Server 2003 SP1 - Unter die Haube geschaut
Das Windows Server 2003 Service Pack 1 enthält neben vielen kleinen Hotfixes auch die neuen Netzwerkfeatures aus Windows XP Service Pack 2 .
Außerdem wurden eine Menge an zusätzlichen Features und Erweiterungen eingebaut bzw. scharf geschaltet.
Den eindeutigen Schwerpunkt hat Microsoft suf die Sicherheit gelegt.
Im Netzwerkbereich wurden die Neuerungen aus Windows XP/SP2 übernommen:
• Windows Firewall
• Windows Peer-to-Peer Networking
• Clientseitige Unterstützung von WPS (Wireless Provisioning Services)
• IPv6-Aktualisierung (Internet Protocol version 6)
• Neue Netstat Funktionen
• Erweiterungen im Bezug auf WLAN-Netzwerke
Ganz neu wurden folgenden Features inplementiert:
Standardmäßig ist die Firewall im Server 2003/SP1 deaktiviert, da ein Server in der Regel auch Netzverkehr zulassen sollte, und der Administrator dies sowieso im Griff haben sollte.
Unterschiedliche Verhaltensweisen der Windows Firewall
Die Windows Firewall von Windows Server 2003 SP1 arbeitet auf die gleiche Weise wie die Windows Firewall von Windows XP SP2.
Da es der Zweck eines Servercomputers ist, auch unverlangt eingehenden Netzwerkverkehr zu verarbeiten, ist die Windows Firewall jedoch unter Windows Server 2003 SP1 standardmäßig deaktiviert. Die Firewall läßt sich über die Systemsteuerung oder über Gruppenrichtlinien konfigurieren. Empfohlen wird jedoch die Administration über den neu eingeführten Sicherheitskonfigurationsassistenten. Nach einer interaktiven Aktivierung der Firewall ist ein Neustart erforderlich was einem auch fast ununterbrochen gemeldet wird.
Die Features der Firewall:
- Statische Ausnahmen für Ports
- Ausnahmen für Anwendungen
- Konfiguration von grundlegenden ICMP-Optionen
- Protokollierung von verworfenen Paketen und erfolgreichen Verbindungen
- Globale Konfiguration
- Überwachungsprotokollierung
- Portbeschränkungen
- Kommandozeilenunterstützung
- Betriebsmodus "Keine Ausnahmen zulassen
- Ausnahmenliste der Windows Firewall
- Mehrere Profile
- RPC-Unterstützung für Systemdienste
- Wiederherstellen von Standardeinstellungen
- Unbeaufsichtigte Installation
- Erweiterte Multicast- und Broadcastunterstützung
- Integration von Internetverbindungsfirewall und IPv6-Windows Firewall
- Aktualisierte Benutzerschnittstelle
- Neue Gruppenrichtlinien für die Firewall
Serverseitige Unterstützung von WPS
WPS erweitert die WLAN-Clientsoftware und den IAS-Dienst (Internet Authentication Service) von Windows Server 2003 SP1, um den bei öffentlichen WLAN-Hotspots den Internetzugriff zu managen. Außerdem wurden Möglichkeiten für einen Gastzugriff auf das Internet bei WLAN Netzen gesorgt. Einige weitere Neuerungen sind Verbindungskonfigurationstools für das einwählen bei WISP´s. Die clientseitige WPS-Unterstützung wird mit Windows XP SP2 und Windows Server 2003 SP1 zur Verfügung gestellt - sie umfasst die für die automatische Registrierung, Konfiguration und Verbindung zu WLANs mit WPS-Unterstützung erforderlichen Dienste und Komponenten. Mit Server 2003 SP1 steht nun auch eine serverseitige WPS-Unterstützung zur Verfügung. Außerdem wurde IAS um entsprechende Prozesse erweitert.
Rqs.exe und Rqc.exe für die Netzwerkquarantäne
Die Funktion Netzwerkquarantäne verzögert den Netzwerkzugriff auf ein privates Netzwerk so lange, bis die Konfiguration des Remotecomputers überprüft und bewertet wurde. Wenn ein Remotecomputer eine Verbindung mit einem RAS-Server aufbaut, wird der Benutzer authentifiziert, und der Computer erhält eine IP-Adresse. Die Verbindung wird allerdings in einem Quarantänemodus geparkt bis der Zugriff geprüft ist.
Um das Verbindungsmanager-Verwaltungskit unter Windows Server 2003 mit SP1 zu nutzen , muß dies über Software/Komponenten auf Verwaltungs- und Überwachungstools nachinstalliert werden.
