Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

390 Kapitel 14: Schützen des Netzwerks
Eine der heute wichtigsten Techniken für die Eindämmung von Sicherheitsabhängigkeiten
ist die Isolierung von Computern, die nicht miteinander kommunizieren müssen. Dadurch
wird es solchen Computern unmöglich gemacht, überhaupt miteinander zu kommunizieren.
Microsoft bezeichnet dies als Server- und Domänenisolierung (engl. server and domain
isolation). Eine entsprechende Strategie lässt sich am besten schrittweise entwickeln:
1. Definieren Sie ein Klassifizierungsschema.
2. Modellieren Sie Ihr Netzwerk.
3. Analysieren Sie Ihr Netzwerkmodell im Bezug auf das Klassifizierungsschema.
4. Passen Sie das Klassifizierungsschema bei Bedarf an und analysieren Sie es erneut.
5. Definieren Sie eine Isolierungsstrategie, die Ihrer Risikomanagementstrategie folgt.
6. Leiten Sie eine Betriebsstrategie aus Ihrer Isolierungsstrategie ab.
7. Bauen Sie eine Serverimplementierung auf Basis Ihrer Isolierungsstrategie auf.
Diese 7 Schritte sind deutlich komplizierter, als sie auf den ersten Blick wohl aussehen. Vor
allem müssen Sie sich klarmachen, dass sich dies nicht mal eben an einem ruhigen Nachmittag
erledigen lässt. Sie müssen sich viel eingehender mit der Struktur und den Nutzungsmustern
in Ihrem Netzwerk vertraut machen, als es in den meisten Organisationen üblich ist.
Selbst wenn das einzige Ergebnis darin besteht, dass Sie Ihr Netzwerk besser verstehen,
haben Sie schon eine Menge gewonnen. Der Rest dieses Kapitels beschreibt, wie Sie mithilfe
dieser Konzepte eine Serverisolierungsstrategie entwerfen und implementieren.
Wichtig Bevor wir fortfahren, müssen wir unbedingt den Begriff Serverisolierung (engl. server isolation)
genauer definieren. Als Microsoft diesen Begriff prägte, geschah das in Kombination mit dem Begriff Domänenisolierung
(engl. domain isolation). Domänenisolierung bedeutete einfach, dass Sie ein Domänenmitglied
sein mussten, um mit irgendeinem anderen Domänenmitglied kommunizieren zu können (es gab
allerdings ein paar Ausnahmen). Diese Art der Isolierung ist recht simpel. Sie ist zwar nützlich, hat aber
auch etliche gewaltige Lücken, weil sie annimmt, dass alle Domänenmitglieder wohlerzogen und nett sind.
Serverisolierung ist der nächste Schritt. Bei der Serverisolierung wird bei jedem Server der eingehende
Verkehr eingeschränkt, normalerweise mit IPsec, sodass nur der Verkehr zugelassen wird, den der Server
benötigt, um die vorgesehenen Aufgaben zu erfüllen. Das bietet in der Tat eine sehr gute Isolierung.
Als Microsoft und andere Kunden begannen, diese Isolierungsmechanismen zu implementieren, stellten sie
fest, dass Domänenisolierung zwar ein simples Prinzip ist, die Implementierung der Serverisolierung aber
deutlich einfacher war, weil IPsec in einem großen Netzwerk sehr schwierig zu beherrschen ist. Daher
begannen sie im Allgemeinen mit der Serverisolierung.
Was die meisten Beobachter aber bei der Serverisolierung vergessen, ist die Tatsache, dass jeder Windows-Computer
ein Server ist. Jede Arbeitsstation führt standardmäßig auch den Serverdienst aus, und
falls Sie den eingehenden Verkehr nicht einschränken, haben Sie ein Netzwerk, in dem jeder Client jeden
anderen Client angreifen (mit ihm kommunizieren) kann. Das gilt sogar dann, wenn Sie Domänenisolierung
nutzen. Vergessen Sie daher nicht, Clients in Ihre Serverisolierungsstrategie einzubeziehen.
Schritt 1: Erstellen eines Klassifizierungsschemas
Der erste Schritt beim Erstellen einer Serverisolierungsstrategie besteht darin, Systeme zu
klassifizieren. Sie können sich das so vorstellen, dass die Netzwerkschutzmechanismen
in einem bestimmten Spektrum angeordnet sind. Nehmen wir zum Beispiel administrative
Konten. Ein Ende des Spektrums besteht darin, ein einziges Konto für alle Aufgaben zu