, wie Ihr Netzwerk aussieht. 

Abbildung 14.6 zeigt ein Beispiel. 

Der nächste Schritt besteht darin, das Klassifizierungsschema auf die Netzwerkübersicht 

anzuwenden. Wie Ihnen sicherlich schon aufgefallen ist, basiert Abbildung 14.6 auf dem 

Hardwareentwurf des Netzwerks, wobei die Standorte voneinander getrennt sind und es 

manche Servertypen in mehreren Standorten gibt. Bei der Netzwerkgefahrenmodellierung 

interessieren wir uns nicht für die einzelnen Server. Unser Ziel besteht darin, die Typen von 

Computern kennenzulernen, nicht die einzelnen Computer. Zu diesem Zweck nehmen wir 

unser Klassifizierungsschema und führen es mit unserer Netzwerkübersicht zusammen.


Dabei geht wahrscheinlich die Trennung zwischen den Standorten verloren. Aber sofern die 

Sicherheitsanforderungen ähnlicher Computertypen in unterschiedlichen Standorten gleich 

sind, haben wir genau das erreicht, was wir wollten. In dieser Phase versuchen wir, eine 

höhere Abstraktionsebene bei unserem Verständnis des Netzwerks zu erreichen. Das Ergebnis 

müsste ein Bild wie in Abbildung 14.7 sein. 

Abbildung 14.6 Für die Gefahrenmodellierung brauchen Sie eine Übersicht Ihres Netzwerks 

Abbildung 14.7 fasst Computer anhand unserer Klassifizierung zu Typen zusammen. Beachten 

Sie, dass wir einen neuen Computertyp haben, der bisher noch nicht aufgetaucht ist: 

Personalabteilungs-Arbeitsstationen. In diesem Unternehmen haben wir entschieden, dass 

wir diese Computer mit besonderer Sicherheit ausstatten müssen, weil die Mitarbeiter der 

Personalabteilung Zugriff auf vertrauliche Informationen über alle Angestellten haben. Nur 

einige wenige Mitglieder des Clientbetriebsteams, das Clients verwaltet, bekommt Zugriff 

auf diese Computer. So wird verhindert, dass alle Clientbetriebsmitarbeiter indirekt Zugriff 

auf persönliche Daten der Unternehmensangestellten erhalten.


Abbildung 14.7 Beginnen Sie die Gefahrenmodellierung damit, dass Sie die Netzwerkhierarchie flacher 

machen und Computer im Klassifizierungsschema zu Gruppen zusammenfassen 

Wenn Sie ein Klassifizierungsschema haben, haben Sie ein wichtiges Zwischenziel bei der 

Netzwerkgefahrenmodellierung erreicht. Sie sollten nun in der Lage sein, den verschiedenen 

Computertypen Einstufungen bezüglich ihrer Schutzwürdigkeit zuzuweisen. Diese Einstufungen 

hängen davon ab, welche Art von Daten auf dem Computer gespeichert ist und welche 

Art von Zugriff auf andere Computer ein Angreifer bekommt, falls es ihm gelingt, diesen 

Computer zu kompromittieren. Ich habe hier numerische Werte verwendet, aber Sie 

können natürlich beliebige Einstufungen verwenden. 

Domänencontroller sind offensichtlich die wichtigsten Computer von allen. Daher haben sie 

die Schutzwürdigkeitseinstufung 10. Für sich genommen bedeutet diese Zahl überhaupt 

nichts. Sie dient lediglich dazu, die Schutzwürdigkeit eines Computertyps relativ zu einem 

anderen festzulegen. Weil Arbeitsstationen von den meisten Benutzern verwendet werden 

und einem hohen Risiko ausgesetzt sind, sollten sie die am wenigsten wichtigen Computer 

im Netzwerk sein. Das bedeutet nicht, dass die Gefahr, dass sie angegriffen werden, am 

geringsten ist, ganz im Gegenteil: Sie werden am wahrscheinlichsten angegriffen. Daher 

sollten sie am unwichtigsten sein. Anders ausgedrückt: Diese Computer sollten Ihnen Zugriff 

auf möglichst wenig Informationen im Netzwerk verschaffen. 

Wenn Sie alle Computer mit einer Einstufung versehen haben, sollten Sie einen recht guten 

Eindruck haben, wie die Betriebsmuster im Netzwerk aussehen. Das bildet später die Grundlage 

für Ihre Isolierungsstrategie. Vorerst müssen wir mit der Analyse der Kommunikationsmuster 

in der Umgebung fortfahren. Dazu stellen wir ein Diagramm zusammen, das ähnlich 

wie in Abbildung 14.8 aussieht.


Abbildung 14.8 Wenn Sie die Systeme zu Gruppen zusammengefasst haben, können Sie ihre 

Kommunikationsmuster analysieren 

Abbildung 14.8 ist ein einfaches Datenflussdiagramm (Data Flow Diagram, DFD) des 

Netzwerks. Das Diagramm in Abbildung 14.7 eignet sich nicht gut, um Kommunikationsmuster 

zu dokumentieren. Dagegen ist ein DFD geradezu maßgeschneidert für diesen 

Zweck. 

Wenn wir ein Netzwerkdiagramm in ein DFD konvertieren wollen, setzen wir erst einmal 

die Computertypen in Prozesse um (die Kreise in Abbildung 14.8). Sogar Datenbanken sind 

Prozesse, weil in Wirklichkeit der Datenbankserver die Verarbeitung aller Datenbankanfragen 

durchführt. Abbildung 14.8 demonstriert auch einen kleinen Trick, der das Bild ver-


ständlicher macht. Beachten Sie den Prozess namens »Alle Domänenmitglieder«. Er ist als 

mehrfache Entität markiert. Er steht für alle Nicht-DC-Computer in der Domäne. Er dient 

als ganz einfacher Platzhalter, um das Diagramm übersichtlicher zu machen, sodass wir alle 

Kommunikationsmuster erfassen können, die auf allen Computern in der gesamten Domäne 

stattfinden. Zum Beispiel müssen alle Computer in der Domäne auf die DCs zugreifen. Statt 

Linien von jedem Computertyp zu den DCs zu zeichnen, ziehen wir einfach eine von »Alle 

Domänenmitglieder«. Und statt all die unterschiedlichen Verkehrstypen aufzulisten, die 

Domänenmitglieder an DCs senden müssen, verwenden wir einen einzigen Pfeil, der mit 

»DC-Verkehr« beschriftet ist. Mit diesen Vereinfachungen reicht eine einzige Linie aus, 

wofür wir sonst etwa 30 gebraucht hätten. 

Tipp Über die Verkehrstypen, die für den Zugriff auf unterschiedliche Servertypen nötig sind, finden Sie 

weitere Informationen im Knowledge Base-Artikel KB 832017, »Dienste und Port-Anforderungen für das 

Microsoft Windows-Serversystem«, unter http://support.microsoft.com/kb/832017. 

Beachten Sie auch, dass alle Kommunikationslinien eine Richtung haben. Die Tatsache, dass 

Domänenmitglieder auf DCs zugreifen müssen, bedeutet nicht, dass DCs umgekehrt auch 

auf Domänenmitglieder zugreifen müssen, das ist kaum jemals der Fall. Falls Sie sorgfältig 

darauf achten, Ihre DCs nicht als Arbeitsstationen oder Verwaltungsstationen zu benutzen, 

müssen Sie von den DCs aus möglicherweise nie auf andere Computer zugreifen. 

Schritt 4: Analysieren, waschen und wiederholen, bis sauber 

Während Sie die Netzwerkgefahrenmodellierung durchgearbeitet haben, ist Ihnen vielleicht 

aufgefallen, dass das Klassifizierungsschema Schwächen hat. Wahrscheinlich gibt es Computertypen, 

die nicht benutzt werden, und fast immer stellen Sie fest, dass einige Typen fehlen. 

Falls nicht, haben Sie wahrscheinlich die Sicherheitsanforderungen Ihrer Systeme nicht 

ausreichend durchdacht. Denken Sie daran, dass zwei Faktoren die Basis für das Klassifizierungsschema 

bilden: Erstens müssen Sie die Kommunikationsmuster auswerten. Einem 

Computer, der nicht auf bestimmte Weise mit einem anderen Computer kommunizieren 

muss, sollte das ganz verboten werden. Zweitens sollten Computer mit unterschiedlicher 

Schutzwürdigkeitseinstufung unterschiedlich verwaltet werden, um sicherzustellen, dass bei 

der Kompromittierung des einen der andere nicht ebenfalls dem Angriff zum Opfer fällt. 

Häufig wird der Fehler gemacht, Datenbankserver nicht von Anwendungsservern zu trennen. 

Eine ordentlich geschriebene Datenbank-Middleware ruft nur genau definierte Speicherprozeduren 

in den Datenbanken auf und verwendet dazu möglichst geringe Privilegien. 

Anwendungsserver sind daher meist unkritischer als Datenbankserver. Uneingeschränkter 

Zugriff auf einen Datenbankserver bedeutet, dass Sie vollständigen Zugriff auf alle Daten 

haben, die darauf gespeichert sind. Uneingeschränkter Zugriff auf einen Anwendungsserver 

bedeutet, dass Sie nur Zugriff auf das erhalten, was die Datenbank Ihnen gibt. 

Falls das Klassifizierungsschema nicht ausreicht, um den Aufbau Ihres Netzwerks auf geeignete 

Weise darzustellen, ist die Lösung einfach: Ändern Sie das Klassifizierungsschema 

oder Ihre Annahmen. Das Klassifizierungsschema eignet sich möglicherweise auch nicht für 

Ihre Risikomanagementstrategie. In diesem Fall können Sie das Klassifizierungsschema so 

ändern, dass es besser zur Risikomanagementstrategie passt. Oder Sie entscheiden, dass Ihre 

Risikomanagementstrategie auf dem Papier zwar gut aussieht, aber in der Praxis unmöglich 

oder nur mit unvertretbarem Aufwand umzusetzen ist. Viele Organisationen haben eine 

Risikomanagementstrategie entwickelt, die in einer Präsentation mit vielen bunten Dia-


grammen ganz toll aussieht, aber in Wirklichkeit unmöglich zu implementieren ist. Das ist 

Ihre Chance zu überprüfen, wie gut Ihre Strategie tatsächlich implementiert werden kann. 

Falls Sie keine Risikomanagementstrategie haben, sollten Sie wahrscheinlich diese Gelegenheit 

nutzen, um eine zu formulieren. 

Hinweis Vielleicht ist Ihnen aufgefallen, dass wir die stillschweigende Annahme gemacht haben, dass es 

keinen Unterschied bei der Zugriffsebene auf einen bestimmten Computer gibt. Oder genauer: dass dieser 

Unterschied für die Netzwerkgefahrenmodellierung nicht relevant ist. Windows bietet aber in beträchtlichem 

Umfang Isolierungsmechanismen, die verhindern, dass jemand mit bloßem Standardbenutzerzugriff auf 

einen Computer diesen Computer vollständig kontrollieren kann. Die Netzwerkgefahrenmodellierung ist 

aber ohnehin schon kompliziert genug; wenn wir diesen Faktor auch noch einbeziehen, wird das Modell 

noch viel komplexer. Stattdessen gehen wir von einer Worst-Case-Annahme aus: Wir bauen unsere Isolierungstechniken 

darauf auf, was ein Angreifer mit vollständiger Kontrolle über einen Computer mit diesem 

Computer tun kann. Zum Beispiel: Falls ein Angreifer vollständige Kontrolle über einen Teamworkserver 

hat, welchen Zugriff gibt ihm das auf die Datenbankserver? Die Antwort hängt davon ab, wie wir das Netzwerk 

verwalten (welche Benutzer sich an den Teamworkservern anmelden) und welcher Verkehr zwischen 

den beiden Computern erlaubt ist. 

Schritt 5: Entwerfen der Isolierungsstrategie 

Wenn Sie ein Netzwerkgefahrenmodell haben, das Sinn ergibt, können Sie damit beginnen, 

die Isolierungsstrategie abzuleiten. Die Isolierungsstrategie basiert in weiten Teilen auf den 

Kommunikationsmustern, die Sie in Abbildung 14.8 identifiziert haben. Sie sollten so restriktiv 

wie möglich sein, aber natürlich dürfen Sie es nicht übertreiben. Sie können das 

Ergebnis in einer Tabelle dokumentieren, die die Servertypen und Kommunikationsmuster 

aufführt. Die Tabelle listet auf: Quell- und Zielhosts, Ports, Protokolle, ob der Verkehr authentifiziert 

und/oder verschlüsselt sein muss und ob die Verbindung auch in umgekehrter 

Richtung (gespiegelt) verlaufen kann. Hier wird es wirklich konkret. Statt einfach »DC- 

Verkehr« zu sagen, müssen Sie die Ports und Protokolle auflisten. Eine sehr nützliche Referenz 

für diese Phase ist der Microsoft Knowledge Base-Artikel 832017, »Dienste und Port- 

Anforderungen für das Microsoft Windows-Serversystem«. 

Das Endergebnis dieses Schritts sollte eine Tabelle sein, die alle erforderlichen Kommunikationsmuster 

in Ihrem Netzwerk auflistet. Ihre Tabelle sollte ähnlich wie Tabelle 14.3 aussehen, 

aber natürlich wird sie viel länger sein. 

Wie Sie sehen, können die Daten in dieser Tabelle recht umfangreich werden. Aber wenn 

Sie das Netzwerk angemessen untergliedert haben, müsste das Zusammenstellen der Daten 

mühsam, aber nicht schwierig sein. Wenn Sie damit fertig sein, haben Sie die IPsec-Implementierung 

der Serverisolierung in Ihrem Netzwerk fast abgeschlossen. Beachten Sie, dass 

die Spaltenüberschriften in Tabelle 14.3 genau die Informationen wiedergeben, die Sie für 

Ihre IPsec-Regeln brauchen. Wenn Sie echte Initiative zeigen wollen, können Sie Tabelle 14.3 

in eine Tabellenkalkulation eingeben und sie dann mit einem Makro in einer Reihe von 

IPsec-Befehlen konvertieren, die die erforderlichen IPsec-Richtlinien generieren. Sie können 

IPsec auf der Befehlszeile konfigurieren, indem Sie den Befehl netsh advfirewall consec add 

rule aufrufen. Weitere Informationen zu IPsec finden Sie auf der Microsoft-IPsec-Site unter 

http://technet.microsoft.com/en-us/network/bb531150.aspx.

Tabelle 14.3 Netzwerkkommunikationsmuster 

Beschreibung Quelle Ziel Quell- 

port 

DC-SMB-Verkehr Alle Domänen- 

mitglieder 

DC-RPC-EP- 

Mapper 

. . . 

Anwendungsserver- 

Datenbankzugriff 

Alle Domänen- 

mitglieder 

SharePoint- 


Dateiserverzugriff Arbeitsstationen 

Personalabteilungs- 

Lohnbuchhaltungs- 

zugriff 

. . . 

Personal- 

abteilungs- 

Arbeitsstationen 

Ziel- 

port 


Protokoll 

Authentifizierung 

verpflichtend 

Verschlüsselung 

verpflichtend 

Gespiegelt 

Alle DCs Alle 445 TCP Nein Nein Nein 

Alle DCs Alle 135 TCP Nein Nein Nein 

SharePoint- 

Datenbankserver 

Dateiserver Alle (139), 

445 

Buchhaltungs- 

server 

Alle 1433 TCP Ja Nein Nein 

TCP Ja Nein Nein 

Alle 80 TCP Ja Ja Nein 

Beachten Sie, dass diese Art der Analyse einige Zeit braucht. Es ist nicht ungewöhnlich, 

dass bei einem Computer um die 50 Ports offen sind. Je standardisierter Ihre Betriebssystemabbilder 

sind, desto einfacher ist es, die benötigten Informationen zusammenzustellen. 

Wenn Sie diese Art Analyse einmal begonnen haben, wird Ihnen garantiert bewusst, wie 

wertvoll es ist, wenn die Softwarehersteller übersichtlich dokumentieren, welche Ports für 

welche Features benutzt werden. 

Schritt 6: Ableiten einer Betriebsstrategie 

Die Betriebsstrategie baut darauf auf, wie Sie die verschiedenen Computer in Ihrem Netzwerk 

verwalten. Die Strategie muss die administrativen Anforderungen der Computer sowie 

alle Dienste und anderen Schritte widerspiegeln, die Sie durchführen. Zum Beispiel brauchen 

Sie wahrscheinlich irgendeine Datensicherungsstrategie für Ihr Netzwerk. Falls Sie 

aber ein einzelnes, zentralisiertes Datensicherungssystem für alle Computer einsetzen, haben 

Sie wahrscheinlich einen großen Teil der Isolierung zerstört, weil Sie jetzt einen Datensicherungsserver 

haben, der Zugriff auf alles im Netzwerk hat und seinerseits von jedem Computer 

im Netzwerk angegriffen werden kann. Daher sollten Sie das Risiko analysieren, das ein 

solcher Schritt mit sich bringt. Diese Analyse könnte zu der Entscheidung führen, Computer 

lieber anhand ihrer Schutzwürdigkeit zu Gruppen zusammenzufassen und die Datensicherungen 

dann innerhalb jeder Schutzwürdigkeitsstufe durchzuführen. Sie können zum Beispiel 

eine einzige Datensicherungslösung für alle Computer mit der Schutzwürdigkeitsstufe 6 

einrichten.


Dieselbe Analyse müssen Sie für die Administration durchführen. Es würde dem Zweck der 

ganzen Aktion zuwiderlaufen, wenn Sie ein einziges administratives Domänenkonto verwenden, 

um auf alle Computer in der Domäne zuzugreifen. Damit setzen Sie das eine administrative 

Konto Angriffen durch alle Computer aus. Die logische Folgerung lautet, unterschiedliche 

Administratorkonten für unterschiedliche Zwecke zu verwenden. Sie könnten 

zum Beispiel ein Konto pro Schutzwürdigkeitsstufe verwenden. Oder Sie weisen Ihren Systemadministratoren 

unterschiedliche Schutzwürdigkeitsstufen zu. Dann können Sie unterschiedliche 

Systemadministratoren unterschiedlichen Computern zuweisen, statt allen zu 

erlauben, sämtliche Computer zu verwalten. Sie können sogar separate Administrationsstationen 

für jede Schutzwürdigkeitsstufe einrichten. Sie müssen entscheiden, wie viel Mühe 

Sie auf sich zu nehmen bereit sind, um Ihr Netzwerk zu verwalten. Diese Entscheidung ist 

eine wichtige Basis für alle weiteren Entscheidungsprozesse. In Bezug auf Sicherheit müssen 

Sie (wie überall) einen Kompromiss zwischen mehr Sicherheit und mehr Arbeitsaufwand 

finden. Dabei müssen Sie aber immer im Auge behalten, welche Funktionalität Sie 

letztendlich brauchen. Vor allem müssen Sie bei diesem Prozess sicherstellen, dass Sie die 

Isolierung auf eine Weise implementieren, bei der Sie Computer einer Schutzwürdigkeitsstufe 

keinen unnötigen Angriffen durch Computer auf einer anderen Schutzwürdigkeitsstufe 

aussetzen. 

Schritt 7: Implementieren von Einschränkungen 

Nun ist endlich der Punkt gekommen, an dem Sie Ihre Strategie implementieren. In dieser 

Phase des Prozesses sollten Sie einen vollständigen Entwurf haben, der die Verwaltung Ihres 

Netzwerks beschreibt und angibt, welche Kommunikationsmuster Sie innerhalb des Netzwerks 

erlauben wollen. Die Implementierung sollte ab hier recht einfach sein. Sie müssen 

allerdings sicherstellen, dass bestimmte Dinge auch erledigt werden. 

Wenn es Ihnen wie den meisten Netzwerkmanagern geht, bricht Ihnen der Angstschweiß 

aus, wenn es daran geht, Änderungen durchzuführen, die die gesamte Kommunikation zum 

Erliegen bringen könnten. Wie jeder leidgeplagte Administrator weiß, ruft niemand beim 

Helpdesk an, um mitzuteilen, dass heute alles einwandfrei funktioniert (falls doch, haben Sie 

ganz andere Probleme vor sich). 

Glücklicherweise gibt es einen Trick. Offensichtlich wollen Sie, dass irgendwann bei allen 

oder den meisten Netzwerkverbindungen Authentifizierung zwingend erforderlich ist. Aber 

Sie können damit beginnen, dass Sie stattdessen erst einmal die Authentifizierung anfordern. 

Auf diese Weise können Sie die Richtlinien testen, überwachen, wo die IPsec-Aushandlung 

fehlschlägt, und bei Bedarf Korrekturen vornehmen. Dabei bleibt die Konnektivität vollständig 

erhalten. Sie können auf diese Weise eine sicherere Bereitstellung durchführen, bei 

der die Gefahr viel geringer ist, dass unerfreuliche Dinge geschehen und Ihre Chancen auf 

das Ausscheiden aus dem Netzwerkmanagement entscheidend sinken. 

Nach diesen Vorbemerkungen hier eine Reihe anderer Einschränkungen, die Sie in Ihrem 

Plan berücksichtigen müssen. 

Minimieren des Gültigkeitsbereichs von Konten 

Verringern Sie den Gültigkeitsbereich Ihrer Konten. Das gilt besonders für Konten mit hohen 

Privilegien. Jeder, der auf Computer unterschiedlicher Schutzwürdigkeitseinstufungen 

zugreift, sollte auf diesen Computern jeweils eigene Konten haben, zumindest wenn sie 

höhere Privilegien auf diesen Computern haben. Zum Beispiel könnte ein sehr vertrauens-


würdiger Serveradministrator ein administratives Domänenkonto für die Verwaltung der 

DCs brauchen, ein administratives Konto der Stufe 7 für die Verwaltung der Server auf 

Schutzwürdigkeitsstufe 7 und ein normales Benutzerkonto für E-Mail und Websurfen. Ein 

Angestellter der Personalabteilung braucht ein Konto für seine direkten Aufgaben und ein 

anderes Konto, mit dem er E-Mail liest und Präsentationen erstellt. Stattdessen können Sie 

auch angesichts Ihrer Risikomanagementphilosophie und der Tatsache, dass beide auf einer 

sehr niedrigen Privilegebene liegen, entscheiden, dass in diesem Fall ein einziges Konto 

genügt. Sie sollten aber niemals erlauben, dass ein Konto, das administrative Privilegien auf 

einer Schutzwürdigkeitsstufe besitzt, dazu benutzt wird, um auf Ressourcen auf einer anderen 

Schutzwürdigkeitsstufe zuzugreifen. Administrative Konten auf jeder Stufe dürfen nur 

benutzt werden, um Computer auf dieser Stufe zu verwalten. 

Änderungen an der Sicherheitsrichtlinie der Organisation 

Ein großer Teil der Isolierung ergibt sich aus Sicherheitsrichtlinien der Organisation, nicht 

unbedingt aus technischen Richtlinien. Viele Isolierungsentscheidungen lassen sich einfach 

nicht technisch erzwingen. Zum Beispiel sind Ihre Domänen-Admins innerhalb des Bereichs 

Ihres Netzwerks allmächtig. Sie können nicht verhindern, dass sie im Netzwerk alles sehen 

oder tun können. Sie können aber Regeln und Richtlinien festlegen, die sie befolgen müssen, 

und die Einhaltung dieser Richtlinien überwachen. Sie müssen auch Strafen für den Fall 

festsetzen, dass diese Richtlinien verletzt werden. Ein Administrator, der sich weigert, die 

nötigen Schritte zu unternehmen, um Ihr Netzwerk zu schützen, sollte sich bald auf dem 

freien Arbeitsmarkt wiederfinden. 

Separate Dienstkonten 

Dienstkonten sind ein häufiges Problem in Windows. Es ist allgemein bekannt, dass jeder 

Administrator eines beliebigen Computers Zugriff auf das Klartextkennwort aller Dienste 

(und aller interaktiver Benutzer) auf diesem Computer hat. Es gibt keine Standardprotokolldatei, 

wo diese wertvollen Informationen gespeichert sind, aber mit allgemein verfügbaren 

Hackingtools ist es kein Problem, an diese Daten zu gelangen. 

Aus diesem Grund ist es so wichtig, Dienstkonten richtig zu verwalten. Es ist immer noch 

recht verbreitet, dass Dienste, die auf vielen Computern in einem Netzwerk laufen, unter 

dem Konto eines Domänenadministrators ausgeführt werden. Das macht das Konto eines 

Domänenadministrators auf jedem Computer im Netzwerk zugänglich. Aus diesem Grund 

muss der Gültigkeitsbereich von Dienstkonten eingeschränkt werden. Eine naheliegende 

Möglichkeit besteht darin, Dienstkonten nur innerhalb einer Schutzwürdigkeitsstufe zu verwenden. 

Zum Beispiel könnte der oben erwähnte Datensicherungsdienst auf Computern der 

Schutzwürdigkeitsstufe 7 unter einem Dienstkonto und auf Computern der Stufe 9 unter 

einem anderen Konto ausgeführt werden. 

Wollen Sie eine Datensicherung für Arbeitsstationen? 

Wollen Sie wirklich eine Datensicherung für Arbeitsstationen durchführen? Viele Organisationen 

diskutieren heutzutage über diese Frage. Benutzer speichern natürlich Daten auf 

ihren Arbeitsstationen, aber wollen Sie das wirklich? Im Idealfall sollten nur sehr wenige 

Daten, die nirgends sonst im Netzwerk vorhanden sind, auf den Arbeitsstationen liegen. 

Mithilfe von Techniken wie zum Beispiel servergespeicherten Benutzerprofilen und Ordnerumleitung 

können die Standardspeicherorte für Benutzer in das Netzwerk gelegt werden.


Mit Offlinedateien werden diese Dateien automatisch im Netzwerk gesichert, stehen den 

Benutzern aber auch offline zur Verfügung, während sie unterwegs sind. Mit einer Kombination 

dieser Strategien können Sie sicherstellen, dass auf Arbeitsstationen nur noch 

zwei Arten von Daten liegen, die gesichert werden müssen: solche, die Benutzer erstellt 

haben, während sie nicht mit dem Netzwerk verbunden waren, und Daten, die sie aus 

irgendwelchen Gründen lokal speichern – möglicherweise unter Verletzung von Standardbetriebsvorschriften. 

Wenn Sie dann noch (zum Beispiel) eine robuste Abbildstrategie 

und die Windows-Bereitstellungsdienste nutzen, sind Sie an einem Punkt angelangt, wo 

Sie keine Daten von Arbeitsstationen mehr sichern müssen. Unter Umständen müssen Sie 

noch nicht einmal eine aufwendige Problembehandlung durchführen. Falls bei einer Arbeitsstation 

etwas schiefgeht, gehen Sie bei der Problembehandlung genauso vor wie bei 

Servern. Dieser simple Prozess sieht folgendermaßen aus: 

1. Sie starten den Dienst neu, sofern in diesem Fall zutreffend. 

2. Falls dies das Problem nicht beseitigt, starten Sie den Computer neu. 

3. Falls dies das Problem nicht beseitigt, spielen Sie ein neues Abbild auf dem Computer 

ein. 

4. Falls dies das Problem nicht beseitigt, senden Sie den Computer zurück an den Hersteller 

und stellen neue Hardware bereit. 

Wenn Sie sich nicht um Daten kümmern müssen, die auf Arbeitsstationen gespeichert 

sind, können Sie sie im Notfall einfach verwerfen. 

Beachten Sie, dass es Disziplin erfordert, bis zu diesem Punkt zu gelangen. Sie brauchen 

auch Hardware, die Ihnen erlaubt, eine solche Strategie zu implementieren. Dies ist aber 

eine Geschäftsentscheidung, die Sie treffen müssen. Wollen Sie Ihre Desktopbetriebsprozeduren 

dramatisch vereinfachen, müssen Sie geeignete Hardware und Software kaufen 

und einige wirklich große Speicherserver anschaffen. Oder scheuen Sie die Investition 

und nehmen dafür komplizierte und teure Desktopbetriebsprozeduren in Kauf? 

Verwalten von Privilegien 

Sie dürfen nicht vergessen, Ihre Privilegien richtig zu verwalten, wenn Sie Ihre Isolierungsstrategie 

implementieren. Benutzer mit bestimmten Privilegien können genauso viel Macht 

haben wie Administratoren. Zum Beispiel ist ein Benutzer, das das Privileg Annehmen der 

Clientidentität nach Authentifizierung besitzt, genauso mächtig wie jeder Benutzer, der im 

Remotezugriff eine Verbindung zum Computer herstellt. Ein Benutzer, das das Privileg Wiederherstellen 

von Dateien und Verzeichnissen besitzt, kann jede beliebige Datei auf dem 

Computer ersetzen. Weil der Benutzer damit Code kontrolliert, der von Administratoren 

ausgeführt wird, hat ein solcher Benutzer implizit dieselben Rechte wie Administratoren. 

Aus diesem Grund ist es sehr sinnvoll, Sicherungs-Operatoren von Wiederherstellungs- 

Operatoren zu trennen. Dies sind zwei unterschiedliche Aufgaben, die auf ganz unterschiedlichen 

Schutzwürdigkeitsstufen liegen. Privilegien werden in Kapitel 3, »Objekte: Was Sie 

wollen«, beschrieben. 

Einschränken der Kommunikation 

Nach unserer Beschäftigung mit der Netzwerkgefahrenmodellierung sollte offensichtlich 

sein, dass wir die Kommunikation einschränken wollen. In diesem Schritt nutzen wir IPsec


und Windows-Firewall, um eingehenden Verkehr auf einem Computer einzuschränken. Das 

verringert die Gefahr, die einem System von anderen Systemen droht, ganz gewaltig. Nehmen 

wir zum Beispiel einen Datenbankserver, auf den ein Middlewareserver zugreift. Nehmen 

wir nun an, es gibt eine SQL-Injection-Lücke in der Middleware, die es einem Angreifer 

ermöglicht, beliebigen Code auf dem Datenbankserver auszuführen. Welchen Zugriff hat 

der Angreifer auf den Middlewareserver, wenn der Datenbankserver einmal kompromittiert 

wird? Falls Sie die Windows-Firewall auf dem Middlewareserver so eingerichtet haben, dass 

sie allen unangefordert eingehenden Verkehr verwirft (genauer gesagt: nur genau den Verkehr 

annimmt, der für die eigentliche Aufgabe erforderlich ist), lautet die Antwort »gar keinen«. 

Sie können den Angriff direkt an dieser Stelle aufhalten. Verwenden Sie die vorher erstellte 

Tabelle mit Ihren Kommunikationsmustern und entwerfen Sie auf dieser Basis einen 

Satz von IPsec-Richtlinien. Stellen Sie diese Richtlinien mithilfe von Gruppenrichtlinien 

oder einer anderen Methode bereit, die in Ihrer Umgebung sinnvoll ist. Weitere Informationen 

über Windows-Firewall und IPsec sowie die Bereitstellung von Richtlinien finden Sie in 

Kapitel 5, »Windows-Firewalls«. 

Einschränken des Ressourcenzugriffs 

Zuletzt können Sie das Detailwissen, das Sie sich erarbeitet haben, und die Isolierungsstrategie, 

die Sie entworfen haben, dazu nutzen, eine Daten- und Ressourcenzugriffstrategie zu 

erstellen, die das Prinzip der geringstmöglichen Rechte erzwingt. Sie müssten an diesem 

Punkt über eine ziemlich detaillierte Benutzerkontenstrategie verfügen. Sie können dies 

nutzen, um Zugriff zu verhindern und die Isolierungsstrategie zu erzwingen. Nehmen wir 

zum Beispiel an, dass vor dem Start dieses Projekts die Mitarbeiter Ihrer Personalabteilung 

Zugriff auf die Exchange-Server, alle Dateiserver, die internen SharePoint-Server und die 

Lohnbuchhaltungsanwendungen hatten – alles über das eine Konto, das Sie ihnen gegeben 

haben. Nachdem Sie die Isolierungsstrategie definiert haben, verfügen Sie über die Möglichkeit, 

ihnen den Zugriff auf Lohnbuchhaltungsanwendungen nur zu erlauben, wenn sie 

ihre Personalabteilung-Konten verwenden – und möglicherweise sogar nur dann, wenn sie 

auf einer bestimmten Arbeitsstation in der Personalabteilung arbeiten. 


Nur wenige Strategien, die Ihnen heutzutage zur verfügung stehen, haben so große Auswirkungen 

auf die Sicherheit Ihres Netzwerk und seiner Daten wie eine ordentliche Netzwerkuntergliederung 

und Serverisolierungsstrategie. Indem Sie den in diesem Kapitel beschriebenen 

Prozess durcharbeiten, können Sie ein Netzwerk erstellen, das genau das tut, was Sie 

wollen, aber nichts anderes. Falls Sie keine Fehler machen, ist das Netzwerk trotzdem noch 

so flexibel, dass es neue Anwendungen unterstützt. Dafür sind nur geringfügige Änderungen 

notwendig. 

Hat diese Strategie auch Auswirkungen auf die Aufgaben Ihrer Endbenutzer und Administratoren? 

Ganz bestimmt. Aber in der Umgebung, in der wir uns heute bewegen, könnte das die 

einzige Möglichkeit sein, Ihr Netzwerk zu schützen. Der herkömmliche Ansatz, ein völlig 

flaches Netzwerk aufzubauen, in dem jeder ein Konto hat, das ihm Zugriff auf alles verschafft, 

was er braucht, aber auch auf viel mehr, ist in praktisch allen modernen Umgebungen 

zu unsicher. Wie weit Sie sich von diesem Modell absetzen können, hängt von Ihrer 

Risikotoleranz und den Sicherheitsanforderungen in Ihrer Umgebung ab.



Johansson, J. M.: Protect Your Windows Network. (Addison-Wesley, 2005). 

Knowledge Base-Artikel 832017, »Dienste und Port-Anforderungen für das Microsoft 

Windows-Serversystem« unter http://support.microsoft.com/kb/832017. 

»The Immutable Laws of Security« unter http://www.microsoft.com/technet/archive/ 

community/columns/security/essays/10imlaws.mspx?mfr=true.

K A P I T E L 1 5 

Schützen von Zweigstellen 

Von Byron Hynes 


Einführung in die Probleme von Zweigstellen . ................................ 405 

Windows Server 2008 in der Zweigstelle . ................................... 409 

Andere Sicherheitsmaßnahmen . ......................................... 426 



In diesem Kapitel untersuchen wir die Probleme einer Zweigstelle und sehen uns an, mit 

welchen Lösungen, Techniken und Tools sie sich bewältigen lassen. Wir beginnen damit, 

dass wir die Merkmale einer Zweigstelle definieren und untersuchen, warum sie besondere 

Schwierigkeiten verursacht. Dann sehen wir uns einige der üblichen Szenarien für die 

Optimierung der Infrastruktur an, die für Zweigstellen relevant sein können. Wir gehen die 

Features in Windows Server 2008 durch, die Zweigstellen unterstützen, und zeigen auf, 

welche besonders dabei helfen können, Zweigstellen zu schützen. Dabei konzentrieren wir 

uns auf die schreibgeschützten Domänencontroller (Read Only Domain Controller, RODC) 

und die BitLocker-Laufwerkverschlüsselung. 

Einführung in die Probleme von Zweigstellen 

IT-Sicherheit erweckt oft den Eindruck, dass es dabei um sorgfältig gewartete Datencenter 

geht, in denen IT-Experten ständig danach streben, Richtlinien, Prozeduren, Einstellungen 

und Software zu verbessern, um die physischen und informationstechnischen Aktiva in ihrer 

Verantwortung zu schützen. Nur wenige Leute dürfen mit ihren Smartcards das Allerheiligste 

betreten, wo Reihen ordentlich ausgerichteter Computer effizient vor sich hinbrummen, 

während sie sorgfältig überwacht werden. 

Viele unserer Leser – Sie vermutlich auch – streben danach, diese Art Umgebung einzurichten. 

Aber ist Ihnen klar, dass ein Drittel der IT-Budgets für Zweigstellen oder Remotestandorte 

ausgegeben wird? Zwischen einem Viertel und einem Drittel der Server, die unter Windows 

Server-Software laufen, sind an Orten installiert, die wir als Zweigstelle bezeichnen. 

Zweigstellen (engl. branch office) finden sich in vielen verschiedenen Umgebungen. Ich 

habe für einen Kunden in der Fastfoodbranche gearbeitet, der Windows-Server in Tausenden 

Restaurants hatte, über die ganze USA verteilt. Ein Kollege von mir arbeitete an einem Active 

Directory-Entwurfs- und -Bereitstellungsprojekt mit Domänencontrollern in jeder der 

800 Zweigstellen einer großen europäischen Bank. Zweigstellen können Verkaufsfilialen 

sein, Arztpraxen, Hotels – vielleicht sogar das Büro im Kindergarten oder der Grundschule 

Ihrer Kinder, wo eine Angestellte festhält, wer heute anwesend ist. 

405

406 Kapitel 15: Schützen von Zweigstellen 

Warum sind Zweigstellen wichtig? 

Zweigstellen werden nicht so bald verschwinden, ganz im Gegenteil. In Zweigstellen wird 

eine Großteil der Aufträge eines Unternehmens an Land gezogen (oder auch nicht), und dort 

werden die eigentlichen Dienste von gemeinnützigen Organisationen und Behörden erbracht. 

Neben Onlinediensten werden vor allem in Zweigstellen Geschäftsdaten gesammelt 

und interpretiert, und dort erwarten mündige Verbraucher, dass das Personal vor Ort Entscheidungen 

treffen kann. 

Leider gibt es aber auch eine Reihe von Merkmalen, die den Nutzen von Zweigstellen einschränken 

oder sich sogar negativ auswirken sein können. 

Was ist anders in einer Zweigstelle? 

Zweigstellen gibt es in vielen unterschiedlichen Formen, aber die meisten haben folgende 

Merkmale gemeinsam: 

Remoteanbindung über ein WAN Während die Netzwerkgeschwindigkeiten ständig 

steigen, hängen die meisten Zweigstellen von einem extern kontrollierten Netzwerk ab, 

zum Beispiel einer Standleitung, Frame-Relay-Verbindung oder einem gemeinsam genutzten 

Glasfasernetz. Manche Zweigstellen sind nur über das öffentliche Internet angebunden, 

wobei sie ein virtuelles privates Netzwerk (VPN) einsetzen. Wenn Sie von 

einem anderen Unternehmen abhängig sind, zum Beispiel einem Telefon- oder Netzwerkanbieter, 

haben Sie keine Kontrolle darüber, was mit Ihren Daten in diesem Netzwerk 

passiert. 

Geringere physische Sicherheit Server in Zweigstellen werden nur selten mit demselben 

Maß an physischer Sicherheit geschützt wie die in einem Datencenter des Unternehmens. 

Ich hoffe, dass Ihre Server nicht unter dem Empfangstisch in einem öffentlich 

zugänglichen Bereich oder auf einem Regal in der Toilette stehen, aber ich habe beides 

schon erlebt. 

Mangel an kompetentem IT-Personal vor Ort In einer Zweigstelle, besonders in 

kleinen, stellen Sie oft fest, dass ein Mitarbeiter mit nur geringen oder überhaupt keinen 

IT-Kenntnissen die Pflege Ihrer Server in der Zweigstelle »erbt«. Das kann ein Filialleiter 

sein (oder der höchstrangige Angestellte am Standort), der lokale Technikbegeisterte 

oder sogar der Mitarbeiter, der »immer da« ist und niemals in einem Meeting herumhängt. 

Entfernung Nicht nur gibt es in einer Zweigstelle oft keine IT-Experten, auch geografisch 

ist die Zweigstelle oft weit vom IT-Support entfernt. Vielleicht ist es nicht einmal 

möglich, einen Ihrer eigenen Analytiker oder Techniker innerhalb von ein, zwei Tagen 

zum Standort zu bringen. 

Reduzierte Infrastruktur Im Unterschied zum Datencenter mit seiner Klimaanlage, 

einer ausfallsicheren Stromversorgung und mehreren Kommunikationspfaden wurden 

Zweigstellen oft nicht mit demselben Maß an Fehlertoleranz entworfen. Das betrifft sowohl 

die IT-Systeme als auch die kommunale Infrastruktur, zum Beispiel Strom und 

Kommunikation. 

Zweigstellen sind zunehmendem Druck ausgesetzt, darunter Kosten- und Leistungsdruck, 

dem Druck, Sicherheit zu gewährleisten, die ständig anschwellenden Gesetze und Regularien 

zu erfüllen und agil und schnell auf Geschäftsbedürfnisse zu reagieren. Zum Beispiel

Einführung in die Probleme von Zweigstellen 407 

haben Zweigstellen hohe Kosten für die Wartung komplexer, heterogener und oft nicht 

integrierter Hardwaresätze. Dazu kommt, dass hohe Kosten auftreten, wenn bei Bedarf 

IT-Support angefordert wird, entweder vom Datencenter oder vielleicht von teuren lokalen 

Supportdienstleistern. Natürlich wissen Zweigstellenmanager (und sicherlich das Verwaltungsteam 

in der Zentralstelle), welche Gefahren durch Datenverlust oder Angriffe gegen 

das System drohen und welche Schwierigkeit eine Wiederherstellung nach einem Ausfall 

und der Schutz der lokal gesammelten Daten bereiten. (Warum sollte ein Angreifer auch auf 

Jespers perfekt gehärtete Server losgehen – Sie wissen schon, die in seinem Datencenter, die 

rund um die Uhr von bewaffnetem Werkschutz bewacht werden –, wenn ein viel unsicherer 

Server in der lokalen Zweigstelle steht.) 

Aber trotz all dieser Schwierigkeiten ist zu erwarten, dass Zweigstellen immer mehr Informationen 

als »Point of Service« verwalten, wo die Daten gesammelt, analysiert und benutzt 

werden, um sofortige Ergebnisse zu liefern, während sie aber trotzdem ständig über das 

gesamte Unternehmen synchronisiert bleiben. Ich erinnere mich noch daran, wie ich als 

Teenager ein Bankkonto eröffnet habe. Das wurde von Hand in einem Kontenbuch verzeichnet. 

Und natürlich konnte ich nur in dieser einen Zweigstelle an mein Konto. Ich kann 

mir kaum vorstellen, dass Banken heutzutage mit einer solchen Einschränkung konkurrenzfähig 

wären! (Und damit Sie jetzt nicht glauben, ich wäre steinalt, sollte ich hinzufügen, 

dass ich schnell zu einer Konkurrenzbank wechselte, die Computer hatte und ihre Dienste in 

allen Zweigstellen verfügbar machte.) 

Alles in allem stellt eine Zweigstelle geringe Herausforderungen an einen kompetenten IT- 

Experten. Sie brauchen lediglich Remotedaten zu schützen und darauf zuzugreifen, Systeme 

schützen und sichere Konnektivität bei kaum vorhandenem Vor-Ort-Support, einfachen 

Datensicherungen und effizienter Nutzung von Hardware und Bandbreite zur Verfügung zu 

stellen. Und natürlich müssen Sie gleichzeitig Ihre Infrastruktur verbessern, schnell neue 

Fähigkeiten zur Verfügung stellen und eine Plattform für die Zukunft bereitstellen, dabei 

aber die Kompatibilität gewährleisten. (Uff!) 

IDC beschreibt es folgendermaßen: 

Zweigstellen streben oft nach einem hohen Maß an Flexibilität und Selbständigkeit bei der 

Implementierung von IT-Lösungen. Die Ausweitung der Unternehmensanforderungen erfordert 

aber eine zentralisierte Verwaltung, verbesserte Sicherheit und Einhaltung zahlreicher 

Regeln. 

Quelle: IDC White Paper, »Addressing Operational Efficiencies in Branch Office« vom Mai 

2006, zu finden unter http://download.microsoft.com/download/6/d/0/6d032455-bf07-42acb006-ee0e4c8ab606/idc_branch_whitepaper.pdf. 

Aufbauen von Zweigstellen 

Eine Reihe von Entwurfsszenarien befasst sich mit der Situation von Zweigstellen. Im 

Grunde reichen sie von einem oder mehrere riesigen Servern in der Zweigstelle bis zum 

Konzept »keine Server in der Zweigstelle, wir machen alles im Remotezugriff«. Wie Sie 

sich denken können, hat jeder dieser Lösungsansätze seine Stärken und Schwächen. 

Damit ich noch etwas Platz in diesem Kapitel übrig habe, um etwas über das Schützen von 

Windows Server 2008 in einer Zweigstelle zu schreiben, biete ich hier nur einen knappen 

Überblick über die Entwurfsansätze. Einige dieser Ansätze sind sehr verbreitet, andere werden 

nur selten genutzt. Manche werden beliebter, weil die Kosten sinken und sich neue


Technologien verbreiten. Und viele Zweigstellen nutzen eine Kombination von Elementen 

aus mehreren der folgenden Optionen. 

Virtualisierte Server in der Zweigstelle Ein Server, der ein virtuelles Serverabbild 

für jede Aufgabe ausführen kann, bietet maximale Flexibilität und Konfigurierbarkeit. 

Bei einer solchen Lösung können alle Aufgaben und Dienste auf einem einzigen physischen 

Servercomputer betrieben werden. Diese Option eignet sich am besten, wenn es 

zahlreiche eigenständige Server gibt, die in einer einzigen Einheit konsolidiert werden 

können. Dienste werden intern ausgeführt, um 100 Prozent Uptime und Funktionalität 

sicherzustellen, sogar wenn WAN (Wide Area Network) oder VPN offline sind. Indem 

Sie nur einen Server verwalten, können Sie die Verwaltung und Datensicherung ein 

Stück weit zentralisieren. 

Einzelner Server Wird ein Server verwendet, bietet das den Vorteil, dass zwar ein 

Server in der Zweigstelle vorhanden ist, es werden aber die Kosten und die Komplexität 

für die Unterstützung von Virtualisierung und Serverkonsolidierung eingespart. In diesem 

Fall können Dienste, die ständig verfügbar sein müssen oder möglichst niedrige 

Latenz erfordern, innerhalb der Zweigstelle ausgeführt werden, während andere im 

Datencenter zentralisiert werden. Sie müssen einen Kompromiss zwischen Abhängigkeit 

von WAN-Uptime, Remoteverwaltung, zentralisierter Datensicherung und lokaler 

Reaktionsfähigkeit finden. 

Zweigstellen-Appliances Zweigstellen-Appliances sollen eine vollständige Lösung 

zur Verfügung stellen, die einfach bereitzustellen und problemlos zu konfigurieren ist. 

Diese Geräte stellen üblicherweise WAN-Beschleunigung und HTTP-Komprimierung 

bereit und machen es einfacher, Aufgaben wie zum Beispiel Speicherung und Datenbanken 

zu zentralisieren. Die Zweigstellen-Appliances sind bereits mit einigen Branchenanwendungen 

oder anderen Diensten ausgestattet, sodass die Zweigstelle auch während 

eines WAN-Ausfalls weiterarbeiten kann. Appliances sind oft so entworfen, dass sie die 

Verbindung zu einem WAN herstellen oder das Internet für VPN-Verbindungen nutzen. 

Sichere Zentralisierung Bei diesem Entwurf wird der Server aus der Zweigstelle 

entfernt und alle Aufgaben werden zentralisiert. Anwendungsvirtualisierung (wie sie 

zum Beispiel von Microsoft SoftGrid Application Virtualization zur Verfügung gestellt 

wird) wird eingesetzt, damit LOB-Anwendungen (Line Of Business) im Datencenter 

verarbeitet, aber auf dem lokalen Desktop ausgeführt werden. Das verringert den Aufwand 

für die Bereitstellung und Verwaltung von Updates für diese virtualisierten Anwendungen. 

Eine Sicherheit-Appliance, also eine intelligente Firewall oder ein Gateway, 

ermöglicht sichere Konnektivität (inklusive Paketfilterung und VPN-Zugriff) mit dem 

Datencenter. 

Keine Infrastruktur In diesem Fall hat die Zweigstelle schlicht gar keine Server oder 

aufwendige Netzwerkhardware. Alle sind von der Netzwerkkonnektivität mit dem Datencenter 

abhängig, das die gesamte Bürofunktionalität am Remotestandort zur Verfügung 

stellt. Im Grunde ist jeder ein Netzwerkclient. Angestellte im Remotebüro sind 

entweder über ein WAN an dasselbe Unternehmensnetzwerk angeschlossen wie die 

Zentralstelle oder sie stellen über VPN eine Verbindung zum Datencenter her, um auf 

Anwendungen zuzugreifen. Manchmal werden auch alle Zweigstellenbenutzer als Internetbenutzer 

behandelt und die Anwendungen werden über geschützte Internetprotokolle 

verfügbar gemacht. Dabei reduziert sich die Bereitstellung der Remoteinfrastruktur auf 

ein bloßes Minimum, und eine Verwaltung von Remoteservern ist nicht mehr nötig.

Windows Server 2008 in der Zweigstelle 409 

Microsoft bietet eine Reihe von Produkten und Lösungen für Zweigstellen an. Außerdem 

gibt es einen ausführlichen Leitfaden zur Infrastrukturoptimierung (IO), der Ihnen hilft, eine 

effektive und sichere Remote- oder Zweigstelleninfrastruktur auszuwählen und aufzubauen. 

Im Rest dieses Kapitels konzentrieren wir uns auf die Features und Verbesserungen in Windows 

Server 2008, die für Zweigstellen relevant sind, insbesondere auf diejenigen, die direkt 

mit der Sicherheit der Zweigstelle zu tun haben. Weitere Informationen über Zweigstellen 

im Allgemeinen und den Einsatz von Windows Server-Produkten in Zweigstellen finden Sie 

unter http://technet.microsoft.com/en-us/branchoffice/default.aspx. 

Windows Server 2008 in der Zweigstelle 

Die Verbesserung der Situation in Zweigstellen war eines der wichtigsten Ziele bei der Entwicklung 

von Windows Server 2008. Etliche Features in Windows Server 2008 sollen Probleme 

von Zweigstellen in drei Bereichen beseitigen: Kosten, Sicherheit und Flexibilität. 

Tabelle 15.1 fasst die Features in Windows Server 2008 zusammen, die Schwierigkeiten von 

Zweigstellen beseitigen helfen. 

Tabelle 15.1 Zweigstellentypische Schwierigkeiten und Lösungen in Windows Server 2008 

Schwierigkeit Anforderung Windows Server 2008-Features 

Kostenkontrolle 

Reduzieren der Kosten für Verwaltung und Support 

in Zweigstellen (inklusive möglichst effizienter 

Nutzung von Netzwerkverbindungen) 

Server Core-Installation 

Schreibgeschützter Domänencontroller (RODC) 

Server Message Block (SMB) 2.0 

Datensicherheit (Sicherung) 

Windows Server-Virtualisierung 

Sicherheit Verbessern der Sicherheit von Daten und Zugriff BitLocker-Laufwerkverschlüsselung 

Schreibgeschützter Domänencontroller (RODC) 


Flexibilität Bereitstellen einer flexiblen Infrastruktur, die die 

IT-Investitionen optimal nutzt 


TCP/IP-Neuentwurf 

Features, die nicht mit Sicherheit zu tun haben 

Ich möchte hier vor allem Sicherheitsfeatures vorstellen, aber einige andere Features verdienen 

ebenfalls eine Erwähnung. Schließlich ist es oft schwierig – und normalerweise kontraproduktiv 

–, Sicherheitsaspekte völlig isoliert zu betrachten. Wenn Sie wissen, wie alle Teile 

zusammenpassen, können Sie effektiver sein – und das bringt mehr Sicherheit. 

Praktisch betrachtet ist es auch sehr sinnvoll, wenn Sie sich bemühen, Ihre Netzwerklösungen 

kostengünstig, agil, zuverlässig und verfügbar zu halten. Wenn Ihre Lösungen die Anforderungen 

(oder Erwartungen) der Endbenutzer nicht erfüllen, suchen Ihre Endbenutzer 

(und insbesondere das Management) nach provisorischen Lösungen oder Abkürzungen. 

Diese Abkürzungen sind nur äußerst selten sicher. Das soll nicht heißen, dass diese Benutzer 

böswillig sind. Sie werden allerdings einen Umweg um Sie oder Ihre Sicherheit machen, 

wenn die Verfahren, die Sie implementiert haben, nicht das erlauben, was die Benutzer 

brauchen oder was Sie glauben zu brauchen.


Server Core-Installation 

Server Core ist eine minimalistische Serverinstallationsoption für Windows Server 2008, die 

nur einen Teil der ausführbaren Dateien enthält und nur wenige Serverrollen zur Verfügung 

stellt. Server Core läuft auf 32-Bit- oder 64-Bit-Architekturen. 

Ich betrachte Server Core als Sicherheitsfeature, weil es die Angriffsfläche des Servers verringert. 

Es sind nur die ausführbaren Dateien vorhanden, die für die Rolle und das Basisbetriebssystem 

erforderlich sind. Das bedeutet, dass im Allgemeinen weniger Prozesse laufen. 

Aber Server Core senkt auch die Kosten, weil es die Wartungs- und Verwaltungsanforderungen 

verringert. 

Die Server Core-Installationsoption installiert nur einen Teil der ausführbaren Dateien und 

DLLs (Dynamic-Link Library). Konkret werden nur die Features installiert, die für 9 bestimmte 

Serverrollen erforderlich sind. Unter den Komponenten, die nicht installiert werden, 

sind die grafische Benutzeroberfläche (Graphical User Interface, GUI), die .NET Framework-CLR 

(Common Language Runtime), die Windows-Explorer-Benutzeroberfläche und 

Internet Explorer. Weil es keine GUI gibt, müssen Administratoren auf alle Dienste über 

eine lokale Befehlsshell zugreifen, entweder im Remotezugriff von einem Verwaltungsserver 

oder einer Arbeitsstation aus (mit einer Remotebefehlsshell oder einem Remotetool wie 

zum Beispiel einem MMC-Snap-In), mithilfe des neuen Remoteverwaltungsfeatures namens 

WS-Verwaltung oder mithilfe der WMI (Windows Management Instrumentation). 

