• Artikel

Sicherheit auf dem PrüfstandVerwenden des SCW unter Windows Server 2008

Jesper M. Johansson

Dieser Artikel basiert auf einer Vorabversion von Windows Server 2008. Die in diesem Artikel enthaltenen Informationen können jederzeit geändert werden.

2005 stellte Microsoft Windows Server 2003 SP1 zur Verfügung. Dieses Service Pack enthielt das erste rollenbasierte Sicherheitsverwaltungstool für Windows: den Sicherheitskonfigurations-Assistenten (SCW). Microsoft hat SCW in erster Linie als Tool zur Reduzierung der Angriffsfläche entwickelt. Der Zweck des Assistenten bestand darin, zu analysieren, welche Aufgaben Sie

auf Ihrem Computer durchführen, und die Unterstützung der erforderlichen Rollen automatisch zu konfigurieren, während nicht verwendete Rollen und Dienste deaktiviert wurden.

In Windows Server® 2008 ist SCW weiterhin enthalten, und der Assistent wurde mit neuen Rollen und durch die Integration in die neue Windows® Firewall aktualisiert. Es handelt sich jedoch nach wie vor um ein erweitertes Verwaltungstool.

Windows Server 2008 enthält außerdem das neue rollenbasierte Server-Manager-Tool sowie zugehörige Tools, nämlich die Assistenten zum Hinzufügen von Rollen und Features. Statt im alten Stil einzelne Komponenten über die Systemsteuerung „Windows-Komponenten hinzufügen/entfernen“ hinzuzufügen, verwenden Sie in Windows Server 2008 jetzt die Rollenverwaltungstools zum Konfigurieren des Servers. Byron Hynes erläutert diese Tools im Artikel „Konfigurieren von Rollen mit Server-Manager“, der ebenfalls in dieser Ausgabe des TechNet Magazins enthalten ist.

Die Assistenten zum Hinzufügen von Rollen und Features sind so ausgelegt, dass Ihr Server mit den richtigen Komponenten konfiguriert wird, um die von Ihnen ausgewählten Rollen zu unterstützen. Dazu wird die integrierte Firewall so konfiguriert, dass diese Rollen richtig funktionieren. Jetzt fragen Sie sich vielleicht, warum weiterhin Bedarf für SCW besteht. Es stimmt – viele Administratoren brauchen SCW wahrscheinlich nicht mehr. Es gibt jedoch zwei Personengruppen, für die SCW ein wertvolles Tool sein kann. Die erste Gruppe sind die äußerst Sicherheitsbewussten. Diese Personen wissen zu schätzen, auf welche Weise SCW eine höhere Ebene an Sicherheit bietet.

Sie können sich die Assistenten zum Hinzufügen von Rollen und Features als Tools vorstellen, die einen Standardserver so konfigurieren, dass er die von Ihnen gewünschten Rollen und Features sicher unterstützt. Andererseits wird Ihr Server mit SCW so konfiguriert, dass nur die von Ihnen gewünschten Rollen und Features unterstützt werden. SCW hat zudem einen pädagogischen Nutzen, da Sie im Endeffekt besser verstehen, wie der Server konfiguriert ist. Daher empfehle ich Ihnen das Ausführen von SCW, wenn der Server mit allen Rollen und Features konfiguriert ist.

Bei der zweiten Gruppe handelt es sich um Benutzer, die die Beziehungen zwischen den verschiedenen Komponenten verstehen möchten. SCW umfasst einen Satz XML-Dateien, die die Beziehungen zwischen Rollen und Features, Diensten und Netzwerkports dokumentieren. SCW ist ein sehr wertvolles Tool, wenn Sie einen Einblick erhalten möchten, was für verschiedene Komponenten erforderlich ist.

