Identity and Access in Windows Server 2008
Die Verwaltung von Benutzeridentitäten hat heutzutage für viele Unternehmen hohe Priorität. Mitarbeiter benötigen Zugriff auf mehrere Systeme und Ressourcen im Unternehmensnetzwerk, unter Verwendung unterschiedlicher Arten von Geräten. Doch da viele dieser Systeme untereinander nicht kommunizieren können, ist es nicht unüblich, dass eine einzige Person mehrere Identitäten besitzt. Die Verwaltung dieser redundanten Identitäten ist komplex, erfordert viel Zeit und steigert aufgrund potenzieller Fehlerquellen das Sicherheitsrisiko.
Identity and Access-Lösungen von Microsoft sind Bestandteil von Plattformtechnologien und Produkten, die dafür geschaffen wurden, Unternehmen bei der Verwaltung von Benutzeridentitäten und zugehöriger Zugriffsberechtigungen zu unterstützen. Mit dem Fokus auf Sicherheit und leichte Bedienung helfen diese Lösungen Unternehmen dabei, die Produktivität zu fördern, IT-Kosten zu reduzieren und die Komplexität beim Identity and Access-Management zu verringern. Microsoft Identity and Access-Lösungen decken die folgenden Bereiche ab:
| • | Verzeichnisdienste: Vereinfacht die Verwaltung von Benutzern und Geräten. |
| • | Starke Authentifizierung: Schützt Zugriffe über Benutzernamen und Kennwörter hinaus. |
| • | Federated Identities: Sicher über Unternehmensgrenzen hinweg zusammenarbeiten. |
| • | Informationsschutz: Schützt vertrauliche Daten – unabhängig davon, wohin diese gelangen. |
| • | Identity Lifecycle Management: Automatisiert die Identity and Access-Verwaltung. |
Microsoft Windows Server 2008 baut auf der Microsoft Identity and Access-Basis mit zahlreichen neuen Funktionen und Technologien auf. Diese helfen Unternehmen dabei, die operative Effizienz zu steigern, Compliance einfacher zu erreichen und die Sicherheit zu optimieren.
Auf dieser Seite
 | Neues bei den Verzeichnisdiensten |
| Neues bei der starken Authentifizierung |
| Neues zum Informationsschutz |
Neues bei den Verzeichnisdiensten
Read-Only Domain Controllers: Eine der herausragenden neuen Funktionen der Active Directory Domain Services (AD DS) von Windows Server 2008 stellt der Read-Only Domain Controller (RODC) dar. Ein RODC ermöglicht Ihnen, ganz leicht einen Domänencontroller bereitzustellen, der lediglich ein schreibgeschützes Replikat der Domänen-Datenbank verwendet. Dies eignet sich idealerweise für Standorte, an denen die physikalische Sicherheit des Domänencontrollers nicht gewährleistet ist, eine eingeschränkte Netzwerkkonnektivität zu negativen Produktivitätauswirkungen führt, oder Anwendungen auf einem Domänencontroller laufen, die von einem Administrator (der idealerweise kein Mitglied der Domänen-Administratoren-Gruppe ist) verwaltet werden müssen. Alle diese Szenarien sind typisch für die Zweigstellen-Anbindung.
Ein RODC verfügt über dieselben Objekte und Attribute, die auch ein schreibfähiger Domänencontroller besitzt. Im Gegensatz dazu werden lokal initiierte Änderungen jedoch nicht in der Replika des lokalen Domänencontrollers (dem RODC) durchgeführt. Vielmehr werden Änderungswünsche auf einem schreibfähigen Domänencontroller in der Zentrale durchgeführt und von dort aus zum RODC repliziert. Dies verhindert, dass in entfernten Zweigstellen-Standorten Änderungen durchführbar sind, die die Active Directory-Gesamtstruktur möglicherweise korrumpieren oder beschädigen.
Administratoren können einen RODC zudem so konfigurieren, dass dieser Benutzer-Credentials in seinem Cache zwischenspeichert. Versucht sich ein Benutzer das erste Mal an einem RODC zu authentifizieren, leitet der RODC diese Anfrage an einen schreibfähigen Domänencontroller weiter. Falls die Authentifizierung erfolgreich verläuft, fordert der RODC von dort eine Kopie der Benutzer-Credentials an. Die Kennwortreplizierungsrichtlinie bestimmt, ob die Credentials zu einem RODC repliziert und dort gecacht werden dürfen. Werden Credentials gecacht, kann der RODC den nächsten Anmeldeversuch des Benutzers selbst abwickeln – solange, bis der RODC danach im Rahmen der Replikation von einer Credentials-Änderung in Kenntnis gesetzt wird. Das Caching von Credentials kann die Benutzer-Produktivität steigern, indem die Auswirkungen der WAN (Wide Area Network) -Latenz oder andere Schwierigkeiten bei der Netzwerkkonnektivität gemildert werden, die in Zweigstellen des Öfteren auftreten können. Des Weiteren führt AD DS eine Liste aller Credentials, die auf RODCs gespeichert sind. Bei Bedenken kann ein Administrator eine Kennwort-Rücksetzung für alle Benutzer-Credentials erzwingen, die auf diesem RODC im Cache gespeichert sind.