Der netsh Befehl wurde um 2 Optionen erweitert:
netsh winsock reset catalog - reset auf Standardeinstellungen
netsh winsock show catalog - zeigt eine Liste mit allen Winsock-LSPs an
TCP/IP-Erweiterungen
Schutz vor SYN-Angriffen ist standardmäßig aktiviert
Ein TCP-SYN-Angriff (Synchronize) ist ein DoS-Angriff (Denial-of-Service) der halboffene TCP Verbindungen mißbraucht.
Intelligente TCP-Bereitstellung
Das Verbindungsmanagement wurde um einige Details verbessert.
Grundlegende Updates für:
WebDAV-Redirector
Durch dieses Update können Kunden auf WebDAV-Server (Web-based Distributed Authoring Versioning) wie zum Beispiel Windows SharePoint
Services und MSN-Communities zugreifen.
Internet Explorer
Unerwünschte Downloads von schädlichem Code und automatische Größenänderung von Browser-Fenstern
wurde gefixt.
Die Add on Verwaltung wurde auch im Server aktiviert
ActiveX Sicherheitsmodell
Outlook Express
Emails als nur Text statt HTML darstellen
Attachment Manager API-Integration
Hot Patching-Features
Updates und Patches einspielen ohne Neustart
Boot-Time-Sicherheit
IPv4- und IPv6-Treiber verhindern das eindringen über Ports bevor die Firewall vollständig geladen ist.
Sicherheit
Restriktivere Standardeinstellungen und geringere Rechte für Dienste wie z.B. RPC und DCOM sollen für eine größere Sicherheit vor Hackerangriffen schützen.
No Execute Hardware / (Data Execution Prevention - DEP)
Ermöglicht Server 2003 Hardware/Software Funktionen zu nutzen die das ausführen von bösartigen Code verhindern.
Diese Funktionen sollen Virencode erkennen und die Ausführung verhindern.
VPN-Quarantäne
Mehr Sicherheit für VPN Verbindungen
IIS 6.0-Metabase-Überwachung
Bessere Überwachung und Kontrolle des XML basierten Speichers
Post-Setup Security Updates (PSSU)
Schützt den Server während der Installation bzw. Updateinstallation
Sicherheitskonfigurations-Assistent (Security Configuration Wizard - SCW)
Management Tool das die Sicherheit konfiguriert auf der Basis von Serverrollen.
Sicherheitsfunktionen des Assistenten:
Der Sicherheitskonfigurations-Assistent ermöglicht dem Benutzer die folgenden Aktionen:
- Deaktivierung nicht benötigter Dienste
- Deaktivierung nicht benötigter IIS-Weberweiterungen
- Blockierung von ungenutzten Ports - inklusive einer Unterstützung von Mehrfach-Szenarien.
- Absicherung von offenen Ports über IPSec.
- Reduzierung der Gefährdung durch die Protokolle LDAP (Lightweight Directory Access Protocol), LAN-Manager und SMB (Server Message Block)
- Konfiguration von Überwachungseinstellungen mit einem hohen Signal-To-Noise-Wert
- Import von Windows-Sicherheitsvorlagen für Einstellungen, die nicht von Assistenten abgedeckt werden.
- Betriebsfeatures des Assistenten
Zusätzlich zur rollenbasierten Erstellung von Sicherheitsrichtlinien bietet der Assistent die folgenden Funktionen:
- Rollback - Ermöglicht das Rücksetzen des Servers in den Zustand, bevor die Richtlinie aktiv wurde
- Analyse - Um zu überprüfen, ob der Server die gewünschten Einstellungen verwendet.
- Remotezugriff - Stellt einen Remotezugriff zur Konfiguration und Analyse zu Verfügung.
- Kommandozeilenunterstützung - Ermöglicht die Remotekonfiguration und -analyse von ganzen Servergruppen.
- Active Directory-Integration - Unterstützt die Bereitstellung der Sicherheitsrichtlinien über Gruppenrichtlinien.
- Bearbeitung - Änderung von Sicherheitsrichtlinien des Assistenten - zum Beispiel für die Neudefinition von Serverrollen.
- XSL-Ansichten - Richtlinien und Analysen gespeicherte Daten anzeigen.
Es würde keinen Sinn machen jede kleinere Neuerung hier aufzuführen, dazu gibt es entsprechende Whitepapers.
Ein schöner Nebeneffekt ist das einige Dialogfelder jetzt klarere und besser strukturierte Informationen zur Verfügung stellen. Es sind einige wenige Gruppenrichtlinien hinzugekommen, die sich hauptsächlich auf die Verbesserung der Sicherheit beziehen.
Probleme sind bisher noch keine aufgetreten, aber in der US Knowledge Base kann man auch hierzu fündig werden.
Eines der unbestrittenen Highlights in SP1 ist der Sicherheitskonfigurations-Assistent.