Einer der größten Vorteile einer Server Core-Installation ist, dass der Bedarf für Updates 

sinkt. Während Updates der Schrecken aller IT-Experten im Datencenter sind, hält das Aktualisieren 

von Remote- und Zweigstellen seine eigenen Probleme bereit. Aufgrund von Vergleichen 

mit Windows Server 2003 schätzt Microsoft, dass auf eine Server Core-Installation 

weniger als 60 Prozent der Updates angewendet werden müssen, die bei einer vollständigen 

Installation von Windows Server erforderlich sind (das gilt für den hypothetischen Fall, es 

gäbe in Windows Server 2003 eine solche Installationsoption). Server Core ist in Kapitel 12, 

»Schützen von Serverrollen«, genauer beschrieben. 

Hyper-V (Windows Server-Virtualisierung) 

Windows Server 2008 Hyper-V, früher als Windows Server-Virtualisierung bezeichnet, ist 

eine Virtualisierungsplattform, die Flexibilität über eine dynamische, zuverlässige und skalierbare 

Plattform zur Verfügung stellt. Sie können einen einzigen Satz integrierter Verwaltungstools 

benutzen, um sowohl physische als auch virtuelle Serverressourcen zu verwalten. 

Hyper-V ist in den meisten Windows Server 2008-Lizenzen enthalten, aber Sie müssen es 

eventuell separat von Microsoft herunterladen. 

Eine vollständige Beschreibung der Virtualisierung würde den Umfang dieses Kapitels 

sprengen. Aber weil viele Zweigstellenszenarien von der Servervirtualisierung profitieren, 

sollten Sie sich darüber im Web unter http://www.microsoft.com/windowsserver2008/ 

virtualization/default.mspx informieren. 

Durchgreifende Überarbeitung des TCP/IP-Stacks 

Auch als »Next Generation TCP/IP Stack« bezeichnet, bietet der verbesserte Netzwerkstack 

in Windows Server 2008 und Windows Vista einige direkte Vorteile für eine Zweigstelle. 

Indem die Netzwerkkommunikation zwischen Servern im Datencenter und der Zweigstelle 

sowie zwischen Remoteclients und zentralisierten Diensten verbessert wurde, können Sie 

die Nutzung der WAN-Verbindungen maximieren.


Unter Sicherheitsaspekten sollten Sie folgende Bereiche der neuen TCP/IP-Funktionalität 

kennen: 

Erweiterte IPsec-Integration und einfachere IPsec-Verwaltungstools 

TCP/IP umfasst eine integrierte Filterungsplattform. Windows nutzt diese Plattform für 

Windows-Firewall und IPsec, aber auch andere Anwendungen und Hersteller können auf 

die Windows-Filterplattform (Windows Filtering Platform, WFP) zugreifen. 

Diese beiden Punkte werden in Kapitel 5, »Windows-Firewalls« und Kapitel 14, »Schützen 

des Netzwerks«, genauer beschrieben. Außerdem wurde der überarbeitete TCP/IP-Stack 

online in TechNet ((http://technet.microsoft.com/en-us/network/bb545475.aspx) und in Windows 

Server 2008 – TCP/IP-Protokolle und -Dienste von Joseph Davies (Microsoft Press, 

2008) ausführlich beschrieben. 

Server Message Block 

Zum Bereich Konnektivität und Protokolle gehört auch, dass Windows Server 2008 ein 

neues Remotedateifreigabeprotokoll mitbringt: Server Message Block 2.0 (SMB 2.0). SMB 

ist das Protokoll, das im Allgemeinen zwischen Windows-Computern benutzt wird, zum 

Beispiel Windows XP, Windows Vista, Windows Server 2003 und Windows Server 2008. 

SMB 2.0 verbessert die Skalierbarkeit gegenüber SMB 1.0 ganz deutlich und vergrößert die 

Zahl offener Dateien sowie erlaubter Freigaben. Die Protokolle wurden so verbessert, dass 

sie weniger Verwaltungsdaten durch die Gegend schicken, was die Dateifreigabe in einem 

WAN manchmal recht mühsam macht. Praxisnahe Tests haben gezeigt, dass große Dateien 

mit SMB 2.0 bis zu 35 Mal schneller kopiert werden als mit SMB 1.0. Allerdings werden 

die Vorteile von SMB 2.0 nur sichtbar, wenn die Kommunikation zwischen Windows Server 

2008-Computern oder zwischen Windows Server 2008 und Windows Vista-Clients stattfindet. 

SMB 2.0 ist nicht separat für ältere Windows-Betriebssysteme erhältlich. 

Über die WAN-Leistungsoptimierungen in SMB 2.0 erfahren Sie mehr im TechNet-Webcast 

»Wide Area Network Performance Improvements in Windows Server 2008« unter 

http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID= 

1032348651&CountryCode=US. 

Datensicherheit: Windows Server 2008 Server-Sicherung 

Vergessen Sie nicht, dass zur Sicherheit auch gehört, Daten verfügbar zu halten und sie nach 

Ausfällen wiederherstellen zu können. Die Windows Server-Sicherung nutzt den Volumeschattenkopie-Dienst 

(Volume Shadow Copy Service, VSS) und Datensicherungstechnologie 

auf Blockebene, um Ihre Server lokal oder im Remotezugriff mit weniger Ausfallzeit zu 

sichern. Außerdem wurde Unterstützung für die Sicherung auf optische Medien (DVD) und 

andere Dateiserver hinzugefügt. 

Sicherheitsfeatures für die Zweigstelle 

Zwei wesentliche Komponenten von Windows Server 2008 haben direkte Auswirkung 

auf die Sicherheit Ihrer Zweigstellen: schreibgeschützte Domänencontroller (Read-Only 

Domain Controller, RODC) und BitLocker-Laufwerkverschlüsselung.


RODC 

RODC ist ein neues Feature in den Active Directory-Domänendiensten (Active Directory 

Domain Services, AD DS) von Windows Server 2008. In Kapitel 9, »Optimieren der Active 

Directory-Domänendienste für Sicherheit«, finden Sie einen Überblick über AD DS-Features 

und Informationen über die Nutzung und Installation von RODCs. In diesem Kapitel 

will ich mich darauf konzentrieren, die Sicherheitsaspekte eines RODCs in einer Zweigstelle 

zu beschreiben. 

Schreibgeschützte Datenbank, Replikation und Gruppenzugehörigkeiten 

Wie der Name andeutet, sind RODCs schreibgeschützte Kopien der AD DS-Datenbank. 

Das bedeutet, dass sie nur eine unidirektionale Replikation in Active Directory benötigen. 

Dasselbe gilt für den Dateireplikationsdienst und DFS-Replikation (Distributed File System 

Replication). 

Unidirektionale Replikation bedeutet einen Sicherheitsvorteil. Wenn aufgrund einer Kompromittierung 

oder anderer Probleme manipulierte Daten in die lokale Kopie der AD DS- 

Datenbank auf dem RODC eingeschleust werden, können diese Daten nicht vom betroffenen 

RODC zurück in die übrige Organisation repliziert werden. Das ist sicherlich eine Eindämmung, 

die verhindern kann, dass ein lokales Problem zu einem globalen wird! Trotzdem 

müssen Sie aufpassen: Falls Malware, Angriffe oder andere Probleme dazu führen können, 

dass ihr lokaler Domänencontroller manipuliert oder von einem Angreifer übernommenen 

wurde (auch wenn er schreibgeschützt ist), haben Sie trotzdem ein gewaltiges Problem zu 

lösen! 

Es wurden zusätzliche Anstrengungen unternommen, um die Probleme zu minimieren, die 

durch einen manipulierten RODC verursacht werden könnten. Jeder RODC hat sein eigenes, 

einmaliges KrbTGT-Konto für das Schlüsselverteilungscenter (Key Distribution Center, 

KDC), sodass das System unterscheiden kann, ob ein Ticket von einem RODC ausgestellt 

wurde (und von welchem) oder von einem normalen, beschreibbaren Domänencontroller. 

Dies ist eine Form der kryptografischen Isolierung; diesen Begriff werden Sie gelegentlich 

im Zusammenhang mit RODCs hören. 

Unidirektionale Replikation bringt auch Vorteile für den Entwurf Ihrer Replikationstopologie 

und die Steuerung des Replikationsverkehrs. Bridgeheads und Hubs brauchen den RODC 

nicht nach Änderungen abzufragen. Der RODC führt die normale eingehende Replikation 

für AD DS und FRS sowie alle DFSR-Änderungen aus. 

Weil der RODC Mitglied der Domäne ist, hat er manchmal gute Gründe, um in Active Directory 

zu schreiben. Er schreibt aber nicht in die lokale Datenbankkopie, sondern stellt eine 

Verbindung zu einem beschreibbaren DC her, genau wie eine Arbeitsstation. Das RODC- 

Computerkonto ist ein Arbeitsstationskonto, daher hat es nur sehr eingeschränkte Rechte 

beim Schreibzugriff auf AD DS. Auch das soll wieder die Schäden im Unternehmens-AD 

DS minimieren für den Fall, dass der RODC kompromittiert wird. Weil RODC-Computerkonten 

in diesem Sinne »Arbeitsstationen« sind, sind sie keine Mitglieder der Gruppen 

Domänencontroller der Organisation oder Domänencontroller. 

Zwischenspeicherung von Datenbankinhalt und Anmeldeinformationen 

Mit Ausnahme der Kontokennwörter und der Attribute, die speziell zum gefilterten Attributsatz 

hinzugefügt wurden, speichert ein RODC alle AD DS-Objekte und -Attribute, die auch 

ein beschreibbarer Domänencontroller speichert.


Lokale Anwendungen, die Lesezugriff auf die Verzeichnisinformationen der Domäne anfordern, 

können direkt auf den RODC zugreifen, während LDAP-Anwendungen (Lightweight 

Directory Access Protocol), die einen Schreibzugriff anfordern, einen LDAP-Verweis als 

Antwort erhalten. Diese Antwort verweist sie direkt an einen beschreibbaren Domänencontroller, 

der sich normalerweise an einem zentralen Standort befindet. 

In der Domänendatenbank hat jeder Sicherheitsprinzipal (Benutzer, Computer oder iNet- 

OrgPerson) einen Satz von bis zu 10 Kennwörtern oder Geheimnissen, die generell als Anmeldeinformationen 

(engl. credentials) bezeichnet werden. Ein RODC speichert diese Anmeldeinformationen 

nicht, abgesehen von seinem eigenen Computerkonto und dem speziellen 

krbtgt-Konto für jeden RODC. Der RODC wird als Schlüsselverteilungscenter für seinen 

Standort angekündigt, der normalerweise die Zweigstelle ist, in der er aufgestellt ist. Wenn 

der RODC ein TGT (Ticket-Granting Ticket) ausstellt und signiert, benutzt er dazu sein 

eigenes krbtgt-Konto samt den zugehörigen Schlüsseln, das sich vom krbtgt-Konto unterscheidet, 

das sich die KDCs auf allen beschreibbaren Domänencontroller in der Domäne 

teilen. 

Wenn ein Benutzer zum ersten Mal versucht, sich an einem RODC zu authentifizieren, sendet 

der RODC die Anforderung an einen beschreibbaren Domänencontroller im zentralen 

Standort. Falls die Authentifizierung erfolgreich ist, fordert der RODC auch eine Kopie der 

entsprechenden Anmeldeinformationen an. Der beschreibbare Domänencontroller erkennt, 

dass die Anforderung von einem RODC stammt, und wertet die Kennwortreplikationsrichtlinie 

aus, die für diesen RODC gilt. 

Die Kennwortreplikationsrichtlinie legt fest, ob die Anmeldeinformationen auf den RODC 

repliziert und dort gespeichert werden dürfen. Ist das der Fall, sendet ein beschreibbarer 

Domänencontroller die Anmeldeinformationen an den RODC und der RODC speichert sie 

für die künftige Verwendung in seinem Cache. Wenn die Anmeldeinformationen auf dem 

RODC zwischengespeichert sind, kann der RODC die Anforderung beim nächsten Anmeldeversuch 

des Benutzers direkt bedienen, jedenfalls bis sich die Anmeldeinformationen 

ändern. 

Offensichtlich muss der RODC dafür wissen, ob er eine Kopie der Anmeldeinformationen 

zur Verfügung hat. Um überflüssige Suchvorgänge zu vermeiden, prüft der RODC die Signatur 

in verschiedenen Anforderungen. Falls ein TGT mit seinem eigenen krbtgt-Konto 

signiert wurde, erkennt der RODC sofort, dass er eine zwischengespeicherte Kopie der Anmeldeinformationen 

besitzt. Falls dagegen ein anderer DC das TGT signiert hat, leitet der 

RODC die entsprechenden Anforderungen immer weiter. 

Die Gefahr bei der Installation von RODCs in Zweigstellen lässt sich vor allem dadurch 

verringern, dass mit der Kennwortreplikationsrichtlinie gesteuert wird, welche Anmeldeinformationen 

zwischengespeichert werden. In der Standardeinstellung werden Anmeldeinformationen 

von Benutzern nicht auf einem RODC zwischengespeichert, aber das ist ein 

ineffizienter Entwurf. Wenn Sie sich die meisten Domänen mit einer Zweigstelle ansehen, 

stellen Sie fest, dass sogar in einer großen Zweigstelle (sagen wir mal 100 Benutzer) diese 

Benutzer nur ein winziger Teil der gesamten Benutzer in der Domäne sind. Falls Sie 

20.000 Benutzer in der Domäne haben, handelt es sich um eine halbes Prozent. 

Weil nur für wenige Domänenbenutzer Anmeldeinformationen auf einem bestimmten RODC 

zwischengespeichert werden müssen, sollten Sie über die Kennwortreplikationsrichtlinie 

festlegen, bei welchen Gruppen von Benutzern die Zwischenspeicherung in Frage kommt. 

Indem Sie die RODC-Zwischenspeicherung auf Benutzer beschränken, die häufig in dieser


Zweigstelle sind, können Sie die potenziellen Auswirkungen einer Kompromittierung einschränken. 

Sie können – und sollten – auch explizit die Zwischenspeicherung von Anmeldeinformationen 

für Konten mit hohen Privilegien sperren. Indem Sie zum Beispiel die Zwischenspeicherung 

der Konten von Domänen-Admins verbieten, garantieren Sie, dass die 

Anmeldeinformationen von Domänenadministratoren niemals auf dem RODC in dieser 

Zweigstelle gespeichert werden. Dies ist ein deutlicher Sicherheitsgewinn gegenüber Windows 

Server 2003, wo Sie keine Wahl hatten und eine lokale Kopie für alle Konten in jeder 

Zweigstelle speichern mussten. Dies bedeutet einen riesigen Sicherheitsgewinn. 

Sie greifen auf die Kennwortreplikationsrichtlinie zu, indem Sie das Eigenschaftendialogfeld 

des RODC-Computerobjekts öffnen. In Abbildung 15.1 sehen Sie, dass nur Konten in 

einer Gruppe, die die Benutzer der Zweigstelle enthält, zwischengespeichert werden dürfen; 

die Zwischenspeicherung von Anmeldeinformationen mit hohen Privilegien wird explizit 

verboten. 

Abbildung 15.1 Die Eigenschaftenseiten eines RODCs 

zeigen seine Kennwortreplikationsrichtlinie an 

Nehmen wir einmal das undenkbare an: Ihr RODC wird gestohlen. Der Dieb stellt die AD DS- 

Datenbank bereit und versucht, mit einem allgemein verfügbaren – nun ja – »Sicherheitstesttool« 

Kennwörter zu extrahieren. Aber statt mehr und mehr Kennwörter aufzulisten, 

zeigt das Kennwortknackertool nur leere Kennwörter für fast alle Konten an. 

Falls früher Ihr DC gestohlen wurde, hatten Sie wirklich keine Wahl, als alle Kennwörter in 

der Domäne zurückzusetzen. Eine mühselige Aufgabe, wenn Sie Tausende von Benutzern 

hatten. In diesem Fall brauchen Sie sich aber nur um die Konten zu kümmern, die auf diesem 

einen RODC zwischengespeichert wurden. Um es deutlich zu sagen: Mit einem RODC 

wissen Sie genau, welche Kennwörter zwischengespeichert wurden. Sie können prüfen, 

welche auf den RODC repliziert wurden, indem Sie sich das Dialogfeld Kennwortreplikationsrichtlinie 

ansehen. Anfangs werden nur Kennwörter für den Computer selbst und das


spezielle KRBTG-Konto lokal gespeichert, wie Sie in Abbildung 15.2 sehen können. Sobald 

sich die ersten Clients beim RODC authentifizieren, werden unter Umständen weitere Kennwörter 

gespeichert, wie in Abbildung 15.3 zu sehen. 

Abbildung 15.2 Anfangs sind nur die Kennwörter zu zwei Konten auf dem RODC gespeichert 

Abbildung 15.3 Sie können weitere Kennwörter auf dem RODC speichern 

Sie können auch feststellen, welche Benutzer versucht haben, sich beim RODC zu authentifizieren, 

deren Kennwörter aber nicht zwischengespeichert werden durften. Zum Beispiel 

sehen Sie in den Abbildungen 15.2 und 15.3, dass für das Konto Administrator kein Kenn-


wort zwischengespeichert wurde. Aber in Abbildung 15.4 hat sich der Administrator an dem 

Standort angemeldet, für den der RODC zuständig ist. 

Abbildung 15.4 Benutzer, die sich beim RODC authentifiziert haben, deren 

Kennwörter aber nicht zwischengespeichert wurden 

In Abbildung 15.5 sehen Sie schließlich, für welche Konten die Kennwörter auf dem RODC 

zwischengespeichert werden dürfen und für welche nicht. 

Abbildung 15.5 Informationen über die Kennwortzwischenspeicherung 

auf der Seite Richtlinienergebnis


Wir haben es viel einfacher gemacht, fehlende Domänencontroller, auch RODCs, zu entfernen. 

Dafür steht eine einfache Schnittstelle zur Verfügung, in der Sie den früheren RODC 

aus der Domäne entfernen (es müssen keine Metadaten mehr aufgeräumt werden!) und auch 

automatisch die potenziell kompromittierten Kennwörter zurücksetzen können. Wenn Sie 

das Computerobjekt eines RODCs löschen wollen, öffnet sich der Dialog aus Abbildung 15.6. 

Abbildung 15.6 Entfernen eines RODCs, der in AD DS nicht online gebracht werden kann 

Sie sollten auch den Abschnitt zur BitLocker-Laufwerkverschlüsselung weiter unten in diesem 

Kapitel lesen. Wenn Sie BitLocker auf dem Windows-Volume des RODCs benutzen, 

können Sie verhindern, dass der Dieb überhaupt auf die lokale Kopie der AD DS-Datenbank 

zugreifen kann. Das verschafft Ihnen zumindest die Zeit, die Sie brauchen, um die Kennwörter 

ordentlich zurückzusetzen. 

Administrative Rollentrennung 

Mithilfe der Rollentrennung können Sie die Rolle des lokalen Administrators auf einem 

RODC-Computer an einen beliebigen Domänenbenutzer delegieren, ohne diesem Benutzer 

irgendwelche Rechte für die Domäne selbst oder andere Domänencontroller zu gewähren. In 

Windows Server 2003 hatten DCs keinen lokalen Administrator; wenn Sie einen DC administrieren 

konnten, war es auch möglich, die gesamte Domäne zu administrieren. 

Administrative Rollentrennung erlaubt es einem Benutzer in einer lokalen Zweigstelle, sich 

an einem RODC anzumelden und Wartungsaufgaben auf dem Server durchzuführen, zum 

Beispiel einen Treiber zu aktualisieren, ohne dass dieser Benutzer sich an irgendeinem anderen 

Domänencontroller anmelden oder die Domäne verwalten kann. 

Vorteile von RODCs 

RODCs bieten eine Möglichkeit, Domänencontroller in einer Zweigstelle sicherer bereitzustellen, 

weil sie für den Einsatz an Orten entworfen wurden, die schnelle, zuverlässige und 

robuste Authentifizierungsdienste benötigen, aber auch Einschränkungen bezüglich der 

Sicherheit aufweisen, die eine Bereitstellung von beschreibbaren Domänencontrollern einschränkt 

oder verhindert. Mit einem RODC kann eine Organisation die Risiken bei der 

Bereitstellung eines Domänencontrollers an Orten eindämmen, wo die physische Sicherheit 

nicht garantiert werden kann.


Das RODC-Feature wurde offensichtlich gezielt für Zweigstellen entwickelt, es ist aber 

auch ein integraler Bestandteil von AD DS. In Kapitel 9 finden Sie weitere Informationen 

zur Installation eines RODCs, dem Einsatz des gefilterten RODC-Attributsatzes und der 

Konfiguration von schreibgeschütztem DNS. 

BitLocker-Laufwerkverschlüsselung 

Die BitLocker-Laufwerkverschlüsselung (BitLocker Drive Encryption) ist eine Komponente 

des Betriebssystems in Windows Vista Enterprise Edition und Windows Vista Ultimate Edition, 

sie ist auch als Feature in allen Editionen von Windows Server 2008 enthalten. Sie wissen 

wahrscheinlich bereits, dass Daten auf Clientfestplatten geschützt werden sollten, aber 

diese Möglichkeit kann auch für Server wichtig sein, insbesondere in einer Zweigstelle. 

Laut einer Untersuchung von Forrester kommen Datenlecks teuer: »Die Kosten für einen 

einzigen, schweren Sicherheitseinbruch können Millionen oder sogar Milliarden von Dollar 

betragen«. (»Calculating the Cost of a Security Breach«, Khalid Kark, 10. April 2007, unter 

http://www.forrester.com/Research/Document/Excerpt/0,7211,42082,00.html). Und leider 

sind solche Vorfälle auch recht häufig: »34% der Befragten hatten zumindest einmal ein 

Datenleck erlebt, bei dem persönliche Daten bekannt wurden.« (»Aligning Data Protection 

Priorities with Risk«, Jonathan Penn, 13. April 2006, unter http://www.forrester.com/Research/ 

Document/Excerpt/0,7211,39257,00.html) 

Die meisten IT-Experten sind sich der Gefahr bewusst, dass das Notebook eines Benutzers 

im Taxi vergessen oder gestohlen wird. Vermutlich ist die Gefahr geringer, dass Sie einen 

Produktivserver in einem Taxi liegen lassen. Aber haben Sie sich schon einmal überlegt, was 

passiert, wenn Ihre Server gestohlen werden? Ich habe einmal bei einem Kunden in der Rüstungsindustrie 

gearbeitet, der mir erzählte, dass seine Organisation die Domänencontroller 

mit C4-Sprengsätzen versehen hat, weil sie »im Feld« bereitgestellt wurden. Und da wäre es 

besser, ihre Zerstörung in Kauf zu nehmen, als zu riskieren, dass Authentifizierungsdaten in 

Feindeshand fallen. Bei Ihnen ist die Gefahr wahrscheinlich nicht ganz so dramatisch wie 

auf dem Schlachtfeld, aber es gibt immer ein gewisses Risiko, und das ist nicht rein hypothetisch. 

Ein Kollege von mir (na gut, es war Jesper) hatte einmal mit einem Kunden zu tun, 

dessen Unternehmen erleben musste, wie ein Dieb einen Lastwagen rückwärts durch die 

Gebäudewand setzte und ihre Server stahl. 

BitLocker ist ein Werkzeug, das Ihnen hilft, das Risiko auf das erforderliche Maß einzudämmen. 

Ich hoffe allerdings, dass Sie über die Grenzen des Datencenters hinaus denken. 

Hier einige Beispiele aus meiner eigenen Erfahrung: 

Ich besuchte einmal einen Kunden, dessen Datencenter in einem 100 Jahre alten, früheren 

Sanatorium lag. Die Server standen hinter 70 cm dicken Mauern und wurden rund 

um die Uhr bewacht. Es wäre sehr schwierig, diese Server zu stehlen. 

Ich half einmal bei einer großen Veranstaltung für Jugendliche aus, wo sich das »Datencenter« 

in einem Zelt befand. Server verteilten sich über riesigen Flächen und verloren 

die Konnektivität, wenn jemand eine Heizplatte in dieselbe Verteilerdose wie den Glasfaser-Repeater 

einsteckte. 

Damit niemand mein zweites Beispiel als unbedeutend abtut, will ich darauf hinweisen, dass 

beide Server vertrauliche persönliche Informationen enthielten, darunter medizinische Daten 

über Klienten beziehungsweise Teilnehmer – und beide waren an einem Ort, wo sie sein 

mussten, um die konkreten Aufgaben zu erfüllen.


Was ist nun die BitLocker-Laufwerkverschlüsselung und wie kann sie Ihnen helfen, die 

Daten auf Ihren Servern zu schützen? BitLocker erfüllt zwei Funktionen: 

BitLocker verschlüsselt alle Daten, die auf dem Windows-Betriebssystemvolume gespeichert 

sind (und auf konfigurierten Datenvolumes). Das umfasst das Betriebssystem 

Windows, Ruhezustands- und Auslagerungsdateien, Anwendungen und Daten, die von 

den Anwendungen benutzt werden. 

BitLocker ist standardmäßig so konfiguriert, dass es einen TPM-Chip (Trusted Platform 

Module) nutzt, um die Integrität der Startkomponenten sicherzustellen (Komponenten, 

die in den allerersten Phasen des Startprozesses zum Einsatz kommen). Es sperrt alle mit 

BitLocker geschützten Volumes, sodass sie sogar dann geschützt bleiben, wenn der 

Computer manipuliert wurde, während das Betriebssystem nicht lief. 

BitLocker-Konfiguration in Windows Server 2008 

In Windows Server 2008 ist BitLocker eine optionale Komponente, die installiert werden 

muss, bevor sie benutzt werden kann. (Im Server-Manager werden optionale Komponenten 

als Features bezeichnet.) Sie können BitLocker installieren, indem Sie das Feature Bit- 

Locker-Laufwerkverschlüsselung im Server-Manager hinzufügen oder an einer Eingabeaufforderung 

folgenden Befehl eingeben: ServerManagerCmd -install BitLocker-restart. 

Wenn Sie BitLocker auf einem Produktivserver installieren wollen, müssen einige Punkte 

beachtet werden. BitLocker umfasst in Windows Server 2008 zwei optionale Komponenten 

(Optional Component, OC). Die BitLocker-OC dient dazu, Volumes auf diesem konkreten 

Server zu schützen. Außerdem gibt es eine Remoteverwaltungs-OC namens RSAT-BitLocker. 

Sie installiert die Dateien und Befehlszeilenskripts, die nötig sind, um BitLocker auf Remoteservern 

zu verwalten. (RSAT steht für Remote Server Administration Tool.) Falls Sie 

das BitLocker-Feature mit dem Server-Manager installieren oder entfernen, werden beide 

OCs installiert beziehungsweise entfernt. Falls Sie nur das Remotetool installieren wollen, 

müssen Sie entweder den Befehl pkgmgr oder den Befehl ocsetup verwenden. Weil der Server-Manager 

in einer Server Core-Installation nicht zur Verfügung steht, müssen Sie pkgmgr 

oder ocsetup verwenden, um BitLocker auf Server Core zu installieren. 

Weil BitLocker einen Filtertreiber für die Ver- und Entschlüsselung benutzt, muss der Computer 

nach dem Installieren oder Entfernen von BitLocker neu gestartet werden. Wird lediglich 

die Komponente RSAT-BitLocker installiert, ist kein Neustart erforderlich. Sobald die 

Komponente installiert ist, können Sie BitLocker mit dem Befehlszeilentool manage-bde.wsf 

oder der Systemsteuerung auf bestimmten Volumes aktivieren. 

BitLocker unterscheidet sich von vorhandenen Technologien wie EFS: Sobald Sie BitLocker 

aktiviert haben, arbeitet es automatisch und transparent, und es umfasst das gesamte Volume. 

(Beachten Sie, dass BitLocker vollständig kompatibel zu EFS ist und Sie die beiden kombinieren 

können, um unterschiedliche Risiken einzudämmen. Die Active Directory-Rechteverwaltungsdienste 

(Active Directory Rights Management Services, AD RMS) bilden das dritte 

Element in der Datenverschlüsselungsstrategie von Microsoft. Eine Beschreibung von EFS 

und RMS würde den Rahmen dieses Kapitels sprengen.) 

BitLocker erfordert, dass ein Computer mit mehreren Volumes (Partitionen) konfiguriert 

wird. Ein Computer startet von der aktiven Partition, auch als Systempartition oder Systemvolume 

bezeichnet. Das Betriebssystem wird auf einem zweiten Volume installiert, das in 

der Windows Server 2008-Dokumentation normalerweise das Windows-Betriebssystemvolume 

genannt wird, in älterer Dokumentation auch Startpartition. (Wenn Sie genau aufge-


passt haben: Es stimmt, Sie starten Ihren Computer niemals von der Startpartition, und auf 

der Systempartition befinden sich keine Windows-Systemdateien.) 

Die aktive Partition ist nicht verschlüsselt, das Windows-Betriebssystemvolume schon. Anders 

ausgedrückt: BitLocker verschlüsselt alles, was in ein geschütztes Volume geschrieben 

wird, also Code, Daten und Temporärdateien. 

Die BitLocker-Verschlüsselung des gesamten Volumes bietet Schutz gegen Offlineangriffe, 

bei denen jemand versucht, das Betriebssystem zu umgehen. Es ist sehr wichtig, dass Bit- 

Locker ein laufendes Betriebssystem nicht schützt. Wenn das Windows-Betriebssystemvolume 

beim Start entsperrt wurde, verschlüsselt und entschlüsselt BitLocker die Sektoren 

transparent. Das geschieht immer, wenn eine Anwendung oder das Betriebssystem selbst 

Daten auf einem geschützten Volume liest oder schreibt. Weitere Schutzfunktion führt 

BitLocker nicht aus. Aber BitLocker bietet eben Schutz gegen Offlineangriffe, wenn zum 

Beispiel die Festplatte (oder der gesamte Server) gestohlen wird. 

Ohne BitLocker ist es ganz einfach, die Festplatte aus dem Server aus- und in einen anderen 

Computer einzubauen. So lassen sich die NTFS-Berechtigungen und ähnliche Schutzmechanismen 

aushebeln. Mit BitLocker kann aber auch in einem anderen Computer nichts 

Sinnvolles von der Festplatte ausgelesen werden, sofern Sie nicht das erforderliche Wiederherstellungskennwort 

haben, um das Volume zu entsperren. Es stimmt, dass auch Dateien, 

die durch RMS und EFS geschützt sind, nicht einfach gelesen werden können, aber BitLocker 

dehnt diesen Schutz auf das gesamte Volume aus, inklusive der Dateien, die nicht durch 

RMS oder EFS geschützt werden können (zum Beispiel die Active Directory-Datenbank 

oder die Registrierung). 

Direkt von der Quelle: Automatisches Entsperren von Datenvolumes 

In Windows Server 2008 hat Microsoft Unterstützung für Datenvolumes zu BitLocker 

hinzugefügt. Ergänzt wird das durch die Fähigkeit, alle verschlüsselten Datenvolumes 

automatisch aufzusperren. Dazu speichert BitLocker Schlüssel für verschlüsselte Datenvolumes 

in der Systemregistrierung, wo sie von BitLocker ausgelesen werden können, 

um das Volume zu entsperren. 

Es ist sehr wichtig, diese Schlüssel für die automatische Entsperrung gut zu schützen, da 

sie benutzt werden können, um das Volume zu entschlüsseln. Daher werden diese Schlüssel 

selbst immer verschlüsselt, bevor sie in der Registrierung gespeichert werden. Sie 

werden dabei mit einem neuen Schlüssel verschlüsselt, dem AMK (Auto-Unlock Master 

Key). Der AMK ist dem FVEK sehr ähnlich. Der FVEK dient dazu, die Daten auf dem 

Volume zu verschlüsseln, der AMK wird dagegen benutzt, um die Daten in der Registrierung 

zu verschlüsseln. Wie der FVEK wird auch der AMK mit dem VMK des Betriebssystemvolumes 

verschlüsselt. Das erklärt, warum BitLocker erst auf dem Betriebssystemvolume 

aktiviert werden muss, bevor es auf irgendwelchen Datenvolumes aktiviert werden 

kann. 

Dank dieses Entwurfs können Sie BitLocker auf sichere Weise auf einem Datenvolume 

aktivieren und dieses Volume für die automatische Entsperrung einrichten (das ist die 

Standardeinstellung), ohne erst warten zu müssen, bis das Betriebssystemvolume vollständig 

verschlüsselt ist.


Und wenn Sie das Betriebssystemvolume entschlüsseln, erzwingen wir auch die Entschlüsselung 

aller bereitgestellten Datenvolumes, bei denen die automatische Entsperrung 

aktiviert ist, weil der AMK beim Entschlüsseln des Betriebssystemvolumes gelöscht 

wird und daher die Schlüssel für die automatische Entsperrung in der Registrierung 

unbrauchbar werden. 

Narendra S. Acharya 

Software Design Engineer in Test (SDET) 

System Integrity, Core OS Division 

BitLocker-Verschlüsselungsalgorithmen und -Schlüssel 

BitLocker benutzt den AES-Algorithmus (Advanced Encryption Standard) mit einem 256- 

Bit-Schlüsselraum. In der Standardeinstellung werden allerdings nur 128 Bit des Schlüssels 

benutzt. Um stärkere Verschlüsselung zu erreichen, kann die Schlüssellänge auf 256 Bit 

vergrößert werden. Diese Konfiguration können Sie über Gruppenrichtlinien oder den Bit- 

Locker-WMI-Anbieter (Windows Management Instrumentation) vornehmen. Wie immer bei 

Verschlüsselung bedeuten stärkere Verschlüsselung und längere Schlüssel, dass mehr Rechenleistung 

benötigt wird. (Alle Änderungen an den Verschlüsselungseinstellungen werden 

erst wirksam, nachdem BitLocker für ein Volume erneut aktiviert wurde.) 

Bevor Daten an den AES-Algorithmus übergeben werden, werden sie durch zwei separate 

Diffuser-Schritte geleitet. Ein Diffuser ist ein komplexer kryptografischer Algorithmus, der 

einen einzigen Zweck verfolgt: Die Diffuser stellen sicher, dass jede Änderung (selbst wenn 

es nur ein einziges Bit ist) am Klartext dazu führt, dass der gesamte Block im verschlüsselten 

Ciphertext geändert wird. Das macht es schwieriger, unter Umständen sogar unmöglich, 

Schlüssel dadurch zu erraten, dass Änderungen im Klartext vorgenommen und dann der 

generierte Ciphertext analysiert wird. 

BitLocker verschlüsselt jeden Sektor im Volume einzeln. Ein Teil des Verschlüsselungsschlüssels 

wird aus der Sektornummer abgeleitet. Das bedeutet, dass zwei Sektoren mit denselben 

unverschlüsselten Daten zwei völlig unterschiedliche verschlüsselte Blöcke ergeben, 

wenn sie auf die Festplatte geschrieben werden. Das macht es schwieriger, die Schlüssel zu 

ermitteln, indem bekannte Datenstücke verschlüsselt werden. 

Niels Ferguson, einer der Entwickler des Algorithmus und ein geachteter Kryptografieexperte, 

der an BitLocker gearbeitet hat, veröffentlichte einen Artikel zu den Details des BitLocker- 

Verschlüsselungsalgorithmus. Sie können ihn auf der Begleit-CD zu diesem Buch und online 

unter http://www.microsoft.com/downloads/details.aspx?familyid=131dae03-39ae-48bea8d6-8b0034c92555&displaylang=en 

lesen: »AES-CBC + Elephant Diffuser: A Disk 

Encryption Algorithm for Windows Vista«. Abbildung 15.7 zeigt einen vereinfachten 

Überblick. 

Wie bereits erwähnt, wird jeder Sektor individuell verschlüsselt, wobei ein Teil des Schlüssels 

aus der Sektornummer abgeleitet wird. Der symmetrische Verschlüsselungsschlüssel, 

der für den größten Teil der Verschlüsselung benutzt wird, ist der sogenannte FVEK (Full- 

Volume Encryption Key). Der FVEK wird einem Benutzer oder Administrator gegenüber 

niemals offengelegt. Für den Fall, dass der FVEK kompromittiert wird, schreiben Sicherheitsempfehlungen 

vor, alles, was mit diesem Schlüssel verschlüsselt wurde, zu entschlüsseln 

und anschließend mit einem neuen Schlüssel wieder zu verschlüsseln. Weil davon eine 

sehr große Datenmenge betroffen sein kann, wäre das ein zeitaufwendiger Prozess (und


während dieses Vorgangs bricht die Leistung deutlich ein). Stattdessen ist der FVEK ein sehr 

streng gehütetes Geheimnis, und das System arbeitet mit einem anderen Schlüssel, dem 

sogenannten VMK (Volume Master Key). Der VMK wird benutzt, um den FVEK zu verschlüsseln. 

Die verschlüsselte Kopie des FVEK wird in die Volumemetadaten geschrieben. 

(Sie kann auch als Element eines Binärschlüsselpakets in AD DS gesichert werden.) Das 

bedeutet nicht, dass der Schlüssel unter die Türmatte gelegt wird. Es ist eher, als ob Sie 

Schlüssel in einem Tresor lassen, der in einem Zwei-Tonnen-Block verankert und dann unter 

der Türmatte versteckt wird. Selbst wenn der VMK irgendwie kompromittiert wird, können 

Sie den FVEK sehr schnell mit einem neuen VMK verschlüsseln. 

Abbildung 15.7 Vereinfachte Darstellung des BitLocker-Verschlüsselungsalgorithmus 

Um Sektoren zu entschlüsseln, muss das System an den FVEK kommen. Und dazu muss das 

System erst einmal an den VMK kommen. Der VMK ist ebenfalls in den Volumemetadaten 

gespeichert und auch er wird niemals auf die Festplatte geschrieben, ohne vorher selbst stark 

verschlüsselt zu werden. 

Der VMK kann mit einer beliebigen Zahl von Schlüsselschutzmechanismen oder -authentifizierern 

verschlüsselt werden. Der Standardschutz für den Schlüssel ist das TPM (Trusted 

Platform Module) des Computers, was in den folgenden Abschnitten genauer beschrieben 

wird. Sie können das TPM mit einem PIN-Code oder einem partiellen Schlüssel kombinieren, 

der auf einem USB-Stick gespeichert ist. Und Sie können diese beiden Mechanismen 

ebenfalls kombinieren. Weil eine PIN oder ein USB-Stick benötigt werden, haben Sie hier 

eine Zwei-Komponenten-Authentifizierung. 

Falls der Computer kein kompatibles TPM hat, können Sie BitLocker so konfigurieren, dass 

es einen Schlüsselschutz vollständig auf einem USB-Flashlaufwerk speichert. (Dabei ist 

allerdings keine Systemstartintegritätsprüfung möglich, mehr dazu weiter unten.) Der VMK 

wird außerdem mit einem 48-stelligen Wiederherstellungskennwort verschlüsselt, das in 

AD DS gesichert, in einer Datenbank gespeichert oder für eine Notfallwiederherstellung 

ausgedruckt werden kann.


Und für den Fall, dass Sie BitLocker deaktivieren, das Laufwerk aber nicht vollständig entschlüsseln 

wollen, verwendet BitLocker einen Schlüsselschutz, der ein Klartextschlüssel ist. 

Den Klartextschlüssel können Sie sich so vorstellen, dass der Haustürschlüssel unter die 

Fußmatte gelegt wird. Der VMK wird mit einem neuen Schlüssel verschlüsselt, aber dieser 

Schlüssel wird im Klartext auf dem Volume gespeichert. Das ist nützlich für Operationen, 

bei denen BitLocker deaktiviert sein muss, zum Beispiel bei bestimmten Upgrades. Sie sparen 

sich dabei den Zeitaufwand zum Entschlüsseln und Neuverschlüsseln des Volumes. Weil 

der VMK in diesem Zustand allzu leicht ausgespäht werden könnte, sollten Sie BitLocker 

aber nicht länger als unbedingt nötig in diesem deaktivierten Zustand lassen. 

BitLocker-Start 

Beim Start des Computers sind alle mit BitLocker geschützten Volumes gesperrt und können 

nicht benutzt werden, nicht einmal das Betriebssystem kann gestartet werden. Startcode im 

Start-Manager und dem Windows-Ladeprogramm sucht nach einem passenden Schlüsselschutz, 

indem er das TPM abfragt, die USB-Anschlüsse überprüft und bei Bedarf den Benutzer 

auffordert, eine PIN oder ein Wiederherstellungskennwort einzugeben. Wenn Windows 

den Schlüsselschutz gefunden hat, kann es den VMK entschlüsseln, der wiederum den 

FVEK entschlüsselt. Ab diesem Punkt ist die Festplatte entsperrt und der BitLocker-Filtertreiber 

entschlüsselt die auf der Festplatte gespeicherten Daten, während ein Sektor gelesen 

wird. 

BitLocker-Integritätsprüfung 

Damit ein Server starten kann, müssen die Komponenten, die ganz am Anfang des Startprozesses 

stehen, unverschlüsselt vorliegen, damit sie auch beim Start benutzt werden können. 

Schafft es ein Angreifer, den Code in den frühesten Startkomponenten zu manipulieren, ist 

es viel einfacher, ein System zu kompromittieren. Nach diesem Prinzip arbeiten viele Rootkits. 

Sobald ein System erst einmal auf diese Weise kompromittiert wurde, können Geheimnisse 

wie zum Beispiel Kennwörter viel einfacher ausgespäht werden. 

Im Fall eines Systems, das durch BitLocker geschützt wird, könnte eine Kompromittierung 

der frühesten Startkomponenten dazu führen, dass der VMK oder FVEK bekannt wird. Das 

würde den BitLocker-Schutz aushebeln, obwohl die Daten auf der Festplatte verschlüsselt 

sind. 

Falls der Computer ein kompatibles TPM hat, kann BitLocker die Integritätsprüfung nutzen, 

um diese Art von Angriff zu verhindern. Ist ein TPM vorhanden, untersuchen alle Startkomponenten 

– zum Beispiel BIOS, Master Boot Record (MBR), Startsektor und Start-Managercode 

– bei jedem Computerstart den Code, der ausgeführt werden soll, berechnen einen 

Hashwert und speichern den Wert in bestimmten TPM-Registern, den PCRs (Platform Configuration 

Register). Ist ein Wert einmal in einem PCR gespeichert, kann der Wert nicht 

mehr geändert oder gelöscht werden, ohne das System neu zu starten. 

Ein TPM kann Daten (in diesem Fall den VMK) verschlüsseln und diese Verschlüsselung 

mit bestimmten PCR-Werten verknüpfen. Dies wird als Versiegeln (engl. sealing) eines 

Schlüssels im TPM bezeichnet. Ist ein Schlüssel einmal versiegelt, kann nur dieses spezielle 

TPM den Schlüssel wieder entschlüsseln. Und das TPM entschlüsselt den Schlüssel nur, 

falls die aktuellen PCR-Werte den Werten entsprechen, die eingetragen wurden, als der 

Schlüssel versiegelt wurde. 

In der Standardeinstellung versiegelt BitLocker Schlüssel in den PCRs, die CRTM (Core 

Root of Trust Measurement), BIOS und alle Plattformerweiterungen, Option-ROM-Code,


MBR-Code, NTFS-Startsektor und Start-Manager aufzeichnen. Falls irgendeines dieser 

Elemente sich unerwartet geändert hat, entschlüsselt das TPM seinen Schlüsselschutz nicht 

und BitLocker kann das Volume nicht entsperren. So wird verhindert, dass jemand auf das 

Volume zugreift oder es entschlüsselt. 

In der Standardeinstellung ist BitLocker so konfiguriert, dass es nach einem TPM sucht und 

es verwendet. Sie können BitLocker über Gruppenrichtlinien oder eine lokale Richtlinieneinstellung 

erlauben, auch ohne ein TPM zu arbeiten und Schlüssel auf einem externen 

USB-Flashlaufwerk zu speichern. Aber ohne ein TPM kann BitLocker die Systemintegrität 

nicht überprüfen. 

BitLocker in der Zweigstelle 

Gut und schön, denken Sie sich jetzt möglicherweise, das ist bestimmt sehr nützlich für 

Notebooks. Aber was hat das mit meinem Server in der Zweigstelle zu tun? Gut, dass Sie 

fragen. 

Es gibt mehrere Szenarien, in denen BitLocker für Server sehr nützlich ist. Das gilt besonders 

für Computer, die nicht im zentralen Datencenter aufgestellt sind. Das sind zum Beispiel 

folgende Szenarien: 

Verringern der Gefahr durch Malwareinfektion, insbesondere Rootkits Die meisten 

Rootkits und andere Malware, die Ihre Server ernsthaft beschädigen können, müssen 

den Computer neu starten, um sich zu installieren. Wenn ein TPM und die BitLocker- 

Integritätsprüfung eingesetzt werden, startet der Server nicht, falls die Startkomponenten 

manipuliert wurden. (Nachdem BitLocker das Volume entsperrt hat, übernehmen Windows-Codeintegritätfeatures 

die Aufgabe, das Betriebssystem vor unautorisierten Änderungen 

zu schützen.) Es stimmt, dass dies für einen Denial-of-Service-Angriff genutzt 

werden kann, weil der Server sich weigert, neu zu starten, aber es ist im Allgemeinen 

besser, einen Produktivserver anzuhalten als zuzulassen, dass er mit aktiver Malware 

läuft. 

Diebstahl eines Servers Diebe konzentrieren sich auf Notebooks und mobile Geräte, 

weil es bequeme Ziele sind. Manche Diebe stehlen Notebook zwar auch, weil sie irgendwelche 

interessanten Daten enthalten, aber die meisten Notebookdiebstähle dienen der 

Hardwarebeschaffung. Die viel wertvolleren Daten darauf werden meist ignoriert. Aber 

ein Server oder seine Datenträger können für einen ausgekochten Dieb eine Goldmine 

sein. Ein Domänencontroller könnte Geheimnisse über Tausende von Benutzern enthalten 

(siehe den Abschnitt zu RODCs), ein Dateiserver könnte mit dem geistigen Eigentum 

Ihres Unternehmens gefüllt sein, ein Datenbankserver könnte Unmengen persönlicher 

Daten enthalten – ungemein praktisch für Identitätsdiebstahl und Betrug, um nur 

zwei Risiken zu nennen. Wenn Sie sich wirksam vor der Gefahr schützen wollen, dass 

der gesamte Server gestohlen wird, reicht der standardmäßige TPM-Schutz nicht aus. 

Diebstahl einer Festplatte Oft ist es viel einfacher, ein einzelnes Laufwerk zu stehlen 

als den gesamten Server. Die meisten Serverlaufwerke lassen sich einfach herausziehen, 

dadurch sind sie im Nu gestohlen. Wie ein Server enthält ein Laufwerk wertvolle Informationen 

und sollte geschützt werden. 

Versenden eines Servers (oder eines Laufwerks) an einen Remotestandort In vielen 

Fällen werden Server erst einmal in der Zentralstelle eingerichtet oder große Datenmengen 

müssen zu einem Remoteserver geschafft werden. In beiden Fällen können Sie 

im Datencenter BitLocker auf dem Volume aktivieren und das Volume dann an den


Remotestandort schaffen lassen. Wenn es sich um einen gesamten Server handelt, kann 

er so konfiguriert werden, dass eine PIN zum Starten eingegeben werden muss. Bei 

einem einzelnen Volume können alle Schlüsselschutzdaten außer dem Wiederherstellungskennwort 

gelöscht werden. Wenn dann autorisiertes Personal den Server oder das 

Laufwerk am Bestimmungsort in Empfang genommen habt, können PIN oder Wiederherstellungskennwort 

über Telefon, Fax oder E-Mail übermittelt werden. Wenn der Server 

im Produktivbetrieb läuft, können Sie bei Bedarf den PIN-Schutz entfernen oder das 

Volume sogar entschlüsseln. Falls das Laufwerk oder der Server unterwegs verloren geht 

oder gestohlen wird, kann niemand auf die Daten zugreifen. 

Sichere Ausmusterung Irgendwann wird ein Server oder ein Laufwerk außer Dienst 

gestellt. Es ist unerlässlich, dass Sie sicherstellen, dass kein Serverlaufwerk mit Unternehmensdaten 

Ihren Besitz verlässt, während diese Daten noch lesbar sind. Die meisten 

Prozesse, die vertrauliche Daten von Festplattenlaufwerken löschen, sind zeitaufwendig, 

teuer oder haben die dauerhafte Zerstörung der Hardware zur Folge. Statt die Daten am 

Ende zu löschen, können Sie mit BitLocker sicherstellen, dass vertrauliche Daten erst 

gar nicht so auf einem Laufwerk gespeichert werden, dass sie ausgelesen werden können. 

Weil alles, was auf dem Laufwerk steht, verschlüsselt ist, können Sie die Daten 

dauerhaft unlesbar machen, indem Sie schlicht alle Exemplare des Verschlüsselungsschlüssels 

löschen. Die Festplatte selbst bleibt völlig unbeschädigt und kann wiederverwendet 

werden. Das Entfernen und Zerstören der Schlüssel in den Volumemetadaten ist 

blitzschnell getan und kann lokal oder im Remotezugriff von einem Administrator erledigt 

werden. Das Format-Dienstprogramm in Windows Vista und Windows Server 2008 

löscht die Volumemetadaten und überschreibt diese Sektoren, damit alle BitLocker- 

Schlüssel garantiert gelöscht werden. (Beachten Sie, dass Sie nicht die Format-Dienstprogramme 

aus älteren Windows-Versionen als Windows Vista verwenden können, um 

diese Aufgabe durchzuführen.) 

Problembereiche 

Wenn Sie erwägen, BitLocker auf Ihren Servern einzusetzen, müssen Sie einige Punkte 

beachten. 

Denken Sie daran, dass BitLocker Schutz gegen ganz bestimmte Bedrohungen bietet: Offlineangriffe. 

Es ist unverzichtbar, dass andere Sicherheitsmaßnahmen, zum Beispiel starke 

Kennwörter, weiterhin verwendet werden. BitLocker verhindert auch nicht, dass Daten zerstört 

oder Denial-of-Service-Angriffe durchgeführt werden. Datensicherungen sind nach wie 

vor wichtig. Wenn Sie nicht sicherstellen, dass der Zugriff auf Wiederherstellungskennwörter 

möglich ist, könnte BitLocker sogar verhindern, dass Sie selbst auf Ihre Daten zugreifen! 

Wir empfehlen, die integrierte Fähigkeit von BitLocker zu nutzen, Wiederherstellungsinformationen 

in AD DS zu sichern. Weitere Informationen über das Sichern von Wiederherstellungsinformationen 

finden Sie in »Configuring Active Directory to Back Up Windows Bit- 

Locker Drive Encryption and Trusted Platform Module Recovery Information« unter 

http://technet2.microsoft.com/WindowsVista/en/library/3dbad515-5a32-4330ad6fd1fb6dfcdd411033.mspx?mfr=true. 

In Windows Server 2008 und Windows Vista SP1 benutzt BitLocker eine kryptografische 

Signatur, um zu prüfen, ob bestimmte Arten gezielter Angriffe vorliegen. Falls einer dieser 

Angriffe auftritt, wird die kryptografische Signatur ungültig und BitLocker sperrt das Wiederherstellungskennwort 

sowie die üblichen Schlüsselschutzelemente. Das passiert nur, falls 

der Angreifer physischen Zugriff auf das Volume oder den Computer hat. Falls Sie das


Volume wiederbekommen, können Sie das BitLocker-Reparaturtool und eine Sicherungskopie 

des FVEK sowie das Wiederherstellungskennwort verwenden, um Ihre Daten wieder 

zu entsperren. Daher sollten Sie sicherstellen, dass diese Elemente über das AD DS-System 

oder den WMI-Anbieter gesichert werden. 

Denken Sie auch daran, dass BitLocker in Windows Server 2008 ein optionales Feature ist. 

Weil die Verschlüsselungs- und Entschlüsselungsoperationen in einem Filtertreiber implementiert 

sind, können Sie BitLocker nur nutzen, wenn Sie das Feature explizit installieren, 

wie weiter oben in diesem Kapitel beschrieben. Beachten Sie aber, dass Sie den Server neu 

starten müssen, wenn Sie BitLocker installieren oder entfernen. 

BitLocker unterstützt keine Cluster. Falls Sie Server in Failoverclustern konfigurieren, können 

Sie BitLocker nicht einsetzen, um freigegebene Volumes zu schützen. 

Wie alle Verschlüsselungsprodukte und -technologien benötigt BitLocker Rechenleistung. In 

den meisten Benutzerszenarien ist dieser Leistungsabfall kaum zu bemerken, üblicherweise 

beträgt er unter 5 Prozent. Falls Ihr Server allerdings laufwerksintensive Operationen durchführt 

oder sehr stark ausgelastet ist, müssen Sie diesen Faktor unter Umständen bei der Kapazitätsplanung 

berücksichtigen. 