Über die Funktion der Verwaltungsdelegation ist es möglich, die Installation und Verwaltung in der Zweigstelle von einem Nicht-Administrator durchführen zu lassen. Somit kann Personal in der Zweigstelle die Installation abschließen, indem der Server mit einem RODC-Konto verbunden wird, das ein Administrator zuvor angelegt hat. Durch diese Funktion entfällt die Notwendigkeit, einen Staging-Standort für Domänencontroller in Zweigstellen zu verwenden oder Installationsmedien mitsamt einem Domänen-Administrator zur jeweiligen Zweigstelle zu senden.
Active Directory Federation Services: Active Directory Federation Services (AD FS) ist eine Server-Rolle beim Windows Server 2008-Betriebssystem. Sie können AD FS dazu verwenden, eine in hohem Maße erweiterbare, Internet-skalierbare und sicherere Identitätszugriffslösung zu erstellen, die plattformübergreifend arbeitet und dabei sowohl Windows- als auch Nicht-Windows-Plattform umspannt. AD FS beinhaltet nun eine Funktion zum Import/Export von Richtlinien, sodass es leichter ist, eine Vertrauensstellung zwischen Federation-Partnern herzustellen. Das Hinzufügen eines Mitglieds-Providers erlaubt den Benutzern eines Federation-Partners eine rollenbasierte Autorisierung bei den Windows SharePoint Services (WSS) sowie den Rights Management Services (RMS). Administratoren verfügen jetzt über die Möglichkeit, die Bereitstellung des Federation-Dienstes über Gruppenrichtlinien zu begrenzen. Eine Unterstützung für unterschiedliche Einstellungen zur Zertifikatswiderrufsprüfung steht ebenfalls zur Verfügung.
Verzeichnisdienst: Über die neue Überwachungsrichtlinien-Unterkategorie verfügen Administratoren jetzt über granulare Audit-möglichkeiten. Die Directory Service Changes-Überwachungsrichtlinie erfasst die bisherigen sowie die neuen Werte von Verzeichnisdienst-Objekten und -Attributen, die geändert werden. Administratoren erfahren dadurch detailliert, wer eine Änderung durchgeführt hat, wann diese stattgefunden hat, welche Objekte und/oder Attribute verändert worden sind und welche Vorher/Nachher-Werte es gab. Die Verzeichnisdienst-Überwachung ist in das Windows-Ereignisprotokoll integriert, das sich über System Center Operations Manager 2007 (SCOM, der Nachfolger des Microsoft Operations Manager/MOM) oder geeignete Tools von Drittherstellern konsolidieren und mit weiteren Aktionen versehen lässt. Diese detaillierte Protokollierungsebene unterstützt Unternehmen dabei, das Verzeichnisdienst-Change-Management zu überwachen und die Compliance mit gesetzlichen Bestimmungen zu optimieren.
Server Core-Rolle: AD DS und Active Directory Lightweight Directory Services (AD LDS) werden als Rollen bei Server Core-Installationen von Windows Server 2008 unterstützt. Server Core ist eine neue Installationsoption zur Erstellung einer wartungsarmen Umgebung, die sich ideal für spezifische, Rollen-basierte Dienste eignet. Server Core ist dafür geschaffen, die Verwaltungs- und Wartungsanforderungen zu reduzieren sowie die Angriffsfläche von Windows Server 2008-Installationen zu begrenzen.
Erfahren Sie mehr über Server Core (engl.).
Dienst basierter AD DS: Der AD DS von Windows Server 2008 ist jetzt Dienst basiert. Das bedeutet, dass der Active Directory-Verzeichnisdienst bei Bedarf über Snap-Ins für die Microsoft Management Console (MMC) oder über die Befehlszeile angehalten und gestartet werden kann. Der Dienst basierte AD DS vereinfacht die Verwaltung, indem die Zeit zur Durchführung von Offline-Operationen (wie der Offline-Defragmentierung oder der autoritativen Wiederherstellung) verringert wird. So verbessert sich auch die Verfügbarkeit anderer Dienste, die auf dem Domänencontroller laufen: Diese können aktiv bleiben, während eine AD DS-Wartung durchgeführt wird. Client, die mit einem angehaltenen Domänencontroller verbunden sind, ermitteln einfach einen anderen Domänencontroller und kontaktieren diesen dann für domänenspezifische Anfragen.
