Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

450 Kapitel 16: Aspekte für kleine Unternehmen
Leitfaden wird nun für kleine Netzwerke empfohlen? Hier folgen einige spezifische »Verfahrensempfehlungen«,
die Sie beachten sollten. Sie alle sind speziell für kleine Unternehmen
sinnvoll. Einige dieser Empfehlungen gebietet der gesunde Menschenverstand.
Andere sind Vorschläge für Änderungen am Server, die Verfahrensempfehlungen (engl.
best practices) sind und auch in PCI/DSS-Richtlinien auftauchen:
1. Legen Sie die Richtlinien für Passphrasen so fest, dass sie sich für das Unternehmen
eignen. Wenn sie längere und komplexere Passphrasen erzwingen, können Sie den
Zeitraum zwischen obligatorischen Kennwortänderungen verlängern.
2. Schränken Sie den externen Zugriff auf Server und Desktopcomputern ein, indem Sie
sowohl eine externe Firewall als auch interne hostbasierte Firewalls einsetzen.
3. Verwenden Sie bei Bedarf einen externen Mailsäuberungsdienst, um den externen
Zugriff auf Port 25 und Ihre Mailserver einzuschränken.
4. Öffnen Sie in der Firewall nur die externen Ports, die unbedingt benötigt werden.
Stellen Sie mit einem Portscanner sicher, dass die Ports geöffnet sind, die Sie tatsächlich
verwenden wollen.
5. Schränken Sie den Terminalserverzugriff auf dem Server entweder dadurch ein, dass
Sie eine VPN-Verbindung erzwingen, oder indem Sie den Zugriff auf bestimmte statische
IP-Ports begrenzen. Stellen Sie sicher, dass die externe Firewall, die Sie verwenden,
die Fähigkeit bietet, den Zugriff auf bestimmte Ports einzuschränken.
6. Wenn Sie dafür sorgen, dass alle Arbeitsstationen unter Windows XP oder Windows
Vista laufen, können Sie strengere Authentifizierung erzwingen.
7. Schränken Sie den Internetzugriff auf solche Websites ein, die für die Aufgaben im
Unternehmen benötigt werden. Diskutieren Sie mit dem Unternehmensinhaber, wie
weit er die private Nutzung von Firmeneigentum tolerieren will, und richten Sie die
entsprechenden Beschränkungen ein.
8. Prüfen Sie alle Fremdherstellersoftware, die auf dem Server und auf Arbeitsstationen
installiert ist. Stellen Sie fest, ob die Software die Gefahr für das Netzwerk erhöht und
ob es bei Bedarf eine Updatemöglichkeit gibt.
9. Stellen Sie sicher, dass der Server nur für Serveraufgaben benutzt wird. Surfen Sie
damit nie im Web und nutzen Sie den Server nicht als Arbeitsstation.
10. Schulen Sie Endbenutzer zum Thema Sicherheit. Bringen Sie ihnen bei, dass sie bezüglich
E-Mail-Anhängen, Links und anderen Verlockungen gesundes Misstrauen
walten lassen. Ein kompetenter Endbenutzer ist in einem kleinen Netzwerk oft der
größte Sicherheitsgewinn.
11. Formulieren Sie einen Notfallwiederherstellungsplan und testen Sie ihn. Testen Sie
ihn richtig.
12. Installieren Sie das Zertifikat einer anerkannten Zertifizierungsstelle, das für den
Remotezugriff auf den Server benutzt wird. Sowohl Windows Small Business Server
2008 als auch Windows Essential Business Server stellen ein Remotezugriffportal zur
Verfügung, das sicheren Zugriff über eine SSL-Verbindung ermöglicht. Die Server
können zwar mit selbstausgestellten Zertifikaten bereitgestellt werden, aber Sie sollten
ein externes Zertifikat von einer anerkannten Zertifizierungsstelle kaufen und es
installieren. Einen detaillierten Leitfaden mit Schritt-für-Schritt-Anleitungen zu dieser
Aufgabe finden Sie auf der Begleit-CD.