Bei der Sicherheit müssen oft Kompromisse gefunden werden. Beim Einsatz von BitLocker 

muss beispielsweise entschieden werden, ob der Benutzer beim Start gezwungen wird, aktiv 

zu werden. In der Standardeinstellung nutzt BitLocker das TPM als Schlüsselschutz. Sofern 

die Integritätsprüfung erfolgreich verläuft, entsperrt BitLocker das Windows-Betriebssystemvolume, 

ohne dass der Benutzer tätig werden muss. Das bedeutet aber, dass ein Dieb, der 

den gesamten Server stiehlt, ihn ebenfalls einschalten kann, ohne dass BitLocker ihn daran 

hindert. 

Um diese Gefahr einzudämmen, sollten Sie TPM mit einer PIN, einem USB-Flashlaufwerk 

(dem sogenannten Startschlüssel) oder beidem kombinieren. Das verbessert die Sicherheit 

ganz entscheidend. Es bedeutet aber auch, dass ein Server nicht automatisch neu gestartet 

werden kann. (Es wäre idiotisch, einen Startschlüssel ständig am Server zu lassen.) Weil 

Server normalerweise laufen, ist das vermutlich kein Problem – bis ein Stromausfall dazu 

führt, dass die Zweigstelle lahmgelegt wird, weil der eine Manager, der die PIN kennt, gerade 

im Urlaub ist. 

Ich empfehle in den meisten Fällen, ein TPM und eine PIN zu benutzen, aber sicherzustellen, 

dass eine Betriebsprozedur definiert, wer die PIN kennt, wie sie benutzt wird und wie 

die PIN bei Bedarf vom zentralen Support angefordert werden kann. Das erfordert auch, 

dass eventuell geplante Neustarts (zum Beispiel für ein Betriebssystem-Upgrade oder 

Update) so geplant werden, dass zu diesem Zeitpunkt jemand vor Ort ist, der die PIN eingeben 

kann. Nur Ihre Organisation kann entscheiden, welche Gefahr größer ist: die einer 

längeren Ausfallzeit oder die eines Diebstahls des Servers. 

Andere Sicherheitsmaßnahmen 

Ich denke, dass Sie sich mit zwei anderen Bereichen befassen müssen, um Ihre Zweigstellenserver 

zu schützen: physische Sicherheit und Benutzerschulung. 

Features wie RODC und BitLocker helfen zwar, die Gefahr einzudämmen, aber wenn ein 

Angreifer physischen Zugriff auf Ihre Server hat, ist das trotzdem ein gewaltiges Problem. 

Selbst wenn er es nicht schafft, auf die Daten zuzugreifen, kann er möglicherweise verhin-


dern, dass Ihre Benutzer darauf Zugriff bekommen. Schon moderate Investitionen im Bereich 

der physischen Sicherheit können die Verfügbarkeit der Dienste erhöhen. 

Ich höre ständig Geschichten, wie das Reinigungspersonal das Stromkabel von Servern 

abzieht, wie vermeidbare Wasserschäden auftreten und wie Server versehentlich heruntergefahren 

werden. Verwenden Sie Schränke oder Nebenräume, die ein vernünftiges Schloss 

haben. Sorgen Sie für Schutz durch eine USV. Stellen Sie sicher, dass die Be- und Entlüftung 

einwandfrei funktioniert. In großen Unternehmen mag das offensichtlich erscheinen, 

aber weiß man bei einem großen Unternehmen wirklich immer über den genauen Zustand 

jedes einzelnen Servers Bescheid, zum Beispiel dem in der LKW-Werkstatt oder in der 

Fabrikhalle? 

Investieren Sie auch in die Schulung der Benutzer. Erklären Sie, wie wichtig Sicherheit ist 

und wie die anvertrauten physischen und Datenaktiva mit Sorgfalt behandelt werden. Das 

dürfte in kleinen Zweigstellen noch wichtiger sein, dort, wo kein dediziertes IT-Personal 

vorhanden ist, geschweige denn jemand die Einhaltung von Richtlinien und Sicherheitsmaßnahmen 

überwacht. 


Windows Server 2008 wurde von Grund auf dafür entworfen, Zweigstellen zu unterstützen. 

Es bringt Tools mit, die es einfacher als je zuvor machen, Zweigstellen zu schützen. Die 

Features RODC und BitLocker sind wichtige Waffen in Ihrem Verteidigungsarsenal. 


»Windows BitLocker Drive Encryption Frequently Asked Questions« unter 

http://technet2.microsoft.com/WindowsVista/en/library/58358421-a7f5-4c97-ab41- 

2bcc61a58a701033.mspx. 

»BitLocker Drive Encryption Technical Overview« unter http://technet2.microsoft.com/ 

WindowsVista/en/library/ba1a3800-ce29-4f09-89ef-65bce923cdb51033.mspx. 

Data Encryption Toolkit for Mobile PCs unter http://www.microsoft.com/technet/ 

security/guidance/clientsecurity/dataencryption/default.mspx. 

»BitLocker Drive Encryption Glossary« unter http://technet2.microsoft.com/Windows 

Server2008/en/library/af7c60f4-0a30-4aa1-af4f-304d58527c7b1033.mspx. 

»BitLocker Drive Encryption« in »Changes in Functionality from Windows Server 2003 

with SP1 to Windows Server 2008« unter http://technet2.microsoft.com/windowsserver 

2008/en/library/0e0d96cd-935b-48d0-b5ba-c70a979fadbc1033.mspx 

»BitLocker Drive Encryption Step-by-Step Guide for Windows Server 2008« unter 

http://technet2.microsoft.com/WindowsServer2008/en/library/cbc28269-5146-4672- 

9161-8872697897061033.mspx. 

»Windows BitLocker Drive Encryption Step-by-Step Guide« (für Windows Vista) unter 

http://technet.microsoft.com/en-us/windowsvista/aa905089.aspx?id=2387. 

»Windows BitLocker Drive Encryption Design and Deployment Guides« unter 

http://www.microsoft.com/downloads/details.aspx?FamilyID=41BA0CF0-57D6-4C38- 

9743-B7F4DDBE25CD.


»Configuring Active Directory to Back Up Windows BitLocker Drive Encryption and 

Trusted Platform Module Recovery Information« unter http://www.microsoft.com/ 

downloads/details.aspx?familyid=3A207915-DFC3-4579-90CD-86AC666F61D4 

»BitLocker Drive Encryption Events and Errors« unter http://technet2.microsoft.com/ 

windowsserver2008/en/library/578ff4fb-1690-4e44-8955-73d146884c731033.mspx. 

»AD DS: Read-Only Domain Controllers« unter http://technet2.microsoft.com/windows 

server2008/en/library/ce82863f-9303-444f-9bb3-ecaf649bd3dd1033.mspx?mfr=true 

»Step-by-Step Guide for Read-Only Domain Controllers« unter http://technet2.microsoft. 

com/windowsserver2008/en/library/ea8d253e-0646-490c-93d3-b78c5e1d9db71033. 

mspx?mfr=true 

»Branch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2« 

unter http://www.microsoft.com/technet/solutionaccelerators/branch/default.mspx

K A P I T E L 1 6 

Aspekte für kleine Unternehmen 

Von Susan E. Bradley 


Betreiben von Servern bei knappem Budget ................................. 430 

Server für kleine Firmen ............................................... 433 

Verletzen aller Prinzipien mit Servern, die mehrere Rollen übernehmen . .............. 439 

Empfehlungen für kleine Unternehmen ..................................... 447 



Warum wird in kleinen bis mittelgroßen Organisationen Serversicherheit benötigt? Treffen 

Leute bessere Geschäftsentscheidungen, weil die Organisation sichere Server hat? In der 

Praxis sieht es bei vielen Organisationen so aus, dass die Budgets für Sicherheitsentscheidungen 

meist durch Regularien und Vorschriften gesteuert werden, und nicht weil es sinnvoll 

ist, Computersysteme zu schützen. PCI/DSS (Payment Card Industry Data Security 

Standards), HIPAA (Health Insurance Portability and Accountability Act) und andere Industriesicherheitsstandards 

haben sogar auf kleine Unternehmen Auswirkungen. Das Problem 

eines engen Budgets für den Bereich Sicherheit betrifft nicht nur kleine Organisationen, aber 

hier ist es normalerweise drängender. 

Können Sie das Netzwerk einer kleinen Organisation mit Serverisolierung (siehe Kapitel 14, 

»Schützen des Netzwerks«), IPsec-Bereitstellung (siehe Kapitel 14), Rechteverwaltung, 

sicherem Drahtlosnetzwerkzugriff mit Authentifizierung über digitale Zertifikate (siehe 

Kapitel 10, »Implementieren der Active Directory-Zertifikatdienste«), BitLocker (siehe 

Kapitel 15, »Schützen von Zweigstellen«) und Bereitstellung von schreibeschützten 

Domänencontrollern (siehe Kapitel 15) einrichten, um maximalen Schutz zu gewährleisten? 

Natürlich ist das möglich. Heißt das auch, dass dies die beste Methode ist, das Technikbudget 

dieser kleinen Organisation aufzubrauchen? Oder sollte das Budget genutzt werden, 

um Sicherheitsbedrohungen zu verhindern, weil der Nachwuchsadministrator vor Ort den 

Domänencontroller so einrichtet, dass er in der Mittagspause Musik tauschen, BitTorrent 

betreiben oder Quake spielen kann? Ein Teil dieses Budgets wird möglicherweise sinnvoller 

verwendet, wenn Sie den Benutzern klarmachen, welche Gefahren ihre Aktionen für eine 

kleine Organisation bedeuten können. Vielleicht sollten Sie auch einen Teil des Budgets für 

die Anwaltskosten vorsehen, die mit der Entlassung oder Resozialisierung des erwähnten 

Nachwuchsadministrators verbunden sind. 

Dieses Kapitel liefert nicht alle Antworten, die Sie brauchen, um sichere Serverlösungen 

bereitstellen zu können. Es leitet Sie aber durch den Prozess, die Risiken für ein kleines 

Unternehmen zu analysieren und die notwendigen Schritte einzuleiten, um diese Gefahren 

auf ein vernünftiges Maß zu senken. Sicherheit in einem kleinen Netzwerk bedeutet, die 

429

430 Kapitel 16: Aspekte für kleine Unternehmen 

Anforderungen des Unternehmens zu kennen, sodass Sie eine Lösung mit akzeptabler 

Sicherheit entwickeln können, die auf der Windows Server 2008-Produktfamilie aufbaut. 

Betreiben von Servern bei knappem Budget 

Das erste Probleme, das Sie beim Bereitstellen einer sicheren Windows Server 2008-Lösung 

in einer kleinen Organisation anpacken müssen, ist die Frage von Kosten und Budgets. Gehen 

Sie das Problem der Budgets und Preise so an, dass Sie aktuelle und künftige Kosten 

abschätzen, inklusive Implementierung, Überwachung und Wartung, kombiniert mit akzeptablen 

Ausfallzeiten und akzeptablen Risiken. Verliert eine kleine Organisation Umsatz, 

wenn ein Sicherheitsvorfall passiert und sie aufgrund von Vorschriften ihre Kunden darüber 

informieren muss? In der Praxis verstehen Kunden von Firmen, bei denen Daten abhanden 

gekommen sind, erstaunlicherweise recht genau, dass die Möglichkeit eines Identitätsdiebstahls 

besteht, wenn Datensicherungsbänder, Notebooks und ähnliche Datenträger verloren 

gehen. Vorfälle, bei denen Daten in unbefugte Hände gelangen, haben letztlich weniger 

finanzielle Auswirkungen auf die Organisationen, als Sie möglicherweise denken, wenn Sie 

sich die Schwere der Sicherheitsvorfälle vor Augen führen. (Ein Beispiel ist in »The TJX 

Effect« von Larry Greenemeier in Information Week beschrieben.) Sicherheitsvorfälle haben 

mehr dem Ruf der Consultants geschadet, die die Netzwerke bereitgestellt haben, als den 

betroffenen Firmen selbst. (Siehe zum Beispiel »Medical IT Contractor Folds After Breaches«, 

Tim Wilson, Dark Reading.) 

Falls die Organisation allerdings von einer Virusinfektion betroffen ist, die das Netzwerk 

weitläufig lahmlegt, sind die Folgen einfacher zu berechnen. In diesem Beispiel können Sie 

den Umsatzausfall pro Stunde beziffern. Multiplizieren Sie diese Zahl mit der Zahl der 

Stunden, die diese Organisation von dem Sicherheitsvorfall betroffen ist, und fragen Sie den 

Kunden, ob diese Kosten akzeptabel sind. Die herkömmliche Formel für die Risikoberechnung 

lautet ALE = SLE * ARO, wobei ALE (Annualized Loss Expectancy) der Verlust im 

Gesamtjahr, SLE (Single Loss Expectancy) der bei einem einzelnen Vorfall zu erwartende 

Verlust und ARO (Annualized Rate of Occurrence) die Wahrscheinlichkeit ist, dass der Vorfall 

innerhalb eines Jahres auftritt. Dabei wird der Wert der Eindämmung nicht berücksichtigt. 

Außerdem wird das Problem ignoriert, wie schwierig es ist, das »was wäre, wenn« abzuschätzen. 

Das Konzept dieser überarbeiteten Risikoanalyse wird in einem Blogeintrag von 

Dr. Jesper Johansson vom Mai 2006 diskutiert. 

Es ist keine einfache Aufgabe, einem Klienten die Bedeutung der Sicherheit zu vermitteln, 

wenn noch kein Vorfall passiert ist. Das erinnert mich daran, was Bruce Turbeyville vom 

California Fire Safe Council in einem Interview nach einem verheerenden Brand sagte, bei 

dem im Lake Tahoe-Gebiet Ende 2007 Hunderte von Häusern zerstört wurden. Er klagte: 

»Warum ist immer genug Geld da, um das Feuer zu bekämpfen? Weil wir sie immer bekämpfen 

und sie immer gelöscht werden. Aber es ist niemals genug Geld da, um das Feuer 

zu verhindern.« Dieselbe Klage stimmen viele Netzwerkadministratoren von kleinen Organisationen 

an. In einem kleinen Unternehmen hat derjenige, der die Technologie implementiert, 

gegenüber dem Kollegen im großen Netzwerk sicherlich einen Vorteil: Wenn das 

Management die vorgeschlagene Sicherheitslösung einmal genehmigt hat, haben diejenigen, 

die das Netzwerk implementieren, die völlige Kontrolle über das Netzwerk; sie brauchen 

sich nicht mit anderen Abteilungen, Organisationen oder Administratoren für bestimmte 

Serverrollen abzustimmen.

Betreiben von Servern bei knappem Budget 431 

Direkt aus der Praxis: Die sehr reale Gefahr 

Wenn ich eine Risikobewertung für kleine und mittelgroße Unternehmen unter unseren 

Kunden durchführe, stelle ich meist fest, dass der größte Schwachpunkt bei solchen Organisationen 

darin besteht, dass sie nicht wissen, welche Datenaktiva tatsächlich in ihrem 

Unternehmen vorhanden sind und welchen Wert diese Aktiva im Arbeitsablauf des Unternehmens 

eigentlich haben. 

Es ist ziemlich sinnlos, die technischen Sicherheitseinrichtungen zum Schutz der Datenaktiva 

eines Unternehmens zu diskutieren, bevor wir wissen, welchen Bedrohungen das 

Unternehmen ausgesetzt ist. Und wir können die Dynamik solcher Bedrohungen erst bewerten, 

wenn wir tatsächlich wissen, welcher Schaden einem Unternehmen entsteht, falls 

solche Aktiva versehentlich oder absichtlich zerstört werden oder nicht mehr zugänglich 

sind. Wir müssen auch untersuchen, auf welche Aktiva ein Angreifer möglicherweise 

Zugriff bekommen möchte, und abschätzen, wie viel Aufwand er wohl investiert, um sich 

diesen Zugriff zu verschaffen. Erst dann können wir uns daran machen, den realen Wert 

der Daten zu beziffern, und zu entscheiden, welche Beträge für Schutzmaßnahmen aufgewendet 

werden sollen, um diese Risiken auf ein Maß einzudämmen, das für das Unternehmen 

noch akzeptabel ist. 

Dana Epp, Microsoft Security MVP 

Scorpion Software 

Auswählen der richtigen Plattformen und Rollen 

Windows Server 2008 macht eine Vielzahl von Auswahlmöglichkeiten verfügbar. Das reicht 

von der Windows Server Core-Installationsoption, die sich perfekt für viele Domänencontroller 

und Server an sicherheitskritischen Orten eignet, bis zu den unterschiedlichen Editionen, 

zum Beispiel Standard, Enterprise und Data Center, und Windows Web Server 2008. 

Der schwierigste Teil beim Einrichten eines sicheren Netzwerks ist oft die Auswahl des 

richtigen Betriebssystems. Allerdings haben viele kleine Unternehmen dadurch auch die 

Möglichkeit, die billigeren Varianten zu nutzen, die auf dem Markt angeboten werden. Es 

gibt außerdem eine Vielzahl von Lizenzierungsbundles, die sich an unterschiedliche Organisationen 

richten, von Softwareherstellern über gemeinnützige Organisationen bis zu Lizenzmodellen 

für Entwicklungsländer. Machen Sie sich aber eines bewusst: Wenn der Preis des 

Produkts so günstig ist, dass Sie das kaum glauben können, gibt es dafür wahrscheinlich 

gute Gründe: Sie gehen das Risiko ein, dass der Server mit Raubkopien betrieben wird. 

Wenn Sie eine Raubkopie von Windows Server 2008 einsetzen, kann das dazu führen, dass 

der Server in einen Modus mit eingeschränkter Funktionalität versetzt wird. 

Meist ist der größte Feind eines kleinen Netzwerks der Hersteller einer Branchenanwendung 

(Line-Of-Business, LOB), der versehentlich falsche Berechtigungen einstellt und so die 

Stabilität des Netzwerks gefährdet. Virtualisierungstechnologien erlauben einer kleinen 

Firma, diese Risiken zu verringern, ohne dabei das Hardwarebudget zu überziehen. 

Wenn Sie einen Server bereitstellen, sollten Sie nur die Rollen installieren, die unbedingt 

erforderlich sind, damit der Server seine Aufgaben erfüllen kann. Der Assistent "Rollen 

hinzufügen" in Windows Server 2008 macht es Ihnen einfach, jederzeit eine Rolle hinzuzufügen.


32- und 64-Bit-Versionen von Windows Server 2008 

Im Desktopmarkt beginnen sich die 64-Bit-Plattformen nur zögerlich auszubreiten, aber der 

Servermarkt ist bereit für den Umstieg. Windows Server 2008 wird zwar sowohl als 32-Bit- 

als auch 64-Bit-Version geliefert, aber sogar für kleine Unternehmen lautet die Empfehlung, 

jetzt den Umstieg auf 64 Bit durchzuführen. Die Sicherheit ist zwar ein Faktor bei dieser 

Entscheidung, aber vor allem dürfte die Unterstützung für großen Arbeitsspeicher den Ausschlag 

für den Einsatz von 64-Bit-Windows geben. RAM ist billig. Datenbanken brauchen 

Arbeitsspeicher. Außerdem ist die Standard Edition von Windows Server 2008 nicht mehr 

auf 4 GByte RAM beschränkt. Zu den Vorteilen der 64-Bit-Version gehört, dass kein Inplace- 

Upgrade von einer 32-Bit-Plattform durchgeführt werden kann. Ein altes Netzwerk, das mit 

32-Bit-Windows-Servern eingerichtet ist, kann also nicht direkt auf 64 Bit aktualisiert werden. 

Das mag wie ein Nachteil aussehen, es bringt aber einen wichtigen Vorteil im Bereich 

der Sicherheit: Berechtigungen. Wenn ein System im Inplace-Verfahren von einer älteren 

Version des Betriebssystems aktualisiert wurde, blieb früher immer eine Mischung aus den 

Berechtigungen des neuen und des alten Betriebssystems zurück. Sogar wenn der Server 

von einem OEM-Anbieter vorinstalliert wurde, kann es sinnvoll sein, ihn von Grund auf neu 

zu installieren, um für den Notfall die erforderlichen Wiederherstellungstechniken einzuüben. 

In einer kleinen Organisation ist das oft eine gute Gelegenheit, den Notfallwiederherstellungsplan 

anhand des Servers, dessen Ausfall der Organisation am wenigsten Probleme 

bereitet, zu üben und zu dokumentieren. 

Hinweis Wenn Sie die 64-Bit-Version auswählen, sind einige Punkte im Bezug auf signierte Treiber und 

Netzwerkgeräte, Drucker oder andere Peripheriegeräte zu beachten, die direkt an den Server angeschlossen 

sind. Der Microsoft Knowledge Base-Artikel KB 895612 unter http://support.microsoft.com/kb/895612 

beschreibt, welche Probleme beim Einsatz von 64-Bit-Windows-Versionen auftreten können. Wie Sie in Abbildung 

16.1 sehen, steht in der 32-Bit-Version von Windows die Möglichkeit zur Verfügung, einen unsignierten 

Treiber trotzdem zu installieren, aber in der 64-Bit-Version lassen sich solche Treiber nicht installieren. 

Abbildung 16.1 Unsignierte Treiber haben in der Ära der 64-Bit-Plattformen große Auswirkungen 

Überprüfen Sie Ihre Netzwerkdrucker, USB-Geräte und andere Geräte, die Sie auf dem 

Server installieren wollen, und stellen Sie sicher, dass sie digital signierte Treiber haben. 

Unsignierte Treiber lassen sich nicht installieren. Weitere Informationen zu diesem Thema 

finden Sie im Windows Server 2008 Application Compatibility Cookbook unter http://msdn2. 

microsoft.com/en-us/library/Aa480152.aspx. Früher waren unsignierte Treiber in Servern 

vor allem bei älteren Drucker- und Faxtreibern ein Thema, aber wie Sie in Abbildung 16.1 

sehen, kann sogar die Installation einer neuen externen USB-Festplatte dazu führen, dass 

die Installation durch diese Warnung unterbrochen wird.

Server für kleine Firmen 433 

Bei vielen Organisationen sind die Hauptaufgaben für einen Server eine LOB-Datenbankanwendung 

und eine Messaging-Plattform mit einem gemeinsam genutzten Kalender. Weil 

Microsoft Exchange Server 2007 nur in einer 64-Bit-Version zur Verfügung steht, brauchen 

Sie dafür zwangsläufig einen 64-Bit-Server als Basisbetriebssystem. Exchange 2007 SP1 

wird auf der 64-Bit-Version von Windows Server 2008 vollständig unterstützt. 

Die Serverversionen für kleine Unternehmen 

Die folgenden Windows Server 2008-Versionen eignen sich am besten für kleine Organisationen: 

Windows Web Server 2008 eignet sich, um öffentliche Websites zu hosten. 

Windows Server 2008 Standard eignet sich als Allzweck-Serverplattform. 

Windows Small Business Server 2008 ist ein Server mit mehreren Rollen, der speziell 

für kleine Organisationen entwickelt wurde. 

Windows Essential Business Server ist ein neues Bundle aus drei Servern, das speziell 

für mittelgroße Organisationen entwickelt wurde. 

Server für kleine Firmen 

Wenn Sie eine sichere Lösung einrichten wollen, besteht der erste Schritt darin, eine geeignete 

Grundlage auszuwählen, auf der Sie Ihre Lösung aufbauen. Berücksichtigen Sie die 

Expansionspläne des Unternehmens und wählen Sie eine geeignete Plattform. 

Windows Server 2008 Web Edition 

Wenn Sie eine öffentlich zugängliche Website einrichten, müssen Sie das richtige Werkzeug 

für diese Aufgabe wählen. Die Internetinformationsdienste 6 (Internet Information Services, 

IIS) sind zwar eine grundsolide Webplattform mit einer rekordverdächtigen Sicherheit, und 

von den Internetinformationsdiensten 7 ist dasselbe zu erwarten, aber der gesunde Menschenverstand 

gebietet einfach, eine öffentlich zugängliche Website nicht auf Ihrem kritischen 

Unternehmensserver zu hosten. Greifen Sie entweder auf einen externen Hoster zurück 

(es gibt Unmengen von Anbietern, auch Windows Live steht zur Auswahl) oder kaufen 

Sie die Web Edition und richten Sie einen separaten Server ein. Kleine Organisationen betreiben 

zwar manchmal Webdienste auf Domänencontrollern, um Remotezugriff und E-Mail 

zu ermöglichen, Sie sollten aber Websites, die anonyme Verbindungen zulassen, von authentifizierten 

trennen, um die Risiken zu minimieren. 

Windows Small Business Server 2008 

Seit vielen Jahren stellt Microsoft eine Serverplattform zusammen, die Serververwaltung 

und Computerarbeitsplatztechnologien für bis zu 75 Benutzer oder Geräte zusammenfassen. 

In der Windows Server 2008-Familie wird die Windows Small Business Server 2008- 

Plattform nur auf 64-Bit-Plattformen zur Verfügung gestellt. Sie kombiniert Microsoft 

SQL Server, Windows SharePoint Services, Windows Softwareupdate Services und Teile 

von Forefront, Microsofts Sicherheitssuite für Exchange, Windows SharePoint Services 

und Windows-Clients.


Wie in der Windows Server 2003-Familie kann die Standardversion von Windows Small 

Business Server 2008 keine Vertrauensbeziehungen zu anderen Domänen herstellen, und die 

enthaltenen Produkte lassen sich nicht auf andere Server auslagern (das wird auch im Endbenutzerlizenzvertrag 

untersagt). In der Standardinstallation des Produkts muss alles auf 

einem einzigen Server liegen. Remotezugriff auf Arbeitsstationen, E-Mail und Windows 

SharePoint Services wird über ein SSL-geschütztes (Secure Sockets Layer) Webportal mit 

dem Namen Remote Web Workplace zur Verfügung gestellt. 

Ebenfalls im Produkt enthalten sind die bekannten Administrationsassistenten. Sie werden 

von den meisten geliebt, von einigen aber auch gehasst. Diese Assistenten sind skriptgesteuerte 

Routinen zum Installieren, Einrichten und Bereitstellen von DNS (Domain Name System), 

Active Directory (AD), Internetverbindungen und anderen Netzwerk- und Bereitstellungsaufgaben. 

Außerdem stellen sie sicher, dass sich die Bereitstellung einfach, konsistent 

und sicher reproduzieren lässt. Grundlegende Aufgaben des Servers werden für den lokalen 

Administrator oder den Remoteconsultant klar und deutlich definiert (Abbildung 16.2). 

Abbildung 16.2 Aufgabenverwaltung in Windows Small Business Server 2008 

Die größte Änderung an der Windows Small Business Server 2008-Plattform ist, dass sie 

mit einer Netzwerkschnittstellenkarte bereitgestellt wird und eine externe Firewall erfordert. 

ISA Server, die Firewallsoftware von Microsoft, kann nicht mehr auf einem einzelnen Small 

Business Server 2008-Server installiert werden. Auf dem Server kann auch nicht die RRASbasierte 

(Routing and Remote Access Service, Routing- und RAS-Dienst) Firewall eingerichtet 

werden, die früher in der Standardversion verwendet wurde, um alternative Firewallfunktionalität 

zur Verfügung zu stellen. Da die Windows-Firewall aktiviert ist, wird die 

RRAS-basierte IP-Paketfilterungsfirewall nicht mehr unterstützt und auch nicht empfohlen. 

Wie in Abbildung 16.3 gezeigt, muss diese separate Firewall jetzt außerhalb des Domänencontrollers 

angeordnet werden, sodass Windows Small Business Server 2008 die Richtlinien 

erfüllt, die empfehlen, die Firewall vom Domänencontroller zu trennen und so eine Serverrolle 

aus dem System zu entfernen. 

Kunden mit Software Assurance bekommen den ISA Server, für den sie eine Lizenz besitzen, 

separat geliefert.

Abbildung 16.3 Der Netzwerkaufbau wird in Windows Small 

Business Server 2008 deutlich verändert 


Auswählen einer Firewall 

In Windows Small Business Server 2008 gibt es die neue Fähigkeit, eine verstärkte externe 

Firewall zu verwenden, die den Server ergänzt. Besprechen Sie mit dem Firmeninhaber, 

welche Nutzung des Internets er toleriert. Fragen Sie, ob in der Organisation in 

der Vergangenheit Sicherheitsvorfälle aufgetreten sind und wodurch Viren-, Malware- 

und andere Probleme verursacht wurden. Überzeugen Sie den Inhaber, dass es vermutlich 

sinnvoller ist, das Netzwerkbudget mit einer teureren Firewall für den Unternehmenseinsatz 

zu belasten, die für etwa für 200 bis 800 Euro zu haben ist. Sie gibt der Firma die 

Fähigkeit, ein- und ausgehende Verbindungen flexibler zu filtern als das 40-Euro-Modell 

für Heimanwender, dem solche Möglichkeiten fehlen. Das kann die beste Investition sein, 

die diese Organisation tätigt. Die Möglichkeit, eine geeignete Firewall auszuwählen, die 

sich für die Anforderungen der Organisation am besten eignet, gewährleistet maximale 

Flexibilität und Nutzen für den Bereich kleiner Organisationen, die auf diese Weise einen 

maßgeschneiderten Schutz einrichten können. Diese Fähigkeit war in früheren Versionen 

dieser Produktlinie nicht vorhanden. 

Genau wie in älteren Versionen können Sie einen zusätzlichen Server für weitere Domänencontroller, 

Anwendungsserver, Datei- und Druckserver oder sonstige Aufgaben hinzufügen. 

Weitere Informationen über die Windows Small Business Server 2008-Plattform finden Sie 

auf der Microsoft Small Business Server-Website unter http://www.microsoft.com/sbs.


Direkt von der Quelle: Sicher von Anfang an 

Bei der Entwicklung des Windows Small Business Server 2008 war Sicherheit ein zentrales 

Entwurfsziel, das sich vom Setup bis zum Ausmustern des Produkts zieht. Viele 

Sicherheitsverbesserungen sind in diesem neuen Serverprodukt Standardeinstellungen. 

Beispiele dafür sind: 

Sichere Kennwortrichtlinien 

Anlegen eines neuen Administratorkontos, sodass das Administratorkonto nicht allgemein 

bekannt ist 

Eine lokale Hostfirewalllösung, die auf der neuesten Version der Windows-Firewall 

aufbaut und Kernfunktionalität zur Verfügung stellt 

SSL-basierte Websicherheit mithilfe von kostenlosen (selbstausgestelltes Zertifikat) 

oder von kommerziellen Zertifizierungsstellen ausgestellten Zertifikaten, um den 

Webverkehr zu schützen 

Antispamfeatures durch Exchange Server 2007 

Integrierter WSUS 3.0 mit Richtlinien für automatische Genehmigung von kritischen, 

Sicherheits- und Updates für das gesamte Netzwerk 

Zentrale Verwaltung auf dem Server, um Sicherheitsdienste zu überwachen und zu 

steuern 

Windows Small Business Server 2008 kann nur als interner Server bereitgestellt werden, 

wobei eine einzige Netzwerkschnittstelle verwendet wird. Indem Windows Small Business 

Server 2008 als interner Server bereitgestellt wird, kann flexibel eine Firewalllösung 

gewählt werden, die sich für das Unternehmen eignet. Abhängig von der Wichtigkeit der 

Daten und der Bedeutung des Internetzugriffs kann das Unternehmen entweder eine einzelne 

Hardwarefirewall bereitstellen, um das Netzwerk zu schützen, oder Microsofts ISA 

Server (Internet Security and Acceleration) auf einem separaten Computer einrichten, um 

authentifizierten Zugriff auf das Internet zu ermöglichen und paketgefilterten Verkehr aus 

dem Internet hineinzulassen. Diese Flexibilität ermöglicht es dem Unternehmen, frei zu 

wählen, wo es wertvolle Ressourcen investieren will, um eine Lösung mit maßgeschneiderter 

Sicherheit für das Unternehmen zu erreichen. 

In Windows Small Business Server 2008 erfolgt Remotezugriff auf das Unternehmen in 

erster Linie über HTTPS-Webverkehr über Remote Web Workplace. Benutzer können 

sicher auf Web-E-Mail, interne Websites und die Dateien und Ordner ihres Benutzerprofils 

zugreifen, die auf dem Server abgelegt sind. Außerdem haben sie sicheren, verschlüsselten 

Zugriff auf ihren Desktopcomputer über das Remote Desktop Protocol. Wenn die 

Benutzer Domänenadministratoren sind, können sie auf diesem Weg auch auf den Server 

zugreifen. 

Windows Small Business Server 2008 ist die sicherste Version des Small Business Servers. 

Sie wird demnächst erhältlich sein. 

Sean Daniel, Program Manager 

Microsoft Corporation


Windows Essential Business Server 

Das nächste Windows Server 2008-Produkt, das die Produktfamilie ergänzen wird, ist der 

Microsoft Windows Essential Business Server. Er enthält eigentlich gleich drei Server: einen 

mit der Verwaltungsrolle, der primäre Active Directory-Dienste zur Verfügung stellt, den 

sogenannten Messaging-Server, der Exchange 2007 und zusätzliche Domänencontrolleraufgaben 

zur Verfügung stellt, und den Sicherheitsserver, auf dem ISA Server und bestimmte 

Edge-Messaging-Komponenten für Exchange bereitgestellt werden. Der ISA Server auf dem 

Edge-System wird mit zwei Netzwerkschnittstellenkarten in einer Domänenkonfiguration 

bereitgestellt, die sich für die Rollen- und Risikoabwägung in kleineren Organisationen 

eignet (Abbildung 16.4). 

Abbildung 16.4 Windows Essential Business Server 

Wie sein kleinerer Verwandter, Windows Small Business Server 2008, steht auch Windows 

Essential Business Server nur als 64-Bit-Version für alle drei Server zur Verfügung. Die drei 

Server bilden ein sicheres Netzwerk, das mit dem Ziel entworfen wurde, es einem lokalen 

Administrator einfacher zu machen, das Netzwerk mit möglichst wenig Problempotenzial 

bereitzustellen und zu schützen. Tools wie System Center Essentials 2007 sind eingebaut, 

um sicherzustellen, dass die Sicherheitsanforderungen mittelgroßer Organisation erfüllt sind 

und alle Verfahrensempfehlungen zur Isolierung von Diensten und Rollen unter den Servern 

eingehalten werden. 

Diese Plattform ist kein aufgebohrter SBS 2008, sondern Microsoft liefert damit eine 

Lösung für mittelgroße Unternehmen, die sowohl von Anforderungen als auch Regelwerken 

eingeengt werden, sodass Verwaltungsaufgaben entstehen, die es früher in dieser Form nicht 

gab. Die Aufgaben wurden so entworfen, dass die Administratoren Software einfacher bereitstellen, 

Desktopcomputer schützen und sicherstellen können, dass die Netzwerkrichtlinien 

eingehalten werden. Netzwerkverwaltung und -kontrolle sind ein Hauptziel bei diesem 

Serverprodukt. Es stellt auch ein Remotezugriffsportal für Dienste und Arbeitsstationen 

zur Verfügung, das den standardisierten Begutachtungsprozess Microsoft Secure Development 

Lifecycle durchlaufen hat. Da außerdem schon standardmäßig die Messaging-Hygiene- 

Technologien aus Exchange Edge Server bereitgestellt werden, um die Anforderungen einer 

solchen Organisation zu erfüllen, wird Windows Essential Business Server zweifellos eine 

sehr interessante Ergänzung in der Familie der sichereren Windows Server 2008-Produkte.


Gehostete Server 

Das Konzept der gehosteten Server ist relativ neu im Bereich der kleinen Unternehmen. Bei 

einem gehosteten Server wird ein Server, der unter einer Windows Server 2008-Version 

läuft, in einem Datencenter bereitgestellt. Ein gehosteter Server kann interessant sein, wenn 

die Anforderungen eines Kunden sich nur dadurch erfüllen lassen, dass Anwendungen gemeinsam 

genutzt werden. Dabei werden VPN-Verbindungen, Outlook Anywhere (früher als 

RPC über HTTP bekannt) und Windows SharePoint Services eingesetzt. Voraussetzung ist, 

dass die Konnektivität und Geschwindigkeit der angeschlossenen Arbeitsstationen optimal 

sind. Für gehostete Server sind etwas andere Sicherheitsaspekte zu berücksichtigen. Weil die 

Server physisch in einem Datencenter stehen, sind die Sicherheitsrichtlinien dieses Datencenters 

der entscheidende Faktor. Viele Datencenter lassen ihre Sicherheitsprozesse von 

externen Gutachtern bewerten, in den ISA zum Beispiel mit einem »Report on the Processing 

of Transactions by Service Organizations«, bekannter unter der Bezeichnung SAS 70- 

Audit. Bitten Sie Ihr Hostingunternehmen, Ihnen eine Kopie eines solchen Berichts zuzuschicken. 

Virtualisierung 

Wenn Sie vor der Entscheidung stehen, welche Serverplattform Sie als Ausgangsbasis für 

Ihre Sicherheitslösung verwenden sollen, gibt es schließlich noch eine weitere Möglichkeit: 

Virtualisierung. Sie bringt wiederum eigene Probleme und Vorteile mit sich. In einer kleinen 

Umgebung sind üblicherweise gar nicht die Ressourcen für Clustering vorhanden, und das 

Wiederherstellen von Daten auf einem nackten Server braucht Zeit und birgt Risiken, wenn 

die Wiederherstellung auf anderer Hardware durchgeführt werden muss. Wenn Sie die gesamte 

Serverplattform auf einen virtuellen Server verlagern, kann die Wiederherstellung 

auch nach Hardwareproblemen schnell durchgeführt werden. Bei jedem Virtualisierungsprojekt 

gibt es aber auch Risiken, darunter Probleme der physischen Sicherheit, richtige Netzwerkkonfiguration 

und vor allem Supportfragen. Im Bereich der kleinen Unternehmen wird 

die Virtualisierung auf einer Nicht-Microsoft-Plattform nur unterstützt, falls Sie einen 

Premier Support-Vertrag haben. 

Weitere Informationen zur Virtualisierung 

Das Thema »Virtualisierung von Produktivservern« würde den Rahmen dieses Buchs 

sprengen. Wenn Sie sich für das Thema interessieren, finden Sie hier weitere Informationen: 

Lesen Sie den Leitfaden in »Microsoft Virtual Server Support Policy« unter http:// 

support.microsoft.com/kb/897613 und »Windows Server System Software Not Supported 

within a Microsoft Virtual Server Environment« unter http://support.microsoft. 

com/kb/897614/. Dort wird beschrieben, welche Plattformen in einer virtuellen Umgebung 

unterstützt werden. 

Einzelheiten zur Supportrichtlinie für Virtualisierung auf Nicht-Microsoft-Plattformen 

finden Sie in »Support Policy for Microsoft Software Running in Non-Microsoft 

Hardware Virtualization Software« unter http://support.microsoft.com/kb/897615 und 

»Support Policy for Microsoft Programs That Are Running in a Third-party Application 

or Software Redirection Program or in a Third-party Application or Software Virtualization 

Environment« unter http://support.microsoft.com/kb/924287.

Verletzen aller Prinzipien mit Servern, die mehrere Rollen übernehmen 439 

Verletzen aller Prinzipien mit Servern, die mehrere 

Rollen übernehmen 

Ein Sicherheitsexperte bekommt es ernsthaft mit der Angst zu tun, wenn er sich ansieht, 

welche Menge von Diensten auf einem typischen Server in einem kleinen Unternehmen 

läuft. Die meisten Sicherheitsexperten (insbesondere Experten, die sich nicht gut mit den 

Anforderungen und Risiken kleiner Unternehmen auskennen) haben vor allem wegen der 

Angriffsfläche Bedenken, die von all diesen Dienste erzeugt wird, und wegen des kumulativen 

Effekts aufgrund der fehlenden Isolierung. Ich habe einmal gezählt, wie viele Server 

nötig wären, wenn die Verfahrensempfehlungen strikt befolgt werden: Es waren insgesamt 

12 Server. Offensichtlich ist ein solche Zahl von Servern für eine typische kleinere Organisation 

nicht machbar. Abbildung 16.5 zeigt acht Beispielrollen, die viele Multi-Rollen- 

Server ausführen. Das sind Datei-, E-Mail-, Datenbank-, Web-, Active Directory-, Druck-, 

Mobility-Server und natürlich die berühmteste Rolle, der »Server für alles andere«, im englischen 

Sprachraum auch als »Kitchen-Sink-Server« (Ausgussbecken) bekannt. 

Abbildung 16.5 Der typische Multi-Rollen-Server 

Bei einer kleinen Organisation ist aber normalerweise die Gefahr einer Fehlkonfiguration 

größer (zum Beispiel dass jemand den Remotezugriff falsch einrichtet) als die Gefahr, mehrere 

Rolle auf demselben Server bereitzustellen. Als Gesamtpaket ist bei einem richtig konfigurierten 

Multi-Rollen-Server mit einfachen Schritt-für-Schritt-Anleitungen die Chance 

größer, dass er sicher ist, als bei einem selbst zusammengestellten, von Hand installierten 

Server in einer kleinen Organisation ohne dediziertes und gut ausgebildetes IT-Personal. 

Für jemanden, der das System wartet, zählt vor allem das Problem, dass sich Updates und 

erforderliche Neustarts häufen. Der Microsoft-Mitarbeiter Jose Barreto hat in seinem Blog 

http://blogs.technet.com/josebda festgestellt, dass bei einer typischen Windows Server 2008- 

Installation weniger als 50 Dienste laufen. Aber auf dem üblichen Windows Small Business 

Server 2008 laufen über 100 Dienste, und das sogar, bevor irgendwelche LOB-Anwendungen 

auf dem Computer bereitgestellt werden. Unter SBS 2003 waren es noch 67 Dienste,


die in der Normalkonfiguration liefen. Zwar erfordert jeder laufende Dienst Zeit und Aufwand, 

um die Berechtigungen und Rechte richtig zu konfigurieren (in Kapitel 6, »Dienste«, 

finden Sie weitere Informationen über einzelne Dienste), aber Sie müssen eine fundamentale 

Tatsache akzeptieren, wenn Sie einen Multi-Rollen-Server einrichten: Sie brauchen Wartungsfenster 

für diese Art Server. Falls die Organisation null Ausfallzeit vorschreibt, ist ein 

Multi-Rollen-Server nicht geeignet. 

Akzeptable Rollen 

Wenn Sie eine Lösung mit akzeptabler Sicherheit implementieren sollen, müssen Sie festlegen, 

welche Rollen und Aufgaben auf diesem Server akzeptabel sind und welche nicht. 

Prüfen Sie, welche Anwendungen Sie für das Netzwerk bereitstellen wollen. In vielen Organisationen 

wird für wichtige LOB-Anwendungen, die auf einer Datenbankplattform aufbauen, 

nicht empfohlen, sie auf dem Domänencontroller in Windows Small Business Server 

2008 oder dem Dateiserver in der Windows Essential Business Server-Plattform zu betreiben, 

sondern stattdessen einen dedizierten Server für diese Anwendung einzusetzen. Normalerweise 

ist es einfacher, ein solches System zu schützen und geeignete NTFS-Dateisystemberechtigungen 

dafür festzulegen. Es ist dann auch einfacher, die Speichernutzung 

der Anwendung im Zaum zu halten. Wenn Sie Virtualisierung einsetzen, sollten Sie sich 

vom Konzept echter Hardware für solche Multi-Serverbereitstellungen lösen. Es gibt nichts 

daran auszusetzen, viele dieser LOB-Anwendungen auf virtuelle Server zu verlegen. Außerdem 

wurde schon so manches Netzwerk destabilisiert, weil ein Hersteller eine SQL Server- 

Datenbank auf einem laufenden Server installierte und unbewusst alle Anwendungen plattmachte, 

die bereits die Standard-SQL-Instanz benutzten. 

Serverkomponenten 

Viele Parameter bei der Serverbereitstellung werden durch die Rolle des Messaging entschieden. 

In der Windows Server 2008-Produktfamilie hat sich gegenüber der Windows 

Server 2003-Familie vor allem geändert, dass das Modell der Serverrollen übernommen 

wurde, das in Microsoft Exchange Server 2007 eingeführt wurde. Die Rollen umfassen 

Mailboxserver, Clientzugriffsserver, Hubtransportserver, Unified-Messaging-Server und 

Edge-Transportserver. Die Rolle des Edge-Transportservers verarbeitet den Fluss der gesamten 

Internetmail für eine Organisation. Sie muss auf einem separaten, eigenständigen Server 

liegen, um die Angriffsfläche des Exchange-Servers zu verkleinern. Sie können alle fünf 

Rollen auf fünf unterschiedliche Server verteilen, wenn Sie möchten, oder vier davon zusammenfassen. 

Aber die Edge-Transportserverrolle sollte auf einem separaten Server betrieben 

werden (Abbildung 16.6). Die Ausnahme von dieser Regel ist die Windows Small Business 

Server 2008-Plattform. Augrund einer speziellen Konfiguration ist sie in der Lage, die 

entsprechende Funktionalität auf einem einzigen Server bereitzustellen. 

Wenn Sie die vielen Artikel lesen, die über die Bereitstellung dieser Edge-Rolle geschrieben 

wurden, stellen Sie fest, dass viele davon darauf bestehen, dass die Edge-Rolle nicht in 

einer Domäne liegen sollte, um die sicherste Konfiguration zu erreichen. Microsofts eigene 

Dokumente zur Bereitstellung der Serverrolle weisen klugerweise darauf hin, dass nicht alle 

Unternehmen diese »sicherste« Konfiguration benötigen, um ein akzeptabel geschütztes 

Netzwerk zu betreiben.


Abbildung 16.6 Die Rollen von Microsoft Exchange Server 2007 

Einen ausführlicheren Überblick über die Anforderungen für die Bereitstellung von Exchange 

Server 2007 in Ihrer Organisation finden Sie in den folgenden Microsoft Press- 

Büchern: Microsoft Exchange Server 2007 – Das Handbuch von Walter Glenn (2007) 

und Microsoft Exchange Server 2007 – Taschenratgeber für Administratoren von William 

Stanek (2007). 

Risikofaktoren 

Weiter oben in diesem Kapitel haben Sie erfahren, dass alle Anwendungen und Rollen unter 

Windows Small Business Server 2008 auf demselben Server laufen müssen. Aber hier reden 

wir nun darüber, welche Rollen akzeptabel sind und dass Microsoft die Edge-Serverrolle auf 

einen separaten Server ausgelagert hat, um die Angriffsfläche von Exchange Server zu verkleinern. 

Offensichtlich sind dies zwei völlig widersprüchliche Ansätze. Nicht nur der 

Microsoft-Leitfaden rät, dass Exchange Server eine Edge-Rolle braucht und dass Domänencontroller 

keine Dateiserver sein sollten; auch alle anderen Leitfäden und Empfehlungen, 

die einem Consultant für kleine Unternehmen zur Verfügung stehen, geben entsprechende 

Sicherheitsrichtlinien und Regeln aus. Wie also lässt sich Ihre Multi-Rollen-Lösung rechtfertigen? 

Der Schlüssel besteht darin, die Risiken sinnvoll abzuwägen. 

Eindämmung über gehostetes Messaging 

Die erste empfohlene Eindämmung besteht darin, die Datei-, Druck- und Datenbankrollen 

auf dem Server bereitzustellen, aber die gesamte Messaging-Komponente auf eine gehostete 

Exchange-Lösung auszulagern. Das bedeutet aber, dass jemand außerhalb Ihrer Organisation 

Zugriff auf die gesamte E-Mail-Kommunikation und alle Meetingtermine Ihrer Organisation 

hat. Das ist für viele Organisationen ein Hinderungsgrund. Dank RPC über HTTPS (jetzt als


Outlook Anywhere bezeichnet) bietet Outlook 2007 (und sogar 2003) praktisch nahtlose 

Möglichkeiten, einen leistungsfähigen Messaging-Client in einer gehosteten Umgebung zu 

benutzen. Mit Outlook Web Access 2007 hat sich OWA von einem unbeholfenen Möchtegern-Outlook 

zu einer leistungsfähigen browserbasierten Webmaillösung gewandelt, die 

sogar vergleichbare Suchfähigkeiten bietet wie sein Desktopgegenstück. 

Das Technologieproblem 

Steve Riley, Senior Security Strategist bei Microsoft, schreibt unter http://blogs.technet. 

com/steriley/archive/2007/07/02/protect-your-data-everything-else-is-just-plumbing.aspx 

in seinem Blog, dass alle Anstrengungen, die wir für die Diskussion über Technologie 

aufwenden, besser auf andere Aufgaben gerichtet werden sollte. Wenn Sie sich ansehen, 

wodurch Sicherheitsvorfälle in kleinen Organisationen in der Vergangenheit meist ausgelöst 

wurden, stellen Sie fest, dass der Großteil der Sicherheitsprobleme durch laxe Kontrolle 

auf der Stufe von Arbeitsstationen entstanden, nicht durch Remoteangriffe auf den 

Server. Für eine kleine Organisation ist Malware, die durch leichtsinniges Browsen, Anklicken 

von E-Postkarten-Links in E-Mails und Phishing-Angriffe in das Netzwerk gelangt, 

viel gefährlicher als ein direkter zielgerichteter Angriff. Malwarecocktails der Vergangenheit 

zielten auf verschiedene Sicherheitslücken in Apple QuickTime und Flash und 

betteten diese Malwarecocktails in Webbanneranzeigen und andere Stellen ein. (Einzelheiten 

finden Sie unter http://blog.washingtonpost.com/securityfix/2007/06/the mother 

of all exploits 1.html.) Abbildung 16.7 zeigt, wo bei einer kleinen Organisation die 

eigentliche Gefahr lauert. 

Abbildung 16.7 Das Arbeitsstations-Risiko 

Der stärksten Gefahr ist oft nicht der Server ausgesetzt, sondern die Arbeitsstation, wo 

der Chef die persönliche E-Mail in Webmail liest, regelmäßig Social-Networking-Sites 

besucht, alle diese »Nackte tanzende Schweine«-Bildschirmschoner herunterlädt und jede 

eingetrudelte »Achtung! Ihr Konto bei der Woodgrove Bank wurde aufgrund verdächtiger 

Aktivitäten gesperrt!«-E-Mail öffnet. Verschwenden Sie Ihre Zeit nicht damit, technologische 

Lösungen für ein Problem zu finden, bevor Sie in Ruhe die zugrunde liegende Ursache 

für den Sicherheitsvorfall analysiert haben. Ich habe zu oft erlebt, dass Leute mich 

fragen, wie sie den Windows Small Business Server 2008 härten können, wenn er bereits 

ausreichend sicher ist. Vielmehr muss in den meisten kleinen bis mittelgroßen Organisationen 

den Arbeitsstationen mehr Aufmerksamkeit gewidmet werden, weil von ihnen die 

größte Gefahr für das Netzwerk ausgeht.


Eindämmung mit dem SDL-Prozess 

Wenn Sie einen Server mit mehreren Rollen zur Verfügung stellen wollen, der eine 

Messaging-Komponente enthält, steht als zweite Eindämmungstechnik die Möglichkeit zur 

Verfügung, Windows Small Business Server 2008 zu wählen. Nein, das ist kein Marketingtrick, 

um Sie dazu zu bringen, Windows Small Business Server 2008 zu kaufen. Es ist die 

Anerkennung, dass dieses Produkt denselben Gefahrenmodellierungs- und Codesicherheitsprozess 

durchläuft wie alle anderen Microsoft-Anwendungen und -Plattformen. Dieser 

SDL-Prozess (Security Development Lifecycle) stellt sicher, dass bei der Entwicklung der 

entsprechenden Produkte die Sicherheit ausreichende berücksichtigt wurde. Wenn diese 

Plattform daher ausgeliefert wird, hat sie bereits eine akzeptable Risikobewertung hinter 

sich. Sie wurde entwickelt, um einen Multi-Rollen-Server für kleine Organisationen zu 

implementieren, der einen vernünftigen Kompromiss im Bereich der Sicherheit findet, aber 

trotzdem die Anforderung kleiner Unternehmen erfüllt. Dies ist die einzige Serverlösung, 

die in der Lage ist, das Risiko der Edge-Rolle einzudämmen, während sich diese Rolle auf 

demselben Server befindet. Man könnte sagen, dass Windows Essential Business Server, 

Microsofts Plattform für mittelgroße Unternehmen, dasselbe Ziel für eine Bereitstellung mit 

3 Servern erreicht. Beide Produkte liefern Ihnen einen sicheren Basisserver, auf dem Sie 

sichere Netzwerklösungen aufbauen können. 

Grenzserver 

Das Schlüsselelement bei all diesen Multi-Rollen-Bereitstellungen (aber nicht Multi-Server- 

Bereitstellungen) ist zu überprüfen, was Sie in die Grenzposition (engl. edge) legen müssen 

oder wollen. Analysieren Sie die Anforderungen der Organisation, um diese Grenzposition 

zu schützen und eine geeignete Lösung bereitzustellen. Diese Lösung kann eine ISA-Firewall 

sein, die Pakete untersucht, bevor sie in das Netzwerk gelassen werden. Es kann aber 

auch ein billiges Firewallgerät eines Fremdherstellers sein oder eine billige ISA-basierte 

Hardwarefirewall. Unabhängig davon, welches Gerät an der Grenze Ihres Netzwerks aufgestellt 

ist, wird dringend empfohlen, dass Sie prüfen, auf welche Weise es Verkehr protokolliert, 

der über diese Verbindung läuft. Falls Sie Kapitel 8, »Überwachung«, gelesen haben, 

aber noch nicht überzeugt sind, dass Überwachung wichtig ist, sollten Sie dieses Kapitel 

gleich noch einmal lesen. Sobald (und ich schreibe bewusst nicht »falls«) ein Sicherheitsvorfall 

in einer Organisation passiert, können Sie sich nur dann ein vollständiges Bild davon 

machen, wie die relevanten Elemente in und aus Ihrer Organisation gelangt sind, wenn dieses 

Grenzgerät die Aktivitäten protokolliert hat. Es ist egal, ob diese Organisation ein Großunternehmen 

mit einem lokalen Forensikteam oder eine kleine Organisation ist, die bei 

Microsofts Sicherheitsabteilung der Customer Support Services anruft und darum bittet, eine 

forensische Onlineanalyse durchzuführen. Außerdem kann die Lösung, die Sie in der Grenzposition 

installieren, bei der Eindämmung von Angriffen helfen, wenn Richtlinien vorhanden 

sind, die zum Beispiel nur E-Mail vom Mailserver zulassen und jegliche E-Mail von 

internen Arbeitsstationen sperren (um Arbeitsstations-Zombies zu verhinder).