AD DS Snapshot Viewer: Durch die Erfassung von Informationen über Objekte in AD DS-Snapshots (die im Laufe der Zeit entstehen), können Sie über das Snapshot-Viewer-Tool Objekte identifizieren, die versehentlich gelöscht worden sind. Diese Snapshots lassen sich auf einem Domänencontroller betrachten, ohne diesen Verzeichnisdienst-Wiederherstellungsmodus zu starten. Durch den Statusvergleich von Objekten in unterschiedlichen Snapshots können Sie sich leicht entscheiden, welche AD DS-Datensicherung zur Wiederherstellung der gelöschten Objekte herangezogen werden soll.
Granulare Kennwort- und Kontensperrungsrichtlinien: Granulare Kennwortrichtlinien erlauben es, mehrere Kennwortrichtlinien zu spezifizieren. Somit können innerhalb einer einzigen Domäne verschiedene Kennwortbeschränkungen und Kontensperrungsrichtlinien auf unterschiedliche Benutzer angewandt werden.
Installation vom Medium: Die Installation-vom-Medium-Option lässt sich dazu verwenden, einen zusätzlichen Domänencontroller in einer vorhandenen Domäne zu installieren und währenddessen den Replikationsverkehr zu minimieren.
Neues bei der starken Authentifizierung
Cryptography API Next Generation: Cryptography API Next Generation (CNG) ist ein komplett neues Infrastruktur-API (Application Programming Interface) in Windows Server 2008, das die Suite-B-Protokolle der National Security Agency-Protokollempfehlungen implementiert. Die Active Directory Certificate Services (AD CS) nutzen CNG zur Kryptografie. CNG ist ein langfristiger Ersatz für das CryptoAPI früherer Windows-Versionen.
Klassische Verschlüsselungsalgorithmen werden in AD CS über Certificate Service Providers (CSPs) nach wie vor unterstützt. Neue Kryptografiealgorithmen wie Elliptic Curve Cryptography (ECC) finden Unterstützung über CNG-Schlüssel-Provider. Ein herausragendes Merkmal von CNG ist die Fähigkeit, dass Unternehmen bei Bedarf eigene Verschlüsselungsalgorithmen verwenden können.
Granulare Administrationsmodell: AD CS arbeitet mit neuen Sicherheitsfunktionen, die eine granulare Kontrolle darüber erlauben, wer Zertifikate ausstellen kann, welche Zertifikate ausgestellt und wem diese erteilt werden dürfen. Diese Verwaltungsfunktionen beziehen die Sicherheitsgruppen von AD DS in die Verwaltungsaufgaben von Enrollment-Agenten und Zertifikats-Manager mit ein.
V3-Zertfikatschablonen: In AD CS ersetzen V3-Zertifikatschablonen die in früheren Windows-Versionen eingeführten V1- und V2-Zertifikatschablonen. Diese unterstützen nicht nur die neuen CNG-Verschlüsselungsalgorithmen von Windows Server 2008: V3-Schablonen stellen außerdem eine sicherere Methode zur Client-Validierung von Domänencontrollern zur Verfügung. Des Weiteren kann die AD CS-bezogene Kommunikation zwischen Client und Server verschlüsselt stattfinden.
Unternehmensweite Public Key Infrastructure (PKI) -Verwaltung: PKIView, erhältlich als Teil des Windows Server 2003 Resource Kits, ist mit der Installation von AD CS als MMC Snap-In in Windows Server 2008 enthalten.
PKIView vereinfacht die Verwaltung einer Unternehmens-PKI, indem zentrale Aufgaben zur Verwaltung der Zertifikatautorität (Certificate Authority, CA) unter einer einzigen administrativen Oberfläche kombiniert werden. Die Unterstützung für Unicode-Zeichen in dieser konsolidierten Ansicht erleichtert den internationalen Einsatz. Über die konsolidierte Schnittstelle erhalten Administratoren:
| • | Eine einzige, hierarchische Ansicht der kompletten PKI-Infrastruktur, die bei der AD DS-Topologie registriert ist und daran teilnimmt. |
| • | Eine Ansicht für Parent/Child-Beziehungen – bei Auswahl einer bestimmten Root-CA werden alle untergeordneten CAs als Baumstruktur eingeblendet. |
| • | Die Möglichkeit, den Knoten direkt aus dieser Oberfläche heraus zu verwalten. |
| • | Farbkodierte Indikatoren, die den Gesamtzustand von CAs, Bäumen und der Enterprise-PKI als Ganzes kennzeichnen. |
Unterstützung für neuere Standards: AD CS in Windows Server 2008 unterstützt neuere Standards – einschließlich Online Certificate Status Protocol (OCSP), Issuing Distribution Point Extension (IDP CRL) und Simple Certificate Enrollment Protocol (SCEP).