In diesem Artikel geht es darum, wie SCW funktioniert und wie Sie den Assistenten zum Schutz Ihres Servers einsetzen können. Es wird auch ein Vergleich zwischen SCW und den Server-Manager-Tools gezogen. Beachten Sie, dass dieser Artikel aus meinem Buch „Windows Server 2008 Security Resource Kit“ (Microsoft Press®, 2008) stammt.

Übersicht über den Sicherheitskonfigurations-Assistenten

Zu Anfang sollen einige Statistiken über die Angriffsfläche auf Windows Server 2008 vorgestellt werden. Noch bevor Sie einen Server durch Hinzufügen einer persönlichen Auswahl an Rollen und Features konfigurieren, verfügt er über ein relativ großes Dienstprofil. Standardmäßig verfügt Windows Server 2008 über 105 Dienste, von denen 42 automatisch gestartet werden, 55 auf manuellen Start festgelegt und 8 deaktiviert sind. Im Gegensatz dazu werden bei einer Neuinstallation von Windows Server 2003 R2 SP2 86 Dienste standardmäßig installiert. 34 dieser Dienste sind auf automatischen Start festgelegt, 32 werden bei Bedarf gestartet, und 20 sind deaktiviert.

Selbst wenn die Rollenmetapher und die Reduzierung von Standardrollen unterstützt wird, hat Windows Server 2008 nach wie vor einen größeren Speicherbedarf, und Sie müssen beim Absichern Ihrer Server besondere Sorgfalt walten lassen. SCW führt Sie durch das Erstellen einer benutzerdefinierten Sicherheitskonfiguration für Ihre jeweiligen Server.

SCW verfolgt bezüglich der Serverabsicherung einen völlig anderen Ansatz als vorhandene Tools. Der Assistent arbeitet mit einer Rollenmetapher zum Konfigurieren des Systems, um lediglich diese Rollen und so gut wie nichts anderes zu unterstützen. Obwohl SCW genau wie die Assistenten zum Hinzufügen von Rollen und Features beim Konfigurieren der Firewall hilft, deaktiviert dieser Assistent zudem unnötige Dienste und konfiguriert eine Reihe zusätzlicher Sicherheitseinstellungen. Während die Assistenten zum Hinzufügen von Rollen und Features nur in Windows integrierte Rollen installieren und konfigurieren können, ist SCW erweiterbar. Ein Entwickler oder Administrator kann eine benutzerdefinierte Rollen- oder Featurekonfigurationsdatei schreiben und SCW zum Konfigurieren jedes beliebigen Produkts einsetzen.

SCW ist so ausgelegt, dass der Assistent nach dem Installieren aller Rollen und Features verwendet wird, die auf dem Server gewünscht sind. Wenn zudem Anwendungen von Drittanbietern auf dem Server vorhanden sind, sollten diese ebenfalls vor dem Ausführen von SCW installiert werden.

Um aufzuzeigen, wie dies funktioniert, wurde ein Server mit drei Rollen (Anwendungsserver, DNS-Server und Webserver) und zwei Features (Microsoft ® .NET Framework 3.0 Features und Windows-Prozessaktivierungsdienst) konfiguriert. Dies ist kein besonders logischer Satz an Rollen und Features, aber ein gutes Beispiel für diese Erläuterung.

Um SCW zu starten, führen Sie den Assistenten vom Menü „Verwaltung“ aus. Sie sehen das Dialogfeld in Abbildung 1.

Abbildung 1 SCW stellt zunächst die Frage, was Sie tun möchten.

Abbildung 1** SCW stellt zunächst die Frage, was Sie tun möchten. **(Klicken Sie zum Vergrößern auf das Bild)

Im ersten Schritt wählen Sie aus, ob Sie eine neue Sicherheitsrichtlinie erstellen, eine vorhandene Richtlinie bearbeiten oder anwenden oder eine Richtlinie zurücksetzen möchten, damit wieder die ursprünglichen Einstellungen im System vorhanden sind. Die Auswahlmöglichkeiten erklären sich praktisch von selbst.