Proaktive Internet- und Zugriffsrichtlinien 

Wenn Sie dabei sind, Richtlinien für die Einschränkung des Internetzugriffs zu formulieren, 

sollten Sie auch versuchen, vorbeugend dafür zu sorgen, dass die Arbeitsstationen im 

Netzwerk nichts tun können, was sie nicht tun sollen. Zum Beispiel sollte eine Arbeitsstation 

in einem typischen Netzwerk keinen Verkehr über Port 25 senden. Falls das geschieht, 

wurde sie wahrscheinlich in einen Spam-Zombie verwandelt. Aber Sie können 

vorbeugende Schritte unternehmen, um diesen Verkehr zu verhindern. Abbildung 16.8 

zeigt ein Beispiel für eine Einschränkungsregel, die im ISA Server definiert wird. 

Abbildung 16.8 Im ISA Server können Sie Edge-Richtlinien definieren 

Die Beispielrichtlinie sieht so aus: 

Aktion: Verweigern, Anforderung protokollieren 

Protokolle: Ausgewählt: SMTP 

Von: LAN (ein definierter IP-Adressbereich der Arbeitsstationen, aber ohne 

Server-, Drucker- und Scanner-IPs, die explizit definiert und im DHCP-Server 

als Ausschlüsse eingetragen sind) 

An: Alle 

Benutzer: Alle 

Zeitplan: Immer 

Ergreifen Sie die Initiative 

Kleine Unternehmen neigen anfangs oft dazu, Einschränkungen für die Internetnutzung 

abzulehnen. Daher sieht der übliche Entwurf für den Netzwerkzugriff so aus, dass alle 

authentifizierten Arbeitsstationen vollständigen Webzugriff haben. Später wird dem Unternehmensinhaber 

bewusst, dass die Angestellten zu viel Zeit auf Social-Networking-Websites 

oder beim Austausch von Instant-Messaging verbringen. Daher werden Sie später oft beauftragt, 

den Internetzugriff einzuschränken. Das geschieht nicht vorbeugend, sondern als reine 

Reaktion, weil das Internet für arbeitsfremde Zwecke genutzt wird. Ihre beste Sicherheitslösung 

ist immer vorbeugend und vorausschauend, keine reine Reaktion. Versuchen Sie, die 

Bedrohungen richtig vorherzusagen. 

Falls Sie schon einmal die Kommentare in einem Onlineforum zum Thema Sicherheit überflogen 

haben, ist Ihnen vermutlich aufgefallen, dass eine Empfehlung darin besteht, Dienste 

auf andere Ports zu verlegen. Bei großen Organisationen ist das relativ nutzlos, weil die 

Angreifer nach ungewöhnlich hohem Verkehr suchen, ganz egal, über welchen Port er läuft. 

In einer kleinen Organisation kann das ein gewisser Sicherheitsgewinn sein, aber im Allgemeinen 

sollten Sie lieber sicherstellen, dass möglichst wenige Ports auf externe Anforderungen 

antworten.


Support und Updates 

Kapitel 13, »Patchverwaltung«, beschreibt, was Sie über Sicherheitsupdates wissen müssen, 

aber bei Multi-Rollen-Servern sind bezüglich Support und Updateverwaltung einige Besonderheiten 

zu beachten. Wegen der großen Zahl von Diensten, die auf demselben System 

laufen, ist die Problembehandlung schwieriger. Das bedeutet nicht, dass Probleme sich nicht 

beseitigen lassen, aber wenn sie auftauchen, sollten Sie sicherstellen, dass der Hersteller, mit 

dem Sie zusammenarbeiten, darüber informiert ist, dass es sich um einen Multi-Rollen-Server 

handelt. Zum Beispiel setzen manche Fremdherstelleranwendungen möglicherweise voraus, 

dass unterschiedliche Versionen von .NET installiert sind. Und Hersteller müssen wissen, 

dass ihre Anwendung auf einem gemeinsam genutzten Server läuft, sodass sie keine unangemessenen 

Änderungen an Berechtigungen vornehmen, ihr Produkt über vorhandene Websites 

installieren oder einen der vielen anderen Fehler machen, mit dem Hersteller in der 

Vergangenheit schon so manchen Multi-Rollen-Server lahmgelegt haben. 

Tipp Virtualisierung von LOB-Anwendungen 

Wenn Sie eine LOB-Anwendung installieren, sollten Sie sich überlegen, ob Sie Virtual Server verwenden 

können. Dann läuft die Anwendung getrennt von Ihren anderen Serverrollen. So ist sichergestellt, dass der 

Hersteller die Wartung des Multi-Rollen-Servers, auf dem Sie die Anwendung ausführen, nicht behindern 

kann. 

Rechnungen für die Updateverwaltung 

Falls Sie Consulting für kleine Unternehmen anbieten, ist es häufig schwierig, die Kunden 

davon zu überzeugen, dass eine Updateverwaltung unverzichtbar ist. Den Nutzen eines Service 

Packs für eine kleine Organisation zu beziffern, kann sehr schwierig sein. Es kann den 

Betrieb stören. Es verursacht Kosten für den Kunden. Außerdem bringt ein Service Pack 

unter Umständen nicht die Vorteile, die der Inhaber eines kleinen Unternehmens anerkennt. 

Consultants können normalerweise eine kleine Organisation überzeugen, dass eine Sicherheitsupdateverwaltung 

gebraucht wird. Aber es ist schon schwieriger, sie davon zu überzeugen, 

dass ein großes Service Pack gebraucht wird, das auch größere Risiken für Ausfallzeiten 

birgt. Am besten lässt sich dieses Problem lösen, wenn Sie es vom Standpunkt des Supportaufwands 

angehen. Es wird zwar dringend empfohlen, Service Packs für Server nicht 

gleich mittags an dem Tag zu installieren, an dem das Service Pack veröffentlicht wird, aber 

es ist sinnvoll, solche Service Packs innerhalb eines nicht allzu großen Zeitraums nach der 

Freigabe bereitzustellen. Wenn ein neues Service Pack für ein Serverprodukt freigegeben 

wird, ist das normalerweise ein Zeichen dafür, dass der Support für irgendeine Vorgängerversion 

bald eingestellt wird. Sie sollten das Ziel verfolgen, niemals zwangsweise ein 

Service Pack bereitstellen zu müssen, nur um Hilfe von den Microsoft Customer Support 

Services zu erhalten. Befassen Sie sich mit den Produktlebenszyklen und Service Pack- 

Roadmaps (http://www.microsoft.com/windows/lifecycle/servicepacks.mspx) und bleiben 

Sie immer in dem Zeitrahmen, für den Support angeboten wird. 

Tipp Testen bei der Updateverwaltung 

Nutzen Sie die Leistungsfähigkeit der Virtualisierung, um Nachbildungen Ihres Netzwerks aufzubauen. Sie 

können Abbilder von Datenträgern erstellen und praktisch alles außer den Benutzern selbst von der physischen 

in die virtuelle Welt kopieren. Das ist sehr nützlich, um Sicherheitsupdates zu testen.


Wenn Sie Updates im Netzwerk eines kleinen Unternehmens einspielen, brauchen Sie unbedingt 

einen guten Rücknahmeplan. Updates von Serverbetriebssystemen können deinstalliert 

werden. Anwendungsupdates für Windows SharePoint Services und Exchange Server können 

normalerweise nicht deinstalliert werden. Updates für Arbeitsstationen haben üblicherweise 

weniger Auswirkungen auf das Netzwerk. Falls Sie ein Sicherheitsupdate installiert 

haben und anschließend schwerwiegende Auswirkungen auf dem Server sichtbar werden, 

sollten Sie es deinstallieren. Falls das Update der Schuldige war, werden die Netzwerkfunktionen 

normalerweise vollständig wiederhergestellt. 

Tipp Remoteupdateverwaltung 

Sie können die meisten Sicherheitsupdates erfolgreich installieren, ohne das Netzwerk großer Gefahr 

auszusetzen. Bei Service Packs und allen Updates, die Auswirkungen auf ein Grenzgerät (zum Beispiel 

ISA Server) haben, ist das Risiko höher, den Remotezugriff während des Updateprozesses zu verlieren. 

Melden Sie sich immer an der Terminalserver-Konsolensitzung an, wenn Sie eine Remoteupdateverwaltung 

durchführen. 

Abbildung 16.9 Hinzufügen des Sicherungsfeatures zu Windows Server 2008 

Wiederherstellen des Servers 

Windows Server 2008 enthält eine neu entwickelte Datensicherungsoftware. NTbackup ist 

veraltet und wird nur mit Lesezugriff installiert, um die Wiederherstellung von alten Medien 

zu ermöglichen. Neu bei der Serversicherung ist eine Datensicherung auf Blockebene. Falls 

Sie in Windows Vista schon eine Datensicherung durchgeführt haben, kennen Sie das Prinzip 

bereits. Die native Windows Server 2008-Sicherung bietet keine Verschlüsselung. Daher

Empfehlungen für kleine Unternehmen 447 

muss überprüft werden, wie die Sicherungsmedien langfristig außerhalb des Standorts 

geschützt gelagert werden können. 

Halten Sie immer eine Wiederherstellungsrichtlinie bereit (vorzugsweise getestet und 

dokumentiert) für den Fall, dass ein Multi-Rollen-Server wiederhergestellt werden muss. 

Bei Windows Small Business Server 2008 und Windows Essential Business Server werden 

externe USB- und FireWire-Geräte unterstützt und es ist ein Sicherungssetup-Assistent 

enthalten. Wie in Abbildung 16.9 gezeigt, müssen Sie in Windows Server 2008 das Feature 

Windows Server-Datensicherung installieren. Wenn der Notfall erst einmal eingetreten ist, 

ist das sicher nicht der richtige Zeitpunkt, um Prozesse für die Notfallwiederherstellung und 

die Fortsetzung des Geschäftsbetriebs zu entwickeln. 

Systemstatussicherung 

Vielleicht fragen Sie sich, wo die Systemstatussicherung in Windows Server 2008 geblieben 

ist. Sie ist nach wir vor in der Befehlszeile zu finden: 

wbadmin start systemstatebackup 

wbadmin start systemstaterecovery 

wbadmin delete systemstatebackup 

Anwendungsbeispiel: wbadmin start systemstaterecovery –backupTarget:f: 

Vor jeder größeren Änderung am Server wird für kleine bis mittelgroße Organisationen 

empfohlen, eine schnelle Systemzustandssicherung durchzuführen, wie in Abbildung 

16.10 gezeigt. 

Abbildung 16.10 Befehlszeile für die Systemstatussicherung 

Da Sie wahrscheinlich nicht mit dem Update warten wollen, bis eine vollständige Volumedatensicherung 

fertig ist, sollten Sie diesen kleinen Befehl in die Änderungsverwaltung 

für einen Multi-Rollen-Server aufnehmen. Die geplante Änderungsverwaltung ist 

ein Schlüsselfaktor für Stabilität und Sicherheit eines Multi-Rollen-Servers. 

Empfehlungen für kleine Unternehmen 

Wenn Sie Verfahrensempfehlungen für kleine Unternehmen entwerfen, sollten Sie eine 

potenzielle Falle vermeiden: Eine Sicherheitscheckliste, die von einer großen Beraterfirma 

erstellt wurde, die sich nie die Anforderungen und Risiken Ihrer kleinen Organisation angesehen 

hat, ist unter Umständen nicht die optimale Checkliste. Es passiert einfach zu leicht, 

dass Sie sich in Einzelheiten verlieren und den Wald vor lauter Bäumen nicht sehen.


Warnung Verfahrensempfehlungen 

Dieser Abschnitt hat zwar den Begriff »Empfehlungen« im Titel, aber entscheiden Sie immer selbst, welche 

Empfehlungen für die Organisation, die Sie gerade analysieren, tatsächlich die besten sind. Nur weil Verfahrensempfehlungen 

in irgendwelchen Checklisten oder Dokumenten stehen, heißt das noch lange nicht, 

dass Sie tatsächlich für Ihren konkreten Fall optimal sind. 

Dieses Buch beschäftigt sich zwar mit Windows Server 2008, was sich ja schon aus dem 

Titel ergibt, aber Sie dürfen sich nicht zu sehr darauf konzentrieren, wie Sie den Server härten, 

wenn Sie dabei völlig vergessen, wie unsicher das übrige Netzwerk ist. Ein Consultant 

muss sich auch mit den Kunden auseinandersetzen. Der Kunde (oder Ihr Chef) hat nicht 

immer recht, aber er zahlt Ihr Gehalt. Wenn Sie beauftragt werden, etwas bereitzustellen, das 

Sie für fragwürdig halten, müssen Sie selbst entscheiden, ob Sie die Gelegenheit nutzen 

sollten, etwas Aufklärung zu betreiben, oder dem Kunden einfach den Rücken kehren und 

einen anderen Auftrag suchen. Und umgekehrt müssen Sie bereit sein, sich hinter Ihre 

Lösung zu stellen. Dazu sollten Sie Ihre Eindämmung dokumentieren und bereit sein, Ihre 

Entscheidungen zu begründen, wenn externe Auditoren Ihre bereitgestellte Lösung in 

Frage stellen. 

Befolgen von Leitfäden zur Serverhärtung 

Vor langer, langer Zeit trat ich einmal einer Gruppe von Branchenexperten bei, als ich nach 

einer richtungsweisenden Liste der Dinge suchte, die ich an meinem Small Business Server 

2003 optimieren könnte. Wie viele andere war ich fasziniert von der Aussicht, dass die Tweaks 

und Optimierungen mich schützen würden. Und natürlich war es aufregend, mich in die 

unerforschte Wildnis der Registrierung vorzukämpfen. Schließlich weisen die Scripting 

Guys (so nennen sich die Autoren des Tools) in der Dokumentation des Tools Tweakomatic 

eindringlich darauf hin, welch grässliche Dinge einem zustoßen, wenn man auch nur den 

kleinsten Fehler macht. 

Bei näherem Hinsehen stellte ich allerdings fest, dass niemand wirklich wusste, was mit 

meinem Server und den darauf laufenden LOB-Anwendungen passieren würde, wenn ich 

diese Tweaks vornahm. Im Allgemeinen kennen sich die Leute, die diese Tweaks entwerfen, 

perfekt mit den Details aus, haben aber keine Ahnung, wie sie sich auf eine Anwendung 

auswirken. Umgekehrt weiß ein Anwendungsentwickler selten, von welchen Tweaks der 

Code abhängt. Würde mein Server überleben? Oder würde ich durch die Änderungen in der 

Registrierung versehentlich Microsoft Bob erzeugen, wie die Scripting Guys vorhersagen? 

(Siehe http://www.microsoft.com/technet/scriptcenter/tools/twkmatic.mspx.) Viele der Einstellungen 

verrieten mir zwar, dass der Server weiterhin als Domänencontroller funktionieren 

würde, aber sie konnten mir nicht sagen, ob die kritische Software, die für mich unverzichtbar 

war, ihre Arbeit einstellte, wenn ich mit irgendwelchen Einstellungen herumspielte, 

die interessant klangen. Und während der Telefonkonferenzen in den nächsten Wochen, bei 

denen die Experten die Auswirkungen jeder Einstellung diskutierten, kristallisierte sich heraus, 

dass alle Sicherheitsexperten für den Fall, dass die sichersten Härtungseinstellungen 

benutzt wurden (»Supersicherheit – Eingeschränkte Funktionalität«), praktisch garantieren 

konnten, dass irgendetwas nicht mehr funktionierte. Letztlich müssen Sie sich für eine Seite 

entscheiden: Ihre Geschäftsbedürfnisses oder Ihre Paranoia.


Vorsicht Die Gefahr von Sicherheitsleitfäden 

Sie können beliebig viele Leitfäden und Checklisten von Fremdherstellern hernehmen und auf Server 

beliebiger Größe anwenden, aber falls Ihnen nicht absolut klar ist, dass nun nur noch Sie allein den Support 

für diesen Server erledigen können, riskieren Sie in leichtsinniger Weise die Wartbarkeit dieses Servers 

und letztlich die Umsätze des Unternehmens. 

Falls Sie versucht sind, Änderungen anhand von Sicherheitsleitfäden vorzunehmen, würde 

ich dringend empfehlen, solche Änderungen erst einmal in einem Testnetzwerk (mit guter 

Datensicherung) auszuprobieren. Lesen Sie dieses Buch. Lesen Sie Windows Server 2008 

Security Guide, Windows Vista Security Guide und Windows XP Security Guide, die Sie alle 

im Microsoft Download Center unter http://www.microsoft.com/downloads finden. Falls 

eine Einstellung interessant klingt, können Sie sie ausprobieren, aber Sie müssen sich immer 

bewusst sein, dass Sie anschließend alles testen müssen. Sie haben nämlich gerade Ihre 

eigene Version des Betriebssystems gebaut. Und künftig müssen Sie alle Updates oder Installation 

auf Ihrem speziell angepassten Server testen. Fragen Sie sich selbst, ob die vorgenommene 

Optimierung dieses Netzwerk wirklich sicherer gemacht hat. Sie haben jetzt die 

Gefahr erzeugt, dass der Server künftig nicht mehr gewartet werden kann, aber im Bezug 

auf wirkliche Sicherheit kaum etwas erreicht. 

Jedem, der die Zuweisung des Privilegs Auslassen der durchsuchenden Überprüfung geändert 

und dann Microsofts Sicherheitsbulletin 05-051 angewendet hat, wurde das äußerst 

schmerzlich bewusst, wie in KB 909444 dokumentiert ist: »Bei Systemen, in denen die 

Standardberechtigungen für Zugriffssteuerungslisten im Verzeichnis "%WinDir%\registration" 

geändert wurden, können nach der Installation von Microsoft Security Bulletin MS05- 

051 für COM+ und MS DTC verschiedene Probleme auftreten« (siehe http://support.micro 

soft.com/kb/909444/). Insbesondere auf einem Multi-Rollen-Server haben die Entwickler die 

Sicherheitsanforderungen bereits gegen die Funktionalität des Servers abgewogen und einen 

sinnvollen Kompromiss gefunden. Sie müssen lediglich die Richtlinien festlegen, die Auswirkungen 

auf die Endbenutzer haben. Solange Sie die Installations- und Bereitstellungsassistenten 

nutzen, ist der Server selbst geschützt. 

Auch Leitfäden, die sich an größere Unternehmen richten, können verwirrend sein, weil sie 

davon ausgehen, dass die Server nur eine einzige Rolle übernehmen. Wenn Sie die Windows-Sicherheitsleitfäden, 

dann den Exchange-Leitfaden und schließlich den SQL Server- 

Leitfaden lesen, können Sie gar nicht mehr so einfach sagen, welchen Empfehlungen 

Sie denn nun folgen sollen. Sie müssen sich klarmachen, dass dies nur Richtlinien sind. 

Sie dürfen sie nicht als verpflichtend betrachten. 

Spezielle Härtung für kleine Netzwerke 

Sie haben dieses Kapitel also aufgeschlagen in der Hoffnung, eine Checkliste zu finden. 

Gut, hier wird Ihr Wunsch erfüllt. Ja, sie ist recht kurz. Wenn Sie die Assistenten in Windows 

Small Business Server 2008 und Windows Essential Business Server verwenden, 

um Ihre Serverlösungen einzurichten, sparen Sie eine Menge Zeit, die Sie nutzen können, 

um die eigentliche Quelle aller Sicherheitsprobleme anzugehen: die Desktopcomputer, 

auf denen die Endbenutzer nach wie vor mit den Rechten eines Systemadministrators 

arbeiten. Und dann müssen Sie sich gemeinsam mit dem Unternehmensinhaber hinsetzen 

und feststellen, wo seine Schmerzgrenze überschritten wird. Dabei können Sie nicht blind 

einer Checkliste folgen, die für Großunternehmen entwickelt wurde. Welcher konkrete


Leitfaden wird nun für kleine Netzwerke empfohlen? Hier folgen einige spezifische »Verfahrensempfehlungen«, 

die Sie beachten sollten. Sie alle sind speziell für kleine Unternehmen 

sinnvoll. Einige dieser Empfehlungen gebietet der gesunde Menschenverstand. 

Andere sind Vorschläge für Änderungen am Server, die Verfahrensempfehlungen (engl. 

best practices) sind und auch in PCI/DSS-Richtlinien auftauchen: 

1. Legen Sie die Richtlinien für Passphrasen so fest, dass sie sich für das Unternehmen 

eignen. Wenn sie längere und komplexere Passphrasen erzwingen, können Sie den 

Zeitraum zwischen obligatorischen Kennwortänderungen verlängern. 

2. Schränken Sie den externen Zugriff auf Server und Desktopcomputern ein, indem Sie 

sowohl eine externe Firewall als auch interne hostbasierte Firewalls einsetzen. 

3. Verwenden Sie bei Bedarf einen externen Mailsäuberungsdienst, um den externen 

Zugriff auf Port 25 und Ihre Mailserver einzuschränken. 

4. Öffnen Sie in der Firewall nur die externen Ports, die unbedingt benötigt werden. 

Stellen Sie mit einem Portscanner sicher, dass die Ports geöffnet sind, die Sie tatsächlich 

verwenden wollen. 

5. Schränken Sie den Terminalserverzugriff auf dem Server entweder dadurch ein, dass 

Sie eine VPN-Verbindung erzwingen, oder indem Sie den Zugriff auf bestimmte statische 

IP-Ports begrenzen. Stellen Sie sicher, dass die externe Firewall, die Sie verwenden, 

die Fähigkeit bietet, den Zugriff auf bestimmte Ports einzuschränken. 

6. Wenn Sie dafür sorgen, dass alle Arbeitsstationen unter Windows XP oder Windows 

Vista laufen, können Sie strengere Authentifizierung erzwingen. 

7. Schränken Sie den Internetzugriff auf solche Websites ein, die für die Aufgaben im 

Unternehmen benötigt werden. Diskutieren Sie mit dem Unternehmensinhaber, wie 

weit er die private Nutzung von Firmeneigentum tolerieren will, und richten Sie die 

entsprechenden Beschränkungen ein. 

8. Prüfen Sie alle Fremdherstellersoftware, die auf dem Server und auf Arbeitsstationen 

installiert ist. Stellen Sie fest, ob die Software die Gefahr für das Netzwerk erhöht und 

ob es bei Bedarf eine Updatemöglichkeit gibt. 

9. Stellen Sie sicher, dass der Server nur für Serveraufgaben benutzt wird. Surfen Sie 

damit nie im Web und nutzen Sie den Server nicht als Arbeitsstation. 

10. Schulen Sie Endbenutzer zum Thema Sicherheit. Bringen Sie ihnen bei, dass sie bezüglich 

E-Mail-Anhängen, Links und anderen Verlockungen gesundes Misstrauen 

walten lassen. Ein kompetenter Endbenutzer ist in einem kleinen Netzwerk oft der 

größte Sicherheitsgewinn. 

11. Formulieren Sie einen Notfallwiederherstellungsplan und testen Sie ihn. Testen Sie 

ihn richtig. 

12. Installieren Sie das Zertifikat einer anerkannten Zertifizierungsstelle, das für den 

Remotezugriff auf den Server benutzt wird. Sowohl Windows Small Business Server 

2008 als auch Windows Essential Business Server stellen ein Remotezugriffportal zur 

Verfügung, das sicheren Zugriff über eine SSL-Verbindung ermöglicht. Die Server 

können zwar mit selbstausgestellten Zertifikaten bereitgestellt werden, aber Sie sollten 

ein externes Zertifikat von einer anerkannten Zertifizierungsstelle kaufen und es 

installieren. Einen detaillierten Leitfaden mit Schritt-für-Schritt-Anleitungen zu dieser 

Aufgabe finden Sie auf der Begleit-CD.


13. Passen Sie das SChannel-Protokoll so an, dass es nur SSL3 unterstützt. PCI/DSS-Dokumente 

empfehlen das, und moderne Browser unterstützen diese Einstellung. Lesen 

Sie den entsprechenden Leitfaden im Microsoft Knowledge Base-Artikel 187498 und 

auf der Begleit-CD. 

14. Deaktivieren Sie MS-CHAPv1-Unterstützung auf dem VPN-Server und erlauben Sie 

stattdessen nur die sichereren Protokolle CHAP oder MS-CHAPv2. Weitere Informationen 

zu den Einzelheiten finden Sie auf der Begleit-CD. 

Auf der CD Auf der Begleit-CD zu diesem Buch finden Sie Informationen, die bestimmte Optimierungen 

für die Server in kleinen Unternehmen beschreiben, darunter: 

Installieren eines Zertifikats auf IIS7, um Remotezugriff auf Remote Web Workplace mit einem öffentlichen 

Zertifikat zu ermöglichen 

Deaktivieren von SSLv2, um die PCI/DSS-Standards zu erfüllen 

Anpassen von VPN, sodass es sicherere Protokolle unterstützt 

Ändern des Remotedesktops, sodass er Authentifizierung auf Netzwerkebene unterstützt 

Empfohlene Firewalleinstellungen 

Tipps zu WMI-Abfragen 

Ändern von Einstellungen 

Bevor Sie durchgreifende Änderungen an einem Server vornehmen, sollte Sie genau wissen, 

welche Einstellungen Microsoft vorgenommen hat und warum. Ein Multi-Rollen-Server hat 

üblicherweise spezielle Einstellungen und sogar spezielle Hotfixes, um sicherzustellen, dass 

alle Rollen, die ursprünglich auf separaten Servern laufen sollten, auf einem einzigen Server 

kombiniert werden können. 

Abbildung 16.11 Eine standardmäßig vorkonfigurierte 

Serverrichtlinie für anonyme SIDs 

Abbildung 16.11 zeigt ein klassisches Beispiel einer Standardeinstellung, die Microsoft in 

Windows Small Business Server 2008 konfiguriert, um sicherzustellen, dass der Server richtig 

funktioniert. Die Richtlinie Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen 

ist in einem normalen Windows Server 2008 nicht aktiviert, aber auf einem Multi-Rollen- 

Domänencontroller wird sie benötigt. Manchmal sind Sie sich nicht sicher, ob eine Einstellung 

auf dem System die Standardeinstellung ist oder Sie etwas geändert haben, ohne es in 

Ihrer Änderungsverwaltung zu dokumentieren. In solchen Fällen können Sie die Standard-


werte herausfinden, indem Sie eine virtualisierte Testumgebung einrichten, die eine Standardinstallation 

Ihrer Serverversion enthält. 

Sie können sogar in Erwägung ziehen, das Tool Windows System State Analyzer zu verwenden 

(siehe http://microsoft.mrmpslc.com/InnovateOnWindowsServer/redirect.aspx 

?d=Download/WindowsSystemStateAnalyzer_x86.msi), bevor und nachdem Sie die Software 

installieren. So können Sie untersuchen, welche Änderungen die Anwendungen 

eines Herstellers am Server vornehmen. 

Richtlinien 

Die wichtigste Maßnahme zur Sicherheitshärtung in einem kleinen Netzwerk besteht darin, 

Richtlinien zu konfigurieren. Von Kennwortrichtlinien bis zu den Richtlinien über den Umgang 

mit vertraulichen Daten in einer Organisation sind Richtlinien ein zentrales Element 

für ein sicheres Netzwerk in einer kleinen Organisation. 

Kennwortrichtlinien 

Kennwörter sind Pflicht. In einem sicheren Netzwerk sind keine Ausnahmen davon zulässig. 

Erklären Sie der Organisation, warum »Kennwort« kein gutes Kennwort ist und dass es 

zwar lästig sein mag, STRG+ALT+ENTF drücken zu müssen, dies aber nötig ist, um sicherzustellen, 

dass sich tatsächlich der angegebene Benutzer im Netzwerk anmeldet. Erklären 

Sie, dass keine Zentralliste aller Kennwörter gebraucht wird – das bedeutet sogar eine ernste 

Verletzung des Datenschutzes. Es kann vorkommen, dass ein Angestellter nicht vor Ort ist, 

um die Remoteunterstützung zu autorisieren, bei der sein Profil auf seiner Arbeitsstation bearbeitet 

werden soll. Wenn diese Arbeit nun unbedingt über Remotedesktop erledigt werden 

muss, können Sie das Kennwort auf ein temporäres Kennwort zurücksetzen und sicherstellen, 

dass der Benutzer gezwungen wird, das Kennwort bei der nächsten Anmeldung zu ändern. 

In kleinen Organisationen haben Sie keinen Einfluss darauf, ob die Benutzer zumindest die 

wichtigsten Grundlagen kennen. Sie dürfen auch niemals davon ausgehen, dass dies der Fall 

ist. Daher kann es sinnvoll sein, einen Einführungskurs zum Thema Sicherheit vorzuschreiben, 

verbunden mit der Verpflichtung, seine Kenntnisse einmal jährlich aufzufrischen. 

Verfahrensempfehlungen für Sicherheitsrichtlinien 

Implementieren Sie niemals Kennwortrichtlinien, ohne dass eine entsprechende Organisationssicherheitsrichtlinie 

vorliegt. Eine Richtlinie definiert die Position des Unternehmens 

im Bezug auf das Risikomanagement. Sie stellt ein Framework zur Verfügung und 

gibt dem IT-Personal Leitfäden an die Hand, die den Verlust ihres Arbeitsplatzes verhindern 

können. Ein Element dieser Richtlinie ist eine Richtlinie zum Umgang mit Daten, 

die definiert, auf welche Weise die geschäftlichen Aktiva der Organisation benutzt werden 

dürfen. Eine Beschreibung, wie solche Richtlinien formuliert werden, würde den 

Rahmen dieses Buchs sprengen. Weitere Informationen finden Sie beim SANS-Sicherheitsrichtlinienprojekt 

unter http://www.sans.org/resources/policies/ und im Buch Information 

Security Policies Made Easy von Charles Cresson Wood (Information Shield, 

2005).


Abgestimmte Kennwortrichtlinie 

Die gute Nachricht in der Windows Server 2008-Ära ist, dass Sie Kennwortrichtlinien individuell 

für bestimmte Benutzergruppen festlegen können, wie in »Step-by-Step Guide for 

Fine-Grained Password and Account Lockout Policy Configuration« unter http://technet2. 

microsoft.com/windowsserver2008/en/library/2199dcf7-68fd-4315-87cc-ade35f8978ea1033. 

mspx?mfr=true dokumentiert. Kapitel 2, »Authentifizierung und Authentifizierungsprotokolle«, 

beschreibt diesen Vorgang im Detail. Lassen Sie sich übrigens nicht abschrecken, es 

gibt Fremdherstellertools mit grafischer Benutzeroberfläche, die diese Konfiguration ganz 

einfach machen. Abbildung 16.12 zeigt ein solches Tool von SpecCops (siehe http://technet2. 

microsoft.com/windowsserver2008/en/library/2199dcf7-68fd-4315-87cc-ade35f8978ea1033. 

mspx?mfr=true). 

Abbildung 16.12 Konfigurieren von abgestimmten Kennwortrichtlinien 

Die Standardrichtlinie in Windows Server 2008 schreibt vor, dass Kennwörter alle 42 Tage 

geändert werden müssen. Sehen Sie sich die Geschäftsabläufe der Organisation genau an 

und drängen Sie darauf, die Länge der Kennwörter zu erhöhen. Auf diese Weise sind die 

Passphrasen besser und stärker, sodass sie nicht mehr so oft geändert werden müssen. 

42 Tage ist ein Zeitraum, mit dem Sie sich nicht gerade beliebt machen. Eine schnelle 

Änderung an der Kennwortrichtlinie stellt sicher, dass Kennwörter bereitwilliger benutzt 

werden (Abbildung 16.13).


Abbildung 16.13 Kennwortrichtlinien auf dem Domänencontroller 

Wenn Sie einen neuen Server in einer kleinen Organisation einrichten, sollten Sie diese Gelegenheit 

nutzen, um Benutzer darüber aufzuklären, wie wichtig es ist, sichere Kennwörter 

oder Passphrasen zu wählen und auf geeignete Weise zu schützen. 

Administratorkonten 

Das Konto Administrator ist zweifellos das mächtigste Element in jedem Server. Daher ist 

es von entscheidender Bedeutung, das Kennwort dieses Kontos zu schützen. Sie müssen 

eine Richtlinie festlegen, die seine Benutzung regelt. Und weil Consultants wechseln und 

Hersteller Zugriff bekommen, sollte das integrierte Konto Administrator in einer kleinen 

Organisation genauso benutzt werden wie bei großen Bereitstellungen: praktisch nie, sodass 

man meinen könnte, es hätte die Beulenpest. Legen Sie ein besonders starkes Kennwort fest, 

deaktivieren Sie das Konto und benutzen Sie nur ein anderes Administratorkonto, wenn Sie 

den Computer im Remotezugriff verwalten. Windows Small Business Server 2008 nimmt 

genau diese Konfiguration in der Standardeinstellung vor. Noch besser ist, wenn Sie eine 

Zwei-Faktoren-Authentifizierung für alle Konten mit administrativem Zugriff auf Server 

implementieren. Sehen Sie sich Technologien wie zum Beispiel RSA Secure ID und die 

Tokenschlüsseltechnologie AuthAnvil von Scorpion Software an, wenn Sie zusätzlichen 

Schutz brauchen. Jede Person, die Privilegien eines Domänenadministrators braucht, sollte 

ihr eigenes Administratorkonto haben, damit sichergestellt ist, dass alle Zugriffe nachverfolgt 


Verfahrensempfehlungen für Hersteller 

In einer kleinen Organisation wird für die IT-Beschaffung normalerweise ein externer Hersteller 

ausgewählt. Der Rückgriff auf solche Hersteller birgt potenziell neue Gefahren für ein 

Netzwerk, die bewertet werden müssen. 

Administratorzugriff durch Hersteller 

Geben Sie einem externen Hersteller niemals Zugriff auf ein vorhandenes Administratorkonto. 

Richten Sie stattdessen immer ein separates Konto für genau diesen Zweck ein, wenn der 

Hersteller Remotezugriff benötigt. Und falls ein Hersteller von Geräten wie Drucker oder 

Scanner darum bittet, ihm eine Liste aller Benutzernamen, Kennwörter und IP-Adressen im 

Netzwerk zu faxen, damit seine Netzwerktechniker das Gerät schon fertig einrichten können, 

sollten Sie sich freundlich für einen so tollen Service bedanken und ein Angebot bei 

einem anderen Hersteller anfordern.


Remotezugriff durch Hersteller 

Falls Sie Unternehmen beliefern und Consultingdienste zur Verfügung stellen, müssen Sie 

genau darauf achten, dass die Systeme, die Sie für den Remotezugriff auf Ihre Clients einsetzen, 

geschützt sind und ihre Sicherheit auch für die Zukunft gewährleistet bleibt. Alle 

Anmeldeinformationen, die Sie auf einem kompromittierten Computer eintippen, sind kompromittiert. 

Notebooks und WLAN-Karten sind günstig zu haben und bieten die Fähigkeit, 

sichere Remoteverbindungen aufzubauen. 

Tipp Verfahrensempfehlung für Remotezugriff 

Richten Sie die Firewall so ein, dass Terminalserverzugriffe nur von bestimmten statischen IP-Adressen im 

Netzwerk des Remoteconsultants oder Herstellers angenommen werden. 

Outsourcing 

Falls Sie denken, dass kleine Organisationen nicht von Outsourcing betroffen sind, weil sie 

nur IT-Support von lokalen Administratoren oder lokalen Consultants bekommen, liegen Sie 

falsch. Externe Consultants, die standardisierte Dienstleistungen anbieten, greifen immer 

mehr auf outgesourcte Anbieter zurück. Manche Branchen (zum Beispiel einige Buchprüfer) 

fordern, dass Sie die Klienten der Organisation informieren, wenn outgesourcte Organisationen 

auf ihre vertraulichen Daten zugreifen. Wägen Sie die Risiken entsprechend ab. 

Wichtig Verantwortung können Sie nicht outsourcen 

»Letztlich gilt: Auch wenn eine Organisation einige ihrer Geschäftsprozesses und damit Teile ihrer Haftung 

für den Datenschutz outsourcen kann, ist es nicht möglich, die Verantwortung für Datenschutz outzusourcen«. 

(Marilyn Prosch, Outsourcing and Private: 10 Critical Questions Top Management Should Ask) 

Trennen von Aufgabenbereichen 

In einer kleinen Organisation ist es nicht ganz so wichtig wie in großen Organisationen, die 

administrativen Pflichten zwischen Exchange, Windows-Firewall und Live Communication 

Server (oder Unified Communication Server) aufzuteilen. Meist gibt es ohnehin nur einen 

IT-Administrator. Es wird trotzdem empfohlen, mehrere Konten mit möglichst geringen 

Privilegien zu verwenden, aber das ist im Allgemeinen recht schwierig zu implementieren, 

sodass es den Aufwand nicht rechtfertigt. 

Änderungen an Ihrem Netzwerk auf Anforderung eines Herstellers 

Falls ein Hersteller empfiehlt, dass Sie die Windows XP- oder Windows Vista-Firewall innerhalb 

des Netzwerks deaktivieren, weil die externe Firewall angeblich ausreichend Schutz 

für eine kleine Organisation bietet, sollten Sie freundlich fordern, dass er dokumentiert, welche 

Ausnahmen in der Firewall konfiguriert werden müssen, damit die Software einwandfrei 

funktioniert. Auch manche Hersteller von Antivirensoftware brauchen Programm- und Portausnahmen. 

Vergessen Sie nie, dass Anwendungssoftware in einem Netzwerk einwandfrei 

funktionieren kann, wenn die richtigen Ausnahmen konfiguriert sind. Wenn ein Hersteller 

etwas fordert, das Sie für nicht vertretbar halten, sollten Sie Ihre Möglichkeiten mit dem 

Unternehmensinhaber besprechen. Ich selbst habe schon bei Telefonaten mit dem Support 

von LOB-Anwendungen nach dem Geschäftführer verlangt, wenn die Forderungen hanebüchen 

und aus Sicherheitsgründen nicht zu verantworten waren. Eine standardisierte Änderungsverwaltung 

wird umso wichtiger, je mehr Hersteller unterschiedliche Dienste zur Verfügung 

stellen.


Remotezugriff 

Eine kleine Firma muss entscheiden, ob Remotezugriff so wichtig ist, dass die dadurch verursachte 

Gefahr in Kauf genommen werden muss. Welche Probleme müssen bedacht werden? 

Und wie können Sie trotzdem bestmögliche Sicherheit erreichen? 

Remotekonnektivität und Sicherheitsfragen 

Die größte Gefahr für das Netzwerk eines kleinen Unternehmens besteht darin, dass die 

Benutzer dieses Netzwerks nicht die Kompetenz besitzen, die richtigen Entscheidungen zu 

treffen. Falls Sie drakonische Richtlinien festlegen, diese Richtlinien aber verhindern, dass 

die Arbeit erledigt werden kann, helfen Ihnen die besten Argumente nichts. Das betrifft auch 

Richtlinien bezüglich des Remotezugriffs. In einer kleinen Organisation, bei der einige Angestellte 

unverzichtbar sind, müssen Sie sicherstellen, dass es den Benutzern möglich ist, 

ihren Computer aus der Firma mitzunehmen. Der Zugriff von draußen soll für die Benutzer 

mit möglichst wenig Aufwand möglich sein, aber trotzdem müssen Richtlinien und Zugriffseinschränkungen 

definiert sein. Nur so kann sichergestellt werden, dass die Angestellten 

der Versuchung widerstehen, öffentlich zugängliche Computer wie etwa Kioskcomputer zu 

benutzen. 

Gefahren von Kioskcomputern 

Als im Jahr 2003 Windows Small Business Server 2003 mit dem Remotezugriffportal 

namens Remote Web Workplace erschien, tönten die Marketingbroschüren, dass man mit 

»beliebigen« Computern auf das Netzwerk zugreifen könne. Sie versäumten es darauf 

hinzuweisen, dass nur einige Monate vorher ein ganz ähnlicher Zugriff über »beliebige 

Computer« damit endete, dass Kennwörter, Kontonummern und Kreditkartennummern 

gestohlen wurden, weil auf Kioskcomputern der Kette Kinko’s Keylogger installiert waren 

(Robert Vamosi, http://reviews.cnet.com/4520-3513 7-5053016-1.html). Die Verwendung 

einer Zwei-Komponenten-Authentifizierung, zum Beispiel RSA Secure ID und 

AuthAnvil von Scorpion Software, kann dieses Risiko eindämmen, aber je vertraulicher 

die Daten innerhalb der Organisation sind, desto strenger muss die Richtlinie sein. RAS- 

Richtlinien sollten ganz deutlich definieren, von welchen Computern aus ein Remotezugriff 

auf ein Netzwerk erlaubt ist. Benutzen Sie niemals einen Computer, der nicht Ihnen 

selbst gehört oder von dessen Systemintegrität Sie nicht absolut überzeugt sind, wenn Sie 

im Remotezugriff mit Netzwerkressourcen arbeiten. Punkt. 

Mobilgeräte verringern das Risiko 

Smartphones sind ein hervorragendes und sicheres Mittel, wichtigen Angestellten eine Remoteverbindung 

zu ermöglichen, ohne unnötige Gefahren durch Remotezugriff auf die Serverumgebung 

eingehen zu müssen. Es ist für eine Organisation sicherer, Technologien wie 

Outlook über https (jetzt als Outlook Anywhere bezeichnet) bereitzustellen, als Outlook über 

eine VPN-Verbindung zu benutzen. Nur zu oft nehmen wir uns in einer kleinen Organisation 

nicht die Zeit, VPN-Verbindungen so anzupassen, dass die Verbindung eingeschränkt wird. 

So passiert es, dass die Arbeitsstationen eine uneingeschränkte Verbindung auf die Netzwerkschicht 

(Schicht 3) zurück zum Server aufbauen. Welche Remotetechnologie gewählt 

wird, ist von entscheidender Bedeutung dabei, ob für kleine Organisationen sicherer und


kostengünstiger Remotezugriff ermöglicht wird. Technologien wie Remote Web Workplace, 

die sicherere Protokolle einsetzen und lediglich Bildschirminhalte übertragen, stellen sicher, 

dass das Netzwerk insgesamt sicherer wird. Mit Remote Web Workplace und jetzt in Windows 

Server 2008 können Terminalservergateway-Verbindungen von vertrauenswürdigen 

Systemen aus hergestellt werden, was sicheren und einfach administrierbaren Zugriff ermöglicht. 

Kontosperrung 

In großen Unternehmen kann die Praxis, ein Konto zu sperren, wenn ein Benutzer mehrmals 

das falsche Kennwort eingegeben hat, eine Menge Aufwand beim Helpdesk verursachen. In 

solchen Unternehmen ist diese Richtlinie daher möglicherweise nicht besonders effektiv. Bei 

kleinen Unternehmen kann eine Kontosperrungsrichtlinie dagegen so viel Sicherheitsgewinn 

bringen, dass es die Nachteile aufwiegt. Normalerweise wird eine Kontosperrung in einer 

kleinen Organisation nicht durch einen Angriff verursacht, sondern dadurch, dass ein Kennwort 

irgendwo gespeichert und automatisch eingetragen wird. Aber wenn Konten gesperrt 

werden, kann Sie das auf einen falsch konfigurierten Router oder möglicherweise einen Ex- 

Angestellten aufmerksam machen, der versucht, in die Organisation einzubrechen. Kontosperrung 

kann auch den Unternehmensinhaber überzeugen, dass das System Portscanangriffe 

abwehren kann. Das passiert manchmal in kleinen Netzwerken: Falls Sie einen Port haben, 

der gegenüber dem Internet offen bleiben muss, wird er von normalen Portscans getroffen. 

In der Praxis sollten Kennwörter stark genug sein, um solchen wahllosen Angriffen zu widerstehen, 

aber so mancher Unternehmensinhaber schläft besser, wenn er weiß, dass die 

Angreifer bei ihren automatisierten Scans nur wenige Versuche haben. Auch wenn die Verwendung 

besserer Kennwörter die beste Eindämmung ist, wollen viele Unternehmensinhaber 

diese Portscanner ausfindig machen und zur Strecke bringen. Wenn Sie in diesem Fall 

erklären, dass es wahrscheinlich der Computer seiner eigenen Großmutter ist, der in einen 

Zombiecomputer verwandelt wurde, kommt das beim Kunden gewöhnlich nicht besonders 

gut an. Daher können Sie diese Einstellung unter der Kategorie »Trost und Beruhigung« 

einordnen. Sie hilft vor allem der Gemütsruhe des Unternehmensinhabers. 

Überwachungs- und Verwaltungs-Add-Ons 

In einem kleinen Netzwerk sind die wichtigsten Tools eines Consultants diejenigen, die er 

selbst bereitstellt, um Server zu überwachen. In der Branche wird diese Kombination von 

Remoteüberwachung als »Managed Services« bezeichnet. Das Ziel besteht darin, dass der 

Consultant sofort alarmiert wird, falls ein Server seine Aufmerksamkeit benötigt. Wenn Sie 

schon Netzwerke in Großunternehmen verwaltet haben, war WMI (Windows Management 

Instrumentation) vermutlich unverzichtbar für diese Aufgabe. Sie brauchen damit nur eine 

kleine Abfrage zusammenzustellen, um zu ermitteln, was in einem Netzwerk vor sich geht. 

Weil viele Administratoren in kleinen Unternehmen (auch ich selbst) die Skriptentwicklung 

für recht schwierig halten, hat Microsoft zuerst MOM (Microsoft Operations Management) 

veröffentlicht, um ein GUI-Tool für die Verwaltung eines Netzwerks zur Verfügung zu stellen. 

SCE und SCE Managed Services 

Microsoft hat System Center Essentials (SCE) und System Center Remote Operations Manager 

2007 veröffentlicht. Diese beiden Tools helfen bei der Verwaltung kleinerer Bereitstellungen. 

Wenn Sie als Consultant arbeiten, können Sie SCE auf einem System installieren


und dann mit System Center Remote Operations Manager 2007 die Berichte über alle Server 

unter Ihrer Kontrolle abrufen. Je nachdem, wie Sie Ihr Dienstleistungsangebot strukturieren, 

haben Sie die Möglichkeit, lediglich Überwachung anzubieten, oder Sie können Ihren Kunden 

ein SLA (Service Level Agreement) verkaufen, bei dem Sie eine bestimmte Uptime der 

Server, Arbeitsstationen und so weiter garantieren. Stattdessen können Sie diese Tools auch 

nur bei Bedarf einsetzen, wenn Sie Kunden haben, die sich nur an Sie wenden, wenn ein 

akutes Problem beseitigt werden muss. Ein Administrator kann sich anderen Aufgaben 

widmen, wenn ein schneller Blick auf das SCE-Dashboard (Abbildung 16.14) zeigt, dass 

alles einwandfrei funktioniert. 

Abbildung 16.14 Überwachen von Netzwerkdiensten mit SCE 

Fremdherstellerlösungen für Managed Services 

Der Markt für Managed Services scheint sich täglich zu verändern. Was gestern noch als 

Verfahrensempfehlung angepriesen wurde, ist morgen schon veraltet. Sie können viele 

Remoteaufgaben in diesem Bereich zwar mit simplen Skripts von den Microsoft Scripting 

Guys erledigen, oft ist es aber sinnvoller, wenn Sie sicherstellen, dass Sie ein Framework 

haben, das einfach gewartet und reproduzierbar verwaltet werden kann und das vor allem 

ein Berichterstellungstool enthält. Mit solchen Berichten können Sie sicherstellen, dass Ihre 

Kunden verstehen, welche Aufgaben Sie erfüllen. Wenn Sie beim Netzwerksupport so gut 

sind, dass es absolut problemlos läuft, glaubt Ihr Chef oder Kunde vielleicht gar nicht, dass 

Sie eine Menge Aufwand betreiben mussten. Händigen Sie Kunden zumindest jedes Quartal 

einen Bericht aus, der so biedere Sicherheitselemente wie die Zahl der erkannten Spam- 

Mails auflistet, die Menge der auf dem Gateway blockierten Viren, die Vorfälle, bei denen 

Benutzer gehindert wurden, den »Nackte-tanzende-Schweine-Bildschirmschoner 2.0« aus 

dem Web herunterzuladen, und so weiter. Ganz egal, welches Tool Sie für die Remoteüberwachung 

der Server einsetzen, sollten Sie sicherstellen, dass Sie dem Unternehmensinhaber 

eine Übersicht darüber geben, welche Schritte Sie unternommen haben, damit sein Netzwerk 

einwandfrei funktioniert. Nutzen Sie diese Zeit mit dem Kunden auch als Möglichkeit, ihn 

über die Konsequenzen gefährlicher Verhaltensweisen aufzuklären. Weitere Informationen 

über Managed Services als Dienstleistung finden Sie unter http://tech.groups.yahoo.com/ 

group/SMBManagedServices/. 

Remoteverwaltung 

Wenn Sie ein Remoteverwaltungsprogramm verwenden, muss Ihnen bewusst sein, dass ein 

solches Tool möglicherweise Auswirkungen auf die Sicherheit Ihres Netzwerks hat. Bei 

Windows Vista ist in der Standardeinstellung der Remoteregistrierungsdienst nicht aktiviert, 

aber manche Verwaltungslösungen können nur dann Ereignisprotokolle im Remotezugriff 

anzeigen und andere Verwaltungsaufgaben für Remotebenutzer ausführen, wenn dieser 

Dienst läuft. Wenn Sie den Remoteregistrierungsdienst aktivieren, verändern Sie damit die


Sicherheitsaufstellung Ihres Netzwerks. Ziehen Sie einen Leitfaden wie zum Beispiel das 

Microsoft Threats and Countermeasures Guide zurate, wenn Hersteller empfehlen, Standarddienste 

und -registrierungseinstellungen zu verändern. Sie finden dieses Dokument 

unter http://www.microsoft.com/technet/security/guidance/serversecurity/tcg/tcgch00.mspx. 

Die Rolle des Servers bei der Kontrolle und Verwaltung 

der Arbeitsstationen 

Die beste Methode, einen Server in einem kleinen Unternehmen zu schützen, besteht darin, 

die Arbeitsstationen stets unter Kontrolle zu halten. Einer der wichtigsten Schritte auf dem 

Weg zu diesem Ziel ist, Endbenutzern keine administrativen Privilegien auf ihren Arbeitsstationen 

zu gewähren. 

Weitere Informationen Falls Sie noch kein Buch zur Windows Vista-Sicherheit gekauft haben, empfehle 

ich Microsoft Windows Vista – Die technische Referenz (Microsoft Press, 2007) und Windows Vista Security: 

Securing Vista against Malicious Attacks von Roger Grimes und Jesper Johansson (Wiley, 2007) als 

hervorragende Mittel, um mehr über Windows Vista-Sicherheit zu lernen. 

Kapitel 14 führt an, dass beim Entwurf des Netzwerks kein Aufbau gewählt werden sollte, 

der erfordert, dass bei den Arbeitsstationen eine Datensicherung durchgeführt wird. Sogar in 

einer kleinen Organisation sollten Sie versuchen, einen Verwaltungsprozess zu entwickeln, 

der keine angepassten Konfigurationen oder Daten auf den Arbeitsstationen speichert. Die 

kritische LOB-Anwendung einer Organisation sollte auf dem Server liegen, wo sie besser 

geschützt ist und ihre Daten besser gesichert werden können. Sie sollte nie auf einer Arbeitsstation 

installiert sein. Prüfen Sie bei solchen Anwendungen, ob organisationsweite Verschlüsselungs- 

oder andere Sicherheitslösungen bereitgestellt werden müssen, wenn sie auf 

Arbeitsstationen installiert werden. Falls der Server an einem Ort steht, wo keine ausreichende 

physische Sicherheit gewährleistet werden kann, ist es unter Umständen sinnvoll, 

BitLocker darauf bereitzustellen. 

Empfohlene Gruppenrichtlinieneinstellungen für kleine Unternehmen 

Bevor Sie diesen Abschnitt beginnen, sollten Sie Kapitel 7, »Gruppenrichtlinien«, bereits 

gelesen haben. Außerdem sollten Sie als Referenz ein Exemplar der Tabelle mit den Gruppenrichtlinieneinstellungen 

zur Hand haben. Sie können diese Tabelle von http://download. 

microsoft.com/download/c/3/8/c3815ed7-aee7-4435-802b-8e855d549154/GroupPolicy 

SettingsforWindowsVista.xls herunterladen. 

Es gibt viele neue Einstellungen, die Auswirkungen auf die Sicherheit haben und in einer 

kleinen Organisation nützlich sein können. Sie möchten in der Lage sein, jeden USB-Anschluss 

im Netzwerk zu kontrollieren? Dafür brauchen Sie Windows Vista. Sie wollen die 

Kennwortspeicherung und Authentifizierungsprotokolle innerhalb des Netzwerks verbessern? 

Dann können Sie Windows Server 2008, Windows Server 2003 und Windows XP- 

oder Windows Vista-Arbeitsstationen verwenden. Sie wissen nicht, wozu das gut sein soll? 