Neues zum Informationsschutz
Federated collaboration: Windows Server 2008 enthält eine vollständig integrierte Federated Rights Management Services-Lösung. Diese Integration kombiniert Aspekte der Active Directory Federation Services (AD FS) mit denen der Active Directory Rights Management Services (AD RMS), um ein leicht einzusetzendes, externes Collaboration-Framework zur Verfügung zu stellen.
Vor Windows Server 2008 erforderte die Zugriffsrechte-geschützte Zusammenarbeit mit externen Partnern, dass IT-Administratoren eigens für externe Benutzer intern einen zweiten Satz an Anmeldeinformation bereithielten. Hierbei handelte es sich typischerweise um Domänenkonten oder eine Form der Passport-Integration. Durch die Integration der entsprechenden Funktionen von AD RMS in AD FS werden diese externen Benutzer, die auf geschützte Inhalte des Unternehmens zugreifen möchten, zunächst von ihrem eigenen Home-Realm (ihr Domänencontroller) authentifiziert. Dadurch ist es mit Windows Server 2008 nicht mehr erforderlich, intern einen redundanten Satz von Anmeldeinformationen für externe Benutzer zu unterhalten.
Sind diese externen Benutzer einmal authentifiziert, werden die AD RMS-Richtlinien durchgesetzt. AD RMS stellt einem externen Benutzer automatisch die passenden Inhaltslizenzen zur Verfügung, um mit den geschützten Inhalten des Unternehmens arbeiten zu können. Administratoren besitzen granulare Kontrolle darüber, welche dieser externen Benutzer mit den geschützten Inhalten des Unternehmens umgehen dürfen. Des Weiteren können sie Schablonen definieren und diese auf mehrere Partnerbeziehungen anwenden. Die Federated Rights Management Services von Windows Server 2008 sind vollständig kompatibel mit bestehenden Microsoft Office SharePoint Server 2007-Installationen und bieten Abwärtskompatibilität zu früheren AD RMS-Clients.
Einheitliche Verwaltung: AD RMS bedeutet den Übergang zu einem vertrauteren Verwaltungs-Framework. Die frühere, webbasierte Verwaltungsoberfläche von AD RMS ist nun in ein MMC Snap-In überführt. Es gibt nun eine aufgabenorientierte Oberfläche, die den schnellen Aufruf zu erforderlichen, empfohlenen und optionalen Konfigurationsschritten ermöglicht. Vier neue Sicherheitsgruppen gestatten es Administratoren, AD RMS-Verwaltungsaufgaben an bestimmte Benutzer oder Gruppen zu delegieren.
Windows BitLocker-Laufwerksverschlüsselung: Die Windows BitLocker-Laufwerksverschlüsselung dient dem Schutz von Daten und ist sowohl in Windows Vista Enterprise und Windows Vista Ultimate (für Client-Computer) als auch in allen Versionen von Windows Server 2008 enthalten. Die Windows BitLocker-Laufwerksverschlüsselung stellt eine neue Funktion von Microsoft dar, um Daten vor den Gefahren zu schützen, die von verlorener, gestohlener oder ungeeignet außer Betrieb gesetzter PC-Hardware ausgehen können.
Die Windows BitLocker-Laufwerksverschlüsselung hindert einen Dieb daran, den Datei- und Systemschutz von Windows Server 2008 durch das Booten des Computers mit einem anderen Betriebssystem oder durch Einsatz eines Software-Hacking-Tools zu durchbrechen. Ebenso wird verhindert, dass Dateien, die auf einem geschützten Laufwerk gespeichert sind, offline eingesehen werden können. Idealerweise nutzt die Windows BitLocker-Laufwerksverschlüsselung ein Trusted Platform Module (TPM) 1.2, um Daten zu schützen und sicherzustellen, dass sich niemand an dem mit Windows Server 2008 arbeitenden Computer unberechtigt zu schaffen gemacht hat, während das System offline war. Die Windows BitLocker-Laufwerksverschlüsselung erweitert den Datenschutz durch die Kombination zweier Funktionen: Die Verschlüsselung der gesamten Festplatte sowie die Integritäts-überprüfung für die in der frühen Bootphase des Computers verwendeten Komponenten.
Erfahren Sie mehr über Windows BitLocker-Laufwerksverschlüsselung (engl.).