Wenn Sie sich für das Erstellen einer neuen Sicherheitsrichtlinie entscheiden, erstellt SCW die neue Richtlinie mithilfe eines Computers als Vorlage dafür, was die Richtlinie unterstützen muss. Der Assistent analysiert den Computer und stellt fest, welche Features und Rollen darauf unterstützt werden. Dadurch wird sichergestellt, dass sie funktionieren, aber auch, dass viele unnötige Features nicht aktiviert werden.

SCW kann auf einem Prototypmodell eingesetzt werden. Der Assistent verwendet XML-Dateien, um anzugeben, welche Dateien für die Rollen und Features installiert sind, welche Dienste konfiguriert sind und so weiter. Daher müssen auf dem Computer alle Komponenten installiert sein, für die Sie die Richtlinie entwickeln. Wenn Drittanbieterprogramme vorliegen, bei deren Installation SCW-Definitionen installiert werden, werden diese nahtlos integriert. Wenn die Drittanbieterprogramme jedoch keine SCW-Definitionen installieren, müssen diese manuell konfiguriert werden.

Wie Sie sehen, kann eine Richtlinie auf einem System erstellt und anschließend auf vielen Systemen angewendet werden. Wenn Sie ein Netzwerk mit vielen Systemen erstellen, sollten Sie zunächst Hostklassen definieren, die alle separat konfiguriert werden. Dann können Sie unter Verwendung einer dieser Klassen als Prototyp eine Richtlinie erstellen und die Richtlinie mit wenigen oder gar keinen Änderungen problemlos auf alle anderen Hostklassen anwenden.

Wenn Sie (im in Abbildung 1 dargestellten Dialogfeld) auf „Weiter“ klicken, fragt der Assistent, welchen Computer Sie als Baseline oder Prototyp für diese neue Richtlinie verwenden möchten. In der Regel wählen Sie den lokalen Computer aus, doch Sie können auch einen Remotecomputer als Prototyp verwenden.

Nach Angabe des zu verwendenden Systems beginnt die Analysephase. Dabei zählt SCW auf, welche Rollen und Features Sie installiert haben und gleicht diese anhand der Rollen- und Featuredatenbank ab. Die Datenbank enthält Informationen bezüglich der Dienste, die von der jeweiligen Rolle und dem jeweiligen Feature verwendet werden, welche Netzwerkports für sie erforderlich sind sowie andere wichtige Konfigurationsinformationen. Nach Abschluss der Analyse können Sie auf „Konfigurationsdatenbank anzeigen“ klicken, um die Ergebnisse des Sicherheitskonfigurations-Assistenten einzusehen. Beachten Sie, dass dies eine schreibgeschützte Ansicht ist, in der umfassende Informationen zur Konfiguration des Computers angezeigt werden. Wenn Sie wirklich verstehen möchten, was sich auf Ihrem Computer befindet, sollten Sie sich eingehend mit der Untersuchung dieser Informationen beschäftigen.

Konfigurieren Ihres Servers mit SCW

Wenn Sie auf „Weiter“ klicken, wird der erste von vier Abschnitten in SCW angezeigt: Rollenbasierte Dienstkonfiguration. Möglicherweise stellen Sie fest, dass es sich bei den in SCW vorhandenen Rollen, wie in Abbildung 2 dargestellt, nicht um denselben Rollensatz handelt, wie beim Assistenten „Rollen hinzufügen“. Die meisten Rollen, die im Assistenten „Rollen hinzufügen“ zur Verfügung stehen, sind hier ebenfalls vorhanden. SCW bietet darüber hinaus zusätzliche Rollen an, die nicht im Assistenten zum Hinzufügen von Rollen vorhanden sind. So ist beispielsweise die ausgewählte Anwendungsserverrolle nicht vorhanden. Dies liegt daran, dass SCW eine etwas andere Metapher für Rollen verwendet. Darauf wird gleich noch ausführlicher eingegangen.