Lesen Sie Kapitel 2, dann verstehen Sie, warum Abbildung 16.15 eine der besten Einstellungen 

zeigt, die Sie in einem kleinen Netzwerk konfigurieren sollten. (Ein Hinweis: Sie 

bedeutet, dass Sie endlich alle übrig gebliebenen Windows 98-Computer aussperren, die 

sich möglicherweise noch im Netzwerk herumtreiben.)


Abbildung 16.15 Keine LAN Manager-Hashwerte zu speichern, 

kann eine der besten Einstellungen für ein kleines Netzwerk sein; 

lassen Sie diese Richtlinie aktiviert 

Wichtig Empfehlungen für Gruppenrichtlinien 

Wenn Sie eine Richtlinie festlegen wollen (das gilt für jede Gruppenrichtlinie auf allen Servern), wird empfohlen, 

dass Sie ein neues Gruppenrichtlinienobjekt erstellen, um genau zu wissen, welche konkreten 

Einstellungen Sie vornehmen. Wenn Sie die Konsole Gruppenrichtlinien öffnen, wissen Sie genau, welche 

Richtlinien Sie zu diesem Netzwerk hinzugefügt haben. Das ist eine einfache Methode, um zu verfolgen, 

welche Richtlinien Sie erstellt haben und welche Richtlinien in der Standardinstallation der verschiedenen 

kleinen bis mittleren Serverbereitstellungen vorkonfiguriert waren. 

Die folgenden Abschnitte stellen einige wichtige Gruppenrichtlinieneinstellungen für ein 

kleines Netzwerk vor. 

Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen 

Eine der wohl am häufigsten übersehene Gruppenrichtlinieneinstellung für kleine Organisationen 

hat trotzdem gewaltige Auswirkung auf die Benutzerfreundlichkeit. In einer kleinen 

Organisation herrscht meist eine Atmosphäre von Kameradschaft und Teamwork. Daher 

wird dieses Konzept meist übersehen: Der Organisationsadministrator hat das Recht und die 

Autorität, alle Zugriffe, alle E-Mails, alle Websites, alle Dokumente, alle Downloads zu 

prüfen – praktisch alles auf dem Computer eines Mitarbeiters, weil Hardware und Software 

dem Unternehmen gehören. Wenn die Angestellten gelegentlich in Form einer Richtlinie 

daran erinnert werden, dass alle ihre Aktionen überwacht und ausgewertet werden könnten, 

ist das ein wirksames psychologisches Werkzeug, um zu verhindern, dass Angestellte das 

Netzwerk für unlautere Zwecke missbrauchen. Falls es nicht reicht, darauf schriftlich hinzuweisen, 

können Sie die Benutzer freundlich daran erinnern, wenn sie sich morgens an 

ihrem System anmelden. Dazu dient die Einstellung Interaktive Anmeldung: Nachricht für 

Benutzer, die sich anmelden wollen. Vergessen Sie nie die psychologischen Faktoren, wenn 

Sie ein Netzwerk schützen. 

Wichtig Andere Länder, andere Sitten 

Bitte beachten Sie, dass im vorstehenden Absatz Empfehlungen für die USA ausgesprochen werden. 

In Deutschland würden Sie sich mit einer solchen Überwachung strafbar machen.


Gruppenrichtlinieneinstellungen für die Windows XP- 

und Windows Vista-Firewall 

Wenn Sie die Windows XP- und Windows Vista-Firewalleinstellungen innerhalb einer Organisation 

bereitstellen, müssen Sie daran denken, dass Ihre externe Firewall Sie nur vor 

Zugriffen schützen kann, die von außerhalb des Unternehmens kommen. Sie nützt Ihnen gar 

nichts, falls irgendeine grässliche Malware es schafft, in das Netzwerk zu gelangen. Ich weiß, 

dass die Angriffe in letzter Zeit weniger verheerend waren, aber ständig lauert irgendetwas 

oder irgendjemand auf die Gelegenheit, Ihr Netzwerk in eine Zombie-Armee zu verwandeln. 

Interne Firewalls können ihren Teil dazu beitragen, die Integrität des Netzwerks zu schützen. 

Weitere Informationen darüber, warum interne Firewalls so wichtig sind, finden Sie in 

Kapitel 14. 

Abbildung 16.16 Der Server definiert Gruppenrichtlinieneinstellungen für die 

Windows Firewall mit erweiterter Sicherheit in Windows Vista 

Die typischen Windows Vista-Firewalleinstellungen im Netzwerk von kleinen Unternehmen 

brauchen nur vier Einstellungskategorien: Kernnetzwerk, Datei- und Druckerfreigabe, 

Remoteunterstützung und Remotedesktop. In vielen Fällen können Sie diese Kategorien noch 

weiter einschränken, sodass die Dienste nur für bestimmte Hosts zugänglich sind. Je sorgfältiger 

Sie analysieren, wer Zugriff auf was braucht, desto stärker können Sie diese Firewalleinschränkungen 

anpassen und einschränken, was die Arbeitsstationen tun dürfen und was 

nicht. Das hilft Ihnen wiederum bei der Zeitplanung für Updates und der Eindämmung von 

Sicherheitsproblemen. Wenn diese Arbeitsstationen in das Sicherheitsgefüge des Netzwerks 

eingebunden sind, hilft das eine Menge. Die Einstellungen für die Windows-Firewall mit 

erweiterter Sicherheit finden Sie unter Computerkonfiguration/Windows-Einstellungen/ 

Sicherheitseinstellungen/Windows-Firewall mit erweiterter Sicherheit. In Windows Small


Business Server 2008 wird Ihnen das schwierige Einrichten dieser Richtlinien abgenommen. 

Wie Sie in Abbildung 16.16 sehen, hat Windows Small Business Server 2008 eingehende 

Regeln aktiviert. Ausgehende Regeln sind vorbereitet, sodass Sie die ausgehende Filterung 

jederzeit aktivieren können. Die ausgehenden Regeln sind dabei so konfiguriert, dass die 

Kernaufgaben wie Netzwerkkommunikation, Drucken, Remoteunterstützung und Remotedesktop 

auf jeden Fall zur Verfügung stehen. 

Windows XP-Arbeitsstationen können sich ebenfalls an dieser Eindämmung und Einschränkung 

beteiligen. Das schlimmste, was Sie in einer kleinen Organisation tun können, wäre, 

die externe Firewall als »gut genug« zu betrachten und zu glauben, dass es keinen Grund 

gibt, die internen Firewalls zu aktivieren. Nehmen Sie sich die Zeit und lernen Sie, wie interne 

Firewalls die erforderlichen Einschränkungen erzwingen können. 

Sie finden die Einstellungen für Windows XP-Firewalls unter Computerkonfiguration/Administrative 

Vorlagen/Netzwerk/Netzwerkverbindungen/Windows-Firewall/Domänenprofil 

(Abbildung 16.17). Im Dokument »Small Business Tweaks« auf der Begleit-CD zu diesem 

Buch finden Sie Details zu empfohlenen Richtlinien für ein kleines Netzwerk. Weitere 

Informationen zur Leistungsfähigkeit von Gruppenrichtlinien finden Sie in Kapitel 7. 

Abbildung 16.17 Die vom Server definierten Gruppenrichtlinieneinstellungen für Windows XP-Firewalls 

Authentifizierung und Clients 

Eine der besten Möglichkeiten, ein kleines Netzwerk (eigentlich jedes Netzwerk) zu schützen, 

besteht darin, die Umgebung möglichst weit zu standardisieren. Das ist eine der Sicherheitsmaßnahmen, 

die am schwierigsten umzusetzen ist, sie kann sogar fast unmöglich sein. 

Unter Umständen legen Sie damit ältere LOB-Anwendungen lahm. Trotzdem ist es ein erstrebenswertes 

Ziel, jede Arbeitsstation auf derselben Plattform (normalerweise das neueste 

Desktopbetriebssystem, das der Hersteller anbietet) und mit demselben Service Pack zu 

betreiben und sicherzustellen, dass auch jede Anwendung aktualisiert wird und ihr Code 

einer Sicherheitsbegutachtung unterzogen wurde, die dieselbe Qualität gewährleistet wie der 

Windows Secure Development Lifecycle. Falls Sie das Glück haben, dieses Ziel zu erreichen, 

können Sie zusätzliche Einstellungen vornehmen. Zum Beispiel können Sie sicherstellen, 

dass alle Terminaldienst- und Remotedesktopsitzungen mit Authentifizierung auf Netzwerkebene 

arbeiten und die höchsten Authentifizierungsstufen verwendet werden, zum Beispiel 

Nur NTLMv2-Antworten senden. LM & NTLM verweigern.


Empfehlungen für weitere Servereinstellungen und -konfigurationen 

Es wird davon abgeraten, blind irgendwelchen Leitfäden zur Sicherheitshärtung zu folgen. 

Aber das bedeutet nicht, dass Sie nicht einige Einstellungen auf dem Server an Ihre konkreten 

Anforderungen anpassen sollten. Die folgenden Abschnitte führen einige Empfehlungen 

für das Netzwerk eines kleinen Unternehmens auf. 

DsrmAdminLogonBehavior 

Wenn Sie eine Architektur mit einem einzigen Domänencontroller haben, können Sie einen 

neuen Registrierungswert in Windows Server 2008 ändern: DsrmAdminLogonBehavior. Sie 

finden diesen Eintrag unter HKLM\System\currentcontrolset\Control\Lsa. Er ermöglicht 

Ihnen, sich am Domänencontroller anzumelden, auch wenn die Active Directory-Domänendienste 

nicht laufen. Auf das DSRM-Administratorkennwort, das separat eingerichtet wird, 

wenn Sie einen Server mit Dcpromo.exe zu einem Domänencontroller hochstufen, werden 

die Kennwortrichtlinien nicht angewendet. Als Eindämmung erlaubt Windows Server 2008 

dem DSRM-Administrator daher nur eine Anmeldung, während die Active Directory-Domänendienste 

laufen. In einem typischen Netzwerk mit mehreren Domänencontrollern ist es 

kein Problem, wenn ein Server ausfällt, weil immer noch irgendein anderer Domänencontroller 

die Authentifizierung durchführen kann. Daher ist DSRMAdminLogonBehavior so 

konfiguriert, dass eine Anmeldung verhindert wird, wenn die Active Directory-Dienste nicht 

laufen. In einem Netzwerk mit lediglich einem Domänencontroller verhindert das natürlich, 

dass Sie sich am Server anmelden und ihn wiederherstellen können. Falls die Umgebung nur 

einen Domänencontroller enthält, wird daher diese Einstellung empfohlen. 

Abbildung 16.18 zeigt diese neue Registrierungseinstellung. Sie kann folgende Werte haben: 

0 Der DSRM-Administrator kann sich nur im DSRM anmelden, wenn die Active 

Directory-Domänendienste laufen. (Dies ist die Standardeinstellung.) 

1 Der DSRM-Administrator kann sich im DSRM anmelden und wenn die Active 

Directory-Domänendienste nicht laufen. 

2 Der DSRM-Administrator kann sich jederzeit anmelden. 

Abbildung 16.18 Der Registrierungsschlüssel DsrmAdminLogonBehavior 

Diese eine schnelle Einstellung bewirkt, dass Sie einen Domänencontroller nicht völlig neu 

starten müssen. Das ist sicherlich sinnvoll. 

Ältere Anwendungen schränken die Möglichkeiten der Serveroptimierung ein 

Bei meiner Suche nach absoluter Sicherheit machte ich ein Experiment. Ich versuchte, den 

gesamten Verkehr meines Dateiservers auf Port 445 zu beschränken. Ich stellte fest, dass 

sich meine Steuererklärungssoftware bitterlich beschwerte, weil keine Kommunikation über 

Port 135 bis 139 möglich war. Sie forderte, dass ich auf keinen Fall versuche, die SMB- 

Kommunikation auf diese Weise einzuschränken. Sie dürfen nie vergessen, dass ein Multi- 

Rollen-Server eben mehrere Aufgaben erfüllt. Insbesondere betrifft das LOB-Anwendungen, 

deren Programmcode schon vor vielen Jahren geschrieben wurde. Solche Anwendungen 

scheitern sehr oft an neueren Sicherheitsempfehlungen.


Ausschalten der Überwachung 

Wenn Sie die Überwachung ausschalten, verursacht das in der Zukunft zweifellos Probleme. 

Wenn Sie sich die Überwachungsprotokolle eines Servers (und jetzt mit Windows Vista auch 

die von Arbeitsstationen) ansehen, wünschen Sie sich vermutlich als Erstes, dass Sie nicht 

davon erschlagen werden. Die Unmenge an Informationen, insbesondere auf einem Domänencontroller, 

bedeutet, dass Sie jede Sekunde oder sogar häufiger ein Ereignis erwarten 

können. Es ist am sinnvollsten, wenn Sie die Protokollgröße erhöhen und die Überwachungsprotokolle 

für den Zeitpunkt verfügbar halten, an dem Sie diese Protokolle dringend 

für Ihre Analyse brauchen. 

Einschalten der Überwachung 

Was denn jetzt, hieß es nicht gerade, dass es schlecht wäre, die Überwachung auszuschalten? 

Jetzt behaupte ich also, dass es auch schlecht ist, sie einzuschalten? Ja. Hüten Sie sich 

vor bestimmten Überwachungseinstellungen, zum Beispiel für Objektzugriffe, sie füllen ein 

Überwachungsprotokoll ganz schnell. Falls Sie ein bestimmtes Zugriffsereignis überwachen 

wollen, sollten Sie sicherstellen, dass Sie die Überwachung präzise konfigurieren und nicht 

die generelle Überwachung auf dem gesamten Domänencontroller aktivieren. 

Ausschalten der Benutzerkontensteuerung 

Wenn Sie die Benutzerkontensteuerung (User Account Control, UAC) ausschalten, ist das 

eines der verheerendsten Dinge, das Sie in einer kleinen Organisation tun können, und nicht 

nur aus Sicherheitsgründen. Falls eine Software annimmt, dass die UAC eingeschaltet ist, 

das aber nicht der Fall ist, lässt sich diese Software unter Umständen nicht richtig installieren. 

Falls Sie mithilfe von Gruppenrichtlinien irgendwelche Änderungen an der UAC für 

Ihre Arbeitsstationen vornehmen, sollten Sie nur eine einzige Einstellung bearbeiten, nämlich 

Benutzerkontensteuerung: Verhalten der Benutzeraufforderung mit erhöhten Rechten für 

Administratoren im Administratorbestätigungsmodus. Stellen Sie hier die Option Erhöhte 

Rechte ohne Eingabeanforderung ein (Abbildung 16.19). Das sollte die einzige Einstellung 

sein, die Sie jemals ändern. In diesem Fall bleibt der Internet Explorer mit dem geschützten 

Modus aktiviert. Den Internet Explorer so gut wie möglich zu schützen, ist eine der besten 

Maßnahmen, die Ihnen in einem kleinen Unternehmen zur Verfügung stehen. Versuchen Sie 

aber auf jeden Fall, die UAC eingeschaltet und aktiviert zu lassen. Wenn Sie mit der Softwareinstallation 

erst einmal fertig sind, dürften Sie feststellen, dass Sie kaum noch UAC- 

Eingabeaufforderungen bestätigen müssen. 

Abbildung 16.19 Anpassen der UAC-Gruppenrichtlinien


Benutzerkontensteuerung auf dem Server 

Es gibt keinen vernünftigen Grund, warum ein Domänenadministrator auf dem Server im 

Web surfen sollte, keinen einzigen. Sie gefährden damit Ihre gesamte Infrastruktur. Daher ist 

es kein Wunder, dass das SBS 2008-Team nach der Analyse der Bedrohungen und Risiken 

für diesen Server das integrierte Konto Administrator deaktiviert und die Benutzerkontensteuerung 

auf dem Server aktiviert hat, anders als bei Windows Server 2008. UAC soll Sie 

daran erinnern, dass ein Server kein Ersatz für eine Arbeitsstation ist und nur als Server 

benutzt werden sollte. Halten Sie sich an die Verfahrensempfehlung, das integrierte Konto 

Administrator nie zu verwenden, nicht einmal für die simpelste Administratoraufgabe. Wie 

Sie in Abbildung 16.20 sehen, werden Sie daran erinnert, wie wichtig Ihr Domänencontroller 

ist, wenn Sie diese Einstellung unverändert lassen. 

Abbildung 16.20 Die Gefahr, dass ein Administrator den Server 

als Arbeitsstation missbraucht, wird durch die UAC eingedämmt 

Antivirensoftware und Antispyware 

Die einzigen Websites, die ein Server jemals besuchen sollte, sind die verschiedenen Adressen 

des Microsoft Update-Dienstes. Weil Sie ohnehin niemals auf dem Server im Web 

surfen, gibt es also auch keinen Anlass, Antispywaresoftware darauf zu installieren. Kann 

genauso auf Antivirensoftware verzichtet werden? Vor allem auf einem Domänencontroller 

müssen Sie sicherstellen, dass Sie den Leitfäden in den Knowledge Base-Artikeln folgen, 

die eine Liste der kritischen Dateien, Ordner und Protokollspeicherorte enthalten. So können 

Sie sicherstellen, dass keine Probleme durch genau die Software entstehen, die den Server 

schützen soll. Im Allgemeinen müssen Sie Speicherorte auf dem Server ausnehmen, in denen 

Active Directory-, Exchange- oder andere kritische Datenbanken ihre Protokolldateien 

ablegen. 

Hinweis Als Ausgangspunkt für die Definition von Ausschlüssen sollten Sie sich die Microsoft Knowledge 

Base-Artikel mit den Nummern 822158, 815263, 817442, 821749, 309422, 328841, 823166 und 245822 

ansehen. Dort finden Sie Beispiele für Typen und Orte von Ausschlüssen. Weitere Verweise enthält der 

Abschnitt »Weitere Informationen« am Ende dieses Kapitels. 

Die PCI/DSS-Richtlinien geben an, dass Sie Antivirensoftware auf allen gewöhnlich betroffenen 

Systemen bereitstellen sollten. Das umfasst Arbeitsstationen und Server. Sie müssen 

die Verfahrensempfehlungen, Antimalwaresoftware auf solchen kritischen Server bereitzustellen, 

gegen das ständige Risiko abwägen, dass solche Software eine wichtige Datei oder 

DLL versehentlich als böswillig markiert. Genau das passierte in dem Fall, der im Knowledge 

Base-Artikel 924995, »When You Restart Windows Server 2003, the Computer May


Display a Gray Screen or May Appear to Stop Responding«, beschrieben ist. Damals stufte 

eine Antivirensoftware lsass.exe als Virus ein und legte dadurch Server lahm. Sinnvoller ist 

es, die Orte zu überprüfen, wo potenziell böswillige Software in das System eindringen 

kann. Verwenden Sie Datensäuberungsdienste, zum Beispiel Microsofts Forefront-Dienste 

für SharePoint und Exchange. Und natürlich sollten Sie Antimalwaretechnologie auf allen 

Arbeitsstationen und Terminalservern installieren. Falls diese Technologien vorhanden sind, 

brauchen die meisten Server (ja, das gilt auch für Multi-Rollen-Server) keine Antimalwaresoftware, 

weil die vorhandenen Schutzmechanismen die Probleme ja bereits im Griff haben 

dürften. 

NAP für kleine und mittlere Unternehmen 

Netzwerkzugriffsschutz (Network Access Protection, NAP) ist eine neue Technologie, die 

großen Nutzen verspricht. NAP wird zwar standardmäßig weder auf Windows Small Business 

Server 2008 noch auf Windows Essential Business Server eingerichtet sein, aber Sie 

sollten es in Ihre Netzwerkstrategie miteinbeziehen. Beachten Sie aber, dass Sie NAP erst 

dann im Erzwingungsmodus aktivieren sollten, wenn Sie sichergestellt haben, dass für alle 

Geräte, mit denen Sie selbst eine Verbindung zum Netzwerk herstellen, ein MAC-Ausschluss 

von der Erzwingungsrichtlinie konfiguriert ist. Sie können nicht dasselbe Antivirenprogramm 

wie Ihre Clients benutzen, daher ist es sinnvoll, NAP erst einmal im Berichterstellungsmodus 

bereitzustellen, um zu prüfen, welche Ausschlüsse nötig sind, bevor Sie die 

vollständige Erzwingung aktivieren. Wenn Sie sich blind durch den Assistenten aus Abbildung 

16.21 klicken, stellen Sie möglicherweise fest, dass Sie sich selbst ausgesperrt haben, 

weil Sie die Anforderungen der Richtlinie nicht erfüllen, die Sie gerade für das Netzwerk 

Ihres Kunden eingerichtet haben. 

Für kleine Organisationen besteht das größte Problem mit NAP darin, die Erzwingungsrichtlinien 

auszuwählen. Sie können DHCP mithilfe einer geänderten IP-Konfiguration umgehen. 

802.1x hat Sicherheitsprobleme, wenn es in einem Kabelnetzwerk eingesetzt wird. VPN ist 

in einem internen Netzwerk schwierig zu erzwingen. Damit bleibt IPSec als der einzige 

robuste Erzwingungsmechanismus für NAP. Das bedeutet eine komplexere Architektur. 

In einer kleinen Firma reicht DHCP wahrscheinlich für die Anforderungen des Unternehmens 

aus. Für Windows Small Business Server 2008 wird empfohlen, NAP auf einen separaten 

Server zu legen. 

Jede Installation sollte auch eine Quarantänelösung umfassen, damit Sie Computer, die die 

Anforderungen nicht erfüllen, isolieren können. In der Quarantäne muss ihnen der Zugriff 

auf Ressourcen möglich sein, die sie brauchen, um die Anforderungen erfüllen zu können. 

Andere führen an, dass Malwareentwickler einfach Methoden finden, die Server auszutricksen, 

sodass sie glauben, die Arbeitsstationen würden die Anforderungen der Richtlinie erfüllen. 

Das passiert vermutlich früher oder später, da jeder Erzwingungsmechanismus beim 

Netzwerkzugriff dem Client vertrauen muss. Dieses Argument geht aber am Ziel am vorbei. 

Das Konzept von NAP besteht nicht darin, vor allem böswillige Clients auszusperren, sondern 

sicherzustellen, dass die Clients, die noch nicht böswillig sind, diesen Zustand beibehalten. 

NAP bietet Mechanismen, mit denen Sie sicherstellen können, dass gesunde Clients 

auch gesund bleiben.

Abbildung 16.21 Netzwerkzugriffsrichtlinie können sogar in kleinen 

Organisationen bereitgestellt werden 


Wird NAP gebraucht? 

Netzwerkzugriffsschutz war in letzter Zeit ein vieldiskutiertes Thema, aber ich bezweifle, 

ob es in einer kleinen Organisation gebraucht wird, die beim Remotezugriff kein VPN 

einsetzt. In meiner eigenen Organisation bin ich die Einzige, die VPN für die Updateverwaltung 

benutzen darf. Alle anderen Remotezugriffe werden über Remote Web Workplace 

durchgeführt, ein Remotezugriff-Webportal, das Remotedesktop benutzt und daher 

weniger Sicherheitsgefahren einführt. Prüfen Sie Ihre Zugriffsanforderungen und stellen 

Sie fest, ob die Einrichtung von NAP mehr Risiken einer potenziellen Falschkonfiguration 

bringt als die Sicherheitsvorteile, die es verspricht. 

Weitere Informationen zum Netzwerkzugriffsschutz finden Sie in Kapitel 14 sowie im NAP- 

Blog unter http://blogs.technet.com/nap/archive/2007/07/28/network-access-protection 

deployment-planning.aspx. Ein Buch zu diesem Thema ist Microsoft Windows Server 2008 

Networking und Netzwerkzugriffsschutz – Die technische Referenz von Joseph Davies und 

Tony Northrup (Microsoft Press, 2008).



Ein Multi-Rollen-Server ist ein Balanceakt, bei dem Sie einen Kompromiss zwischen Anforderungen, 

Budgets, Geschäftszielen und Sicherheit finden müssen. Manche kleine Unternehmen 

brauchen mehr Sicherheit, andere weniger, aber sie alle brauchen gewisse Grundlagen, 

und Sie können helfen, hier geeignete Voraussetzungen zu schaffen. Endbenutzer müssen 

gedrängt werden, bessere Kennwörter zu wählen, und die Risiken, die einem Netzwerk 

durch ältere Plattformen drohen, müssen verstanden werden. Das alles ist bei kleinen Unternehmen 

nicht anders als bei ihren größeren Verwandten. Sie alle brauchen ein Netzwerk, das 

ihnen erlaubt, ihre Arbeit auf sichere Weise ohne inakzeptable Risiken zu erledigen. Der 

schwierigste Teil besteht bei Organisationen oder Netzwerken aller Größen darin zu akzeptieren, 

dass es keine perfekte Lösung gibt und dass es ein ständiger Kampf ist, diese Balance 

zu halten. Sicherheit ist ein Prozess, der ständig neu bewertet werden muss. Risiken und 

Bedrohungen für Netzwerke aller Größen ändern sich dauernd. Was heute als Lösung sicher 

genug sein mag, ist morgen möglicherweise für die Organisation keine tragfähige Lösung 

mehr. Die Sicherheitsgesetze sind absichtlich vage und herstellerneutral, weil auch sie anerkennen, 

dass Sicherheit ein bewegliches Ziel ist. 


»The TJX Effect« unter http://www.infosecnews.org/hypermail/0708/13565.html. 

»Medical IT Contractor Folds After Breaches« unter http://www.infosecnews.org/ 

hypermail/0708/13587.html. 

»Fine Grain Password Policy Tool Beta 1 Is Ready!« unter http://itbloggen.se/cs/blogs/ 

chrisse/archive/2007/08/05/585.aspx. 

Blackhat-Konferenzvortrag über »Bypassing NAC 2.0« unter http://www.blackhat.com/ 

presentations/bh-dc-07/Arkin/Presentation/bh-dc-07-Arkin-ppt-up.pdf. 

»Comparing Default Services on Windows Server 2003 R2 and Windows Server 2008 

(Core and Full)« unter http://blogs.technet.com/josebda/archive/2007/08/08/comparingdefault-services-on-windows-server-2003-r2-and-windows-server-2008-core-andfull.aspx. 

»Are We Too Simplistic in How We Think about Risk?« unter http://blogs.technet.com/ 

jesper_johansson/archive/2006/05/09/427845.aspx. 

Windows Server 2008 Networking und Netzwerkzugriffsschutz – Die technische Referenz 

von Joseph Davies und Tony Northrup (Microsoft Press, 2008). 

»Outsourcing and Privacy: 10 Critical Questions Top Management Should Ask« unter 

http://infotech.aicpa.org/Resources/Privacy/Privacy+Hot+Topics/Privacy+Outsourcing/ 

Outsourcing+and+Privacy+10+Critical+Questions+Top+Management+Should+ 

Ask.htm. 

Knowledge Base-Artikel 821749, »IIS wird aufgrund der Antivirus-Software möglicherweise 

unerwartet beendet« unter http://support.microsoft.com/kb/821749. 

Knowledge Base-Artikel 815263, »Antivirus, Backup, and Disk Optimization Programs 

That Are Compatible with the File Replication Service« unter http://support.microsoft. 

com/kb/815263.


»Deploying Server Roles« unter http://technet.microsoft.com/en-us/library/aa997610. 

aspx. 

Knowledge Base-Artikel 328841, »Exchange und Antivirus-Software« unter 


Knowledge Base-Artikel 309422, »Guidelines for Choosing Antivirus Software to Run 

on the Computers That Are Running SQL Server« unter http://support.microsoft.com/ 

kb/309422. 

Knowledge Base-Artikel 895612, »So finden Sie einen kompatiblen Druckertreiber für 

einen Computer, auf dem eine 64-Bit-Version von Windows ausgeführt wird« unter 


Knowledge Base-Artikel 817442, »IIS 6.0: Antivirus Scanning of IIS Compression 

Directory May Result in 0-Byte File« unter http://support.microsoft.com/kb/817442. 

»New Features in Exchange 2007 SP1« unter http://blogs.technet.com/asiasupp/archive/ 

2007/06/26/new-features-in-exchange-2007-sp1.aspx. 

Knowledge Base-Artikel 823166, »Überblick über Exchange Server 2003 und Antivirus- 

Software« unter http://support.microsoft.com/kb/823166. 

Knowledge Base-Artikel 245822, »Empfehlungen für die Problembehandlung bei einem 

Exchange-Computer mit installierter Antivirensoftware« unter http://support.microsoft. 

com/kb/245822. 

»Setting the LAN Manager Authentication Level on a Network That Includes RIS« unter 

http://technet2.microsoft.com/windowsserver/en/library/22d98712-9349-44fb-8e69- 

1190ea0d039a1033.mspx?mfr=true. 

»Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration« 

unter http://technet2.microsoft.com/windowsserver2008/en/library/2199dcf7- 

68fd-4315-87cc-ade35f8978ea1033.mspx?mfr=true. 

Knowledge Base-Artikel 909444, »Bei Systemen, in denen die Standardberechtigungen 

für Zugriffssteuerungslisten im Verzeichnis "%WinDir%\registration" geändert wurden, 

können nach der Installation von Microsoft Security Bulletin MS05-051 für COM+ und 

MS DTC verschiedene Probleme auftreten« unter http://support.microsoft.com/kb/ 

909444. 

»The Windows Vista and Windows Server 2008 Developer Story: Application Compatibility 

Cookbook« unter http://msdn2.microsoft.com/en-us/library/aa480152.aspx. 

»Tweakomatic, by the Scripting Guys« unter http://www.microsoft.com/technet/script 

center/tools/twkmatic.mspx#EFE. 

Knowledge Base-Artikel 822158, »Empfehlungen für die Suche nach Viren auf 

einem Windows Server 2003-, Windows 2000- oder Windows XP-Computer« unter 


»What Type of Remote Access Should I Allow?« unter http://windowshelp.microsoft. 

com/Windows/en-US/Help/ea4680d1-6962-463b-b29b-351efa676f9e1033.mspx. 

Knowledge Base-Artikel 924995, »When You Restart Windows Server 2003, the 

Computer May Display a Gray Screen or May Appear to Stop Responding« unter 


»Windows Service Pack Road Map« unter http://www.microsoft.com/windows/lifecycle/ 

servicepacks.mspx.


»Windows System State Analyzer Tool« unter http://www.innovateonwindowsserver.com/ 

learnbuild.aspx. 

»Windows Vista Group Policy Settings« unter http://download.microsoft.com/download/ 

c/3/8/c3815ed7-aee7-4435-802b-8e855d549154/GroupPolicySettingsforWindowsVista.xls. 

»Windows Vista Security Guide« unter http://www.microsoft.com/technet/windowsvista/ 

security/guide.mspx. 

»Windows XP Security Guide« unter http://www.microsoft.com/technet/security/ 

prodtech/windowsxp/secwinxp/default.mspx. 

»Threats and Countermeasures Guide« unter http://www.microsoft.com/technet/security/ 

guidance/serversecurity/tcg/tcgch00.mspx. 

Microsoft Windows Vista – Die technische Referenz (Microsoft Press, 2008). 

»PCI Industry Security Standards« unter https://www.pcisecuritystandards.org/pdfs/ 

pci_dss_v1-1.pdf. 

»The Dangers of Remote PC Access« unter http://reviews.cnet.com/4520-3513_7- 

5053016-1.html. 

Windows Vista Security: Securing Vista Against Malicious Attacks (Wiley, 2007). 

Microsoft Exchange Server 2007, Taschenratgeber für Administratoren (Microsoft Press, 

2007). 

Microsoft Exchange Server 2007 – Das Handbuch (Microsoft Press, 2007). 

Information Security Policies Made Easy (Information Shield, 2007).

K A P I T E L 1 7 

Schützen von Serveranwendungen 

Von Alun Jones 


Einführung ........................................................ 471 

IIS 7.0: Ein Sicherheitsstammbaum ....................................... 473 

Konfigurieren von IIS 7.0 .............................................. 473 

TCP/IP-Sicherheit ................................................... 476 

Einfache pfadbasierte Sicherheit ......................................... 480 

Authentifizierung und Autorisierung ....................................... 484 



Einführung 

Was ist ein Server? Es ist ein Computersystem, dessen Aufgabe es ist, einen Teil von sich 

selbst für die Clients zugänglich zu machen. Dieser Teil können Daten, Anwendungen oder 

eine Kombination der beiden sein. Ein Datenserver ist natürlich höherer Gefahr durch andere 

vernetzte Systeme ausgesetzt als ein Client, weil der Server einige seiner Verteidigungsmaßnahmen 

öffnen muss, um den Zugriff zu ermöglichen. Ein Anwendungsserver ist sogar 

noch größerer Gefahr ausgesetzt: Er muss nicht nur seine Verteidigungsmaßnahmen öffnen, 

um den Zugriff zu ermöglichen, er muss auch noch auf Anforderung anderer Systeme Aufgaben 

ausführen. 

Um einen Anwendungsserver zu schützen, müssen Sie drei Punkte beachten: Authentifizierung, 

Autorisierung und Überwachung. Nur wenn Sie alle drei im Auge behalten, können 

Sie einschränken, wer eingelassen wird und was er tun kann, und verfolgen, was er getan 

hat. Das ist notwendig, um sicherzustellen, dass Ihre Einschränkungen befolgt wurden. 

Windows Server 2008 stellt mehrere Methoden zur Verfügung, um Ihren Benutzern Anwendungen 

anzubieten. In diesem Kapitel konzentriere ich mich für diesen Zweck auf die Internetinformationsdienste 

7 (Internet Information Services, IIS). 

Auf jeden Fall müssen Sie entscheiden, wie weit Sie die Verteidigung Ihres Servers öffnen 

wollen, um Ihren Benutzern Anwendungen verfügbar zu machen. Um hier eine sinnvolle 

Entscheidung treffen zu können, müssen Sie wissen, welche Anwendungen dies sind und 

woher sie stammen. Und Sie müssen wissen, wer Ihre Benutzer sind und woher sie kommen. 

471

472 Kapitel 17: Schützen von Serveranwendungen 

Direkt aus der Praxis: Coole Features in IIS 7.0 

Eine der besten Sicherheitsänderungen in IIS 7.0 ist das neue integrierte anonyme Konto 

IUSR und die Benutzergruppe IIS IUSRS. In der Vergangenheit funktionierte die XCOPY- 

Bereitstellung zwar, war aber nicht völlig transparent – Sie mussten sich noch um die 

Zugriffssteuerungslisten (Access Control List, ACL) der Inhalte kümmern, die auf den 

IIS-Server kopiert wurden. In IIS 7.0 hat das Produktteam das anonyme Konto in das Betriebssystem 

einbauen lassen. Dadurch wird die Abhängigkeit zwischen Benutzerkonto 

und Ressourceninhalt entkoppelt, sodass eine vollständige XCOPY-Lösung im Bezug auf 

die Zugriffsberechtigungen der Inhalte verfügbar ist. Sie müssen auch weniger Konten 

verwalten, weil auf allen IIS 7.0-Computern dieselbe SID für anonyme Benutzer vorhanden 

ist. Und Sie brauchen sich nicht mehr so sehr den Kopf über ablaufende Kennwörter 

zerbrechen wie beim alten anonymen IUSR -Konto. Außerdem ersetzt 

die neue Benutzergruppe IIS IUSRS die alte Benutzergruppe IIS WPG, die in IIS 6.0 mit 

bestimmten Privilegien und Rechten zum Starten von Arbeitsprozessen vordefiniert war. 

Das bedeutet, dass Sie in IIS 7.0 die Anwendungspoolidentität des Kunden nicht mehr zu 

einem Mitglied der Benutzergruppe IIS IUSRS zu machen brauchen. Während der Laufzeit 

wird die Gruppen-SID von IIS IUSRS in das Arbeitsprozesstoken eingetragen, wodurch 

das Konto implizit zu einem Mitglied der neuen integrierten Benutzergruppe wird. 

Diese Mitgliedschaft wird dynamisch eingetragen und ist in IIS 7.0 standardmäßig aktiviert. 

Bernard Cheah, Microsoft MVP 

Windows Server – IIS 

Sicherheitswarnung: Sicherheit, ein Nachzügler im Internet 

Als Internet und World Wide Web entstanden, wurden sie entwickelt, um Informationen 

offen miteinander zu teilen, sodass jeder vollständigen Zugriff auf die Daten aller anderen 

erhielt. Deswegen können Sie feststellen, dass Ihre einfachste und sicherste Konfiguration 

darin besteht, Ihren Server so zu konfigurieren, dass er völlig offen arbeitet und die 

Informationen an alle ausliefert, die eine Verbindung herstellen. 

Verstehen Sie mich nicht falsch, ich will nicht anregen, dass Sie die Geheimnisse Ihres 

Unternehmens für alle Welt offen zur Schau stellen. Ich weise nur darauf hin, dass sich 

ein Internetserver am einfachsten schützen lässt, wenn er nur öffentliche Informationen 

ausliefert oder Dienste öffentlich zur Verfügung stellt, ohne zwischen Clients unterscheiden 

oder Aktivitäten aufgrund der Authentifizierung der Clientbenutzer autorisieren zu 

müssen. 

Ein großer Teil des Internets besteht immer noch aus statischem Inhalt, der in regelmäßigen 

Abständen von Menschen aktualisiert wird, die aus dem Bereich innerhalb der Firewall 

neuen Inhalt auf den Server hochladen. Solange Benutzer daran gehindert werden, 

Daten hochzuladen (und nur Dateien zu sehen bekommen, die aus der veröffentlichten 

Datenquelle stammen), bekommen sie niemals etwas zu sehen, das Sie ihnen nicht zeigen 

wollen.

Konfigurieren von IIS 7.0 473 

Ihre Site behandelt Clientbenutzer möglicherweise als anonym und unterscheidet nicht 

zwischen den Benutzern. Und vielleicht bestehen Ihre Daten aus unveränderlichen Seiten, 

die nichts Komplexeres als Bilder oder Links auf andere Seiten enthalten. Aber im dynamischen 

Internet – wo der Server Code ausführt, abhängig von der Auswahl, die der 

Clientbenutzer trifft, oder wo der Server Daten vom Clientbenutzer entgegennimmt oder 

Zugriff für unterschiedliche Clientbenutzer authentifiziert und autorisiert – tauchen die 

größten Herausforderungen für die Sicherheit auf. Böswillige Clientbenutzer versuchen, 

Ihre Systeme zu infiltrieren, indem sie manipulierte Daten hochladen, und auf Bereiche 

der Website zuzugreifen, zu denen sie keine Rechte besitzen. 

IIS 7.0: Ein Sicherheitsstammbaum 

Die Internetinformationsdienste (Internet Information Services, IIS) waren ein Aushängeschild 

für Microsofts Trustworthy Computing-Initiative (TwC) und sichere Entwicklungsverfahren 

im Allgemeinen. Es braucht besondere Konzentration und Aufmerksamkeit bezüglich 

der Details, wenn mithilfe sicherer Entwicklungsverfahren wirklich sichere Software 

erstellt werden soll. Indem Microsoft IIS Version 6.0 für Windows Server 2003 entwickelte, 

wandte Microsoft diese Tugenden auf Entwurfs-, Entwicklungs- und Testphasen an. 

In praktisch jedem Microsoft-Dokument über sichere Programmierung und TwC wird daher 

IIS 6.0 als Beispiel angeführt, welche Vorteile es bringt, wenn sichere Entwicklungsverfahren 

angewendet werden. Wie viel Mühe in IIS 6.0 investiert wurde, zeigt die Tatsache, dass 

es seit der Freigabe im Jahr 2003 nur zwei Sicherheitsupdates für IIS 6.0 gab. Beide betrafen 

Add-On-Komponenten, und eines eine Kernkomponente von Windows, die nur in IIS ans 

Tageslicht kam. (Einige externe Sicherheitsbewertungen listen möglicherweise mehr Sicherheitslücken 

in IIS 6.0 auf, falls sie etwas unspezifischer definieren, welche Komponenten 

Teil von IIS 6.0 sind.) 

IIS 7.0 baut auf diesem Erbe auf: Gefahrenmodellierung, rigorose Standards bei den Programmierverfahren, 

radikale Entfernung und Ersatz unsicherer Bibliotheksfunktionsaufrufe, 

standardisierte und häufige Codebegutachtungen, Testen mit zufälligen Daten (fuzz testing) 

und so viele andere Methoden, dass sie gar nicht alle aufgezählt werden können. Das alles 

hat dazu geführt, dass IIS 7.0 ein würdiger Nachfolger für die eindrucksvolle Sicherheitsgeschichte 

von IIS 6.0 ist. 

Konfigurieren von IIS 7.0 

IIS 7.0 verwendet eine ganz andere Konfigurationsarchitektur als IIS 6.0. In IIS 6.0 wurden 

alle Konfigurationsdaten in proprietärem Format in einer Datenbank gespeichert, die als 

Metabasis bekannt ist. IIS 7.0 nutzt das XML-Format für seinen Konfigurationsdatenspeicher. 

Und wo IIS 6.0 alle Daten in einer einzigen Metabasisdatei speicherte, verteilt IIS 7.0 

die Datenspeicherung auf die Schichten, in denen die Konfiguration angewendet wird: 

global auf dem Webserver, lokal in einer Website oder spezifisch in einem virtuellen Verzeichnis 

oder einer Anwendung. 

Eine ausführliche Beschreibung, wo diese XML-Konfigurationsdatendateien gespeichert 

sind, wie sie bearbeitet werden und welche Beziehung zwischen den Konfigurationsdateien 

und der Oberfläche des Internetinformationsdienste-Managers besteht, finden Sie in Internet 

Information Services (IIS) 7.0 Resource Kit. Für dieses Kapitel sollten Sie zumindest wissen,


dass Sie die richtige Position eines Attributsatzes herausfinden können, indem Sie immer 

IIS_Schema.xml in IIS_Schema.xml in %SystemRoot%\system32\inetsrv\config\schema als 

autorisierend betrachten. 

IIS 7.0 bietet auch eine völlig überarbeitete (aber trotzdem MMC-basierte) Konfigurationsschnittstelle 

– die Konsole Internetinformationsdienste-Manager. Wie Sie in Abbildung 17.1 

sehen, hat sich diese Konsole gegenüber dem Internetinformationsdienste-Manager, der mit 

IIS 7.0 in Windows Vista veröffentlicht wurde, etwas weiterentwickelt und ist eine große 

Verbesserung gegenüber der Schnittstelle für IIS 6.0 in Windows Server 2003. 

Abbildung 17.1 Die Oberfläche des neuen IIS 7.0-Managers 

Featuredelegierung 

Aus Sicht des Sicherheitsadministrators für einen IIS-Webserver ist der interessanteste 

Aspekt dieses neuen Konfigurationsschamas die Fähigkeit, die Featurekonfiguration zu 

delegieren. Das heißt, Sie können erlauben, dass Konfigurationsentscheidungen auf der 

Ebene von Website oder virtuellem Verzeichnis von den Benutzern gemacht werden, die 

Zugriff zum Ändern des Inhalts der Website oder ihrer virtuellen Verzeichnisse haben. 

Wenn Sie den Konfigurationszugriff an Inhalts- und Sitebesitzer delegieren, wird die 

tägliche Konfiguration einer IIS-Website nun dort erledigt, wo sie hingehört: beim Besitzer 

der Website. 

Das wäre schlimm, geschähe es völlig ohne Einschränkungen; aber das war den IIS- 

Entwicklern natürlich bewusst. Daher stellten sie erstens sicher, dass Konfigurationen auf 

niedrigeren Ebenen von einer Konfiguration auf höherer Ebene geerbt werden können. Zum 

Beispiel erbt ein virtuelles Verzeichnis seine Standarddokumentenliste von der Website, zu 

der es gehört. Und die Website erbt ihre Standarddokumentenliste von dem Webserver, auf 

dem sie läuft. Und zweitens erlaubten die IIS-Entwickler Administratoren auf beliebiger

Konfigurieren von IIS 7.0 475 

Ebene zu verhindern, dass Einstellungen, die auf einer niedrigen Ebene vorgenommen werden, 

eine geerbte Einstellung überschreiben, die aus einer höheren Ebene stammt. Zum Beispiel 

kann ein Websitemanager verhindern, dass die Einstellungen einer Anwendung die 

Konfiguration überschreiben, die auf der Websiteebene festgelegt wurde. 

Sie sehen diese Vererbungshierarchie zwischen Konfigurationsdateien in Abbildung 17.2. 

Einstellungen für Komponenten auf niedriger Ebene stammen aus den Web.config-Dateien 

auf der jeweiligen Ebene, sie erben Einstellungen aus den höheren Ebenen. Indem Sie die 

Delegierung steuern, können Sie verhindern, dass Konfigurationsdateien auf niedrigerer 

Ebene Einstellungen überschreiben, die in Konfigurationsdateien auf höherer Ebene vorgenommen 

wurden. 

Abbildung 17.2 Vererbungshierarchie für Konfigurationseinstellungen 

Diese Delegierung mit ihrer Vererbung und Sicherheit ist besonders für Hostinganbieter und 

ihre Kunden interessant, die flexibel einstellen wollen, welche Konfigurationsmöglichkeiten 

den Kunden offenstehen, um Anpassungen vorzunehmen, und welche Konfigurationsmöglichkeiten 

den Hostinganbietern vorbehalten bleiben, um Sicherheit und Standards der 

Dienste zu gewährleisten.


Auch wenn die verteilte Konfiguration in IIS 7.0 es schwieriger macht, die Gesamtkonfiguration 

Ihres Webservers an einer einzigen Stelle zu ermitteln, können Sie eine falsche Konfiguration 

des Webservers verhindern, indem Sie die Vererbung der Einstellungen erzwingen, 

von denen Sie nicht wollen, dass sie geändert werden. 

TCP/IP-Sicherheit 

Das Basisprotokoll, über das Webverkehr läuft, ist HTTP (Hypertext Transfer Protocol). 

HTTP wird im Allgemeinen über TCP/IP geleitet, das Standardinternetprotokoll in den meisten 

Umgebungen. IIS 7.0 unterstützt HTTP über TCP/IP Version 4 (IPv4), das verbreitetste 

Protokoll im heutigen Internet. Dieses Protokoll der Netzwerkschicht wurde auch schon von 

allen bisherigen IIS-Versionen unterstützt. IIS 7.0 fügt außerdem Unterstützung für HTTP 

über TCP/IP Version 6 (IPv6) hinzu, die Protokollversion für die nächste Generation der 

Internetunterstützung. 

IP-Adressensicherheit 

Wenn Sie Zugriff blockieren oder zulassen wollen, müssen Sie zuerst festlegen, ob die beabsichtigten 

Benutzer Verkehr zu und von Ihren Servern weiterleiten können. Wenn Sie eine 

intern weitergeleitete IP-Adresse verhindern, hilft das, Außenstehende daran zu hindern, auf 

eine Intranetsite zuzugreifen. Sofern die Router Ihrer Organisation richtig konfiguriert sind, 

kann eine intern weitergeleitete IP-Adresse als Beweis betrachtet werden, dass der Client, 

der eine Verbindung anfordert, sich innerhalb Ihrer Organisation befindet. Externe IP-Adressen 

sollten Sie nur bedingt einsetzen, um Clients zu identifizieren, weil es viele Möglichkeiten 

gibt, wie sie die Position eines Clients verfälschen können. Eine externe IP-Adresse 

könnte gestern dem einen Benutzer gehört haben, aber heute gehört sie einem anderen. 

Externe IP-Adressen werden von mehreren Benutzern gemeinsam genutzt, wie im Fall eines 

Anonymisierungsproxys, der mit dem Ziel entworfen wurde, die Identität eines Clients zu 

verschleiern. 

Whitelisting anhand der Quell-IP-Adresse (das heißt Zurückweisen aller Verbindungen, die 

nicht von Adressen bekannter Partner stammen) ist meist recht zuverlässig, weil es sehr 

schwierig ist, eine TCP-Verbindung zu fälschen, wenn damit etwas Komplexeres als ein 

Denial-of-Service-Angriff erreicht werden soll. Blacklisting anhand der Quell-IP-Adresse 

(das heißt Annehmen aller Verbindungen, die nicht von bekanntermaßen böswilligen Hosts 

stammen) ist im Allgemeinen nicht erfolgreich, weil Angreifer oft auf einen neuen Host 

wechseln können, der noch nicht in der Liste verzeichnet ist. 

Wenn Sie einschränken wollen, welche IP-Adressen eine Verbindung zu Ihrem Webserver 

herstellen dürfen, können Sie dazu das Feature Einschränkungen für IPv4-Adressen und 

Domänen verwenden oder die IP-Sicherheitseinstellungen in der XML-Konfigurationsdatei 

applicationHost.config im folgenden Abschnitt bearbeiten: 

 

 

 

TCP/IP-Sicherheit 477 

Das Element ipSecurity hat zwei Attribute: 

allowUnlisted legt fest, ob die Liste der untergeordneten Elemente von ipSecurity nach 

bekanntermaßen unerwünschten oder erwünschten Quell-IP-Adressen durchsucht wird. 

Wenn Sie allowUnlisted auf "false" setzen, können nur die untergeordneten Elemente, 

die mit allow markiert sind, auf diesen Webserver zugreifen; alle anderen werden abgewiesen. 

Wenn Sie allowUnlisted auf "true" setzen, dürfen alle IP-Adressen außer denen, 

die explizit mit deny markiert sind, eine Verbindung herstellen. 

enableReverseDns müssen Sie auf "true" setzen, falls Sie anhand des Domänennamens 

filtern. Weil ein Reverse-DNS-Lookup einige Zeit dauern kann, was die Verbindungen 

unter Umständen verzögert, sollten Sie dieses Attribut auf dem Standardwert "false" 

lassen, falls Sie keine Filterung anhand des Domänennamens durchführen wollen. Denken 

Sie daran, dass viele DNS-Zonen keine Reverse-Lookups anbieten und Windows in 

der Standardeinstellung keine Reverse-Lookupzonen generiert. Daher schlägt ein 

Reverse-DNS-Lookup sehr oft fehl. 

Abbildung 17.3 Zulassen des Adressbereichs 169.254.*.* 

im Dialogfeld Zulassungseinschränkungsregel hinzufügen 

Untergeordnete Elemente können Sie zur ipSecurity-Auflistung hinzufügen, indem Sie die 

üblichen add-, clear- oder remove-Direktiven mit den folgenden Attributen verwenden: 

ipAddress ist die numerische IP-Adresse des Hosts oder Netzwerks, denen der Zugriff 

erlaubt oder verweigert wird. Zum Beispiel steht 127.0.0.1 für localhost. Falls Sie in der 

Standardeinstellung den Zugriff verweigern (allowUnlisted auf "false" setzen), sollten 

Sie für Testzwecke im Allgemeinen den Zugriff durch 127.0.0.1 und andere lokal gebundene 

IP-Adressen aktivieren. 

subnetMask ist die numerische Subnetzmaske, die definiert, welches Netzwerk anhand 

der IP-Adresse angegeben wird. Zum Beispiel können Sie das gesamte 10.*.*.*-Netzwerk 

aussperren, indem Sie ipAddress als 10.0.0.0 und subnetMask als 255.0.0.0 definieren. 

Der Standardwert ist 255.255.255.255, womit eine einzelne IP-Adresse definiert 

wird. 

domainName ist der vollqualifizierte Domänenname des Hosts, auf den diese Regel angewendet 

werden soll.


allowed erlaubt allen Clients, auf die diese Regel zutrifft, den Zugriff, wenn es den Wert 

"true" hat. Ist es auf "false" gesetzt, werden alle Clients abgewiesen, auf die die Regel 

zutrifft. Die Regeln werden in der Reihenfolge verarbeitet, in der sie aufgelistet sind. Die 

erste passende Regel bestimmt, was mit der eingehenden Verbindung geschieht. 

Die Benutzeroberfläche für diese Einstellung ist simpel. Sie unterscheidet zwischen dem 

Festlegen eines Zulassen- und eines Verweigern-Eintrags. In Abbildung 17.3 habe ich einen 

Zulassen-Eintrag für das Netzwerk 169.254.*.* eingetragen (das entspricht 169.254.0.0/16). 

Wie Sie in Abbildung 17.4 sehen, wird diese Regel jetzt als Zulassen-Eintrag aufgelistet. Sie 

können einen Zulassen-Eintrag nur in einen Verweigern-Eintrag verwandeln, indem Sie ihn 

entfernen und einen entsprechenden Verweigern-Eintrag neu hinzufügen. 

Abbildung 17.4 Die neu hinzugefügte Regel für den Zulassen-Eintrag wird angezeigt 

Der entsprechende XML-Code in der Datei applicationHost.config sieht folgendermaßen 

aus: 

 

... 

 

 

 

 

 

 

 

 

 

TCP/IP-Sicherheit 479 

Portsicherheit 

In der Standardeinstellung läuft HTTP über Port 80, aber weil URLs die Portnummer enthalten 

können, ist es nicht ungewöhnlich, wenn Webserver über andere Ports als Port 80 arbeiten. 

Das Protokoll HTTPS (TP über SSL/TLS) ist standardmäßig an Port 443 gebunden. 

Aus Sicht der Sicherheit kann diese Verwendung von Ports nützlich sein, um den Zugriff an 

der Firewall einzuschränken. Falls ein Server so konfiguriert wurde, dass er eingehende 

Anforderungen an Port 8080 entgegennimmt und ausschließlich Intranetinhalt hostet, besteht 

eine offensichtliche Sicherheitsmaßnahme darin, eine Firewall (entweder auf dem 

Host, zwischen Host und Internet oder beides) so zu konfigurieren, dass sie Zugriff auf diesen 

Port nur von IP-Adressen erlaubt, die bekanntermaßen im Intranet liegen. 