Außerdem wurden eine Menge an zusätzlichen Features und Erweiterungen eingebaut bzw. scharf geschaltet.
Den eindeutigen Schwerpunkt hat Microsoft suf die Sicherheit gelegt.
Im Netzwerkbereich wurden die Neuerungen aus Windows XP/SP2 übernommen:
• Windows Firewall
• Windows Peer-to-Peer Networking
• Clientseitige Unterstützung von WPS (Wireless Provisioning Services)
• IPv6-Aktualisierung (Internet Protocol version 6)
• Neue Netstat Funktionen
• Erweiterungen im Bezug auf WLAN-Netzwerke
Ganz neu wurden folgenden Features inplementiert:
Standardmäßig ist die Firewall im Server 2003/SP1 deaktiviert, da ein Server in der Regel auch Netzverkehr zulassen sollte, und der Administrator dies sowieso im Griff haben sollte.
Unterschiedliche Verhaltensweisen der Windows Firewall
Die Windows Firewall von Windows Server 2003 SP1 arbeitet auf die gleiche Weise wie die Windows Firewall von Windows XP SP2.
Da es der Zweck eines Servercomputers ist, auch unverlangt eingehenden Netzwerkverkehr zu verarbeiten, ist die Windows Firewall jedoch unter Windows Server 2003 SP1 standardmäßig deaktiviert. Die Firewall läßt sich über die Systemsteuerung oder über Gruppenrichtlinien konfigurieren. Empfohlen wird jedoch die Administration über den neu eingeführten Sicherheitskonfigurationsassistenten. Nach einer interaktiven Aktivierung der Firewall ist ein Neustart erforderlich was einem auch fast ununterbrochen gemeldet wird.
Die Features der Firewall:
- Statische Ausnahmen für Ports
- Ausnahmen für Anwendungen
- Konfiguration von grundlegenden ICMP-Optionen
- Protokollierung von verworfenen Paketen und erfolgreichen Verbindungen
- Globale Konfiguration
- Überwachungsprotokollierung
- Portbeschränkungen
- Kommandozeilenunterstützung
- Betriebsmodus "Keine Ausnahmen zulassen
- Ausnahmenliste der Windows Firewall
- Mehrere Profile
- RPC-Unterstützung für Systemdienste
- Wiederherstellen von Standardeinstellungen
- Unbeaufsichtigte Installation
- Erweiterte Multicast- und Broadcastunterstützung
- Integration von Internetverbindungsfirewall und IPv6-Windows Firewall
- Aktualisierte Benutzerschnittstelle
- Neue Gruppenrichtlinien für die Firewall
Serverseitige Unterstützung von WPS
WPS erweitert die WLAN-Clientsoftware und den IAS-Dienst (Internet Authentication Service) von Windows Server 2003 SP1, um den bei öffentlichen WLAN-Hotspots den Internetzugriff zu managen. Außerdem wurden Möglichkeiten für einen Gastzugriff auf das Internet bei WLAN Netzen gesorgt. Einige weitere Neuerungen sind Verbindungskonfigurationstools für das einwählen bei WISP´s. Die clientseitige WPS-Unterstützung wird mit Windows XP SP2 und Windows Server 2003 SP1 zur Verfügung gestellt - sie umfasst die für die automatische Registrierung, Konfiguration und Verbindung zu WLANs mit WPS-Unterstützung erforderlichen Dienste und Komponenten. Mit Server 2003 SP1 steht nun auch eine serverseitige WPS-Unterstützung zur Verfügung. Außerdem wurde IAS um entsprechende Prozesse erweitert.
Rqs.exe und Rqc.exe für die Netzwerkquarantäne
Die Funktion Netzwerkquarantäne verzögert den Netzwerkzugriff auf ein privates Netzwerk so lange, bis die Konfiguration des Remotecomputers überprüft und bewertet wurde. Wenn ein Remotecomputer eine Verbindung mit einem RAS-Server aufbaut, wird der Benutzer authentifiziert, und der Computer erhält eine IP-Adresse. Die Verbindung wird allerdings in einem Quarantänemodus geparkt bis der Zugriff geprüft ist.
Um das Verbindungsmanager-Verwaltungskit unter Windows Server 2003 mit SP1 zu nutzen , muß dies über Software/Komponenten auf Verwaltungs- und Überwachungstools nachinstalliert werden.
Der netsh Befehl wurde um 2 Optionen erweitert:
netsh winsock reset catalog - reset auf Standardeinstellungen
netsh winsock show catalog - zeigt eine Liste mit allen Winsock-LSPs an
TCP/IP-Erweiterungen
Schutz vor SYN-Angriffen ist standardmäßig aktiviert
Ein TCP-SYN-Angriff (Synchronize) ist ein DoS-Angriff (Denial-of-Service) der halboffene TCP Verbindungen mißbraucht.