Abbildung 2 Verwenden von SCW zum Auswählen der Rollen, die von Ihrem Server unterstützt werden sollen

Abbildung 2** Verwenden von SCW zum Auswählen der Rollen, die von Ihrem Server unterstützt werden sollen **(Klicken Sie zum Vergrößern auf das Bild)

Oft ist der richtige Rollensatz bereits im Dialogfeld ausgewählt. Überprüfen Sie einfach nur, ob die Analyse gefunden hat, was sie Ihrer Meinung nach hätte finden sollen. Wenn etwas nicht in Ordnung ist, überprüfen Sie, ob die Rolle installiert wurde, und installieren Sie sie ggf., bevor Sie SCW erneut ausführen. Wenn Sie einen Fehler machen, ist das kein Weltuntergang. Mit der Zurücksetzungsfunktion in SCW gelangen Sie wieder an den Ausgangspunkt, wobei von der Richtlinie vorgenommene Änderungen rückgängig gemacht werden.

Die Antworten, die Sie in diesem Abschnitt geben, sind sehr wichtig, da mit ihnen festgelegt wird, was Sie später im Netzwerkabschnitt sehen. Glücklicherweise ist die Erkennungslogik recht gut, und normalerweise wird der richtige Satz an Rollen ausgewählt.

Beachten Sie, dass Sie standardmäßig „Installierte Rollen“ sehen, bei denen es sich um die Rollen handelt, die der Server mit den auf dem Datenträger befindlichen Bits unterstützen kann. Bei den ausgewählten Rollen handelt es sich um die derzeit unterstützten Rollen. Sie können auch entscheiden, sich alle Rollen in der Datenbank anzeigen zu lassen. Dazu wählen Sie einfach „Alle Rollen“ in der Dropdownliste aus. Dies ist in erster Linie von Nutzen, wenn Sie eine Richtlinie mithilfe eines Prototypservers erstellen müssen, auf dem noch nicht alle erforderlichen Rollen installiert sind.

Nach der Rollenkonfiguration wählen Sie die Clientfeatures aus, die unterstützt werden sollen. Der Featuresatz ist ähnlich, aber nicht identisch mit dem Featuresatz im Assistenten zum Hinzufügen von Features, da weniger Features enthalten sind. Auch hier sind die Metaphern nicht genau gleich, und SCW kann erweitert werden, sodass sich die Anzeige vom Assistenten „Features hinzufügen“ unterscheidet.

Wenn Sie auf der Seite mit Clientfeatures in SCW auf „Weiter“ klicken, wird das Dialogfeld „Verwaltungs- und weitere Optionen auswählen“ angezeigt, wie in Abbildung 3 dargestellt. Eine Option in SCW steht für etwas, das nicht genau einer Rolle oder einem Feature zuzuordnen ist. Eine Option kann administrative Unterstützung bieten, oder es kann sich einfach um einen einzelnen Dienst handeln, beispielsweise um den Dienst zur Erkennung interaktiver Dienste. Auch hier sind die meisten von Ihnen benötigten Optionen wahrscheinlich bereits ausgewählt. Auf das Dropdownmenü sollte ebenfalls hingewiesen werden. Es ist mit Optionen aufgefüllt, die für die bereits von Ihnen ausgewählten Rollen und Features relevant sind, und ist somit auf verschiedenen Computern unterschiedlich.

Abbildung 3 Auswählen anderer Dienste und Features in SCW

Abbildung 3** Auswählen anderer Dienste und Features in SCW **(Klicken Sie zum Vergrößern auf das Bild)

Als Nächstes wird das Dialogfeld für das Auswählen zusätzlicher Dienste angezeigt. Obwohl SCW mit einer sehr großen Datenbank an Diensten ausgestattet ist, enthält sie nicht alle Dienstbeschreibungen. Die Dienste, die SCW auf einem Computer findet und die nicht in der Datenbank vorhanden sind, werden auf der Seite mit zusätzlichen Diensten angezeigt. Es sollte allerdings eine Dienstbeschreibung für alle integrierten Dienste vorhanden sein, und dieses Dialogfeld wird in der Regel nur angezeigt, wenn bei Ihnen ein Drittanbieterdienst installiert ist.