Hostheadersicherheit 

Hinter derselben Kombination aus IP-Adresse/Port können sich mehrere Websites befinden. 

Das ist möglich, indem der Hostheader ausgewertet wird, der in den HTTP- oder HTTPS- 

Anforderungen der Clients enthalten ist. Daraufhin wird die Anforderung an die Website 

geleitet, die im Hostheader angegeben ist. 

Das ist eigentlich keine Sicherheitsmaßnahme. Wie beim Verlegen Ihrer Website auf einen 

anderen IP-Port handelt es sich um eine Verschleierungsmaßnahme (engl. obscurity measure). 

Das kann zwar simple, opportunistische oder zufällige Angriffe auf Ihre Sites verhindern, 

aber es sollte eigentlich als Komfortmerkmal verstanden werden, das es Ihnen erlaubt, 

mehrere Websites unter derselben IP-Adresse mit der Standardportzuweisung zu hosten. 

Die IP- und Portbindungen oder die Hostheaderbindung können Sie nur auf der Websiteebene 

ändern. Die Bindungen sind in der XML-Datei applicationHost.config gespeichert, 

wie im folgenden Beispiel zu sehen: 

 

 

 

 

 

 

 

 

Für das Element binding sind unter anderem folgende Attribute verfügbar: 

protocol ist normalerweise "http" oder "https". Es kann auch andere Protokolldefinitionen 

enthalten (zum Beispiel das Protokoll "ftp", falls der IIS 7.0-FTP-Server installiert 

ist). 

bindingInformation ist eine Kombination aus IP-Adresse, Port und Hostheader, die 

durch Doppelpunkte getrennt werden. Sie können einen Stern (*) verwenden, der für 

»alle IP-Adressen« steht. Falls Sie zum Beispiel eine Bindung für das Protokoll HTTP 

erstellen wollen, die auf allen IP-Adressen unter Port 80 mit dem Hostheader »Marketing« 

arbeitet, lautet der bindingInformation-String "*:80:marketing".


Einfache pfadbasierte Sicherheit 

In IIS-Websites werden neben Dateien auch Anwendungen gehostet und den Benutzern zur 

Verfügung gestellt. Wenn Sie einem Client erlaubt haben, eine TCP/IP-Verbindung zu Ihrem 

Server herzustellen, besteht der nächste Schritt darin, den Zugriff auf die Dateien und Anwendungen 

einzuschränken, die zur angeforderten Website gehören. Den Zugriff auf Dateien 

anhand ihres physischen Pfads auf dem Server einzuschränken, ist eine einfache Methode, 

um sicherzustellen, dass unterschiedliche Websites nicht versehentlich vermischt werden. 

Definieren und Einschränken des physischen Pfads 

Die allererste Sicherheitsanforderung für jeden Webserver, der unter IIS 7.0 läuft (sogar eine 

Website, die nur statischen Inhalt an anonyme Clientbenutzer ausliefert), besteht darin 

sicherzustellen, dass die Clients nur Dateien abrufen können, die explizit auf dieser Website 

veröffentlicht wurden. 

Glücklicherweise ist dies (nach dem Namen der Website) die erste Einstellung, die Sie konfigurieren 

müssen, wenn Sie eine neue Site anlegen (Abbildung 17.5, in der Benutzeroberfläche 

als Physikalischer Pfad bezeichnet). 

Abbildung 17.5 Im Dialogfeld Website hinzufügen geben Sie den physischen Pfad ein 

Die Standardwebsite, die erstellt wird, wenn Sie die Rolle Webserver (IIS) zu Windows hinzufügen, 

wird automatisch mit dem physischen Pfad %SystemDrive%\inetpub\wwwroot 

eingerichtet. Sie können das wie bei jeder Website überprüfen und ändern, indem Sie die 

Grundeinstellungen oder erweiterten Einstellungen der Site öffnen. Die Grundeinstellungen 

können Sie sich im Internetinformationsdienste-Manager ansehen, indem Sie die Website 

auswählen und dann im Fensterabschnitt Aktionen auf Grundeinstellungen klicken. Das 

Dialogfeld Erweiterte Einstellungen können Sie öffnen, indem Sie mit der rechten Maustaste 

auf den Namen der Website klicken, das Untermenü Website verwalten öffnen und 

dann den Befehl Erweiterte Einstellungen wählen oder indem Sie im Fensterabschnitt 

Aktionen auf Erweiterte Einstellungen klicken.

Einfache pfadbasierte Sicherheit 481 

Das Dialogfeld mit den Grundeinstellungen heißt Site bearbeiten, es enthält nur wenige 

Einstellungen (Abbildung 17.6). 

Abbildung 17.6 Das Dialogfeld Site bearbeiten zeigt die Grundeinstellungen 

Das Dialogfeld Erweiterte Einstellungen (Abbildung 17.7) enthält dieselben Grundeinstellungen, 

aber zusätzlich eine Reihe weiterer Einstellungen. 

Abbildung 17.7 Im Dialogfeld Erweiterte Einstellungen 

können Sie viele weitere Einstellungen konfigurieren 

In der Standardkonfiguration liegt der physische Pfad auf dem Startvolume des Webservercomputers. 

Um eine gestaffelte Verteidigung gegen potenzielle Verzeichnis-Traversal-Angriffe 

aufzustellen – bei denen ein Schrägstrich (/) oder Backslash (\) oder die Sequenz .. 

benutzt wird, um aus dem physischen Pfad herauszugelangen –, ist es sinnvoll, eine Laufwerkspartition 

zu erstellen, die ausschließlich für Webinhalte reserviert wird. Verzeichnis- 

Traversal-Angriffe verfolgen zwar das Ziel, die Verzeichnisstruktur nach oben zu durchlaufen, 

aber sie haben keine Möglichkeit, auf ein anderes Laufwerk zu wechseln. Natürlich hat 

IIS 7.0 dieselben strengen Auflagen für Anwendungsverzeichnisse, die bei IIS 6.0 schon seit 

Jahren zuverlässig Verzeichnis-Traversal-Angriffe verhindern. Wenn alle Webinhalte auf 

einer separaten Partition liegen, führt auch ein erfolgreicher Angriff, der das Hochladen von 

Daten ermöglicht, nicht dazu, dass System- oder Startvolumes gefüllt werden können.


Es ist auch möglich, den physischen Pfad auf eine Netzwerkfreigabe in einem anderen Server 

zu legen. Dazu können Sie einen UNC-Pfad wie zum Beispiel \\Server\Freigabename 

angeben. Sie können die Dialogfelder für Grund- oder erweiterte Einstellungen verwenden, 

um die Anmeldeinformationen des Benutzers so zu verändern, dass sie auf Dateien im physischen 

Pfad der Website zugreifen. So können Sie sicherstellen, dass für die Benutzer dieser 

Website beim Zugriff auf Dateien die jeweiligen NTFS- und Freigabeberechtigungen angewendet 

werden. 

Vorsicht Passen Sie bei allen Optionen auf, die Anmeldeinformationen eines Benutzer für einen späteren 

Identitätswechsel speichern. Selbst wenn diese Anmeldeinformationen verschlüsselt sind, bleibt ein gewisses 

Risiko, dass jemand Lesezugriff auf die Konfiguration dieses Servers bekommt und sich als dieser 

andere Benutzer authentifiziert. 

Aus diesem Grund sollten die Anmeldeinformationen, die Sie hier angeben, zu einem Konto gehören, das 

keine echte Person repräsentiert. Die Rechte und Privilegien dieses Kontos sollten darauf beschränkt sein, 

auf die Ordner und Dateien der Website zuzugreifen. 

Das Kennwort für dieses Konto sollte nicht auch für irgendwelche anderen Konten benutzt werden, und es 

sollte zufällig generiert werden, zum Beispiel mit dem folgenden Befehl: 

net user Kontoname /add /domain /random 

Die mit dem Befehl net user /random generierten Kennwörter sind auf eine Länge von 8 Zeichen beschränkt. 

Falls Sie längere zufällige Kennwörter generieren wollen, empfehle ich das von Jesper Johansson 

entwickelte Tool Passgen, das Sie auf der Begleit-CD zu diesem Buch finden. 

Die Einstellungen zum physischen Pfad der Website und ihrer virtuellen Verzeichnisse 

finden Sie zusammen mit dem Benutzerkonto, das für den Zugriff auf den physischen Pfad 

verwendet wird, an folgender Stelle in der XML-Datei applicationHost.config : 

 

 

 

 

 

 

Dies wird in der systemweiten applicationHost.config eingestellt, nicht in der individuellen 

Web.config-Datei der Site. Physischer Pfad, Benutzerkonto und Kennwort sind keine Eigenschaften 

der Website. Sie ändern sich, falls die Website auf einen anderen Hostingdienst 

verlegt wird, und sie sollten im Allgemeinen nicht dem Websitebesitzer mitgeteilt werden. 

Attribute des Elements virtualDirectory sind unter anderem: 

path ist eine Zeichenfolge, die den virtuellen Pfad vom Stammverzeichnis der Website 

zu diesem Pfad beschreibt. 

physicalPath ist der physische Pfad zum Inhalt, der in diesem virtuellen Verzeichnis 

gespeichert ist. Für lokalen Inhalt kann der Pfad das Format "X:\Pfad1\Pfad2" haben; für 

Netzwerkinhalt sollte der Pfad im UNC-Format angegeben werden, zum Beispiel 

"\\Server\Freigabe\Pfad1\Pfad2". 

username ist eine Zeichenfolge, die den Namen des Benutzers angibt, dessen Anmeldeinformationen 

verwendet werden, um auf den physischen Pfad zuzugreifen. Falls dieses 

Attribut fehlt, wird Pass-Through-Authentifizierung verwendet.

Einfache pfadbasierte Sicherheit 483 

password ist eine AES-verschlüsselte Zeichenfolge mit dem Kennwort, das für den 

Zugriff auf den physischen Pfad verwendet wird. Es wird davon abgeraten, dieses Attribut 

von Hand zu bearbeiten. Verwenden Sie appcmd, um die Konfigurationsdatei skriptgesteuert 

zu verändern, oder die Konsole Internetinformationsdienste-Manager. 

logonMethod kann die Werte Interactive, Batch, Network oder ClearText haben. Dies gibt 

an, welcher Anmeldungstyp verwendet werden soll, um den Zugriff auf Dateien im Pfad 

dieser Anwendung zu autorisieren. ClearText ist der Standardwert, er eignet sich für die 

meisten Fälle. Sie können Network für den Zugriff auf Netzwerkressourcen verwenden, 

aber Batch und Interactive sollten Sie kaum verwenden, weil sie nicht auf geeignete 

Weise bekannt machen, dass die Dateien nichtinteraktiv von einem Remotebenutzer angefordert 

werden. Beachten Sie, dass auf manche Ressourcen nur interaktive Benutzer, 

Netzwerkbenutzer und so weiter zugreifen dürfen. Unter Umständen müssen die NTFS- 

Berechtigungen für den Inhalt geändert werden, damit sie sich für die logonMethod-Standardeinstellung 

ClearText eignen. Sie sollten logonMethod im Allgemeinen nicht ändern. 

Die im vorherigen Abschnitt beschriebenen Anmeldeinformationen und die logonMethod- 

Einstellung können von Anwendungen überschrieben werden, die Identitätswechsel nutzen. 

In diesem Fall sind die Anmeldeinformationen, die nach dem Identitätswechsel verwendet 

werden, die Anmeldeinformationen, mit denen auf den Inhalt der Website zugegriffen wird. 

Standarddokument oder Verzeichnissuche? 

Nehmen wir an, ein Benutzer besucht Ihre Website und sieht die folgende URL im Adressfeld: 

http://www.contoso.com/public/index.html 

Unvermeidlich setzt Neugier ein: »Was passiert, wenn ich auf ähnliche URLs zugreife?« 

http://www.contoso.com/public/ 

http://www.contoso.com/ 

Als das Web entstand, schien es logisch, sich an einigen Protokollen zu orientieren, die damals 

in Gebrauch waren: FTP, Gopher und so weiter. In Clients für diese Protokolle sahen 

Sie sich eine Verzeichnisliste an, sofern Sie keine Datei aufgerufen hatten. Daher generierten 

die Webserver in diesen alten Zeiten eine Seite, die den Inhalt eines Verzeichnisses auflistete. 

Im Allgemeinen ist es heutzutage sinnvoller, die Versuchung für Browser zu verringern, 

die auf gehosteten Seiten angezeigten URLs zu verlassen. Daher ist das Feature der Verzeichnissuche 

deaktiviert. Wenn ein Client eine URL besucht, die für ein Verzeichnis steht, 

gibt der Webserver eine Seite mit festem Namen zurück, die in diesem Verzeichnis abgelegt 

ist. 

IIS 7.0 verhält sich hier nicht anders. Wenn Sie ein Verzeichnis besuchen, während die Verzeichnissuche 

deaktiviert ist (Standardwert), wird eine der folgenden Dateien aus dem Zielverzeichnis 

angezeigt, je nachdem, welche zuerst gefunden wird: 

Default.htm 

Default.asp 

Index.htm 

Index.html 

iisstart.htm 

default.aspx


Sie können diese Elemente im Internetinformationsdienste-Manager auf der Ebene von Server, 

Site oder virtuellem Verzeichnis hinzufügen oder entfernen, indem Sie das Feature Standarddokument 

öffnen. Sie können dies auch in der XML-Konfiguration (in der application- 

Host.config des Webservers oder in der Web.config-Datei von Website, Anwendung oder 

virtuellem Verzeichnis) im folgenden Abschnitt einstellen: 

 

 

 

 

 

 

 

 

Das Element defaultDocument hat nur ein Attribut, enabled, das "true" oder "false" sein 

kann. Das Element defaultDocument/files kann Elemente mit den üblichen Namen enthalten 

(add, remove und clear), um die Liste der Dateien in der Auflistung zu steuern, wie im 

vorherigen Beispiel gezeigt. 

Sie sollten eine serverweite Liste der Standarddokumente festlegen, weil dies die Dokumente 

sind, die gesucht und angezeigt werden, falls die angeforderte URL ein Verzeichnis ist. 

Wenn Sie sich darauf verlassen, dass ein Standarddokument weiter oben in der Liste vorhanden 

ist und daher verhindert, dass eines weiter unten in der Liste ignoriert wird, schlägt 

das wahrscheinlich fehl, falls jemand eine der Standarddateien verschiebt oder umbenennt. 

Falls Sie lieber eine Liste der Dateien in einem Verzeichnis anzeigen, wenn ein Verzeichnis 

angefordert wird und kein Standarddokument gefunden wird, können Sie im Internetinformationsdienste-Manager 

das Feature Verzeichnis durchsuchen öffnen und aktivieren. Oder 

Sie aktivieren es in der Web.config-Datei unter folgendem Pfad: 

 

 

 

Authentifizierung und Autorisierung 

Wenn Sie einen Webserver einrichten, lautet nach der Frage »Welchen Inhalt sollen wir 

hosten?« die nächste meistens: »Wem sollen wir diesen Inhalt zur Verfügung stellen?« Wenn 

Sie auswählen wollen, welchen Benutzern der Zugriff auf welchen Inhalt erlaubt wird, brauchen 

Sie einen guten Authentifizierungsmechanismus als Grundlage. 

Wie es sich für einen Internetstandard gehört, stellt HTTP viele Clientauthentifizierungsmechanismen 

zur Auswahl, die unterschiedliche Vor- und Nachteile haben. In IIS 7.0 stehen 

standardmäßig die Authentifizierungsmethoden anonyme Authentifizierung, Standardauthentifizierung, 

Clientzertifikatzuordnung, Digestauthentifizierung, Formularauthentifizierung 

und Windows-Authentifizierung zur Verfügung. (In Kapitel 4, »Authentifizierung 

und Authentifizierungsprotokolle«, finden Sie genauere Beschreibungen einiger dieser 

Methoden.) 

Anonyme Authentifizierung, Standardauthentifizierung, Clientzertifikatzuordnung, Digestauthentifizierung 

und Formularauthentifizierung basieren auf Internetstandarddokumenten 

und funktionieren mit mehreren Browsern. Manche andere Browser als Internet Explorer

Authentifizierung und Autorisierung 485 

bieten unter Umständen keine Unterstützung für die integrierte Windows-Authentifizierung. 

Nur die anonyme Authentifizierung ist in der Standardeinstellung aktiviert. 

Der gesamte Zugriff von IIS auf Ressourcen, die der Webserver ausliefert, wird durch Windows-NTFS-Berechtigungen 

gesteuert. Das bedeutet, dass jeder Zugriff über eine lokale 

Benutzer-ID mit den zugehörigen Gruppen durchgeführt wird. Es ist wichtig, hier zwischen 

dem Sicherheitskontext zu unterscheiden, den der Benutzer zu haben glaubt, und dem 

Sicherheitskontext, den der Server verwendet, um den Zugriff dieses Benutzers zu bedienen. 

Ein gutes Beispiel ist die anonyme Authentifizierung: In der Standardeinstellung ist sie 

mit dem IUSR-Konto verknüpft, um zu steuern, auf welche Dateien und Ressourcen zugegriffen 

werden kann. 

Authentifizierungseinstellungen werden zwar auf der Ebene von Server, Website oder virtuellem 

Verzeichnis aktiviert, deaktiviert und definiert, aber die meisten Konfigurationseinstellungen 

sind in der serverweiten Datei applicationHost.config unter dem folgenden Abschnitt 

gespeichert: 

 

 

 

 

 

Die Einstellungen beziehen sich auf Elemente, die serverspezifisch sind, nicht sitespezifisch, 

zum Beispiel physische Pfade, Benutzernamen und Domänen. 

Anonyme Authentifizierung 

Anonyme Authentifizierung ist der einzige Authentifizierungsmechanismus in IIS 7.0, der 

nach der Installation standardmäßig aktiviert ist. In vielen Aspekten ist dies die sicherste 

Konfiguration, weil Ihr Webserver dann Seiten an jeden ausliefert, der eine Verbindung 

herstellen kann. Sie als Webmaster stellen sicher, dass nur öffentliche Seiten ausgeliefert 


Wenn Sie das Element Anonyme Authentifizierung auswählen und den Befehl Bearbeiten 

wählen, wird nur eine Konfigurationseinstellung angeboten. Sie können einen Benutzer 

auswählen, dessen Konto verwendet wird, um auf Ressourcen zuzugreifen (Abbildung 17.8). 

Abbildung 17.8 Im Dialogfeld Anmeldeinformationen für anonyme 

Authentifizierung bearbeiten legen Sie fest, welche Identität für den 

anonymen Zugriff auf Webressourcen verwendet wird 

In der Standardeinstellung ist die anonyme Benutzeridentität das integrierte Konto IUSR mit 

der bekannten SID S-1-5-17, das in IIS 7.0 neu ist. (In Kapitel 1, »Subjekte, Benutzer und 

andere Akteure«, finden Sie eine Beschreibung von SIDs.) In IIS 6.0 und älteren Versionen


wurde auf jedem Computer ein neues Konto mit dem Namen IUSR_ erstellt, 

das eine praktisch zufällige SID hatte. Sie können ein anderes Konto auswählen oder 

die Identität des Anwendungspools verwenden. Dies ist das Konto, unter dem der Anwendungspool 

der Website ausgeführt wird. 

Hinweis Es ist wichtig, dass Sie den Unterschied zwischen der Identität der anonymen Authentifizierung 

und der Identität des Anwendungspools kennen. Sie können zwar für beide denselben Wert einstellen, aber 

die Identität des Anwendungspools ist der Benutzerkontokontext, in dem die Arbeitsprozesse der Anwendung 

ausgeführt werden, während die Identität der anonymen Authentifizierung der Benutzerkontokontext 

ist, in dem anonyme Anforderungen auf Websiteressourcen zugreifen. 

Wenn Sie ein anderes Konto als IUSR oder die Identität des Anwendungspools verwenden, 

kann das nützlich sein, um sicherzustellen, dass eine Site nicht auf die Ressourcen einer 

anderen Site verweisen kann, aber weil diese Ressourcen für alle, die diese Site erreichen, 

öffentlich zugänglich sind, ist das wahrscheinlich nur nützlich, falls der Server sowohl Intranet- 

als auch Internetinhalt hostet und derjenige, der den Inhalt für die Internetsites erstellt, 

unter Umständen auf Inhalt der Intranetsite verweisen könnte. In einer solchen Situation 

wäre es aber wohl besser, gleich unterschiedliche Server einzusetzen, um die unterschiedlichen 

Inhalte zu hosten, wobei der Server mit dem Intranetinhalt hinter einer Firewall steht, 

die verhindert, dass Internetverkehr – oder Verkehr aus dem Server, der mit dem Internet 

verbunden ist – auf Intranetinhalt zugreift. 

Der Abschnitt anonymousAuthentication in der Datei applicationHost.config enthält folgende 

Attribute: 

enabled ist "true", wenn die anonyme Authentifizierung aktiviert ist, oder "false", wenn 

die anonyme Authentifizierung deaktiviert ist. 

userName ist der Benutzername, unter dem der Zugriff bei Verwendung der anonymen 

Authentifizierung durchgeführt wird. 

password ist das Kennwort für den angegebenen Benutzernamen. Es ist mit AES verschlüsselt. 

logonMethod gibt die Methode an (ClearText, Network, Interactive oder Batch), mit der 

der Benutzer angemeldet wird, dessen Identität angenommen wird. (In der Beschreibung 

des Elements virtualDirectory im Abschnitt »Definieren und Einschränken des physischen 

Pfads« weiter oben in diesem Kapitel wird logonMethod erklärt.) 

Wenn Sie für userName und password leere Zeichenfolgen ("") eintragen, greift der anonyme 

Benutzer mithilfe des Benutzerkontextes des Anwendungspools auf die Ressourcen zu. Wie 

weiter oben beschrieben, ist es für die Entscheidung, ob Sie die Identität des Anwendungspools, 

das Standardkonto IUSR oder ein bestimmtes Benutzerkonto verwenden, wichtig, 

welche Berechtigungen die Dateien haben, auf die Sie zugreifen wollen, und ob Sie anonyme 

Zugriffe zwischen mehreren Sites voneinander trennen müssen. 

Standardauthentifizierung 

Bei der Standardauthentifizierung muss der Client seinen Benutzernamen und das zugehörige 

Kennwort in der HTTP-Anforderung an den Server senden. Das Kennwort ist zwar mit 

Base64-Kodierung verfremdet, aber das nur, um exotische Zeichen im Kennwort übertragen 

zu können. Base64 lässt sich leicht erkennen, daher ist die Standardauthentifizierung gleichzusetzen 

mit einer Übertragung Ihrer Anmeldeinformationen über das Internet im Klartext.


Sie sollten die Standardauthentifizierung nicht für Websites verwenden, die an das Protokoll 

HTTP gebunden sind, weil dann Anmeldeinformationen der Domänenebene im Klartext 

zwischen Browser und Server übertragen werden. Verwenden Sie HTTPS für alle Seiten, 

die Standardauthentifizierung benutzen. Auf Clients innerhalb einer Domäne können Sie 

verhindern, dass Standardauthentifizierung vom Internet Explorer in Nicht-HTTPS-Sites 

verwendet wird. Dazu können Sie mithilfe von Gruppenrichtlinien den folgenden Registrierungswert 

als DWORD mit dem Wert 1 auf den Clientcomputern eintragen: 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ 

DisableBasicOverClearChannel 

Folgende Einstellungen stehen für Standardauthentifizierung unter dem Abschnitt basic- 

Authentication in applicationHost.config zur Verfügung: 

enabled ist entweder "true" oder "false" und legt fest, ob die Standardauthentifizierung 


realm ist normalerweise der Name der Domäne, auf die Sie Benutzer zugreifen lassen. 

Das braucht kein echter Domänenname zu sein, es ist einfach der Text, der im Dialogfeld 

angezeigt wird, in dem die Benutzer ihre Anmeldeinformationen eingeben. 

defaultLogonDomain ist die Domäne, bei der die Authentifizierung durchgeführt wird, 

falls der Browser im Benutzernamen keinen Domänennamen übergibt. 

logonMethod kann einer der folgende Werte sein (wie bei den anderen logonMethod- 

Elementen): ClearText, Network, Interactive oder Batch. 

Clientzertifikatzuordnung 

Clientzertifikatzuordnung steht nur auf HTTPS-Verbindungen zur Verfügung, weil der 

Client dabei Zertifikatinformationen mit dem Server austauschen muss, wenn er eine neue 

SSL/TLS-Verbindung aufbaut. 

Es gibt drei Typen von Clientzertifikatzuordnung: 1:1, 1:n und Active Directory. Alle 

Clientzertifikatzuordnungstypen erfordern das Modul CertificateMappingAuthentication- 

Module. 

1:1-Clientzertifikatzuordnung 

Wie der Name andeutet, wird bei der 1:1-Zuordnung jedes Clientzertifikat, das der Server 

als gültig anerkennt, genau einem Benutzerkonto zugeordnet. (Ein Zertifikat ist gültig, wenn 

die Zertifikatkette bis zu einer vertrauenswürdigen Stammzertifizierungsstelle führt und das 

Zertifikat einem entspricht, das in der Sitekonfiguration angegeben ist.) 

Weil das Zertifikat einen eindeutigen Schlüssel für die Liste der Zuordnungen bildet, können 

mehrere Zertifikate demselben Benutzerkonto und Kennwort zugeordnet werden. Die 1:1- 

Clientzertifikatzuordnung wird von der folgenden Konfigurationseinstellung in der XML- 

Datei applicationHost.config gesteuert: 

 

 

 

 


enabled hat den Wert "true", wenn die Clientzertifikatzuordnung aktiviert ist. 

oneToOneCertificateMappingsEnabled hat den Wert "true", wenn die 1:1-Clientzertifikatzuordnung 


defaultLogonDomain ist die Domäne, an der sich Benutzer authentifizieren, falls die 

Domäne nicht im Element userName angegeben ist. 

logonMethod ist die verwendete Anmeldungsmethode. 

oneToOneCertificateMappings ist eine Auflistung, die mit einem clear-Element gelöscht 

oder mit einem add-Element erweitert werden kann. Die Elemente im add-Element sind: 

enabled hat den Wert "true", wenn dieses Zertifikat aktiviert ist. 

userName ist der Benutzername, dem dieses Zertifikat zugeordnet wird. Wenn Sie die 

Authentifizierung an einer anderen Domäne als der durchführen wollen, die im Attribut 

defaultLogonDomain angegeben ist, können Sie den userName-Wert als Domäne\ 

Benutzername angeben. 

password ist das Kennwort für den Benutzer in userName (verschlüsselt mit AES). 

certificate ist das Zertifikat (Base64-kodiert, wie in einer CER-Datei, aber mit entfernten 

Zeilenumbrüchen). 

1:n-Clientzertifikatzuordnung 

Verwenden Sie die 1:n-Clientzertifikatzuordnung, wenn Sie ein Zertifikat einem Benutzer 

anhand bestimmter Kriterien zuordnen wollen, zum Beispiel »Das Zertifikat wurde von der 

Contoso-Zertifizierungsstelle ausgestellt«. Weil Sie mehrere Regeln anwenden können, um 

zu prüfen, ob ein Clientzertifikat die Kriterien erfüllt, sodass die Anmeldung mit einem 

Benutzerkonto erlaubt wird, kann dies eine sehr flexible Technik sein. 

Die 1:n-Clientzertifikatzuordnung wird von der folgenden Konfigurationseinstellungen 

in der XML-Datei applicationHost.config gesteuert: 

 

 

 

 

 

enabled hat den Wert "true", wenn die Clientzertifikatzuordnung aktiviert ist. 

manyToOneCertificateMappingsEnabled hat den Wert "true", wenn die 1:n- 

Clientzertifikatzuordnung aktiviert ist. 

defaultLogonDomain ist die Domäne, an der sich Benutzer authentifizieren, falls die 

Domäne nicht im Element userName angegeben ist. 

logonMethod ist die verwendete Anmeldungsmethode. 

manyToOneCertificateMappings ist eine Auflistung, die mit einem clear-Element gelöscht 

oder mit einem add-Element erweitert werden kann. Die Elemente im add-Element sind: 

name ist der Kurzname, mit dem Sie diesen Regelsatz identifizieren. 

description ist eine Beschreibung dieses Regelsatzes. 

enabled hat den Wert "true", wenn dieser Regelsatz aktiviert ist.


permissionMode hat den Wert "Allow" oder "Deny", um festzulegen, ob Zertifikaten, 

die die Kriterien dieses Regelsatzes erfüllen, der Zugriff erlaubt oder verweigert 

wird. 

userName ist der Benutzername, dessen Identität für den Zugriff angenommen wird, 

falls dieser Regelsatz die Kriterien erfüllt und permissionMode den Wert "Allow" hat. 

password ist das Kennwort für den Benutzer, dessen Identität angenommen wird. 

rules ist eine Auflistung, die mit einem clear-Element gelöscht oder mit einem add- 

Element erweitert werden kann. Die Elemente im add-Element sind: 

certificateField hat entweder den Wert "Subject" oder "Issuer", um festzulegen, 

welches Zertifikatfeld untersucht wird. 

certificateSubField enthält das Unterfeld des ausgewählten Zertifikatfelds, zum 

Beispiel "CN" für Common-Name oder "O" für Organisation. 

matchCriteria ist ein Platzhalter, der mit dem Inhalt des angegebenen Zertifikatunterfelds 

verglichen wird. "*" stimmt immer überein. 

compareCaseSensitive hat den Wert "true", wenn beim Vergleich in matchCriteria 

zwischen Groß- und Kleinschreibung unterschieden wird. »Contoso« stimmt 

dann also nicht mit »contoso« überein. Wenn dieses Attribut den Wert "false" 

hat, wird beim Vergleich nicht zwischen Groß- und Kleinschreibung unterschieden. 

Active Directory-Clientzertifikatzuordnung 

Falls die Benutzer in Ihrer Organisation bereits Clientzertifikate mit ihren Benutzerkonten in 

Active Directory verknüpft haben, können Sie die Active Directory-Clientzertifikatzuordnung 

einsetzen, um sie zu authentifizieren, wenn sie sich anmelden. Die recht simple Konfigurationseinstellung 

für die Active Directory-Clientzertifikatzuordnung befindet sich in der 

Datei applicationHost.config im folgenden Abschnitt: 

 

 

 

 

 

Sie besteht aus einem einzigen Element, enabled, dessen Wert "true" oder "false" sein 

kann. 

Hinweis Andere Clientzertifikatzuordnungstypen liegen unter einem XML-Pfad, der mit iisClientCertificateMapping 

endet. Der XML-Pfad der Active Directory-Clientzertifikatzuordnung endet dagegen mit 

clientCertificateMapping. 

Wenn die Active Directory-Clientzertifikatzuordnung aktiviert ist, werden die Zertifikatinformationen 

des Clients in Active Directory gesucht und der Benutzer, der von diesem 

Zertifikat identifiziert wird, ist der Benutzer, unter dem der Zugriff gewährt wird. Der 

Zugriff wird verweigert, falls das Zertifikat des Clients nicht gefunden wird.


Digestauthentifizierung 

Bei der Digestauthentifizierung stellt der Client einen Benutzernamen sowie einen Hashwert 

bereit, der aus dem Kennwort des Benutzers und einigen zufälligen Daten generiert wird. 

Wie die Standardauthentifizierung wird die Digestauthentifizierung von vielen Browsern 

unterstützt und ist in RFC 2617 (Request für Comment) als Internetstandard definiert. Der 

Standard legt fest, wie der Hashwert aus dem Kennwort und zufälligen Daten (die sogenannte 

Nonce) generiert wird. Der Nonce-Wert wird dabei in der Frage angegeben, die der Server 

als Antwort auf die anfängliche anonyme Anforderung des Clients zurücksendet. 

Weil das Kennwort bei dieser Authentifizierungsmethode nicht gesendet wird und die Nonce 

Schutz gegen Replay-Angriffe bietet, ist die Digestauthentifizierungsmethode der weiter 

oben beschriebenen Standardauthentifizierungsmethode vorzuziehen. 

Sie können die Digestauthentifizierung leicht über die Benutzeroberfläche aktivieren, wenn 

Sie das Modul DigestAuthenticationModule aktiviert haben. Der einzige Konfigurationsparameter 

für Digestauthentifizierung ist realm. Dies ist der Text, der dem Client in der Eingabeaufforderung 

angezeigt wird, wenn er nach Benutzername und Kennwort gefragt wird. 

Beachten Sie, dass dieser realm-Wert dem Domänennamen entsprechen soll, in dem die 

Kennwörter der Benutzer überprüft werden. 

Die Konfiguration für Digestauthentifizierung liegt im folgenden Abschnitt der XML-Datei 

applicationHost.config: 

 

 

 

 

 

In diesem Abschnitt gibt es zwei Elemente: 

enabled hat den Wert "true", wenn die Digestauthentifizierung aktiviert ist, andernfalls 

"false". 

realm ist der Name des Bereichs, nach dem in der Eingabeaufforderung des Clients gefragt 

wird. Dies muss dem Domänennamen entsprechen, damit der Digest generiert werden 

kann, der dem auf dem Domänencontroller gespeicherten Hashwert entspricht. 

Weitere Informationen über Digestauthentifizierung finden Sie in Kapitel 4, »Grundlagen 

der Benutzerkontensteuerung«. 

ASP.NET-Identitätswechsel 

ASP.NET-Identitätswechsel ist eine Möglichkeit, die Authentifizierung zu nutzen, die in 

einer Verbindung zu einer ASP.NET-Anwendung vorhanden ist. Wenn ASP.NET-Identitätswechsel 

deaktiviert ist, läuft eine ASP.NET-Anwendung im selben Benutzerkontext wie ihr 

Anwendungspool. Wenn Sie ASP.NET-Identitätswechsel aktivieren, können Sie entweder 

festlegen, dass immer die Identität eines bestimmten Benutzerkontextes angenommen wird 

oder die Identität des Windows-Benutzers, der authentifiziert wurde (über Standardauthentifizierung, 

Digest, Clientzertifikat oder sogar anonyme Authentifizierung). 

Sie können ASP.NET-Identitätswechsel aktivieren und konfigurieren, indem Sie das Element 

im folgenden Abschnitt der Web.config-Datei von Anwendung oder Website editieren:

 

 


Dieses Element hat ein erforderliches Attribut, impersonate. Setzen Sie dieses Attribut auf 

"true", um den ASP.NET-Identitätswechsel zu aktivieren, oder auf "false" (Standardwert), 

um ihn zu deaktivieren. 

Die folgenden optionalen Attribute können Sie verwenden, wenn Sie wollen, dass die Anwendung 

immer die Identität eines bestimmten Benutzers annimmt: 

userName ist der Name des Benutzers, dessen Identität angenommen wird. 

password ist das verschlüsselte Kennwort. 

Formularauthentifizierung 

Formularauthentifizierung erlaubt der Website, die Schnittstelle zu steuern, die der Benutzer 

zum Eingeben der Anmeldeinformationen angezeigt bekommt, statt es (wie bei Standardauthentifizierung 

und Digestauthentifizierung) dem Browser zu überlassen, das Anmeldedialogfeld 

anzuzeigen. Ein Zugriff auf eine Seite, die Formularauthentifizierung erfordert, 

wird anfangs auf eine Anmeldeseite umgeleitet, normalerweise ein Webformular, wo die 

Anmeldeinformationen eingegeben werden können. Falls der Server die Anmeldeinformationen 

als gültig anerkennt, wird im Browser ein Cookie gesetzt und der Browser wird 

zurück auf die Seite geleitet, die er ursprünglich angefordert hat. Wenn das Cookie richtig 

gesetzt ist, wird die Seite angezeigt, die durch Formularauthentifizierung geschützt ist. 

Eine Beispielanmeldeseite und der zugehörige Code wird an vielen Stellen angeboten, zum 

Beispiel unter http://support.microsoft.com/kb/301240. 

Die Konfiguration für die Formularauthentifizierung ist in der Web.config-Datei der Website 

oder des virtuellen Verzeichnisses unter dem folgenden Abschnitt gespeichert: 

 

 

 

 

Das Element authentication sollte das Attribut mode mit dem Wert "Forms" enthalten. Falls 

Sie nicht die Standardwerte verwenden, müssen Sie ein forms-Attribut unter dem authentication-Element 

einfügen, das folgende Attribute hat: 

cookieless hat den Standardwert "UseDeviceProfile" (Authentifizierungsinformationen 

werden in Cookies gespeichert, wenn bekannt ist, dass der Browser sie unterstützt, andernfalls 

in den URIs). Andere mögliche Werte sind "UseCookies" (Authentifizierungsinformationen 

werden immer in Cookies gespeichert), "UseUri" (Authentifizierungsinformationen 

werden immer in der URI gespeichert) und "AutoDetect" (der Browser 

wird untersucht, um festzustellen welche Möglichkeit genutzt werden kann). 

loginUrl hat den Standardwert "login.aspx". Dies ist eine URL relativ zur Ebene, auf 

der Sie die Authentifizierungskonfiguration festlegen, zu der der Browser umgeleitet 

wird, um die Anmeldeinformationen einzugeben. 

name hat den Standardwert ".ASPXAUTH". Dies ist der Name des Cookies (oder der URI- 

Komponente), das nach Authentifizierungsinformationen abgefragt wird.


protection hat den Standardwert "All". Es kann auf "None", "Encryption" oder "Validation" 

gesetzt sein. "Encryption" bedeutet, dass das Cookie mit dem Computerschlüssel 

des Webservers verschlüsselt wird; "Validation" fügt einen Überprüfungscode zum 

Cookie hinzu, um sicherzustellen, dass es auf dem Client nicht manipuliert wird. "All" 

legt fest, dass Verschlüsselung und Überprüfung durchgeführt werden. 

requireSSL hat den Standardwert "false". Falls es auf "true" gesetzt wird, wird das Authentifizierungscookie 

als sicher markiert, sodass ein kompatibler Browser es nur über 

eine HTTPS-Verbindung sendet. Wenn Sie dieses Attribut auf "true" setzen, wird der 

Browser dadurch nicht gezwungen, SSL zu benutzen, um das Formular mit Benutzername 

und Kennwort zu übertragen. Das müssen Sie im Rahmen Ihrer Anmeldeseite konfigurieren. 

slidingExpiration hat den Standardwert "true". Wenn Sie dieses Attribut auf "true" 

setzen, wird die Gültigkeitsdauer des Cookies bei jeder Benutzung des Cookies auf den 

ursprünglichen Wert zurückgesetzt. Wenn Sie dieses Attribut auf "false" setzen, legt die 

ursprüngliche Gültigkeitsdauer fest, wie lange der Browser die authentifizierte Verbindung 

offen halten kann, ohne sich erneut zu authentifizieren. 

timeout hat den Standardwert "30". Dies gibt an, nach wie vielen Minuten das Cookie 

ungültig wird und die Authentifizierung erneut durchgeführt werden muss, um weiter 

auf die Ressource zugreifen zu können. 

Windows-Authentifizierung 

Windows-Authentifizierung ist eine bequeme und sichere Methode, Benutzer in einer 

Domänenumgebung zu authentifizieren. Wenn ein Client die Windows-Authentifizierung 

nutzt, authentifiziert er sich beim Webserver über dieselben Protokolle (NTLM und Kerberos), 

die auch bei der Windows-Anmeldung eingesetzt werden. (Kapitel 4 enthält weitere 

Informationen über diese Protokolle.) Diese Möglichkeit wird unter Umständen nicht von 

allen Browsern in einer heterogenen Umgebung unterstützt, aber ihr Komfort, die Einfachheit 

und Sicherheit machen sie zu einer vernünftigen Option für die Authentifizierung. 

Die Konfiguration für die Windows-Authentifizierung ist in der Web.config-Datei der Website 

oder des virtuellen Verzeichnisses unter dem folgenden Abschnitt gespeichert: 

 

 

 

Das Element authentication sollte das Attribut mode mit dem Wert "Windows" enthalten. 

Diese Einstellung hat mehrere Konfigurationsattribute unter dem folgenden Abschnitt: 

 

 

 

 

 

Die Attribute sind: 

enabled können Sie auf "false" setzen, um die Windows-Authentifizierung zu deaktivieren, 

oder auf "true", um sie zu aktivieren.


authPersistSingleRequest können Sie auf "false" (Standardwert) setzen, um die Authentifizierung 

über mehrere Anforderungen innerhalb einer einzigen Sitzung aufrechtzuerhalten. 

Ist es auf "true" gesetzt, ist bei jeder Anforderung eine erneute Authentifizierung 

erforderlich, sogar innerhalb derselben Browsersitzung. Wenn Sie dieses Attribut 

auf irgendeinen anderen Wert als die Standardeinstellung "false" setzen, produzieren Sie 

damit im Allgemeinen mehr Verärgerung als Sicherheit. 

authPersistNonNTLM können Sie auf "false" (Standardwert) setzen, um Nicht-NTLM- 

Token (zum Beispiel Kerberos) über mehrere aufeinanderfolgende Anforderungen 

innerhalb derselben Sitzung beizubehalten. Mit "true" ist bei jeder Anforderung eine 

erneute Authentifizierung notwendig. 

useKernelMode können Sie auf "true" (Standardwert) setzen, falls die Authentifizierung 

im Kernmodus ausgeführt werden soll, andernfalls auf "false". 

providers ist eine Auflistung, in der Sie Elemente hinzufügen, einzelne Elemente oder 

alle Elemente löschen können. Jedes Element in der Auflistung hat ein Attribut namens 

value, das die Zeichenfolge "Kerberos" oder "NTLM" haben kann. Dies ist die Liste der 

Anbieter, die benutzt werden, um Protokolle mit dem Client auszuhandeln. 

Dem Server vertrauen 

Wir haben jetzt verschiedene Möglichkeiten beschrieben, wie der Server den Clientbrowser 

und den Benutzer, der daran angeblich arbeitet, identifizieren (und somit unter Umständen 

vertrauen) kann. Da ist es nur fair, dass wir uns auch ansehen, wie der Benutzer am anderen 

Ende des Clientbrowsers feststellen kann, ob Ihr Server sein Vertrauen verdient. 

Wer wurde zum Beispiel noch nie von seiner Bank angerufen? »Herr Mustermann, hier ist 

die Contoso-Bank. Ich rufe an wegen einer Abbuchung, die gerade von Ihrer Kreditkarte 

vorgenommen wurde.« Sind Sie sicher, dass die Person, die Sie anruft, tatsächlich bei Ihrer 

Bank arbeitet? Wenn Sie die Bank anrufen, wie können Sie dann sicher sein, dass Sie mit 

der richtigen Nummer verbunden sind? Was ist, wenn Sie sich verwählt haben oder Ihr Telefongespräch 

umgeleitet wurde? 

In der realen Welt haben wir nur wenige, oft gar keine Lösungen zur Verfügung, um dieses 

Problem zu lösen. Glücklicherweise ist es in der Welt des Webs mithilfe von SSL (Secure 

Sockets Layer) und TLS (Secure Sockets Layer) möglich, die Organisation zu identifizieren, 

mit der Sie tatsächlich verbunden sind. 

Hinweis Sie fragen sich möglicherweise, wo der Unterschied zwischen SSL und TLS liegt. TLS ist ein 

Nachfolger von SSL, der nicht nur einige Bugs beseitigt, sondern das Protokoll auch aus dem proprietären 

Status herausholt und zu einem vollständig öffentlichen und veröffentlichten IETF-Standard macht. Aus 

Gründen der Bequemlichkeit fasse ich beide im Folgenden unter der Bezeichnung SSL zusammen, was 

auch allgemein üblich ist. 

SSL stellt einige grundlegende Anforderungen, die in praktisch allen Umgebungen erfüllt 

werden, sofern sie keine völlig absurde Sicherheitskonfiguration haben: 

SSL-Verkehr wird verschlüsselt und führt eine Integritätsprüfung aus. 

Eine SSL-Verbindung verwendet Zertifikate (siehe Kapitel 10, »Implementieren der 

Active Directory-Zertifikatdienste«), um den Server gegenüber dem Client eindeutig zu 

identifizieren.


Wie wir weiter unten in diesem Kapitel noch sehen werden, können Sie andere Optionen auf 

SSL-Verkehr anwenden, mit denen der Client authentifiziert wird. 

Die erste Anforderung, dass SSL-Verkehr verschlüsselt ist und eine Integritätsprüfung durchgeführt 

wird, stellt sicher, dass die Kommunikation auf dem Weg zwischen Client und Server 

nicht von jemand anders gelesen oder geändert wurde, sofern die Kommunikation zwischen 

Client und Server vollständig abgeschlossen wird. 

Die zweite Anforderung, dass die SSL-Verbindung den Server gegenüber dem Client eindeutig 

identifiziert, ist ein wichtiges Element, damit der Client der Kommunikation mit dem 

Server vertrauen kann. 

Konfigurieren von SSL 

Wenn Sie ein Serverzertifikat für SSL im lokalen Computerzertifikatspeicher haben, ist es 

ganz einfach, SSL-Unterstützung für IIS hinzuzufügen: Fügen Sie einfach eine Bindung für 

https hinzu und wählen Sie das Serverzertifikat aus. Markieren Sie dazu erst die Website, die 

Sie konfigurieren wollen, und wählen Sie den Befehl Bindungen bearbeiten, entweder im 

Kontextmenü der Website, indem Sie mit der rechten Maustaste auf die Website klicken, 

oder im Fensterabschnitt Aktionen. Daraufhin öffnet sich das Dialogfeld Sitebindungen. Weil 

Sie HTTPS-Unterstützung für diese Site wollen, klicken Sie auf die Schaltfläche Hinzufügen. 

Wählen Sie dann im Dialogfeld Sitebindung hinzufügen in der Dropdownliste Typ den Eintrag 

https aus. Daraufhin wird die Dropdownliste SSL-Zertifikat aktiviert (Abbildung 17.9). 

Diese Liste enthält alle Serverzertifikate, die im lokalen Computerspeicher installiert sind. 

Abbildung 17.9 Das Dialogfeld Sitebindung hinzufügen zeigt 

die verfügbaren Zertifikate an 

Etwas schwieriger ist es, eine Bindung für eine SSL-Verbindung hinzuzufügen, ohne die 

grafische Benutzeroberfläche zu verwenden. Schlimm ist es aber auch nicht: Die Konfiguration 

wurde einfacher und weniger fehlerträchtig als in den IIS-Vorgängerversionen. Erst 

müssen Sie eine Bindung zur XML-Konfiguration für die Site hinzufügen, wie im Abschnitt 

»Hostheadersicherheit« weiter oben in diesem Kapitel beschrieben. Noch einmal kurz 

zusammengefasst: Die Bindungseinstellung für eine HTTPS-Standardbindung auf Port 443 

(dem Standardport für HTTPS) für alle IP-Adressen lautet: 


Wenn die Bindung vorhanden ist, müssen Sie das Zertifikat zur Konfiguration des 

HTTP.SYS-Treibers hinzufügen. Geben Sie dazu den folgenden netsh-Befehl ein: 

netsh http add sslcert ipport=0.0.0.0:443 certhash=Fingerabdruck appid={4dc3e181-e14b-4a21- 

b022-59fc669b0914} 

Der ipport-Wert 0.0.0.0:443 stimmt mit der Bindung *:443: überein. 

thumbprint muss den Hexadezimalwert für den Fingerabdruck des Zertifikats angeben. 

Diesen Fingerabdruck können Sie sich in den Eigenschaften des Zertifikats im Snap-In 

Zertifikate ansehen. 

Der HTTP.SYS-Treiber greift nur auf Zertifikate im lokalen Computerzertifikatspeicher zu. 

Wenn Sie Ihr Zertifikat importieren, sollten Sie das in einem Zertifikate-Snap-In tun, das Sie 

für den Gültigkeitsbereich des lokalen Computerkontos geöffnet haben. 

Wenn Sie Ihr Zertifikat anfordern und die Verbindung zum HTTPS-Server testen, dürfen Sie 

nicht vergessen, dass Webbrowser so konfiguriert sind, dass sie den Namen, der in der URL 

angegeben ist, mit dem Namen im Zertifikat vergleichen. Wenn Sie ein Zertifikat von Ihrem 

Zertifikatanbieter anfordern, müssen Sie dabei also einen Namen angeben, der dem vollqualifizierten 

Domänennamen entspricht, unter dem Sie das Zertifikat bereitstellen wollen. 

Das bedeutet letztlich, dass Sie ein Zertifikat nicht für die Internet- und Intranetanschlüsse 

eines Webservers gleichzeitig verwenden können. Und wenn Sie bei Tests mithilfe von localhost 

oder einer IP-Adresse eine Verbindung zu Ihrem Webserver herstellen, bekommen Sie 

einen Zertifikatfehler gemeldet, weil der Name des Zertifikats sich nicht mit dem Namen der 

Site deckt, zu der Sie eine Verbindung herstellen . 

Weitere Sicherheitsaspekte für IIS 

Authentifizierung und Autorisierung sind die wichtigsten Elemente beim Schützen einer 

Website, aber damit sind Sie noch lange nicht fertig. Sie müssen noch sicherstellen, dass es 

keine versehentlichen Möglichkeiten gibt, aus den Sicherheitsmechanismen auszubrechen, 

die Sie angewendet haben. 

Anwendungsentwicklung 

Wenn Sie Anwendungen für IIS entwickeln (etwa ISAPI-Module oder ASP.NET-Anwendungen), 

sollten Sie immer daran denken, dass Sie nur etwa die Hälfte der Software selbst 

schreiben. Die andere Hälfte ist der Teil, der auf dem Client läuft. Und dieser Teil wird unter 

Umständen von jemand anders geschrieben, dessen einziges Ziel darin besteht, Ihrem Server 

Schaden zuzufügen. 

Entwickler sollten die Richtlinien für sichere Entwicklung kennen und sich daran halten. 

Solche Richtlinien finden Sie zum Beispiel in Writing Secure Code, 2nd Edition von Michael 

Howard und David LeBlanc (Microsoft Press, 2004). 

Anforderungsfilterung 

In IIS 6.0 wurde das Tool URLScan intensiv genutzt, um sicherzustellen, dass die an den 

Webserver übergebenen URLs einer Reihe von Regeln gehorchten, um Angriffe abzuwehren. 

In IIS 7.0 steht dieselbe Funktionalität über die Konfigurationseinstellung requestFiltering 

zur Verfügung. Momentan gibt es für diese Einstellungen keine grafische Benutzeroberfläche, 

aber Sie können sie unter dem folgenden Abschnitt der XML-Datei application- 

Host.config konfigurieren:


 

 

 

 

Die Einstellungen in diesem Konfigurationspfad gelten für HTTP- und HTTPS-Anforderungen. 

Außerdem kann konfiguriert werden, dass sie auch auf WebDAV-Anforderungen 

angewendet werden. Diese Einstellungen sind: 

allowDoubleEscaping dekodiert bei der Standardeinstellung "false" angeforderte URLs 

zweimal hintereinander. Falls die erste Dekodierung ein anderes Ergebnis bringt als die 

zweite, wird die Anforderung zurückgewiesen. Setzen Sie diese Einstellung auf "true", 

falls Sie dieses Feature deaktivieren möchten. 

allowHighBitCharacters können Sie auf "true" (Standardwert) setzen, falls Ihre URLs 

Zeichen aus dem ASCII-Bereich 127-255 verwenden, oder auf "false", um Anforderungen 

abzuweisen, die Zeichen aus diesem Bereich enthalten. Die meisten dieser Zeichen 

sind grafische oder Akzentzeichen aus diversen internationalen Zeichensätzen. In einer 

rein englischsprachigen Umgebung dürfte es kaum vorkommen, dass normale Anforderungen 

an Ihre Site Zeichen aus diesem Bereich verwenden. Indem Sie solche Anforderungen 

abweisen, verhindern Sie möglicherweise einen Angriff auf Ihre Site. Auch 

in einer internationalen Umgebung enthalten URLs meist nur Zeichen aus dem Bereich 

32 bis 127. Auch hier ist es daher oft sinnvoll, Zeichen aus dem oberen Bereich zu verbieten. 

fileExtensions ist eine Auflistung, die ein Serveradministrator verwalten kann, indem er 

Elemente hinzufügt, löscht oder die ganze Liste löscht. Die fileExtensions-Auflistung 

hat zwei Attribute: 

allowUnlisted können Sie auf "true" (Standardwert) setzen, wenn die Dateierweiterungsliste 

die »gefährlichen« Dateierweiterungen beschreibt, die Benutzer nicht anfordern 

dürfen. Wenn es den Wert "false" hat, wird alles außer den aufgeführten 

Dateierweiterungen abgewiesen. Es ist im Allgemeinen sinnvoll, die zweite Möglichkeit 

zu wählen, daher empfehlen wir, diese Einstellung auf "false" zu setzen und 

eine Liste der Erweiterungen zusammenzustellen, die Ihr Server Benutzern zur Verfügung 

stellen soll. 

applyToWebDAV können Sie auf "true" (Standardwert) setzen, damit diese Liste auf 

WebDAV-Anforderungen angewendet wird, die bei diesem Server eingehen. Wenn 

der Wert "false" ist, wird diese Liste nur auf Webanforderungen angefordert. 

