Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Eindämmen von Abhängigkeiten 397
ständlicher macht. Beachten Sie den Prozess namens »Alle Domänenmitglieder«. Er ist als
mehrfache Entität markiert. Er steht für alle Nicht-DC-Computer in der Domäne. Er dient
als ganz einfacher Platzhalter, um das Diagramm übersichtlicher zu machen, sodass wir alle
Kommunikationsmuster erfassen können, die auf allen Computern in der gesamten Domäne
stattfinden. Zum Beispiel müssen alle Computer in der Domäne auf die DCs zugreifen. Statt
Linien von jedem Computertyp zu den DCs zu zeichnen, ziehen wir einfach eine von »Alle
Domänenmitglieder«. Und statt all die unterschiedlichen Verkehrstypen aufzulisten, die
Domänenmitglieder an DCs senden müssen, verwenden wir einen einzigen Pfeil, der mit
»DC-Verkehr« beschriftet ist. Mit diesen Vereinfachungen reicht eine einzige Linie aus,
wofür wir sonst etwa 30 gebraucht hätten.
Tipp Über die Verkehrstypen, die für den Zugriff auf unterschiedliche Servertypen nötig sind, finden Sie
weitere Informationen im Knowledge Base-Artikel KB 832017, »Dienste und Port-Anforderungen für das
Microsoft Windows-Serversystem«, unter http://support.microsoft.com/kb/832017.
Beachten Sie auch, dass alle Kommunikationslinien eine Richtung haben. Die Tatsache, dass
Domänenmitglieder auf DCs zugreifen müssen, bedeutet nicht, dass DCs umgekehrt auch
auf Domänenmitglieder zugreifen müssen, das ist kaum jemals der Fall. Falls Sie sorgfältig
darauf achten, Ihre DCs nicht als Arbeitsstationen oder Verwaltungsstationen zu benutzen,
müssen Sie von den DCs aus möglicherweise nie auf andere Computer zugreifen.
Schritt 4: Analysieren, waschen und wiederholen, bis sauber
Während Sie die Netzwerkgefahrenmodellierung durchgearbeitet haben, ist Ihnen vielleicht
aufgefallen, dass das Klassifizierungsschema Schwächen hat. Wahrscheinlich gibt es Computertypen,
die nicht benutzt werden, und fast immer stellen Sie fest, dass einige Typen fehlen.
Falls nicht, haben Sie wahrscheinlich die Sicherheitsanforderungen Ihrer Systeme nicht
ausreichend durchdacht. Denken Sie daran, dass zwei Faktoren die Basis für das Klassifizierungsschema
bilden: Erstens müssen Sie die Kommunikationsmuster auswerten. Einem
Computer, der nicht auf bestimmte Weise mit einem anderen Computer kommunizieren
muss, sollte das ganz verboten werden. Zweitens sollten Computer mit unterschiedlicher
Schutzwürdigkeitseinstufung unterschiedlich verwaltet werden, um sicherzustellen, dass bei
der Kompromittierung des einen der andere nicht ebenfalls dem Angriff zum Opfer fällt.
Häufig wird der Fehler gemacht, Datenbankserver nicht von Anwendungsservern zu trennen.
Eine ordentlich geschriebene Datenbank-Middleware ruft nur genau definierte Speicherprozeduren
in den Datenbanken auf und verwendet dazu möglichst geringe Privilegien.
Anwendungsserver sind daher meist unkritischer als Datenbankserver. Uneingeschränkter
Zugriff auf einen Datenbankserver bedeutet, dass Sie vollständigen Zugriff auf alle Daten
haben, die darauf gespeichert sind. Uneingeschränkter Zugriff auf einen Anwendungsserver
bedeutet, dass Sie nur Zugriff auf das erhalten, was die Datenbank Ihnen gibt.
Falls das Klassifizierungsschema nicht ausreicht, um den Aufbau Ihres Netzwerks auf geeignete
Weise darzustellen, ist die Lösung einfach: Ändern Sie das Klassifizierungsschema
oder Ihre Annahmen. Das Klassifizierungsschema eignet sich möglicherweise auch nicht für
Ihre Risikomanagementstrategie. In diesem Fall können Sie das Klassifizierungsschema so
ändern, dass es besser zur Risikomanagementstrategie passt. Oder Sie entscheiden, dass Ihre
Risikomanagementstrategie auf dem Papier zwar gut aussieht, aber in der Praxis unmöglich
oder nur mit unvertretbarem Aufwand umzusetzen ist. Viele Organisationen haben eine
Risikomanagementstrategie entwickelt, die in einer Präsentation mit vielen bunten Dia-