Mithilfe des Assistenten können Sie dann auswählen, was mit Diensten geschehen soll, die Sie nicht konfigurieren. Diese Option dient für den Fall, dass Sie planen, die Richtlinie, die gerade erstellt wird, auf einen anderen Computer anzuwenden. Wenn dieser Computer über andere Dienste verfügt als der, auf dem Sie die Richtlinie erstellt haben, muss SCW angewiesen werden, was mit diesen Diensten geschehen soll. Eine Option besteht darin, nichts zu unternehmen. Dies ist die Standardoption. Die andere Option besteht in ihrer Deaktivierung, was sicherer ist, aber zu Beschädigungen führen kann. Doch wenn Sie der Empfehlung folgen, nur Richtlinien auf Server anzuwenden, die identisch mit dem Server sind, auf dem sie erstellt wurden, ist eine Auswahl auf dieser Seite irrelevant.

Jetzt sind Sie mit der Rollenkonfiguration in SCW fertig, und der Assistent fasst die von Ihnen vorgenommenen Eingaben zusammen. Selbst wenn Sie sich nur durchklicken, wirkt sich dies wesentlich auf die Angriffsfläche des Computers aus, wie Sie in Abbildung 4 sehen können. Ein Beispiel: Da dieser Computer kein Druckserver ist und auf ihm keine Drucker installiert sind, gibt es keinen Grund, den Druckerwarteschlangendienst auszuführen. SCW deaktiviert alle Dienste, die nicht erforderlich sind. Auf dem Testserver für dieses Beispiel werden durch SCW 17 Dienste deaktiviert, die auf automatischen Start eingestellt waren, und 42 Dienste mit manuellem Start. Individuelle Ergebnisse hängen natürlich davon ab, wie der jeweilige Server konfiguriert ist, aber Sie können sehen, dass sich mithilfe von SCW eine Richtlinie leicht auf Ihre spezifischen Server zuschneiden lässt, wodurch die Angriffsfläche drastisch verringert wird.

Abbildung 4 SCW fasst die von Ihnen vorgenommenen Änderungen zusammen

Abbildung 4** SCW fasst die von Ihnen vorgenommenen Änderungen zusammen **(Klicken Sie zum Vergrößern auf das Bild)

Jetzt kommt der wohl wichtigste Abschnitt von SCW an die Reihe: das Netzwerk. Nach der Begrüßungsseite wird das Dialogfeld für Netzwerksicherheitsregeln angezeigt, das in Abbildung 5 dargestellt ist. Es enthält eine Liste aller Firewallregeln, die von SCW vorgeschlagen werden und auf der in den vorherigen Abschnitten ausgewählten Rollenunterstützung basieren.

Abbildung 5 SCW listet alle Regeln auf, die für Ihren Bedarf festgelegt wurden

Abbildung 5** SCW listet alle Regeln auf, die für Ihren Bedarf festgelegt wurden **(Klicken Sie zum Vergrößern auf das Bild)

Wenn im Netzwerkabschnitt keine weitere Konfiguration erfolgt, erstellt SCW Firewallregeln, die die Netzwerkschnittstellen sperren, sodass nur diese Rollen und Features unterstützt werden, aber alle Clients auf sie zugreifen können. Doch um die Sicherheit auf Ihren Servern wirklich zu optimieren, sollten Sie SCW als wesentlichen Bestandteil beim Erstellen einer Serverisolierungsstrategie einsetzen. Weitere Informationen zur Serverisolierung (und dem verwandten Prozess der Domänenisolierung) erhalten Sie unter technet.microsoft.com/network/bb545651.