Elemente, die zu dieser Auflistung hinzugefügt werden, haben zwei Attribute: 

fileExtension ist das wichtigste Attribut für Elemente in dieser Auflistung. Es gibt 

die Dateierweiterung an, die Sie erlauben oder verbieten. 

allowed können Sie auf "true" (Standardwert) setzen, um Anforderungen nach 

Dateien mit dieser Erweiterung zu erlauben, oder auf "false", um solche Anforderungen 

zu verbieten. 

requestLimits ist ein Element, das verschiedene Limits für die Anforderungen der 

Clients festlegt. Es hat folgende Attribute: 

maxAllowedContentLength ist die maximale Länge des Inhalts (in der Einheit Byte), 

der angefordert werden kann. Das verhindert die Möglichkeit, dass eine Anforderung


so große Ausgaben generiert, dass sie entweder Ihren Server oder einen Clientcomputer 

überfordert. Der Standardwert ist 30.000.000. 

maxURL ist die maximale Größe der URL (in der Einheit Byte), die an die Anwendung 

übergeben wird. Das verhindert Pufferüberläufe in IIS oder seinen gehosteten Anwendungen, 

wenn ein Client in böser Absicht sehr lange URLs sendet. Standardwert 

ist 4096. 

maxQueryString ist die maximale Größe (in der Einheit Byte) eines Abfragestrings, 

also des Teils einer URL, der hinter dem Fragezeichen (?) beginnt. Standardwert ist 

2048. 

headerLimits ist eine Auflistung, deren Elemente zwei Attribute haben: header und 

sizeLimit. Das Attribut header ist der Name des HTTP-Anforderungsheaders, der 

eingeschränkt wird, und sizeLimit ist die maximale Größe des Headers (in Byte), der 

übergeben werden kann. 

verbs ist eine Auflistung von HTTP-Anforderungsverben, die erlaubt oder abgewiesen 

werden. Die Attribute für ein verbs-Element sind: 

allowUnlisted können Sie auf "true" (Standardwert) setzen, um andere HTTP- 

Befehlsverben zu erlauben als die, die als verweigert aufgelistet werden. Mit "false" 

erlauben Sie nur die HTTP-Befehlsverben, die explizit aufgelistet werden. 

applyToWebDAV können Sie auf "true" (Standardwert) setzen, um die Auflage bezüglich 

der Verben auch auf WebDAV anzuwenden. 

Verben können in dieser Auflistung hinzugefügt, gelöscht und komplett gelöscht werden. 

Jedes Element in der verbs-Auflistung hat zwei Elemente: 

verb ist der Name des beschriebenen Verbs. Das am häufigsten verwendete Verb ist 

GET, das Sie praktisch immer erlauben. Damit Formulare funktionieren, müssen Sie 

normalerweise auch POST erlauben. Eine Liste häufig benutzter Anwendungen und 

der erforderlichen Verben finden Sie unter http://support.microsoft.com/kb/823175. 

allowed hat den Wert "true" (Standardwert), falls Sie dieses Verb erlauben. Bei 

"false" wird es zurückgewiesen. 

hiddenSegments ist eine Auflistung mit Elementen, die zurückgewiesen werden, falls sie 

in einem Segment einer angeforderten URL vorkommen. Jedes Element in dieser Auflistung 

enthält nur ein Attribut, segment. Sein Wert ist eine Zeichenfolge, die das blockierte 

Segment angibt. Falls zum Beispiel ein Segment "bin" lautet, blockiert es Anforderungen 

nach http://example.com/bin/scanme.pl, aber nicht die Anforderung http://example. 

com/rubbish-bin/image.jpg. Sie können die hiddenSegments-Auflistung auch auf Web- 

DAV anwenden, indem Sie das applytoWebDAV-Attribut entsprechend konfigurieren. 

denyUrlSequences ist eine Auflistung mit Zeichensequenzen, die zurückgewiesen werden, 

falls sie in einer angeforderten URL vorkommen. Sehr oft wird ".." in diese Auflistung 

eingefügt, um zu verhindern, dass im Verzeichnis nach oben navigiert werden kann. 

Elemente, die zu dieser Auflistung hinzugefügt werden, haben ein Attribut, sequence. 

Dies ist die Zeichenfolge, die dazu führt, dass die URL zurückgewiesen wird, falls diese 

Zeichenfolge irgendwo darin vorkommt. 

Ein recht einfaches Beispiel ist der folgende XML-Ausschnitt, der doppelte Escapezeichen 

und Zeichen verbietet, bei denen das oberste Bit gesetzt ist, nur die Dateierweiterungen 

.html, .htm, .aspx und .mspx erlaubt, weit kürzere Längenlimits für Inhalt, URL und Abfra-


gestring einstellt, dem Server die Verwendung anderer Verben als GET und POST verbietet und 

alle URLs blockiert, die »/../« oder »...« enthalten: 

 

... 

 

 


ungültig, sofern die zwei Server nicht denselben Verschlüsselungsschlüssel verwenden. In 

der Standardeinstellung werden ASP.NET-Computerschlüssel automatisch generiert, wenn 

die Anwendung startet, und jede Anwendung bekommt ihren eigenen Computerschlüssel 

(sodass eine Anwendung in einer gemeinsam genutzten Hostingumgebung nicht versehentlich 

auf den Sitzungszustand einer anderen Anwendung zugreift). 

In einer Serverfarmumgebung muss der Computerschlüssel also gemeinsam genutzt werden. 

Das wird mithilfe des ASP-NET-Features Computerschlüssel möglich. Dort müssen Sie das 

Kontrollkästchen Automatisch zur Laufzeit generieren deaktivieren. Auf einem Computer 

in Ihrer Serverfarm klicken Sie dann auf Schlüssel generieren, um einen neuen, zufälligen 

Computerschlüssel in die Felder für Entschlüsselungs- und Validierungsschlüssel einzutragen. 

Sie können diese Schlüsseleinstellungen dann auf die anderen Computer in Ihrer 

Serverfarm kopieren. 

Falls Sie eine große Serverfarm verwalten oder häufig Ihre Computerschlüssel wechseln, 

sollten Sie dieses Feature automatisieren. Dafür können Sie WMI verwenden oder direkt die 

Web.config-Datei der Website verändern, wie im folgenden Beispiel gezeigt. Der Validierungsschlüssel 

sollte ein zufällig generierter, 40 bis 128 Zeichen langer Hexadezimalstring 

sein, der eine 20 bis 64 Byte lange Zufallssequenz angibt. Der Entschlüsselungsschlüssel 

sollte ein hexadezimaler String mit 16 Zeichen Länge sein, wenn DES-Verschlüsselung 

verwendet wird, oder mit 48 Zeichen Länge, wenn Triple-DES-Verschlüsselung eingesetzt 

wird. 

 

 

 

Falls bei den Benutzern sporadisch der Sitzungszustand verloren zu gehen scheint, sollten 

Sie prüfen, ob die Computerschlüssel für die betroffene Anwendung auf allen Ihren Servern 

denselben Wert haben. Falls ein Server einen anderen Computerschlüssel hat, kann der Sitzungszustand 

eines Benutzers, der von einem anderen Server stammt, nicht vom zweiten 

Server gelesen werden (und umgekehrt). Alle Server müssen denselben Computerschlüssel 

haben, damit der Sitzungszustand in allen Servern der Farm zur Verfügung steht. 

Benutzerdefinierte Fehler 

Benutzerdefinierte Fehlerseiten sind ein zweischneidiges Schwert. Einerseits sind sie ein 

wertvolles Debuggingtool für die Problembehandlung, weil sie dem Clientbrowser mehr 

Informationen über die Probleme in der Anwendung liefern. Manche benutzerdefinierten 

Fehlerseiten geben aber kritische Informationen heraus, und hier liegt das Sicherheitsproblem. 

Prüfen Sie die benutzerdefinierten Fehlerseiten, die auf Ihren Sites verwendet werden. 

In der Standardeinstellung liegen sie in %SystemDrive%\inetpub\custerr\\ 

.htm. Zum Beispiel liegt in einer deutschsprachigen Umgebung in einer Standardinstallation 

auf dem Laufwerk C: die Fehlerseite für einen benutzerdefinierten 401- 

Fehler unter C:\inetpub\custerr\de-DE\401.htm. Diese benutzerdefinierten Standardfehlerseiten 

sind relativ simpel und geben nur den Fehlercode an, eine kurze Beschreibung und 

eine allgemeine Erklärung, welches die Ursachen für den Fehler sein könnten. Wir empfehlen, 

diese Standardfehlerseiten zu verwenden, die keine detaillierten Informationen liefern. 

Für geschützte Umgebungen sollten Sie die Standardfehlermeldungen durch eine allgemeine


»Ein Fehler ist aufgetreten«-Seite ersetzen. Falls Code die Produktivumgebung erreicht, 

der solche Fehler generiert, kann er auf einem Computer ohne benutzerdefinierte Fehlermeldungen 

getestet werden. Abenteuerliche Naturen können die Seiten so ändern, dass sie ASP, 

ASP.NET oder andere serverseitige Programme nutzen, um nur dann Fehlerdetails auszugeben, 

wenn die Client-IP zu einer ausgewählten Gruppe von IPs gehört. 

FTP-Server 

Der FTP-Server, der in Windows Server 2008 enthalten ist, ist im Wesentlichen derselbe 

FTP-Server wie in IIS 6.0. Der neue FTP-Server für IIS 7.0 wurde bis zum Veröffentlichungstermin 

nicht ganz fertig. Er stellt aber einige Sicherheitsfeatures zur Verfügung, die seit 

Langem vermisst wurden. Wenn Sie also FTP-Server in Ihrem Unternehmen einsetzen und 

IIS7 bereitstellen, sollten Sie prüfen, ob Sie das FTP-Server-Add-On herunterladen sollten 

(Details dazu unter http://www.iis.net/articles/view.aspx/IIS7/Managing-IIS7/Using-FTP- 

Server-in-IIS7/Installing-and-Troubleshooting-FTP7). Falls Sie FTP einsetzen, um Ihre 

Website zu veröffentlichen, werden Sie sich zweifellos freuen, dass die FTP-Site ganz einfach 

in die Website eingebunden werden kann, genau wie beim Hinzufügen einer beliebigen 

anderen Bindung. 

Weitere neue FTP-Features sind: 

UTF-8-Unterstützung für Zeichensätze außerhalb von ASCII 

FTP über SSL/TLS (im Allgemeinen als FTPS abgekürzt, nicht zu verwechseln mit 

SFTP, das kein FTP-basiertes Protokoll ist) für verbesserte Sicherheit, inklusive Verschlüsselung 

und Serverauthentifizierung 

Unterstützung für virtuelles Hosting über den nichtstandardisierten HOST-Befehl oder das 

Format "example.com|Benutzer" im Benutzernamen. So können Benutzer angeben, an 

welcher Website sie sich anzumelden versuchen. Sie werden daraufhin zu unterschiedlichen 

Ordnern und Inhalten weitergeleitet, die der FTP-Server zur Verfügung stellt. 

Benutzerdefinierte Authentifizierung über ASP.NET-Mitgliedschaftsanbieter 

Unterstützung für IPv6, der nächsten Generation des Internetprotokolls 

Konfiguration im neuen XML-Konfigurationsformat statt über die alte Metabasis. 

Außerdem steht eine neue Benutzeroberfläche für die Konfiguration zur Verfügung. 


In diesem Kapitel haben wir gesehen, wie der Zugriff auf IIS-Websites im normalen Betrieb 

geschützt werden kann. Von der anonymen Authentifizierung, bei der die zur Verfügung 

gestellten Informationen von allen gelesen werden können, bis zu leistungsfähigen Techniken 

wie Clientzertifikaten und Verbundidentitätsdiensten stehen viele Methoden zur Verfügung, 

um die Authentifizierung sicherzustellen. Alle davon haben Vorteile und Nachteile.



Howard, M. und LeBlanc, D.: Writing Secure Code for Windows Vista. Redmond, WA: 

Microsoft Press, 2007. 

Howard, M. und LeBlanc, D.: Writing Secure Code, 2nd Ed. Redmond, WA: Microsoft 

Press, 2007. 

Microsoft Corporation 2007: »Fine-Tuning and Known Issues When You Use the Urlscan 

Utility in an Exchange 2003 Environment« unter http://support.microsoft.com/kb/ 

823175. 

Microsoft Corporation 2007: »How to Implement Forms-Based Authentication in Your 

ASP.NET Application by Using C#.NET« unter http://support.microsoft.com/kb/301240.

Stichwortverzeichnis 

.bat-Erweiterung 98 

.bin-Erweiterung 82 

.cmd-Erweiterung 98 

.Default-SID 107 

.dll-Erweiterung 98 

.exe-Erweiterung 98 

.NET Framework 320, 324, 410 

.sys-Erweiterung 98 

1:1-Clientzertifikatzuordnung 487 

1:n-Clientzertifikatzuordnung 488 

10 unveränderliche Gesetze der Sicherheit 379 

7-Zip 356 

A 

Abgestimmte Kennwortrichtlinien 50, 453 

Kennwortrichtlinien, Liste 53 

Verwaltungstools 54 

Abhängigkeiten Siehe Sicherheitsabhängigkeiten 

Abhängigkeiten-Registerkarte, Dienste-Konsole 160 

ACEs (Zugriffssteuerungseinträge) Siehe Zugriffssteuerungseinträge 

(ACEs) 

Acharya, Narendra S. 421 

ACLs (Zugriffssteuerungslisten) Siehe Zugriffssteuerungslisten 

(ACLs) 

ACL-UI 67, 81 

Active Directory 4, 271 

Clientzertifikatzuordnung 489 

Data-Mining-Tool 259 

Datenbankbereitstellungstool 259 

GPOs 187 

Gruppenrichtlinien 186 

Kennwortverifizierer 25 

Kerberos 31 

LM-Hash 24 

Objekte 58 

Sicherheitsgruppen 7 

Smartcards 20 

Vererbungsmodell 7 

Windows-Firewall 118, 121 

Zertifikatdienste Siehe Zertifikatdienste 

Active Directory Lightweight Directory Services (AD LDS) 

260, 266, 322 

Instanz erstellen 268 

Windows Server 2008, neue Features 268 

Active Directory-Anwendungsmodus (ADAM) Siehe Active 

Directory Lightweight Directory Services (AD LDS) 

Active Directory-Domänendienste (AD DS) 247, 321, 330 

Active Directory Lightweight Directory Services (AD LDS) 

266, 330 

Active Directory-Verbunddienste 269 

Benutzeroberfläche 248 

Datenbankbereitstellungstool 259 

Installationsassistent 250 

Neustartfähige 258 

Rolleninstallation 331 

503 

Active Directory-Domänendienste (Fortsetzung) 

Schreibgeschützte Domänencontroller 252, Siehe auch 

Schreibgeschützte Domänencontroller (RODCs) 

Überwachung 261 

Windows Server 2008, neue Features 270 

Active Directory-Rechteverwaltungsdienste (AD RMS) 291, 

320, 322, 419 

Architekturen 296 

Bereitstellung 296 

Clientkomponenten 295 

Cluster 302 

Datenbank 295 

Datenlecks 313 

Dienstkonto 304 

Dokumentbibliotheken 311 

Dokumente 292 

Domänenfunktionsebene 299 

Einschränkungen 314 

Geheimnisse 292 

Gesetze 312 

Implementieren 297 

Infrastruktur 299 

Internet Protocol Security (IPsec) 291 

Konsole 310 

Lesezugriff 294 

Lizenzierungsserver 296 

Office 311 

Richtlinien 298 

Richtlinienvorlagen 309 

RMS-Server 300 

Selbstregistrierung 293 

Server 293 

Serverrollen 293, 295, 300 

SharePoint 311 

Verschlüsselung 293 

Vorlagen 309 

Zertifikat 310 

Zertifizierungsserver 296 

Active Directory-Verbunddienste 267, 269, 293, 321 

Rollendienste 270 

Active Directory-Zugriff 262 

AD Siehe Active Directory 

ADAM (Active Directory-Anwendungsmodus) Siehe Active 

Directory Lightweight Directory Services (AD LDS) 

Address Space Layout Randomization (ASLR) 160, 178 

ADM-Dateien 197 

Administrative Abhängigkeiten 388 

Rollentrennung 417 

Administrative Vorlagendateien (ADMX) 186, 196 

Filterung 203 

Geräteeinschränkungen 204 

Kommentare 200 

Administratorbestätigungsmodus 104 

Anhebungseingabeaufforderung 108 

Netzlaufwerkzuordnung 104

504 Stichwortverzeichnis 

Administratorbestätigungsmodus (Fortsetzung) 

UAC 465 

Verfahrensempfehlungen 112 

Administratoren Siehe auch Verwalten 

DACLs 60 

Dienste schützen 179 

Festlegen von Kennwortrichtlinien 51 

Gruppenrichtlinieneinstellungen 197 

Privilegien, Verfahrensempfehlungen 112 

Rollentrennung 417, 455 

Surfen 465 

Zertifizierungsstelle, Kompromittierung 284 

Administratorkonto 5 

Bekannte RID 14 

Bekannte SID 15 

Cougar-Plattform 436 

Hersteller 454 

Kennwortangriffe 41 

UAC 465 


Zertifizierungsstelle, Kompromittierung 284 

Administrator-Loopback 104 

ADMX (Administrative Vorlagendateien) Siehe Administrative 

Vorlagendateien (ADMX) 

Adobe 351 

Adress- und Domäneneinschränkungen, IIS 7.0 476 

ADSIEdit msc 249 

Advanced Encryption Standard (AES) 138, 274 

BitLocker 421 

advfirewall, Netsh-Kontext 128 

AES (Advanced Encryption Standard) Siehe Advanced 

Encryption Standard (AES) 

AH (Authentication Header) 135 

AIA (Authority Information Access) Siehe Authority Information 

Access (AIA) 

AIS (Anwendungsinformationsdienst) 97 

Akronyme 

IPsec, Windows-Firewall, RRAS, Liste 147 

NAP 140, 147 

Aktualisieren, Gruppenrichtlinien 186 

Aktualisierung Siehe Patchverwaltung; Sicherheitsupdates 

Algorithmen 

BitLocker 421 

CNG 274 

DEA 23 

Kryptografische 132, 138 

SHA 274 

Suite B 274 

Alle Einstellungen-Knoten 204 

allowed-Attribut 478 

allowUnlisted 477 

AMK (Auto-Unlock Master Key) 420 

Anderson, Jimmy 247 

Anforderungsfilterung, IIS 7.0 495 

Angriffe Siehe Kennwortangriffe; Dienste, Angriffe 

Anhebung 92, 94, 101 

Anmeldung 107 

Blockieren 104 

Blockierte 106 

Eingabeaufforderungen 102, 108, 110, 128 

FUS 113 

Anhebung (Fortsetzung) 

Kontotypen 105 

Nicht autorisiert 111 

Anmeldegruppen 10 

Anmelde-ID 232 

Anmeldeinformationen, Cache 25, 254, 412, 482 

Anmeldeinformationen-Eingabeaufforderungen 94, 109 

Sicherer Desktop 102 

Anmeldeinformationsverwaltung 382 

Anmeldekonten 152 

Privilegien, Liste 166 

Anmelden-Registerkarte, Dienste-Konsole 157 

Anmeldung 

Blockierte Anhebung 106 

Meldungstext 460 

Annualized Rate of Occurrence, Risikoberechnung 430 

Anonyme Authentifizierung 485 

Anonyme SIDs 472 

Anonymisierungsproxy 476 

Ansprüche, Agent 270 

Antispyware 465 

Antivirensoftware 465 

Anwendungsinformationsdienst (AIS) 97 

Anwendungsmanifest 100 

UAC-Kompatibilität 107 

Anwendungsserver 320, 322, 335, 397 

Anwendungs-Shims 100, 112 

Apache 351 

API (Programmierschnittstelle) Siehe Programmierschnittstelle 

(API) 

Apple 351 

QuickTime 442 

Application Compatibility Toolkit 108 

applicationHost.config 476, 482 

Anforderungsfilterung 495 

Anonyme Authentifizierung 486 

Digestauthentifizierung 490 

Standardauthentifizierung 487 

Zertifikatzuordnung 487 

Arbeitsspeicher, Kennwortspeicherung 27 

Arbeitsstation, Sicherheit Siehe Netzwerksicherheit 

Arbeitsstationen, Kontrolle 459 

Architektur 

Gestaffelte Verteidigung 11, 118, 146, 378 


AS (Authentifizierungsdienst) 37 

ASCII-Zeichen 500 

ASLR (Address Space Layout Randomization) 160, 178 

ASP.NET-Identitätswechsel 490 

ASP.NET-Serverfarm 498 

Assistent Features hinzufügen 334, 336 

Assistent Rollen hinzufügen 250, 274, 299, 321, 334–336, 

431 

AuditBaseDirectories 226 

AuditBaseObjects 226 

AuditPol.exe 222, 265 

Aufgaben der Erstkonfiguration (ICT) 333 

Aufgabenplanung, Ereignisse 234 

Ausführungsebenen 100 

Ausgehende Filterung 119, 121 

Auslassen der durchsuchenden Überprüfung 167, 449

Ausmusterung, Sicherheit 425 

Ausspähen/Sniffing-Angriffe 164 

AuthAnvil 454, 456 

Authentication Header (AH) 135 

Authenticode 95, 109 

UIAccess-Anwendungen 109 

Authentifizierer 17 

Biometrische 18 

Kennwort Siehe Kennwort 

Passphrase 48 

Speicherung 20 

Unternehmensgeeignete 20 

Authentifizierte Benutzer-Gruppe 10 

Benutzer-Gruppe 11 

GPO-Sicherheitsfilterung 189 

Token 72 

Authentifizierte Umgehung 138 

Authentifizierung 3, 17, 29, 55, Siehe auch Authentifizierer 

Anonyme 485 

Ausgespähte Informationen 43 

Clients 462 

Digest 31, 490 

Drahtlosnetzwerke 209 

Formular 491 

Frage-Antwort 30, 386 

IIS 7.0 484 

IPsec 134 


Kennwortschutz 46 

Kennwortverwaltung 47 

Smartcard 38 

Standard 29, 486 

Windows 492 

Zwei Faktoren 18, 456 

Authentifizierung auf Netzwerkebene 451 

Authentifizierungsdienst (AS) 37 

Authority Information Access (AIA) 279 

URLs 277 

Autorisierung 3 

IIS 7.0 484 

Autorisierungs-Manager (AZMAN) 89 

Auto-Unlock Key 420 

Auto-Unlock Master Key (AMK) 420 

AZMAN (Autorisierungs-Manager) 89 

B 

B2B-Transaktionen 269 

Backslashzeichen (\), Befehlszeilentools 83 

Barreto, Jose 439 

Base Filtering Engine (BFE) 117 

Base-64-Kodierung 29, 486 

Baseline Security Analyzer (MBSA) 362 

.bat-Erweiterung 98 

BDE (BitLocker-Laufwerkverschlüsselung) Siehe BitLocker- 

Laufwerkverschlüsselung (BDE) 

Befehlszeilentools (CLI) 81 

AuditPol.exe 222, 265 

Backslashzeichen 83 

EventQuery 242 

SC 83 

Sicherheitsupdates 356 

Stichwortverzeichnis 505 

Befehlszeilentools (CLI) (Fortsetzung) 

Systemstatusdatensicherung 447 


Windows-Firewall (netsh) 118, 128 

Wusa.exe 356 

Bei Ausführung mit erhöhten Rechten Administratorkonten 

auflisten, Gruppenrichtlinieneinstellung 111 

Bell-LaPadula-Sicherheitsmodell 61 

Benutzer 3f. 

Anonym 10 

Rechte und Privilegien 85 

Schulung 426, 450, 458 

Benutzerdefinierte Fehlerseiten 499 

Benutzerdefinierte Regeln 124 

Benutzer-Gruppe 11 

Benutzerkontensteuerung (UAC) 71, 91, 113 

Deaktivieren 464 

Gruppenrichtlinieneinstellungen 108 

Komponenten 94 

Nicht vertrauenswürdige Zertifizierungsstellen 281 

Remoteunterstützung, Einschränkungen 104 

Tokenfilterung 91 


Windows Server 2008/Windows Vista 111 

Windows-Kompatibilitätskonfiguration 107 

Benutzerspezifische Autostart-Ordner 107 

Benutzerspezifische RUN-Schlüssel 107 

Benutzerspezifische Überwachung 228 

Berechtigungen Siehe auch Zugriffssteuerung 

Dateizugriff 4 

Dienste 11 

Eingeschränkte 11 

Entfernen 82 

Generische 63 

Gewähren 82 

Gruppen 7 

Hauptbenutzer 85 

Jeder-Gruppe 10 

Netzwerk, Drahtlos 211 

Suchen 82 

TrustedInstaller 84 

Verweigern 82 

Vollzugriff 182 

Wiederherstellen 82 

Berechtigungsverwaltung 81 

Cacls und Icacls 82 

Subinacl 83 

Berners-Lee, Tim 116 

Besitzerrechte 85 

Besuchercomputer, NAP 146 

Betriebsabhängigkeiten 389 

Betriebsstrategie 399 

Bezeichner Siehe auch Sicherheits-ID (SIDs) 

.bin-Erweiterung 82 

Bindungen, IIS 7.0 479, 494 

Biometrische Authentifizierer 18 

BIOS, Sicherheitsmaßnahmen für Zertifizierungsstellen 287 

BitLocker-Laufwerkverschlüsselung (BDE) 287, 291, 324, 

331, 379, 418 

Algorithmen und Schlüssel 421 

Integritätsprüfung 423


BitLocker-Laufwerkverschlüsselung (BDE) (Fortsetzung) 

Start 423 

Windows Server 2008 Konfiguration 419 

Zweigstellen 424 

BITS (Intelligenter Hintergrundübertragungsdienst) 358 

BITS-Servererweiterungen 324 

Black, Chris 378 

Blacklisting 476 

Blaster-Wurm 162, 177, 181 

Blut, Beispiel für Authentifizierung 18 

Bradley, Susan E. 429 

Bugs, Cacls/Icacls/Subinacl 83 

Burch, Hal 163 

Business-to-Business-Transaktionen 269 

C 

CA Siehe Zertifizierungsstelle 

CAB-Datei 356 

Cacls 82 

Cailliau, Robert 116 

Callout-Module 117 

Canover, Darren 91 

Carpenter, Chase 81 

CBC (Cipher Block Chaining) 138 

Change ACLs (Cacls) 82 

Chaos Computer Club 19 

CHAP 27, 451 

Cheah, Bernard 472 

Chen, Raymond 114 

Cheswick, Bill 163 

Cipher Block Chaining (CBC) 138 

Ciphertext 20, 421 

Cisco 141, 274 

Client Side Extensions (CSEs) 196, 204 

Clientfrage, NTLM 34f. 


Clientzugriffsserver 440 

CLI-Tools (Befehlszeilenschnittstelle) Siehe Befehlszeilentools 

(CLI) 

CLR (Common Language Runtime) 410 

Cluster, Active Directory-Rechteverwaltungsdienste 

(AD RMS) 302, 310 

Clusterfreigaben, Subinacl 83 

Clusterserverunterstützung 137 

.cmd-Erweiterung 98 

CNG (Cryptography Next Generation) 274 

COM+-Netzwerkzugriff 335 

Common Language Runtime (CLR) 410 

Common-Criteria-Richtlinien 225, 285 


Computer, als SIDs 7 

Computerbrowserdienst 165 

Computerkonfigurationseinstellungen, Risiken und Vorteile 

211 

Computerschlüssel, ASP.NET 498 

Computerspezifische Autostart-Ordner 107 

Computerspezifische RUN-Schlüssel 107 

Consec-Befehl 129 

Cookies 491 

ASP.NET 498 

Core Root of Trust Measurement (CRTM) 423 

CrashOnAuditFail 225 

CreateRestrictedToken 75 

CRL Siehe Zertifikatsperrliste (CRL) 

CRTM (Core Root of Trust Measurement) 423 

Cryptography Next Generation (CNG) 274 

Algorithmen 274 

CSEs (Client Side Extensions) 196, 204 

CSS (Customer Service and Support) 358 

Customer Service and Support (CSS) 358 

D 

DACLs (Discretionary Access Control List) Siehe Discretionary 

Access Control List (DACLs) 

Daniel, Sean 436 

Data Encryption Algorithm (DEA), LM-Hash 23 

Data Encryption Standard (DES), LM-Hash 23 

Data-Mining-Tool 268 

Datei- und Druckerfreigabeeinstellungen 461 

Dateidienste 322, 330 

Dateien 3, 58 

Eingabeaufforderung,, Verbesserungen 112 

Erweiterungen 98 

Subinacl 83 

Virtualisierung 98 

Dateierweiterungen 98 


Dateifreigabe 

Ereignis-IDs 235 

Dateireplikationsdienst 412 

Dateisystem, Namespaces 84 

Daten im Transit 291 

Daten in Ruhe 291 

Datenausführungsverhinderung (DEP) 152, 178 

Datenbankserver 397 

Datenflussdiagramm (DFD), Netzwerk 396 

Datenlecks 313 

Datenschutz 312 

Datensicherung 

BitLocker 425 

Server 411, 446 

Strategie 399, 401 

Datensicherung, Feature 331 

Datensicherungsoperator 285 

Datenvolumes, automatische Entsperrung 420 

Datenweitergabe, Verhindern 294 

Davies, Joseph 411, 467 

DBCS-Pwd 24 

DCs (Domänencontroller) Siehe Domänencontroller (DCs) 

DEA (Data Encryption Algorithm), LM-Hash 23 

Debuggen 499 

.Default-SID 107 

DELETE-Recht 64 

Denial-of-Service-Angriffe 163 

DEP (Datenausführungsverhinderung) 152, 178 

DES (Data Encryption Standard), LM-Hash 23 

Desktopcomputer, NAP 146 

Desktopdarstellung 324 

Detaillierte Regeln, Windows-Firewall 119 

Detaillierte Verzeichnisdienstreplikation 262 

Developer Network, Microsoft 181 

DFD (Datenflussdiagramm), Netzwerk 396

DFSR (Verteiltes Dateisystem, Replikation) 254, 389 

DH (Diffie-Hellman) 

Group 19 138 

Group 20 138 

DHCP (Dynamic Host Configuration Protocol) 259, 319f. 

Erzwingung 142 


DIALUP-SID 84 

Diebstahl 

Festplatte 424 


Dienste 11, 58, 151 

Änderungen, Benachrichtigung 178 

Angriffe Siehe auch Dienste, Angriffe 

Anmeldekonto 152 

Dektivieren/Aktivieren 180 

Fehler, Überwachung 183 

Geringstmögliche Privilegien 166, 180, 182 

Härtung 165 

Konfigurieren 155 

Leistung 328 

Listenerports 154 

Schutz, Windows-Firewall 118 

Schützen 179 

SIDs 15, 170 

Subinacl 83 

Dienste, Angriffe 161 

Abhängigkeiten 383 

Ausspähen/Sniffing 164 

Blaster-Wurm 162, 177, 181 

Denial-of-Service 163 

Fehlkonfiguration 164 

Kennwortkompromittierung 164, Siehe auch Kennwortangriffe 

Nachi-Wurm 162 

Nicht vertrauenswürdige Zertifizierungsstelle hinzufügen 

281 

Offline 425 

Portscan 457 

Private Schlüssel wiederherstellen, nicht autorisiert 285 

Pufferüberlauf 160, 162f. 

Reflektionsangriff 388 

Remoteanmeldungszugriff 164 

Social Engineering 165 

SQL Slammer 181 

Squatting 227 

Unautoritisierte Informationensweitergabe 165 

Verzeichnis 481 

Zertifikatsperrprüfung 276 

Zertifikatsvorlagenmanipulation 280 

Zertifizierungsstelle, Kompromittierung durch Administrator 

284 

Zertifizierungsstellenkonfiguration, Manipulation 279 

Dienste-Konsole 155 

Dienstkonten 

Abhängigkeiten 388 

Active Directory-Rechteverwaltungsdienste (AD RMS) 

304 

Trennen 401 

Dienstname 155 

Dienstprinzipalnamen (SPNs) 153 


Dienstprogramme, ACEs 81 

Dienst-SID 152 

Dienststatus-Feld 157 

Dienststeuerungs-Manager (SCM) 153 

Neue Features 179 

Diese Organisation-SID 73 

Diffie-Hellman (DH) 

Group 19 138 

Group 20 138 

Diffuser 421 

Digestauthentifizierung 31, 490 

Digest-Protokoll 27 

Digitale Signaturen 135 

Digitale Zertifikate 134 

Discretionary Access Control List (DACLs) 59, 90 

Leere und Null 77 

SDDL 78 


.dll-Erweiterung 98 

DLLs 410 

DNS (Domain Name System) Siehe Domain Name System 

(DNS) 

Dokumentbibliotheken 311 

Domain Name System (DNS) 295, 319f. 

Reverse-Lookups 477 

Schreibgeschützt 256 

Server 322, 330 

DOMAIN_ALIAS-RIDs 92 

DOMAIN_GROUP-RIDs 92 

DomainDNSZones 256 

domainName 477 

Domäne, und Gesamtstruktur 389 

Domänen-Admins, Konten 15, 260 

Nutzung einschränken 182 

PKI verwalten 285 

Surfen 465 

Domänenbenutzerkonten 4 


Remoteverwaltung 104 

Domänen-Benutzer-SID 73 

Domänencontroller (DC) 5 

Abgestimmte Kennwortrichtlinien 50 


293 

IPsec 137 

Kommunikationsmuster 397 

RODCs 247 

Schutzwürdigkeit 395 

Sicherheit, Angriffe 380 

Smartcards 20, 38 

UAC 465 

Zugriff durch Angreifer 45 

Domänenfunktionsebene 299 

Domänengruppen 7 

Domänenisolierung 390, Siehe auch Server- und Domänenisolierung 

Domänenlokale Gruppen 7 

Domänenprofil 120, 129, 207 

Domänenrelative RIDs 15 

Download Center, Microsoft 358, 449, 459 

Drahtlosadapter 137


Drahtlosnetzwerkrichtlinie 209 

Druckdienste 323, 330 

Drucker, Subinacl 83 

Dsamain.exe 259 

DsrmAdminLogonBehavior 463 

Dump-Befehl 128 

DWORD 

Ereignisprotokoll 232 


Dynamic DNS 132 

Dynamisch gelinkte Bibliotheken (DLLs) 410 

E 

ECDH (Elliptic Curve Diffie-Hellman) 274 

ECDS (Elliptic Curve Digital Signing) 274 

Edge-Server 437, 443 

Edge-Transportserver 440 

Editor 242 

EFS, und BitLocker 291, 419 

Eigenschaftendatei 356 

Eigenständige Zertifizierungsstellen 273 

EIGENTÜMERRECHTE-SID 85 

Eindämmung Siehe Risikoeindämmung 

Einfache TCP/IP-Dienste 326 

Eingabeaufforderungen 94 

Anhebung 102, 109f. 

Befehl, Updates suchen 364 

Installationserkennung 102 

Updates suchen 364 

weniger bei Dateioperationen 112 

Eingehende Filterung 119, 121 

Eingeschränkte Gruppen 182 

Eingeschränkte SIDs 173 

Eingeschränkte Token 75 

Einmalanmeldung (SSO) 27 

Einschränkungen 

Implementieren 400 

Kommunikation 402 

Ressourcenzugriff 403 

Elliptic Curve Diffie-Hellman (ECDH) 274 

Elliptic Curve Digital Signing (ECDS) 274 

EMS (Enterprise Management System) 345, 388 

enableReverseDns 477 

Encapsulated Security Payload (ESP) 135 

Endian 58 

Enterprise Management System (EMS) 345, 388 

Entschlüsselung 20 


293 

ASP.NET 498 

BitLocker 419 

Entwicklungsumgebung, AD LDS 268 

Epp, Dana 431 

Ereignisanzeige 220, 229, 236 

Ereignis-IDs, Listen 233, 262 


Verbesserungen 220 

Ereignisse 

Analyse 236 

IDs 230, 233 

Neue in Windows Server 2008 230 

Ereignisverfolgungsmodul des Kernels (ETW) 219 

Erkennung interaktiver Dienste 177, 341 

Ersteller/Besitzer-SID 85 

Erzwingungsserver, NAP 141 

ESP (Encapsulated Security Payload) 135 

Ethereal, Netzwerkverkehrsanalyzer 35 

ETW (Ereignisverfolgungsmodul des Kernels) 219 

EventQuery 242 

.exe-Erweiterung 98 

Excel 311 

Exchange Server 8, 30, 346, 433, 436f., 440f. 

Edge-Server 437 

Explorer.exe 92 

Export-Befehl 128 

Extranetauthentifizierungsspeicher 267 

F 

Failover-Clusterunterstützung 324, 331 

BitLocker 426 

Faxserver 322 

Features und Rollen, Server 320 

Federal Information Processing Standards (FIPS) 276 

Federal-Bridge-Signing, Zertifikatsvorlage 283 

Fehlkonfiguration, Angriffe 164 

Ferguson, Niels 421 

File Transfer Protocol (FTP) 29, 40, 116 


über SSL/TS 500 

FILE_xxx-Rechte 64 

FileList-Registrierungsschlüssel 99 

Filesharing 180 

Filterung 

Anforderung, IIS 7.0 495 

Ausgehende 119, 121 

Detaillierte Regeln 119 

Eingehende 119, 121 

Ereignisse, Ereignisanzeige 236 

GPOs, Sicherheit 189 

GPOs, WMI 191 

Plattform, Ereignisse 235 

Fingerabdruck, Authentifizierung 18 

FIPS (Federal Information Processing Standards) 276 

Firewall-Befehl 129 

Firewallclient 95 

Firewalls Siehe auch Windows-Firewall mit erweiterter 

Sicherheit 

Anfänge 115 

Anwendungsschicht 115 

Cougar-Plattform 434f. 

Deaktivieren 455 

Externe 450, 461 

Hostbasierte 11, 116, 135, 450, 461 

ISA 443 

Ports 58 

FireWire 447 

Fitzgerald, Eric 217, 220 

Flashlaufwerke 

Einschränken 204 

Sicherheit 377 

Flexibilität 409 

ForeFront Services für SharePoint 466

ForestDNSZones 256 

Formularauthentifizierung 491 

Forrester 418 

FQDNs (vollqualifizierte Domänennamen) 31 

Frage-Antwort 

Authentifizierung 30, 386 


Knacken 43 

Freigaben, Subinacl 83 

Fremdhersteller 

Managed Services 458 

Software 450 

FRS (Dateireplikationsdienst) 412 

FTP (File Transfer Protocol) 29, 40, 116 

FTP über SSL/TS 500 

FTP-Server 500 

Full Disclosure-Mailingliste 352 

FullPrivilegeAuditing 226 

Full-Volume Encryption Key (FVEK) 421 

Funktionen, unidirektional 22 

FUS (Schnelle Benutzerumschaltung) 113 

FVEK (Full-Volume Encryption Key) 421 

G 

GAP (Granular Audit Policy) 223 

Gäste, und authentifizierteBenutzer 10 

Gastkonto 5, 10 

RID 14f. 

Geerbte Berechtigungen 83 

Gefahrenmodelle 393 

Gefilterte Token 72, 91 

Verknüpfte 105 

Gefilterter Attributsatz 253 

Geheimnisse 20 


292 

Dokumente 292 

Kennworthashwerte 45 

Umkehrbar verschlüsselte Kennwörter 27 

Gehostete Messagingserver 441 

Gehostete Server 438 

Gemeinsame Sitzungsschlüssel 37 

Genehmigte Nutzung, Richtlinien 452 

Generic Filter Engine (GFE) 117 

Generische Berechtigungen 63 

Geräteeinschränkungen 204 

Geringstmögliche Privilegien 166, 180, 182 

Gesamtstruktur, Sicherheit 389 

Geschützte Objekte 58 

Gesetze 312 

Gestaffelte Verteidigung, Architektur 11, 118, 146, 378 

Glass, Eric 35 

Glenn, Walter 441 

Global System for Mobile-Kommunikation (GSM) 38 

Globale Gruppen 7 

Globale Überwachungsrichtlinie 264 

Gopher 116 

GPC (Gruppenrichtliniencontainer) 195 

GPO Siehe Gruppenrichtlinienobjekte 

GPSI (Gruppenrichtlinien-Softwareinstallation) 113 

GPT (Gruppenrichtlinienvorlage) 195, 197 


Gpupdate /force 374 

Granular Audit Policy (GAP) 223 

Greenemeier, Larry 430 

Grimes, Roger A. 151, 459 

Groß-/Kleinschreibung 

LM-Hash 22 

Gruppen 

als SIDs 7 

Anmeldung 10 

Verschachtelt 7 

Gruppenrichtlinien 28, 185f. 


309 

Anmeldung, Anhebung 107 


BitLocker 421 

Computerkonfigurationseinstellungen, Risiken und Vorteile 

211 

Eingeschränkte Gruppen 182 

Kennwortverwaltung 49 

Kleine Unternehmen, Einstellungen 459 

LAN Manager-Authentifizierungsebene 32 

Sicherheitseinstellungen verwalten 211 


UACs 91, 108 

Verarbeitung 193 

Verfahrensempfehlung 460 

Versionskontrolle 195 

Windows Server 2008/Vista, Änderungen 185, 197 

Windows-Firewall 122, 130 


Gruppenrichtliniencontainer (GPC) 195 

Gruppenrichtlinienobjekte 

Lokale Siehe Lokale Gruppenrichtlinienobjekte (LGPOs) 

Gruppenrichtlinienobjekte (GPOs) 186 

Active Directory 187 

Filterung 189, 203 

Kommentare 200 

Sicherheitskonfigurations-Assistent 345 

Starter 199 

Versionen 195 

Vertrauenswürdige Stammzertifizierungstellen 281 

WSUS-Bereitstellung 366 

WSUS-Clientkonfiguration 373 

Zertifizierungsstelle, Manipulation 279 

Gruppenrichtlinien-Softwareinstallation (GPSI) 113 

Gruppenrichtlinienverwaltung 324 

Gruppenrichtlinienverwaltung-Konsole 189 

GPO-Sicherheitsfilterung 189 

Gruppenrichtlinienvorlage (GPT) 195, 197 

GSM-Kommunikation (Global System for Mobile) 38 

GUI-Kennwortverwaltungstools 54 

Gültigkeitsbereich, Konten 400 

H 

Halloween-Dokumente 292 

Handle 227 

Hardwaresicherheitsmodule (HSMs) 276, 287f. 

Hashing 20 

Angriffe 43, 385 

Kennwortangriffe 40


Hashing (Fortsetzung) 

LM-Hash 22 

NT-Hash 24 

Pass-the-Hash-Angriffe 45 

Saltwerte 21 

Hauptbenutzer, Berechtigungen 85 

Hauptmodus, IPsec 133 

HCAP (Host Credential Authorization-Protokoll) 141 

Health Insurance Portability and Accountability Act (HIPAA) 

429 

Heimcomputer, NAP 146 

Hersteller, Verfahrensempfehlungen 454 

Hertel, Christopher R. 35 

highestAvailable-Stufe 101 

Hintergrundverarbeitung 193 

HIPAA (Health Insurance Portability and Accountability Act) 

429 

HKLM\SOFTWARE 99 

HMAC-MD5 34 

Host Credential Authorization-Protokoll (HCAP) 141 

HOST-Befehl 500 

Hostheader, Sicherheit 479 

Hostnamen, Kerberos 36 

Howard, Michael 495, 501 

HRA (Integritätsregistrierungsstelle) 136, 141 

HSMs (Hardwaresicherheitsmodule) 276, 287f. 

HTTP (Hypertext Transfer Protocol) Siehe Hypertext Transfer 

Protocol (HTTP) 

HTTPS (Secure Hypertext Transfer Protocol) 116 

Hubtransportserver 440 

Hynes, Byron 405 

Hypertext Transfer Protocol (HTTP) 29, 116, 476 

Base-64-Kodierung 486 

Hostheader 479 

HTTP.SYS-Treiber 495 

IPv4 476 

IPv6 476, 500 

Komprimierung 408 

über SSL/TLS 479 

Hyper-V 410 

I 

IAS (Internet Authentication Server) 140 

IBM, OS/2 22 

Icacls 82 

ICMP (Internet Control Message Protocol) 120 

ICT (Aufgaben der Erstkonfiguration) 333 

IDC 407 

Identität des Anwendungspools 486 

Identitätsbasierte Zugriffssteuerung 89 

Identitätssysteme 

Konsolidieren 267 

Lösung erstellen 269 

Identity Integration Feature Pack (IIFP) 267 

Identity Integration Server, Microsoft (MIIS) 267 

IDs 7 

Dienste 11 

Relative 13–15 

IEE 802.1x 141, 145, 209 

IFM (Install From Media) 258, 269 

IIFP (Identity Integration Feature Pack) 267 

IIS (Internetinformationsdienste) Siehe Internetinformationsdienste 

7.0 (IIS 7.0) 

IKE (Internet Key Exchange) 116, 134 

IMAP 29 

Import-Befehl 128 

Improved Cacls (Icacls) 82 

Indiskretionen 292 

Infopath 311 

Information Rights Management (IRM) 294 

Infrastruktur für öffentliche Schlüssel (PKI) 38, 134, 273 

Rollentrennung, Verfahrensempfehlungen 288 

Sicherheitsstufe 4 284 

Windows Server 2008 274 

Infrastrukturoptimierung (IO) 409 

Install From Media (IFM) 258, 269 

Installation 

Erkennung 101, 109 

Standardbenutzer 113 

Integrierte Gruppen 7 

Bekannte RIDs und SIDs 15 

Integrierte Sicherheitskonten 108 

Integrierte Windows-Authentifizierung 484 

Integrität 

Beschriftungen 76 

Überprüfen, BitLocker 423 

Integritätsebenen 

Einstellen 82 

UIAccess-Anwendungen 109 

Verbindliche 177 

Integritätsregistrierungsstelle (HRA) 136, 141 

Integritätszertifikate 136 

Intelligenter Hintergrundübertragungsdienst 358 

Intel-Prozessoren 58 

Interaktive Anmeldung, Einstellungen 460 

Interaktiv-Gruppe 10 

INTERAKTIV-SID 73 

Interne Windows-Datenbank 295, 302, 320, 327, 367 

Installation 368, 370 

Internet 

Anfänge 116 

Dynamisch und statisch 472 

Zugriffsrichtlinien 444, 450 

Internet Authentication Server (IAS) 140 

Internet Control Message Protocol (ICMP) 120 

Internet Explorer 276, 331, 410 

Geschützter Modus 108, 110, 464 

Kill-Bits 354 

Internet Key Exchange (IKE) 116, 134 

Internet Protocol Security (IPsec) 116, 133 

Active Directory-Rechteverwaltungsdienste 291 

Akronyme, Liste 147 

Authentifizierte Umgehung 121 

Ereignisse 235 

Erzwingungsmethoden 141, 145 

Integration 121 

Kommunikationseinschränkungen 402 

Konfiguration, Gruppenrichtlinien 208 

Netzwerkisolierung 183, 398 

Richtlinie 135f. 

TCP/IP 411 

Windows Server 2008, Verbesserungen 135

Internet Protocol-Adresse Siehe IP-Adresse 

Internet Relay Chat (IRC) 40 

Internet Security and Acceleration Server (ISA) 30, 436 

Firewall 443 

Internetdruckclient 324 

Internetinformationsdienste (IIS) 31, 41, 323, 330 

AD FS 271 

Subinacl 83 

Versionen 433 

Internetinformationsdienste 7.0 (IIS 7.0) 500 

Anonyme SID 472 


IIS_IUSRS-Benutzergruppe 472 

Internetinformationsdienste-Manager 474 

IUSR, anonyme Benutzer 472 

Konfigurieren 473 

Neue Features 472f. 

Pfadbasierte Sicherheit 480 


TCP/IP-basierte Sicherheit 476 

XCOPY 472 

INTERNET-SID 84 

IO (Infrastrukturoptimierung) 409 

ipAddress 477 

IP-Adresse 320 

Bereiche 137 

IIS 7.0 476 

Intern und extern 476 

Kerberos 36 

LM/NTLM 31 

Remotezugriff 455 

IPsec (Internet Protocol Security) Siehe Internet Protocol 

Security (IPsec) 

ipSecurity 477 

IPv4 137, 476 

IPv6 121, 137, 476, 500 

RRAS 131 

IRM (Information Rights Management) 294 

ISAKMP 134 

ISA-Server (Internet Security and Acceleration) Siehe Internet 

Security and Acceleration Server (ISA) 

iSNS (Internet Storage Name Server) 324 

Isolierungsstrategie 398 

J 

Jeder-Gruppe 10 

Token 72 

Joeware net 54 

Johansson, Jesper M. 3, 17, 22, 57, 149, 167, 319, 377, 404, 

430, 459, 482 

Jones, Alun 471 

Jones, Jeff 179 

K 

Kabelnetzwerkrichtlinie 208 

KDC Siehe Schlüsselverteilungscenter (KDC) 

Kennwort 55 

als Authentifizierer 18 

Ändern 454 

Angriffe Siehe Kennwortangriffe 

Anmeldung von Dienstkonten 154 


Kennwort (Fortsetzung) 

Benutzerdefinierte Dienste 181 

BIOS 287 

Datei 21 

Kontosperrung 457 

Länge 454 

Leere 42, 287, 330 

LM-Hash 22 

Passphrasen 48, 450 

Replikationsrichtlinie 254 

Richtlinien 49, 143, 181, 450, 452 

Schutz 46 

Smartcards 38 


Umkehrbar verschlüsselt 27 

Verifizierer 25 

Verwaltung 47 

Wiederherstellung, BitLocker 425 

Kennwortangriffe 39, 55 

Arbeitsspeicher 27 

Hashangriffe 43, 385 

Kennwortlänge 46 

Kennwortverifizierer 25, 106 

Knacken von Kennwörtern 43 

Kompromittierung 164 

LM-Hash 24 

Man-in-the-middle 35, 132, 164 

Pass-the-Hash 45 


Kennwortreplikationsrichtlinie 413 

Kennwortverwaltungstools, GUI 54 

Kerberos 30, 36 

Active Directory 31 

AD DS 254 

Anmeldeinformationen 136 

Anmeldekonten 154 

IPsec 134 

Ticket Granting Service (TGS) 37 

Ticket Granting Ticket (krbtgt) 14, 37, 254 

Kernnetzwerkeinstellungen 461 

Kernobjekte 58 

Subinacl 83 

Überwachungsrichtlinien 228 

Key Distribution Center Siehe Schlüsselverteilungscenter 

(KDC) 

Kioskcomputer 388, 456 

Klark, Khalid 418 

Klartext 20, 421 

Kennworthashwerte 44f. 


Klassen 7 

Klassifizierungsschema, Server- und Domänenisolierung 390 

Kleinbuchstaben Siehe Groß-/Kleinschreibung 

Kleine Unternehmen 429, 468 

Multi-Rollen-Server 439 


Server, Budget 430 


Knowledge Base, Microsoft 11, 451, 468 

Kommentare, GPO 200 

Kommunikationseinschränkungen 402


Kompatibilität 

ACEs 81 

Anwendung 100, 112 

UAC und Prä-Windows Vista 107 


Konfigurationsdateien, IIS 7.0 475 

Konfigurationsspeicher 268 

Konten, Gültigkeitsbereich minimieren 400 

Kontenorganisation 270 


Kostenkontrolle 409, 430 

Kryptografie 20 

Algorithmen 132, 138 

Ereignisse 235 

Isolierung 412 

Signatur 425 

Windows-Firewall 138 

L 

L2TP/IPsec 131 

Langsame Verbindung 

Erkennung 186 

Verarbeitung 194 

LAN-Manager 22, 31 

Authentifizierungsebene 32 

LanManager, unidirektionale Funktion Siehe LM-Hash 

Lastausgleich 137, 279, 288 

LDAP (Lightweight Directory Access Protocol) 31, 260, 

413 

LDIF (Lightweight Data Interchange Format) 269 

LeBlanc, David 495, 501 

Leere Kennwörter 42, 287, 330 

Leere und Null-DACLs 77 

Leerschlüssel 423 

Legacyanwendungen 463 

Leistung 


Serverrollen/Dienste 328 

Leistungsindikatoren 138 

Leseeinschränkung 75 

Lesezugriff, Active Directory-Rechteverwaltungsdienste 

(AD RMS) 294 

LGPOs (Lokale Gruppenrichtlinienobjekte) 186 

Lightweight Data Interchange Format (LDIF) 269 

Line-Of-Business-Anwendungen 108, 408, 431 

Akzeptable Rollen 440 



Little-endian-Betriebssystem 59 

Lizenzierungsserver 296 

LM/NTLM 30f. 