Intelligente TCP-Bereitstellung
Das Verbindungsmanagement wurde um einige Details verbessert.
Grundlegende Updates für:
WebDAV-Redirector
Durch dieses Update können Kunden auf WebDAV-Server (Web-based Distributed Authoring Versioning) wie zum Beispiel Windows SharePoint
Services und MSN-Communities zugreifen.
Internet Explorer
Unerwünschte Downloads von schädlichem Code und automatische Größenänderung von Browser-Fenstern
wurde gefixt.
Die Add on Verwaltung wurde auch im Server aktiviert
ActiveX Sicherheitsmodell
Outlook Express
Emails als nur Text statt HTML darstellen
Attachment Manager API-Integration
Hot Patching-Features
Updates und Patches einspielen ohne Neustart
Boot-Time-Sicherheit
IPv4- und IPv6-Treiber verhindern das eindringen über Ports bevor die Firewall vollständig geladen ist.
Sicherheit
Restriktivere Standardeinstellungen und geringere Rechte für Dienste wie z.B. RPC und DCOM sollen für eine größere Sicherheit vor Hackerangriffen schützen.
No Execute Hardware / (Data Execution Prevention - DEP)
Ermöglicht Server 2003 Hardware/Software Funktionen zu nutzen die das ausführen von bösartigen Code verhindern.
Diese Funktionen sollen Virencode erkennen und die Ausführung verhindern.
VPN-Quarantäne
Mehr Sicherheit für VPN Verbindungen
IIS 6.0-Metabase-Überwachung
Bessere Überwachung und Kontrolle des XML basierten Speichers
Post-Setup Security Updates (PSSU)
Schützt den Server während der Installation bzw. Updateinstallation
Sicherheitskonfigurations-Assistent (Security Configuration Wizard - SCW)
Management Tool das die Sicherheit konfiguriert auf der Basis von Serverrollen.
Sicherheitsfunktionen des Assistenten:
Der Sicherheitskonfigurations-Assistent ermöglicht dem Benutzer die folgenden Aktionen:
- Deaktivierung nicht benötigter Dienste
- Deaktivierung nicht benötigter IIS-Weberweiterungen
- Blockierung von ungenutzten Ports - inklusive einer Unterstützung von Mehrfach-Szenarien.
- Absicherung von offenen Ports über IPSec.
- Reduzierung der Gefährdung durch die Protokolle LDAP (Lightweight Directory Access Protocol), LAN-Manager und SMB (Server Message Block)
- Konfiguration von Überwachungseinstellungen mit einem hohen Signal-To-Noise-Wert
- Import von Windows-Sicherheitsvorlagen für Einstellungen, die nicht von Assistenten abgedeckt werden.
- Betriebsfeatures des Assistenten
Zusätzlich zur rollenbasierten Erstellung von Sicherheitsrichtlinien bietet der Assistent die folgenden Funktionen:
- Rollback - Ermöglicht das Rücksetzen des Servers in den Zustand, bevor die Richtlinie aktiv wurde
- Analyse - Um zu überprüfen, ob der Server die gewünschten Einstellungen verwendet.
- Remotezugriff - Stellt einen Remotezugriff zur Konfiguration und Analyse zu Verfügung.
- Kommandozeilenunterstützung - Ermöglicht die Remotekonfiguration und -analyse von ganzen Servergruppen.
- Active Directory-Integration - Unterstützt die Bereitstellung der Sicherheitsrichtlinien über Gruppenrichtlinien.
- Bearbeitung - Änderung von Sicherheitsrichtlinien des Assistenten - zum Beispiel für die Neudefinition von Serverrollen.
- XSL-Ansichten - Richtlinien und Analysen gespeicherte Daten anzeigen.
Es würde keinen Sinn machen jede kleinere Neuerung hier aufzuführen, dazu gibt es entsprechende Whitepapers.
Ein schöner Nebeneffekt ist das einige Dialogfelder jetzt klarere und besser strukturierte Informationen zur Verfügung stellen. Es sind einige wenige Gruppenrichtlinien hinzugekommen, die sich hauptsächlich auf die Verbesserung der Sicherheit beziehen.
Probleme sind bisher noch keine aufgetreten, aber in der US Knowledge Base kann man auch hierzu fündig werden.
Eines der unbestrittenen Highlights in SP1 ist der Sicherheitskonfigurations-Assistent.
Ähnliche Beiträge
- Fehlermeldungen: Domäne oder RPC-Server nicht verfügbar
- Fehlermeldungen: Der RPC Server ist nicht verfügbar
- DHCP: DHCP Server Datenbank kopieren
- DHCP: DHCP Server in AD integrieren
- DNS: WINS Server konfigurieren