Das Buch „Windows Server 2008 Security Resource Kit“ enthält ein Kapitel zum Sichern des Netzwerks durch Server- und Domänenisolierung. Hier wird auch erläutert, wie Sie die Netzwerkbedrohungsmodellierung zur Analyse Ihres Netzwerks verwenden können, um die Bereitstellung der Serverisolierung zu erleichtern. SCW ist bei diesem Prozess ein wertvolles Tool.

Sie können Einschränkungen für die vorgeschlagenen Regeln konfigurieren, indem Sie die Regel auswählen und auf „Bearbeiten“ klicken. Nun wird Ihnen das in Abbildung 6 dargestellte Dialogfeld angezeigt. Dies ist eine von vier Seiten, auf denen Sie weitere Einschränkungen der Netzwerkregeln festlegen können. So können Sie beispielsweise IPSec-Authentifizierung fordern. Auf Wunsch können Sie auch den Port nur mit bestimmten Endpunkten verknüpfen. Sie können ihn beispielsweise so konfigurieren, dass die Remoteverwaltung nur von bestimmten Hosts aus zulässig ist. Wie Sie sehen, ist dies ein wesentlicher Vorteil gegenüber den Assistenten zum Hinzufügen von Rollen und Features.

Abbildung 6 Mithilfe von SCW lassen sich eine Firewall und IPSec-Regeln erstellen

Abbildung 6** Mithilfe von SCW lassen sich eine Firewall und IPSec-Regeln erstellen **(Klicken Sie zum Vergrößern auf das Bild)

Die Möglichkeit, Regeln für die Verbindungssicherheit auf Grundlage der von Ihnen ausgewählten Rollen zu erstellen, erfüllt zwei wichtige Zwecke. Zum einen bietet sie eine hervorragende Gelegenheit, zu verstehen, was in Ihren Servern vor sich geht. Dazu ist es nicht einmal erforderlich, einen Server hinzuzufügen. Sie können einfach den Assistenten ausführen und verschiedene Auswahlmöglichkeiten treffen, um zu sehen, wie sie sich auf die Optionen auf späteren Seiten auswirken. Zum anderen können Sie das äußerst abstrakte Konzept eines Ports mit dem viel logischeren Konzept eines Dienst verknüpfen und Netzwerkeinschränkungen genau auf der Grundlage dessen konfigurieren, was das System tatsächlich vornimmt.

Wenn dies richtig durchgeführt wird, können Sie für Ihre Server eine äußerst knappe Konfiguration entwickeln. Beim Erstellen der Sicherheitsrichtlinie für Ihre Server sollten Sie dem Netzwerkabschnitt von SCW zweifellos den größten Teil Ihrer Zeit widmen.

Im restlichen Teil von SCW können Sie Überwachungs- sowie eine Reihe von Registrierungseinstellungen konfigurieren. Die Standardeinstellungen dieser Parameter sind für die meisten Organisationen angemessen, und wenn Sie keine besonderen Anforderungen haben, bleibt hier nicht viel zu tun.

Nach Erstellen der Richtlinie können Sie diese speichern und auf den Computer anwenden, an dem Sie arbeiten. Außerdem können Sie sie auf andere Computer anwenden. Sie können die Richtlinie auch mithilfe des scwcmd.exe /transform-Befehls in ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) umwandeln.

Doch wenn die Richtlinie computerspezifische Einstellungen enthält, gelingt dies möglicherweise nicht, oder es könnte zu äußerst merkwürdigen Ergebnissen kommen. Wenn Sie beispielsweise Endpunkteinschränkungen erstellen, die lokale Adapter im Netzwerkabschnitt enthalten, gilt die Richtlinie als computerspezifisch. In diesem Fall lässt sie sich nicht erfolgreich umwandeln. Dies ist auf die Tatsache zurückzuführen, dass die Adapter mithilfe von GUIDs angegeben werden müssen. Die GUID für einen Adapter auf einem Computer ist auf einem anderen Computer bedeutungslos.