Ereignisanzeige 232 

LMCompatibilityLevel 32, 35 

LM-Hash 22 

LMOF Siehe LM-Hash 

LOB-Anwendungen (Line-Of-Business) Siehe Line-Of- 

Business-Anwendungen 

Local Security Authority (LSA) 219, 253 

Local Security Authority Sub-System (LSASS) 29 

Logon-SID 73 

LogonUI 29 

Lokale Administratoren, Gruppe 94 


Suchen nach Sicherheitsupdates 363 

Windows Update 359 

Zertifizierungsstelle, Manipulation 279 

Zertifizierungsstelle, Schlüsselpaarkompromittierung 275 

Lokale Benutzerkonten 4 


Lokale Gruppen 7 

Lokale Gruppenrichtlinienobjekte (LGPOs) 186 

Lokale Sicherheitsrichtlinie, Editor 108, 279 

LOKALER DIENST-Konto 152 

Lokales Systemkonto 152, 182 

Privilegien 168 

LOKAL-SID 73 

LPR-Portmonitor 324 

LSA (Local Security Authority) 219, 253 

LSASS (Local Security Authority Sub-System) 29 

Luafv.sys 98 

M 

MACLs (Mandatory ACLs) 60 

Mailboxserver 440 

Malware 11, 39, 91, 102, 113, 117f., 121, 161, 165, 377, 424, 

442 

Antimalwaresoftware 465 

Managed Services 457 

Fremdhersteller 458 


Manifeste 100 

Man-in-the-middle-Angriffe 35, 132, 164 

MBSA (Microsoft Baseline Security Analyzer) 362 

Mbsacli.exe 364 

MD5-Hash 31 

Melber, Derek 199 

Message Queuing 324 

Messaging-Hygiene-Technologien 437 

Methoden, IPsec 135 

Microsoft 

Baseline Security Analyzer (MBSA) 362 

Bedrohungen und Gegenmaßnahmen 459 

Customer Service and Support (CSS) 358 

Developer Network 181 

Download Center 358, 449, 459 

Exchange Server Siehe Exchange Server 

Firewallclient 95 

ForeFront Services für SharePoint 466 

Identity Integration Feature Pack (IIFP) 267 

Identity Integration Server (MIIS) 267 

Informationsquellen 114, 149, 165, 179f., 184, 192, 215, 

223, 225, 228, 265, 281, 289, 315, 339, 351, 354f., 375f., 

398, 404, 410, 427, 432, 438, 442, 445, 449, 459, 465, 

468, 501 

Internet Security and Acceleration Server (ISA) 30, 436, 

443 

Knowledge Base 11, 451, 468 

LM-Hash, Versionen 22 

Office 2003 311 

Office 2007 311 

Office, IRM (Information Rights Management) 294 

Operations Management (MOM) 457

Microsoft (Fortsetzung) 

Produktlebenszyklen, Service Pack-Roadmap 445 

Report Viewer Redistributable 2005 368 

Script Repository 358 

Secure Development Lifecycle (SDL) 437, 443 

Security Response Center (MSRC) 351 

Small Business Server-Website 435 

Software-Installer-Dienst (MSI) 113 

Solution Accelerator Team 81 

System Center Configuration Manager 179, 375 

System Center Essentials (SCE) 351, 355, 374, 437, 457 

System Center Remote Operations Manager 457 

System Center Service Manager 355 

Systems Center 345 

Systems Management Server (SMS) 179 

TechNet 108, 230, 261, 352, 409, 411, 425, 453, 468 

Technical Security Notifications 351 

Update-Katalog 358 

Updates 181 

Update-Website 359 

Verwaltungskonsole (MMC) 95, 101, 118, 123, 259, 

366 

Microsoft Windows Server 2008-PKI 273 

MIIS (Microsoft Identity Integration Server) 267 

Militärisches Klassifizierungsschema 391 

MMC (Microsoft Management Console) 95, 101, 118, 123, 

259, 293, 366 

MOM (Operations Management) 457 

Monitor-Befehl 129 

Morello, John 146 

Morris-Wurm 115 

Moses, Wole 114 

Mozilla Firefox 351 

MS-CHAP 451 

msDS-AuthenticatedToAccountList 256 

msDS-Kennwortrichtlinien 53 

msDS-NeverRevealGroup 256 

msDS-RevealedList 256 

msDS-Reveal-OnDemandGroup 256 

Msg.exe 160 

MSI (Microsoft Software-Installer-Dienst) 113 

MSRC (Microsoft Security Response Center) 351f. 

MSU-Datei 356f. 

Windows-Abbilddatei 357 

Multipfad-E/A 325, 331 

Multi-Rollen-Server 346, 439, 468 

Einstellungen 451 

N 

Nachi-Wurm 162 

Nachrichtenhosting 441 

Named Pipes 154, 165 

Nameserver (NS) 256 

Namespaces 84 

NAP (Netzwerkzugriffsschutz) Siehe Netzwerkzugriffsschutz 

(NAP) 

NAT (Network Address Translation) Siehe Network Address 

Translation (NAT) 

National Institute of Standards and Technology (NIST) 284 

National Security Agency (NSA) 274 

NDES (Registrierungsdienst für Netzwerkgeräte) 274 


NDF (Netzwerkdiagnose-Framework) 132 

.NET Framework 320, 324, 410 

NET SEND-Befehl 160 

Net.msmq 154 

Netsh advfirewall cinsec add-Befehl 398 

Netsh.exe 118, 128 

Network Access Control, Cisco 141 

Network Address Translation (NAT) 131 

IPsec 135 

Network Location Awareness Siehe NLA (Network Location 

Awareness) 

Netzlaufwerkzuordnung 104 

Netzwerkbedrohungsmodellierung 393 

Netzwerkdiagnose-Framework (NDF) 132 

Netzwerkdienst-Konto 152 

Netzwerk-Gruppe 10 

Netzwerkisolierung 183 

Netzwerkkommunikationsmuster 397f. 

Netzwerklastenausgleich 279, 325, 331 

Netzwerkprofile 129 

Netzwerkrichtlinie, Kabel und Drahtlos 208 

Netzwerkrichtlinien- und Zugriffsdienste 323 

Netzwerkrichtlinienserver (NPS) 140 


Netzwerksicherheit 377, 403 

Sicherheitsabhängigkeiten 380, Siehe auch Sicherheitsabhängigkeiten 

Netzwerkstandort-SIDs 84 

Netzwerkzugriff, einschränken 175 

Netzwerkzugriffsschutz (NAP) 126, 139 

Administrationsserver 141 

Akronyme 140, 147 

Architektur 139 

Erzwingungsclients 143, 466 

Erzwingungsserver 141 

Implementierung 143 

Integritätszertifikate 136 

Kleine Unternehmen 466 

Nachrichtenpfade 144 

RRAS 131 


Szenarien 146 

Next-Generation-TCP/IP-Stack 410 

NIST (National Institute of Standards and Technology) 284 

NLA (Network Location Awareness) 129 

Langsame Verbindung 194 

Nonce 31, 490 

None-SID 73, 173 

Northrup, Tony 467 

Notebooks, NAP 146 

Notfallwiederherstellungsplan 450 

NPS (Netzwerkrichtlinienserver) Siehe Netzwerkrichtlinienserver 

(NPS) 

NS (Nameserver) 256 

NSA (National Security Agency) 274 

NT-AUTORITÄT\Dienst-SID 170 

NTBackup 446 

Ntdsutil.exe 258 

NT-Hash 24 

NTLM 30f. 

Ereignisanzeige 232


NTLM v2 32 

Anmeldeinformationen 136 


NTLM++ 35 

NTOWF 24 

Null-DACLs 77 

Nutzungsabhängigkeiten 385 

O 

Oakley 134 

Objekte 3, 57, Siehe auch Zugriffssteuerung 

Besitzer ändern 82 

Geschützte 58 

Löschen 83 

Rechte, Liste 65 

Subjekt/Objekt/Aktion 3 

Zugriffsereignisse 233 

Objekt-Manager 219 

Objektorientierte Programmierung 7 

Objektzugriffsversuche, Ereignisse 219 

OCList.exe 330 

OCSetup.exe 330, 419 

OCSP (Online Certificate Status-Protokoll) Siehe Online 

Certificate Status-Protokoll (OCSP) 

Oechslin, Philippe 43 

Öffentliches Profil 120, 207 

Office Word 2007 309 

Offlineangriffe 425 

Offlinedateien 402 

Offlinezertifizierungsstellen 287 

Online Certificate Status-Protokoll (OCSP) 274 


Zertifikatsperrung 277 

Operations Management (MOM) 457 

Ophcrack 43 

Oracle 351 

Organisation Siehe Kleine Unternehmen 

Organisations-Admins 260 


Zertifikatsvorlagen, Manipulationsangriffe 280 

Organisationsdiagramm-Klassifizierungsschema 393 

Organisationseinheit (OU) 249 

Outlook 2007 442 

Outlook Anywhere 438, 442, 456 

Outlook Web Access (OWA) 2007 442 

Outsourcing 455 

P 

Pakete 117 

Anfänge 115 

IPsec 133 

Paketmanager 357 

PAP (Password Authentication Protocol) 29 

Passgen-Tool 482 

Passphrase 48, 450 

Password Appraiser 43 

Password Authentication Protocol (PAP) 29 

Password Safe 19, 48 

Password Settings Container (PSC) 51 

Password Settings Objects (PSOs) 51 

Vorrang 55 

Patchverwaltung 349, 376 

Aufwand 445 

Phasen 349 


Tools 358 

Payment Card Industry Data Security Standards (PCI/DSS) 

429 

PCR (Platform Configuration Register) 423 

Peer Name Resolution-Protokoll 325 

Peer-to-Peer-Filesharing 165, 180 

Penn, Jonathan 418 

Persönliche Daten 394 

Pfadbasierte Sicherheit, IIS 7.0 480 

PID (Prozess-ID) 232 

PIN-Code 38 

BitLocker 422, 426 

Pkgmgr.exe 357, 419 

PKI (Infrastruktur öffentlicher Schlüssel) Siehe Infrastruktur 

öffentlicher Schlüssel (PKI) 

Platform Configuration Register (PCR) 423 

POP 29, 40 

Popupdialogfelder 119 

Portregeln 124 

Ports 

Alternative 444 


Hostheader, Sicherheit 479 

Internetzugriffsrichtlinien 444, 450 

Listener 154 

Port 80 479 

Port 443 479 

Port 8080 479 

Scan 450, 457 

Sicherheit, IIS 7.0 479 


Statische IP 450 

POSIX 59 

PowerGUI 54 

PowerPoint 311 

PowerShell 54, 327, 358 

PPP-Verkehr 131 

Private Schlüssel 

Archivieren 280, 285 

Wiederherstellung 285 

Privates Profil 120, 207 


Ändern, Risiken 89 

Benutzer 85 

Deaktiviert/aktiviert, Anmeldekonten 168 


Eingeschränkte, UAC 93 

Geringstmögliche Siehe Benutzerkontensteuerung 

(UAC) 

Liste 86, 166 

Rechte 167 

Token 72 

Verwalten 402 

Process Explorer 86 

Dienstprivilegien 169 


Produktlebenszyklen, Service Pack-Roadmap 445

Programmierschnittstelle (API) 40, 75 

Dienste, geänderte 178 


Programmregeln 124 

Prosch, Marilyn 455 

Prozesse 58 

Subinacl 83 

Prozess-ID (PID) 232 

Prüfsumme 20 

PSC (Password Settings Container) 51 

PSOs Siehe Password Settings Objects (PSOs) 

Pufferüberlaufangriffe 160, 162f. 

Q 

Quakenbush, Gerals 43 

Quarantäne 466 

QWAVE 331 

R 

RA (Remoteunterstützung) Siehe Remoteunterstützung (RA) 

RADIUS (Remote Authentication Dial-In User Service) 140 

Rainbow Crack 44 

Rainbow-Table-Angriffe 44 

RAM, Windows Server 2008-Versionen 432 

RBAC (Rollenbasierte Zugriffssteuerung) 89 

RD (Remotedesktop) Siehe Remotedesktop (RD) 

READ_CONTROL-Recht 64 

Rechte 

Benutzer 85 

Besitzer 85 

Objektspezifische 64 


Sicherheitshärtung, Risiken und Vorteile 211 

Standard 63 

Rechteverwaltung Siehe Active Directory-Rechteverwaltungsdienste 

(AD RMS) 

Reflektionsangriffe 388 

Regeln, Sicherheit 

Ausgehende 130, 175, 207 

Eigenschaften 125 

Eingehende 207 

Eingeschränkter Netzwerkzugriff 175 

IPsec 135 

Typen 123 

Umgehung 138 

Verbindung 137 

Registerkarte Allgemein, Dienste-Konsole 155 

Registrierungs-Agent, Einschränkung 283 


Registrierungsdienst für Netzwerkgeräte (NDES) 274 

Registrierungs-Editor 103 

Registrierungsschlüssel 99 

Subinacl 83 

Registrierungsvirtualisierung 98f. 

Relative IDs (RIDs) 13f. 

Bekannte, domänenrelative 15 


Remote Web Workplace 434, 436, 451, 457, 467 

Remoteanmeldung, Angriffe 164 

Remotedesktop (RD) 103, 436, 452, 467 



Remotedifferenzialkomprimierung 325 

Remoteregistrierung 458 

Remoteserver-Verwaltungstools 325, 419 

Remotestandorte Siehe Zweigstellen 

Remoteunterstützung (RA) 103, 112, 325, 452 

Einschränkungen, UAC 104 



Remotezugriff 

Hersteller 455 

Kioskcomputer 456 


Mobility 456 


Replikation 412 

Replikation, Attribute 253 

Report Viewer Redistributable 2005 368 

Request für Comment (RFC) 2617 490 

requestedExecutionLevel-Stufe 101 

requireAdministrator-Stufe 101 

RequiredPrivileges-Registrierungsschlüssel 168 

Reset-Befehl 128 

Ressource 

Zugriffseinschränkungen 403 

Ressourcenorganisation 270 

Revisor 285 

RFC (Request für Comment) 2617 490 

Richtlinien 452 


298, 309 

Drahtlos/Kabelnetzwerk 208 

Genehmigte Nutzung 452 

Internetzugriff 444, 450 

IPsec 135f. 

Kennwort 49, 143, 181, 254, 450, 452, 457 

Netzwerk 208 

Überwachung 221, 264 

Unternehmenssicherheit 401, 452 

Windows-Firewall 235 

Zertifizierungsstellen 286 

RIDs (relative Bezeichner) Siehe Relative Bezeichner 

(RIDs) 

Riley, Steve 122, 149, 442 

Risikobewertung 431 

Arbeitsstationen 442 

Berechnung 431 

Serverrollen 441 

Risikoeindämmung 

Gehostete Messagingserver 441 

Security Development Lifecycle (SDL) 443 

RMS-Server 300 

RODCs (Schreibgeschützte Domänencontroller) Siehe 

Schreibgeschützte Domänencontroller (RODCs) 

Rollen und Features, Server 320 

Rollenbasierte Zugriffssteuerung (RBAC) 89 

Rollentrennung 417, 455 

Rootkits 424 

Router 476 

Routing- und RAS-Dienste (RRAS) 130 


RPC/HTTPS 29


RPC-Schnittstelle 117 



RPC-über-HTTP-Proxy 326, 438, 441 

RRAS (Routing- und RAS-Dienste) Siehe Routing- und RAS- 

Dienste (RRAS) 

RSA Secure ID 18, 454, 456 

RSAT-BitLocker 419 

Russinovich, Mark 114 

S 

SACLs (Systemzugriffssteuerungslisten) Siehe Systemzugriffssteuerungslisten 

(SACLs) 

Saltwerte 21, 44 

SANS 

Internet Storm Center 352 

Sicherheitsrichtlinienprojekt 452 

Sarbanes-Oxley 312 

SAS (Secure Attention Sequence) 29, 110 

SAS 70 438 

sc showsid-Befehl 15 

Sc.exe 169, 179, 181 

SC-Befehlszeilenprogramm 83 

SCE (Sicherheitskonfigurations-Editor) 70, 78 

SCE (System Center Essentials) 351, 355, 374, 437, 457 

SCEP (Simple Certificate Enrollment-Protokoll) 274 

SChannel-Protokoll 451 

Schema, AD DS 265f. 

Schemamaster 254 

Schildsymbol 97 

Schlüssel 

AMK 420 

ASP.NET 498 

Auto-Unlock 420 

BitLocker 421 

Computer 498 

FVEK 421 

Leer 423 

Paare 275, 288 

Private 280, 285 

Registrierung 83, 99 

Sitzung 37 

Start 423, 426 

Versiegeln 423 

Vorinstallierte 134 

Schlüsselmodule, Hardwarebasierte 287 

Schlüsselpaare 

Kompromittierung 275 


Schlüsselverteilungscenter (KDC) 37 

Anmeldeinformationen, Cache 254 


Schlüsselwiederherstellungs-Agent 279, 285 


Schlüsselwort, Installationserkennung 101 

Schneier, Bruce 119 

Schnelle Benutzerumschaltung (FUS) 113 

Schnellmodus, IPsec 133 

Schreibeinschränkung 75 

Schreibgeschützte Domänencontroller (RODCs) 247, 252 


Datenbank 253 

Gefilterter Attributsatz 253 

Installation 257 

Schreibgeschütztes DNS 256 

Unidirektionale Replikation 254 


Schreibgeschütztes DNS 256 

Schwache Kryptografie 132 

SCM (Dienststeuerungs-Manager) Siehe Dienststeuerungs- 

Manager (SCM) 

Scorpion Software 454, 456 

Script Repository 358 

Scruggs, Seth 278 

SCW (Sicherheitskonfigurations-Assistent) 180, 319, 336 

SDDL (Security Descriptor Definition Language) Siehe 

Security Descriptor Definition Language (SDDL) 

SDK (Software Development Kit) 67 

SDL (Secure Development Lifecycle) 437, 443 

searchFlag-Eigenschaft 265 

Secure Attention Sequence (SAS) 29, 110 

Secure Development Lifecycle (SDL) 437, 443 

Secure Hypertext Transfer Protocol (HTTPS) 116 

Secure Socket Layer (SSL) 276, 434 

IIS 7.0 493 

v2 451 

VPN 131 

Secure Socket Tunneling Protocol (SSTP) 131 

Security Descriptor Definition Language (SDDL) 78 

ACE-Flags 62 

Anzeigen 83 

Steuerflags 59 

Security Response Center, Microsoft (MSRC) 351 

Security Service Provider Interface (SSPI) 253 

Security Support Provider (SSP) 36 

SecurityScans-Ordner 364 

Seki, Hidenobu 35 

Se-Privilegien 


Liste 86, 166 



Auswahl 431 

Datensicherung 411 

Diebstahl 424 

Gehostete 438 

Konfiguration Siehe Serverkonfiguration 

Rollen Siehe Serverrollen 

UAC 465 

Wiederherstellung 446 

Server Core 151, 328, 410 

BitLocker-Installation 419 

Entfernte Dienste 331 

Features, unterstützte 331 

Leistung 331 

Rollen, unterstützte 330 

Server Message Block (SMB) 41, 411 

Server- und Domänenisolierung 378, 389

Serverfarm 498 

Serverkonfiguration, Kleine Unternehmen 459 

Antivirus/Antispyware 465 

DsrmAdminLogonBehavior 463 

Legacyanwendungen 463 

NAP 466 

UAC 464 

Überwachung ein/ausschalten 464 

Server-Manager 335, 368 

BitLocker-Installation 419 

ServerManagerCmd.exe 330, 334, 368 

Serverrollen 319, 346 

Active Directory-Rechteverwaltungsdienste 293, 295, 300 

Entstehung 328 


Multi-Rollen-Server 346, 439 



Sicherheitskonfigurations-Assistent (SCW) 336 

Verwaltungstools 333 

Serververwaltungs-Assistent 333 

Service Level Agreements (SLAs) 458 

Service Packs Siehe Patchverwaltung; Sicherheitsupdates 

Services msc 155 

Set-Befehl 128 

SHA (Shivest Hash-Algorithmus) 274 

Shadow-Kennwortdatei 21 

SharePoint 311 

SHAs (Systemintegritätsagenten) 142 

Shims 100, 112 

Shivest Hash-Algorithmus (SHA) 274 

Show-Befehl 128 

SHVs (Systemintegritätsprüfungen) 140, 142 

Sichere Programmierung 473 

Sichere Tastenkombination 110 

Sicherer Desktop 102, 110f. 

Sicherheit, kleine Unternehmen Siehe Kleine Unternehmen 

Sicherheit, Netzwerk Siehe Netzwerksicherheit 

Sicherheitsabhängigkeiten 380 

Akzeptable 381 

Angriffsanalyse 383 

Eindämmen 389 

Inakzeptable 381 

Typen 385 

Sicherheitsbeschreibungen 58, 265 

SIDs 69 


Sicherheitsereignisprotokoll Siehe Ereignisprotokoll 

Sicherheitsfilterung, GPOs 189 

Sicherheitsgruppen 7 

Sicherheitshärtung 448 

Checkliste 450 

Risiken und Vorteile 211 

Sicherheits-IDs (SIDs) 3, 12 

Anonym 472 

Autoritäten 13 

Bekannte 15 

Dienst 15 



Sicherheits-IDs (SIDs) (Fortsetzung) 

Eingeschränkte Token 75 


Ersetzen 82 

Komponenten 13 

Netzwerkstandort 84 

Schreibeinschränkung 173 

SDDL 78 

Sicherheitsbeschreibungen 69 

Token 71 

Sicherheitskonfigurations-Assistent (SCW) 180, 319, 336 

Sicherheitskonfigurations-Editor (SCE) 70, 78 

Sicherheitskontenverwaltung (SAM) 4, 253 

LM-Hash 22 

Subinacl 83 

Sicherheitsleitfäden 379 

Sicherheitsprinzipale 3f. 

Typen 4 

Sicherheitsregeln erstellen, Windows-Firewall 124, 137 

Sicherheitsrichtlinie des Unternehmens 401, 452 

Sicherheitsstufe 4, PKI 284 

Sicherheitstoken 71 

Sicherheitsupdates 288, Siehe auch Patchverwaltung 

Aufwand 445 

Elemente 353, 357 

Multi-Rollen-Server 445 

Nicht-Microsoft 352, 355, 357, 375 

Priorität 353 

Suchen 363 

Testen 353, 355 

Websites 351 

Sicherheitsvorfälle 430 

Sicherheitszuordnungen (SAs) 137 

SIDs (Sicherheits-ID) Siehe Sicherheits-ID (SIDs) 

Signierte Treiber 432 

Simple Certificate Enrollment-Protokoll (SCEP) 274 

Simple Network Management Protocol (SNMP) 326, 331 

Single Loss Expectancy, Risikoberechnung 430 

Sitzung-0-Isolierung 177 

Sitzungszustand, ASP.NET 498 

SKEME 134 

SLAs (Service Level Agreements) 458 

Small Business Server-Website 435 

Smartcard 

Authentifizierung 20, 38 

Registrierung, Einschränkung 283 

Smartcardanmeldung, Zertifikatsvorlage 283 

Smartphones 456 

SMB (Server Message Block) 41, 411 

SMS (Systems Management Server) 179, 309 

SMTP-Server 326, 328 

Snapshot-Viewer 259 

Sniffing/Ausspähen, Angriffe 164 

SNMP (Simple Network Management Protocol) 326, 331 

Social-Engineering-Angriffe 165 

Software Development Kit (SDK) 67 

Software Update Services/Windows Server Update Services 

(SUS/WSUS) 162 

Software, Fremdhersteller 450


Software-Installer-Dienst, Microsoft (MSI) 113 

Softwareupdates Siehe Patchverwaltung; Sicherheitsupdates 

SoH (Statement of Health) 140 

SoHR (Statement of Health Response) 140 

Soluk, Kirk 345 

Solution Accelerator Team 81 

Sosnosky, Lara 337 

Spam 118 

SpecCops 453 

Speichermanager für SANs 326 

Spezialidentitäten 9 

SPNs (Dienstprinzipalnamen) 153 

Spoofing 102, 110 

Spyware 39 

SQL Server 295, 440 

SQL Slammer-Angriff 181 

Squatting-Angriffe 227 

SSL (Secure Socket Layer) Siehe Secure Socket Layer (SSL) 

SSO (Einmalanmeldung) 27 

SSoHR (System Statement of Health Response) 140 

SSP (Security Support Provider) 36 

SSPI (Security Service Provider Interface) 253 

SSTP (Secure Socket Tunneling Protocol) 131 

Standard User Analyzer 108 

Standardauthentifizierung 29, 486 

Standardbenutzer 85 

Anhebung, Verfahrensempfehlungen 113 


Standardbenutzertoken 91 

Standarddokument 474, 483 

Standardisierung, Authentifizierung 462 

Stanek, William 441 

Startmodus, Dienste 154 

Startparameter-Feld 157 

Startprogramme, Blockierte 106 

Startschlüssel 423, 426 

Starttyp-Feld 157 

Statement of Health Response (SoHR) 140 


Stimmerkennung, Authentifizierung 18 

Stringliterale 239 

Strukturbeziehungen 69 

SUA (Subsystem für Unix-basierte Anwendungen) 326, 331 

Subauthentifizierungspakete, Kennwortangriffe 40 

Subinacl 83 

Subjekte 3, Siehe auch Sicherheitsprinzipale 

Subjekt/Objekt/Aktion 3 

subnetMask 477 

Subsystem für Unix-basierte Anwendungen (SUA) 326, 331 

Suite-B-Algorithmen 274 

Sullivan, Kevin 201 

Sun Microsystems 351 

SUS/WSUS (Software Update Services/Windows Server 

Update Services) 162 

Svchost.exe 76 

Synchronisierung, Kerberos 37 

SYNCHRONIZE-Recht 64 

.sys-Erweiterung 98 

Syskey-Sicherheit 288 

System Center Configuration Manager 179, 375 

System Center Essentials (SCE) 351, 355, 374, 437, 457 

System Center Remote Operations Manager 457 

System Center Service Manager 355 

Systemintegritätsagenten (SHAs) 142 

Systemintegritätsprüfungen (SHVs) 140, 142 

Systems Center 345 

Systems Management Server (SMS) 179, 309 

Systemstatusdatensicherung 447 

Systemzugriffssteuerungslisten (SACLs) 59, 61 


Integritätsebenen 77 

Überwachungsrichtlinien 220, 227, 261 

Systemzustandssicherung 180 

T 

Tastatureingaben, Aufzeichnung 19, 39, 456 

TCO (Total Cost of Ownership) 113 

TCP (Transmission Control Protocol) Siehe Transmission 

Control Protocol (TCP) 

TCP/IP (Transmission Control Protocol/Internet Protocol 

Siehe Transmission Control Protocol/Internet Protocol 

(TCP/IP) 

TechNet 108, 230, 261, 331, 352, 409, 411, 425, 453, 468 

Technical Security Notifications 351 

Teilautoritäten 13f. 

Bekannte, Liste 14 

Telnet 29, 40 

Client 327f., 331 


Terminaldienste 41, 168, 253, 323, 382 

Terminalserver 194, 455 

Terminalservergateway 142, 457 

TFTP-Client 327f. 

TGS (Ticket Granting Service) 37, 413 

TGT (Ticket Granting Ticket) 37, 254 

Threads 58 

Ticket Granting Service (TGS) 37, 413 

Ticket Granting Ticket (TGT) 37 


Tipprhythmus 

Authentifizierung 18 

Tastatureingaben, Aufzeichnung 39 

Tissieres, Cedric 43 

TLS (Transport Layer Security) 116, 493 

Token 16, 71 

als Authentifizierer 18 

Eingeschränkte 75 

Filterung 91 

Zugriffsprüfungen 74 

Token-basierte Anwendungen 271 

Toleranz, Abweichung der Computeruhren 37 

Total Cost of Ownership (TCO) 113 

TPM (Trusted Platform Module) Siehe Trusted Platform 

Module (TPM) 

Transmission Control Protocol (TCP) 120 


Transmission Control Protocol/Internet Protocol (TCP/IP) 

116 

IIS 7.0 476 

Next-Generation-Stack 410 

Transport Layer Security (TLS) 116, 493 

Transportmodus, IPsec 134

Triple-DES-Verschlüsselung 499 

Trusted Platform Module (TPM) 287, 419 

BitLocker 422 

TrustedInstaller 84, 177 

Trustworthy Computing (TwC) 473 

TS-Gateway (Terminalserver) 142, 457 

Tunnelmodus, IPsec 134 

Turbeyville, Bruce 430 

TwC (Trustworthy Computing) 473 

U 

UAC (Benutzerkontensteuerung) Siehe Benutzerkontensteuerung 

(UAC) 

Überwachung 3, 217, 242, 443 

Active Directory-Domänendienste (AD DS) 261 

Aktivieren/Deaktivieren 464 

Benutzerspezifische Überwachung 228 

Dienstfehler 183 

Ereignisanalyse 236 

Kennwort 181 

Richtlinie entwickeln 229 

Richtlinie, global 264 

Richtliniendelegierung 228 

Richtlinieneinstellung 221 

Richtlinienoptionen 225 


Überwachungslisten 218 


Überwachungsereignisse, IPsec 138 

UDDI-Dienste 323 

UDP (User Datagram Protocol) 120 

Ui0detect 177 

UIAccess-Anwendungen 109, 111 

UIPI (User Interface Privilege Isolation) 102 

Umgehungsregeln 138 


Unautorisierte Informationensweitergabe, Angriffe 165 

Uneingeschränkte SIDs 173 

Unidirektionale Funktionen 22 

Unidirektionale Replikation 254 

Unified-Messaging-Server 440 

United States Computer Emergency Readiness Team 

(US-CERT) 352 

Universelle Gruppen 7 

Unix 21 

Unsignierte Treiber 432 

Unternehmensgeeignete Authentifizierer 18 

Unternehmenszertifizierungsstellen 273 

Update-Katalog, Microsoft 358 

Updatekonfigurationsassistent 375 

Update-Website, Microsoft 359 

URLs 


ASP.NET 498 


URLScan-Tool 495 

USB-Flashlaufwerke 


Schlüsselspeicherung 422, 426 

Serverdatensicherung 447 



US-CERT (United States Computer Emergency Readiness 

Team) 352 

USENET 116 

User Datagram Protocol (UDP) 120 

User Interface Privilege Isolation (UIPI) 102 

user32.exe 29 

UTF-8 500 

V 

Vamosi, Robert 456 

VBScript 358 

Verarbeitung, Gruppenrichtlinien 193 

Verben, Anforderungsfilterung 497 

Verbessertes Windows-Audio-/Video-Streaming 325 

Verbindungs-Manager-Verwaltungskit 132, 324 

Verbunddienst 270 

Verbunddienstproxy 271 

Vererbung 69 

Konfigurationsdateien, IIS 7.0 475 

Vererbungsmodell, Active Directory 7 

Verfahrensempfehlungen 


UAC 112 

Zertifikatdienste 288 

Vergleichsangriffe 21 

Verknüpfte Zugriffstokens 105 

Veronica-Suchmaschine 116 

Verschlüsselung 20 


293 

BitLocker 419 

Dokumente 293 

LM-Hash 23 

Schlüssel, ASP.NET 498 

Umkehrbare 27 

Versiegeln, Schlüssel 423 

Version-3-Zertifikatsvorlagen 274 

Versionen, Gruppenrichtlinien 195 

Verteilergruppen 8 

Verteiltes Dateisystem, Replikation (DFSR) 254, 389 

Vertrauenswürdige Stammzertifizierungstellen, Hinzufügen 

281 

Vertrauenswürdiger Pfad für Anmeldeinformationseintrag 

erforderlich, Gruppenrichtlinieneinstellung 110 

Verwalten 

Arbeitsstationen, Kontrolle 459 

Berechtigungen 81 



System Center Essentials (SCE) 457 

Verwalten von Überwachungs- und Sicherheitsprotokollen, 

Privileg 228 

Verwaltungskonsole, Microsoft (MMC) 95, 101, 118, 123, 

259, 366 

Verweigern-SIDs 74 

Verwundbarkeit 354 

Verzeichnis durchsuchen 484 

Verzeichnisdienst 233 

Verzeichnisdienständerungen 261f. 

Verzeichnisdienstreplikation 262 

Verzeichnisdienstwiederherstellung (DSRM) 5, 252


Verzeichnisdienstzugriff überwachen 264 

Verzeichnisse 58 

Angriffe 481 

Durchsuchen, IIS 7.0 483 

Verzeichnisspeicher 266 


virtualDirectory, IIS 7.0 482 

Virtualisierte Server 408, 410 


Datei und Registrierung 98, 110 


Virtuelle Private Netzwerke (VPN) 456 

Erzwingungsmethoden 141 

MS-CHAP 451 

RRAS 131f. 


Zertifikatprüfung 132 

Zugriffseinschränkungen 450 


Virtueller Speicher, Verzeichnis 98 

Virtuelles Hosting 500 

Vollqualifizierte Domänennamen (FQDNs) 31 

Vollständige Zugriffstoken 91 

Verknüpfte 105 

Vollzugriff, Berechtigungen 182 

Volume Master Key (VMK) 422 

Volumeschattenkopiedienst (VSS) 260, 411 

Vordefinierte Regeln 124 

Vordergrundverarbeitung 193 

Vorinstallierte Schlüssel 134 

Vorlagen, RMS-Richtlinien 309 

Vorrang 


GPOs 188 

VPN (Virtuelles Privates Netzwerk) Siehe Virtuelle Private 

Netzwerke (VPN) 

VSS (Volumeschattenkopiedienst) 260, 411 

W 

WAIS (Wide-Area Information Server) 116 

WANs (Wide Area Network) 406, 408, 410f. 

Ward, Richard B. 13 

Wartung, Multi-Rollen-Server 445 

Wartungsserver 141 

Wbadmin-Befehle 447 

WDS (Windows-Bereitstellungsdienste) 323, 402 

Web.config-Dateien, IIS 7.0 475 

ASP.NET-Identitätswechsel 490 

ASP.NET-Serverfarm 499 

Formularauthentifizierung 491 

Windows-Authentifizierung 492 

Webbannerwerbung 442 

Webbrowser 331 

WebDAV 496 

Webmail 442 

Webserver 323, 328, 476, Siehe auch Internetinformationsdienste 

7.0 (IIS 7.0) 


Websites 

Authentifizierte und anonyme 433 

Erstellen 433, 474, 500 

Websites (Fortsetzung) 

Pfadbasierte Sicherheit, IIS 7.0 480 


Social Networking 442 

Webzugriffsrichtlinien 444, 450 

Wechselmediengeräte 



Wechselmedien-Manager 325, 331 

WEvtUtil.exe 235, 242 

WFP (Windows-Filterplattform) 116, 411 

Whitelisting 476 

Wide Area Network (WAN) 406, 408, 410f. 

Wide-Area Information Server (WAIS) 116 

Wiederherstellung, Server 446 

Wiederherstellung-Registerkarte, Dienste-Konsole 159 

Wiederherstellungsplan Siehe auch Datensicherung, Richtlinien 

Wiederherstellungsverfahren, Server 446 

Wilson, Tim 430 

WIM (Windows-Abbilddatei) 357 

Windows 

Angriffe mit vorberechneten Hashwerten 43 

Authentifizierung 492 

Automatische Updates 360 

Bitnummerierung 58 

LMCompatibilityLevel 32 

NLTM++ 35 

NTLM v2 32 

Privilegien, Eingeschränkte 93 

Server 2003 5, 32, 230, 258, 328, 366, 474 

Sicherheitsprinzipale 4 

SMB 411 

UAC-Kompatibilitätskonfiguration 107 

Versionen auswählen 431 

Windows 2000 4, 35 

Windows XP 5, 10, 366, 461 

Zugriffssteuerung 57 

Windows Automated Installation Toolkit 357 

Windows Essential Business Server 346, 433, 437, 443, 447 

Windows Management Instrumentation (WMI) 161, 179, 

410, 457 

Abfragesprache (WQL) 191 

BitLocker 421 

GPO-Filterung 191 

Windows Management Instrumentation-Befehlszeile 

(WMIC) 179 

Windows Media Player 331 

Windows NT 4f. 

LM-Hash 22 

NT-Hash 24 

Service Pack 4 32 

SIDs 15 

WSUS 366 

Windows PowerShell 54, 327, 358 

Windows Server 2003 299 


32- und 64-Bit-Version 432 


Active Directory Lightweight Directory Services 

(AD LDS) 268

Windows Server 2008 (Fortsetzung) 

Active Directory-Domänendienste (AD DS) 270 

Active Directory-Verbunddienste (AD FS) 270 


Benutzerkontensteuerung (UAC) 91, 111, Siehe auch 

Benutzerkontensteuerung (UAC) 

BitLocker-Laufwerkverschlüsselung 418f. 

Datacenter Edition 281, 283, 285, 321, 331 

Dienstberechtigungen 11 


Enterprise Edition 281, 283, 285, 321, 331 

Ereignisprotokoll, Verbesserungen 220, 230 

Gruppenrichtlinien 185, 197, Siehe auch Gruppenrichtlinien 

Infrastruktur für öffentliche Schlüssel (PKI) 274 


IPsec, Verbesserungen 135 


Leere Kennwörter 42 

Leistung 328 


LM-Hash 22 

NAP 139 

NTLM v2 32 

Privilegien, Liste 86, 166 

Security Guide 230 

Serverdatensicherung 411 

Serverfeatures, Liste 324 

Serverrollen, Liste 321 

SIDs 14 

Standard Edition 321 


Versionen, in kleinen Unternehmen 431 

Web Edition 433 

WSUS 366 

Zugriffssteuerung, Änderungen 84 


Windows Server Code Name Cougar 346, 439, 443, 447, 

466 

Windows Server Update Services (WSUS) 355, 366 

Anforderungen 369 

Clientkonfiguration 373 


Neue Features 366 

Unterstützte Produkte 367 

Updates testen 355 

Voraussetzungen 367 

Webserverrolle installieren 368 

Windows Server-Sicherungsfeatures 327 

Windows Server-Virtualisierung 410 

Windows SharePoint Services 438 

Windows Small Business Server 346, 456 

Windows Sysinternals Process Explorer 154 

Windows Systems State Analyzer 452 

Windows Update 359 

Windows Vista 5 


Benutzerkontensteuerung (UAC) 91, 111, Siehe auch 

Benutzerkontensteuerung (UAC) 

BitLocker-Laufwerkverschlüsselung 418 

Dienstberechtigungen 11 


Windows Vista (Fortsetzung) 


Ereignisprotokoll, Verbesserungen 220 

Firewalleinstellungen 461 

Gruppenrichtlinien 185, 197, Siehe auch Gruppenrichtlinien 




LM-Hash 22 

NAP 139 

NT Siehe Windows NT 

NTLM v2 32 

Server 2008 Siehe Windows Server 2008 

SIDs 14 

Überwachungssubsystem Siehe Überwachung 


Vista Siehe Windows Vista 

WSUS 366 

Zugriffssteuerung Siehe auch Zugriffssteuerung 

Windows Web Server 2008 433 

Windows-Abbilddatei (WIM) 357 

Windows-Bereitstellungsdienste (WDS) 323, 402 

Windows-Codeintegrität 424 

Windows-Diensthärtung 118 

Windows-Explorer 331, 410 

Windows-Filterplattform (WFP) 116, 411 






IPsec-Richtlinie 135f. 

Kommunikationseinschränkungen 402 

Netzwerkisolierung 183 

Richtlinienänderung, Ereignisse 235 

Service Pack 2 119 

Verbesserungen 118 

Verwalten 122 

Windows-Lastausgleichdienste 288 

Windows-Netzwerk 41 

Windows-Prozessaktivierungsdienst 320, 327 

Windows-Systemintegritätsagent (WSHA) 142 

Windows-Systemressourcen-Manager (WSRM) 320, 327 

WinLogon 29 


RRAS 132 

Smartcardauthentifizierung 38 

WINS (Windows Internet Name Service) 320, 331 


WINS-Server 327 

WLAN-Dienst 327 

WMI (Windows Management Instrumentation) Siehe 

Windows Management Instrumentation (WMI) 

WMIC (Windows Management Instrumentation-Befehlszeile) 

179 

Wood, Charles Cresson 452 

World Wide Web 116 

WRITE_DAC-Recht 64 

WRITE_OWNER-Recht 64 

WS-Federation Passive Requestor Profile (WS-F PRP) 271


WSHA (Windows-Systemintegritätsagent) 142 

WS-Management 410 

WSRM (Windows-Systemressourcen-Manager) 320, 327 

WSUS (Windows Server Update Services) Siehe Windows 

Server Update Services (WSUS) 

Wuauclt.exe /detectnow 374 

Wusa.exe 356 

X 

X.509-Zertifikat 38 

x64-Architektur 59 

x86-Architektur 59 

XCOPY 472 

XML-Format 356 


Ereignisanalyse 236, 240 


IIS 7.0 482, 473, 478, 500 

WSUS-Installation 368 

XPATH 239 

Z 

Zeichenfolge, Privilegien 86 

Zeichensätze, sichere Kennwörter 46 

Zentraler Speicher 197 

Zentralisierung 408 

Zertifikatdienste 273, 289, 321 

Bedrohungen und Eindämmung 275 

Schützen 286 

Starten/Beenden, Versuche 280 


Zertifikate 20 


310 

Digitale, IPsec 134 


Nicht autorisierte 283 

SSL 493 

Systemintegrität 136 

Überprüfen, RRAS 132 

Website 276 

X.509 38 

Zuordnung 487 

Zertifikatsicherheit 273 

Zertifikatsperrliste (CRL) 276f. 

Mehrere Server 277 

Überprüfen 288 

Zertifikatsperrprüfung verhindern 276 

Zertifikatsvorlagen 

Manipulationsversuche 279 

Version 1 281 

Version 2 281 

Version 3 274, 281 

Zertifikatverwaltung 284, 286 


Zertifizierungsserver 296 

Zertifizierungsstelle 134, 273 

Manipulationsversuche 279 

Mehrere Server 277 

Nicht vertrauenswürdige hinzufügen 281 

Offline 287, 289 

Online 289 

Zertifikatsperrung 276 

Zertifizierungsstellenadministrator 284 

Zugriffsabhängigkeiten 386 

Zugriffsmasken 63 

Zugriffssteuerung 57, 89 


Berechtigungen verwalten Siehe Berechtigungen verwalten 

Geschützte Objekte 58 

Identitätsbasierte 89 


Leere und Null-DACLs 77 

Listen Siehe Zugriffssteuerungslisten (ACLs) 

RBAC/AZMAN 89 

Rollenbasierte 89 

Security Descriptor Definition Language (SDDL) 78 

Sicherheitsbeschreibungen 58 

Sicherheitstoken 71 

Strukturbeziehungen 69 

Vererbung 69 


Zugriffsmasken 63 

Zugriffsprüfungen 74 

Zugriffssteuerungseinträge (ACEs) 61 

Ändern 81 

SDDL 80 

Vererbung 69 

Zugriffssteuerungslisten (ACLs) 12, 60 

Discretionary Siehe Discretionary Access Control List 

(DACLs) 

Editor 67, 81 

Einträge (ACE) 61 


MACLs 60f. 

Speichern und Wiederherstellen 82 

System Siehe Systemzugriffssteuerungslisten (SACLs) 

Typen 59f. 


Vererbung 69 

Zurücksetzen 82 

Zustimmungs-Eingabeaufforderungen 95 

Sicherer Desktop 102 

Zweigstellensicherheit 405 

BitLocker-Laufwerkverschlüsselung 418 

Entwickeln 407 

RODC 412 

Schritte 426 


Zwischengespeicherte Anmeldeinformationen 25, 254, 412, 

482

Die Autoren 

Dieses Buch wurde nach einem etwas anderen Verfahren geschrieben als frühere technische 

Referenzen. Statt einen Hauptautor zu bestimmen, der den Großteil des Textes schreibt, 

wurden die einzelnen Kapitel von unterschiedlichen Experten verfasst, die sich in ihrem 

jeweiligen Gebiet perfekt auskennen. Server sind komplizierte Gebilde, Windows Server ist 

da keine Ausnahme. Indem wir auf Topexperten in den verschiedenen Gebieten zurückgriffen, 

waren wir in der Lage, eine technische Referenz zum Thema Sicherheit zusammenzustallen, 

die profunde Fachkenntnisse vermittelt. Daher hat dieses Buch die eindrucksvolle 

Zahl von 12 Autoren. 


Jesper M. Johansson ist der Hauptautor. Er entwarf den Aufbau und 

stellte das Autorenteam zusammen. Während die Koautoren das Lob 

für die hervorragenden Texte beanspruchen können, die sie geschrieben 

haben, bleibt an Jesper M. Johansson die Kritik hängen, falls wichtige 

Themen nicht behandelt wurden. 

Jesper M. Johansson ist eine anerkannte Autorität auf dem Gebiet der 

Datensicherheit im Allgemeinen und der Windows-Sicherheit im Speziellen. 

Momentan ist er als leitender Softwaresicherheitsarchitekt 

beschäftigt, wobei er Softwareinfrastrukturen entwirft. Vorher arbeitete 

Jesper für Microsoft an Sicherheitsproblemen, seine Aufgaben dabei 

reichten vom Versuch, sich in Netzwerke einzuhacken, bis zum Entwurf von Sicherheitssoftware. 

Jesper hat Vorträge zu Datensicherheit auf fünf Kontinenten gehalten, auf den 

meisten wichtigen Sicherheitskonferenzen gesprochen, viele Artikel zum Thema Sicherheit 

geschrieben und ist Microsoft Security Most Valuable Professional (MVP). Er hat im Fach 

Management Information Systems promoviert und ist Certified Information Systems Security 

Professional (CISSP) sowie zertifizierter Information Systems Security Architecture 

Professional (ISSAP). Wenn Jesper nicht mit Datensicherheit beschäftigt ist, bringt er anderen 

Gerätetauchen bei. 

Jimmy Andersson 

Jimmy Andersson ist Consultant und leitender Berater bei Q Advice 

AB in Schweden. Sein Spezialgebiet sind Verzeichnisdienste. Außerdem 

hält er Seminare und Vorträge. Er hat einen eigenen Kurs zu 

Active Directory mit dem Titel »AD Troubleshooting and Advanced 

Theory« entwickelt. Die letzten neun Jahre bekam er jedes Jahr den 

Titel MVP von Microsoft verliehen. Er wird oft als Projektleiter für 

Verzeichnisdienste in Großunternehmen angeheuert. 

523

524 Die Autoren 

Susan Bradley 

Susan benutzt Computer, seit ihr Unternehmen erstmals einen IBM 

8088 anschaffte. Als die Person im Büro, die sich »mit Technik auskennt«, 

hat sie die Entwicklung von Einzelcomputern über Disketten 

und Novell begleitet, bis sie schließlich bei Microsoft-Netzwerken 

landete. Neben der Arbeit bei Wartung und Planung der Technik in 

ihrem Unternehmen hat sie ihre Rollen in verschiedenen Industrievereinigungen 

genutzt, um bessere und sicherere Software für Kleinunternehmen 

zu fördern. Wenn sie nicht mit ihrem Blog sbsdiva.com beschäftigt 

ist, schreibt sie zum Thema Softwarepatches auf Windows- 

Secrets.com. Außerdem drängt sie über ihre Website threatcode.com 

Hersteller, sicherer zu programmieren. Sie mag Windows Vista, und während sie ihr Kapitel 

und zusätzliche Materialien für das Buch verfasste, bekam sie nicht eine einzige UAC-Eingabeaufforderung 

angezeigt. Susan ist Windows Small Business Server MVP. 

Darren Canavor 

Darren Canavor arbeitet als Softwarearchitekt bei Microsoft. Er wurde 

1999 dort angestellt und hat wichtige Beiträge zu Sicherheitsarchitektur 

und Tests beim Windows-Kernbetriebssystem geleistet, darunter 

zur PKI in Windows 2000, den Zertifikatdiensten in Windows Server 

2003 und zuletzt der Benutzerkontensteuerung in Windows Vista und 

Windows Server 2008. Darren ist Koautor etlicher Whitepapers und 

Microsoft Press-Bücher über Microsoft-Sicherheit und -PKI, zum Beispiel 

Windows Vista Security Guide and Planning und »Implementing 

Cross-Certification and Qualified Subordination Using Windows 

Server 2003«. 

Kurt Dillard 

Kurt lebt in Buenos Aires, der faszinierenden Hauptstadt von Argentinien. 

Er schreibt Bücher, Artikel und andere Texte, in denen er Möglichkeiten 

präsentiert, die Probleme beim Schutz von digitalen Daten 

und der Computer, auf denen sie gespeichert sind, zu lösen. Er hat 

Beiträge zu vielen der von Microsoft veröffentlichten Lösungen geliefert, 

zum Beispiel »Windows Server 2003 Security Guide«, »Security 

Risk Management Guide« und »Threats and Countermeasures: Security 

Settings in Windows Server 2003 and Windows XP«. Kurt hat 

Vorträge auf zahlreichen Konferenzen gehalten, darunter RSA, TechEd 

und Microsoft Federal Security Summits. Seine aktuellen Zertifizierungen 

sind unter anderem CISSP, ISSAP, CISM und MCSE + Security.

Eric Fitzgerald 

Eric ist CISSP und MCSE. Er arbeitet in der Produktabteilung Forefront 

Security bei Microsoft, wo er sich auf die Analyse von Daten aus 

Sicherheitssensoren spezialisiert hat. Er hat sechs Jahre im Windows 

Core OS Security-Team an Überwachungs- und Autorisierungstechnologien 

für Windows gearbeitet und war mehrere Jahre im Support 

für Microsoft-Unternehmenskunden in den Bereichen Sicherheit, Netzwerke 

und Verzeichnisdienste tätig. Außerhalb des Bereichs Datensicherheit 

beschäftigt sich Eric gern mit Segelregatten. 

Roger Grimes 

Roger A. Grimes ist CPA, CISSP, CISA und MCSE: Security. Er ist 

seit 22 Jahren als Spezialist für Hostsicherheit, PKI, Identitätsverwaltung 

und Schutz vor Hackern und Malware tätig. Roger arbeitet als 

leitender Sicherheitsconsultant für das ACE-Team von Microsoft. Er 

schreibt eine Kolumne zum Thema Sicherheit für das Magazin Info- 

World, ist Autor oder Koautor von 8 Büchern über Computersicherheit 

und hat über 200 Artikel für Fachzeitschriften verfasst. Roger betreibt 

8 Honeypots, die verdächtige Hackeraktivitäten aufdecken. Er ist auf 

der ganzen Welt unterwegs, um Vorträge auf Konferenzen zu halten 

und Kunden zu helfen, die bestmögliche Sicherheit zu erreichen. 

Byron Hynes 

Byron Hynes ist Enterprise Technology Strategist bei Microsoft. Seit er 

2005 bei Microsoft anfing, hat er sich auf Sicherheitstechnologien wie 

BitLocker-Laufwerksverschlüsselung, Benutzerkontensteuerung und 

viele andere konzentriert. Byron arbeitet direkt mit Kunden und hat 

Beiträge zu Hilfetexten, Websites, Magazinartikeln, Büchern und Vorträgen 

verfasst. So oft ihm sein Chef erlaubt, verlässt er sein heimeliges 

Büro, um Konferenzen, Tagungen oder Kunden zu besuchen. 

Byron wurde in Kanada geboren und verbrachte den größten Teil seines 

Lebens im arktischen Winter des hohen Nordens. Er kann immer 

noch nicht ganz glauben, dass er in den Vorstädten von Redmond, 

Washington, gelandet ist. Byron ist verheiratet und hat zwei kleine, 

sehr lebhafte Söhne. 

Die Autoren 525

526 Die Autoren 

Alun Jones 

Alun Jones ist Besitzer von Texas Imperial Software, einer Firma, die 

sichere Netzwerksoftware entwickelt und Consultingdienste für die 

Sicherheitsplanung anbietet. Das wichtigste Produkt von Texas Imperial 

Software ist WFTPD Pro, ein sicherer FTP-Server für Windows, 

der vollständig von Alun geschrieben wurde. 

Alun verlagerte seine Aktivitäten in den Bereich Sicherheit, als sich 

beim Support für WFTPD zeigte, dass nur wenige Unternehmen in der 

Lage sind, ihre Sicherheitsanforderungen im Internet ohne Hilfe zu 

verwirklichen. Hauptberuflich arbeitet er momentan als Sicherheitsarchitekt 

für ein Onlinereisebüro. Alun hat am Corpus Christi College, 

Cambridge, und an der Bath University studiert. Momentan lebt er mit Frau Debbie und 

Sohn Colin bei Seattle, Washington. Alun möchte seiner Frau und seinem Sohn dafür 

danken, dass sie seine Abwesenheit so lange hingenommen haben, während er an diesem 

Buch gearbeitet hat. Alun ist MCP und Microsoft Security MVP. 

Brian Komar 

Brian Komar ist der Präsident von IdentIT Inc., einem Consultingunternehmen, 

das sich auf die Planung und Implementierung von Public- 

Key-Infrastrukturen sowie Identitätsintegrationslösungen spezialisiert. 

Brian arbeitet im Rahmen mehrerer Projekte mit Microsoft zusammen: 

Er schreibt Kursmaterialien und Whitepapers zu PKI sowie ILM 2007 

und arbeitet als leitender Consultant für die PKI- und ILM 2007-Unternehmensbereitstellung. 

Brian hält häufig Vorträge auf IT-Konferenzen 

wie Microsoft TechEd, Microsoft IT Forum und Windows IT Pro 

Magazine Connections. Brian ist Microsoft Security MVP. 

Brian Lich 

Brian Lich ist Fachautor für Sicherheit bei der Windows Server User 

Assistance-Gruppe, wo er zum Thema Active Directory-Rechteverwaltungsdienste 

schreibt. Bevor er bei Microsoft anfing, arbeitete er 

11 Jahre lang als Systemadministrator und Sicherheitsanalytiker in der 

IT-Branche. Brian hat sein Diplom in Elektrotechnik an der Purdue 

University erworben.

Darren Mar-Elia 

Darren Mar-Elia ist Gründer und CTO von SDM Software. Er hat über 

20 Jahre Erfahrung in Informationstechnologie und Softwareentwicklung. 

Er war Leiter der Produktentwicklung bei DesktopStandard (aufgekauft 

von Microsoft) und davor CTO für Windows-Verwaltungslösungen 

bei Quest Software. Er war außerdem Leiter für verteilte 

Systeme bei Charles Schwab & Co., wo er für den Einsatz von Windows 

bei diesem Unternehmen verantwortlich war. Darren hat 12 Bücher 

zum Thema Windows-Verwaltung als Autor oder Koautor verfasst 

und ist Microsoft MVP für Gruppenrichtlinien. Er hat die beliebte 

Website gpoguy.com gegründet, wo Informationen und Tools zu Gruppenrichtlinien 

angeboten werden. 

Die Autoren 527

Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?