Daher ist es oft besser, SCW für jeden Server einzeln sowie als Lernwerkzeug zu verwenden. Für große Serverfarmen können Sie SCW einsetzen, um mehr über die Computer zu erfahren und eine grundlegende Richtlinie zu entwickeln. Dann können Sie die Richtlinie neu erstellen und mit jedem beliebigen Tool einführen, das Sie zum Konfigurieren der Server verwenden, beispielsweise die Gruppenrichtlinie oder ein Enterprise Management-System (z. B. Microsoft System Center).

SCW im Vergleich zu Server-Manager

Wie bisher verdeutlicht wurde, unterscheidet sich die für Rollen und Features verwendete Metapher. Mithilfe von „Features“ in SCW kann der Computer als Client fungieren. „Rollen“ dagegen ermöglichen dem Computer, als Server zu fungieren.

Dies unterscheidet sich von der in den Server-Manager-Tools verwendeten Metapher, bei der eine Rolle eine Sammlung von Diensten und Features ist, die Sie sich als eine Einheit vorstellen können, während ein Feature zur Unterstützung von Rollen dient. Im Wesentlichen gilt eine Rolle in Server-Manager als das, wofür Sie den Server erworben haben. Features sind wichtig, bilden aber nicht die grundlegende Funktion, für die Sie den Server erworben haben. Die beiden Metaphern und die unterschiedliche Verwendung derselben Begriffe dürften verwirrend sein. Machen Sie sich die Unterschiede bewusst, bevor Sie von einem auf das andere Tool wechseln.

Außerdem sind die Server-Manager-Tools nicht erweiterbar. Sie dienen nur zum Verwalten der in Windows enthaltenen Komponenten. Im Gegensatz dazu können von Ihnen installierte Drittanbieterprogramme SCW Rollen und Features hinzufügen. Sie können sogar Ihre eigenen Rollen und Features schreiben. Im Whitepaper „Erweitern des Sicherheitskonfigurations-Assistenten“ (verfügbar unter go.microsoft.com/fwlink/?LinkId=107397) wird dies näher erläutert.

SCW deaktiviert außerdem nicht erforderliche Komponenten. Die Server-Manager-Tools andererseits stellen lediglich von Ihnen gewünschte Komponenten bereit. Sie haben keinerlei weitere Auswirkungen auf dem Computer. Wenn Sie beim Festlegen der erforderlichen Komponenten Hilfe benötigen, sollten Sie SCW verwenden.

Sowohl die Server-Manager-Tools als auch SCW können zwar zum Konfigurieren des Netzwerks eingesetzt werden, SCW ist jedoch in dieser Hinsicht weitaus leistungsfähiger. Wenn Sie eine Serverisolierungsstrategie hinzufügen, kann SCW eine wahre Goldgrube an Informationen sein und Ihre Bereitstellung optimal unterstützen. Hierbei geht es natürlich um ein erweitertes Thema für die Sicherheitsverwaltung, aber bei SCW handelt es sich ja auch um ein erweitertes Sicherheitstool.

Schließlich lassen sich mit SCW einige weitere Sicherheitseinstellungen konfigurieren, die von den Server-Manager-Tools nicht konfiguriert werden. Diese wurden jedoch in Windows Server 2008 größtenteils durch effektivere Steuerungen ersetzt oder bereits als Standardeinstellungen festgelegt.

Jesper M. Johansson ist Security Engineer, der an Problemen mit der Softwaresicherheit arbeitet und redaktionelle Beiträge für das TechNet Magazin schreibt. Er verfügt über einen PhD in MIS und kann auf mehr als 20 Jahre Erfahrung im Bereich Computersicherheit zurückblicken.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.