WINDOWS SERVER 2012 & 2008 R2 SICHER BETREIBEN

38 Sicherheitsüberwachung in Windows Server 2012: Gut gewappnetIn diesem Artikel gehen wir auf Möglichkeiten und Werkzeuge ein, die Ihnen dabei helfen, Berechtigungen für Dateien,Ordner, Netzwerke und das Active Directory zu überwachen.

43 Active Directory-Kennwortrichtlinien und Managed Service Accounts: EinbruchsicherMit dem Active Directory-Verwaltungscenter können Sie Kennwortrichtlinien noch komfortabler auf einzelneOrganisationseinheiten oder Benutzergruppen binden. Parallel dazu helfen verwaltete Dienstkonten dabei, dass Serverdienstemit sicheren Benutzerkonten laufen und automatisiert regelmäßig die Kennwörter ändern.

50 Netzwerkzugriffschutz in Windows Server 2012: Windows-WachdienstMit dem Netzwerkzugriffschutz lassen sich Rechner und Server im Netzwerk auf vordefinierte Sicherheitseinstellungen über-prüfen. Entspricht ein Client nicht den vorgegebenen Richtlinien, können die Server den Zugriff des Clients sperren.

54 Remotezugriff mit DirectAccess und VPN: Geheimtür ins UnternehmenWindows Server 2012 stellt für den einfachen Aufbau eines VPN die DirectAccess-Technologie bereit. Kombiniert mitBordmitteln für Nicht-Windows 8-Clients stellt dieser Workshop den Aufbau und die Konfiguration aller Remote-Verbindungen für Clients unter Windows 2012 vor.

58 Windows Server 2008 R2 und 2012 härten: SelbstverteidigungNeben der administrativen Verkleinerung der Angriffsfläche von Windows-Servern mit Bordmittelnstehen dem IT-Verantwortlichen spezielle Sicherheits-Tools von Microsoft zur Verfügung. Dieser Beitrag bietet eine breite Palette an Sicherheitsmaßnahmen für Windows Server-Infrastrukturen.

I N H A L T

4 Sonderheft II/2013 www.it-administrator.de

MASSNAHMEN DER INFRASTRUKTUR-SICHERHEIT

8 Überblick zur aktuellen IT-Bedrohungslage: Im FadenkreuzUnternehmen stehen zunehmend im Fokus von Cyberangriffen. Neben zahlreichen Lückenin der Software stellen die Mitarbeiter selbst einen entscheidenden Schwachpunkt dar.

12 Zugangsschutz und physikalische Sicherheit von Serverräumen: Vertrauen ist gut, Kontrolle ist notwendig

Viel zu oft vernachlässigen Unternehmen die physikalische Sicherheit ihrer IT-Anlagen. Wie IT-Verantwortliche systematisch physikalische Sicherheit in Verbindung mitZugangskontrollmaßnahmen etablieren, zeigt dieser Beitrag.

15 Klimasteuerung und Brandschutz im Serverraum: Schneller als die Feuerwehr

Brandvermeidung sollte im Rahmen der IT-Sicherheit eine hohe Priorität genießen, drohen doch schonbeim kleinsten Feuer im Serverraum enorme, unwiderrufliche Schäden durch Flammen, Rauchentwicklungund Löschwasser.

19 Schutz der Stromversorgung: SpannungsfelderTrotz bester Energieversorgungsinfrastruktur ist kein Unternehmen vor einem Stromausfall gefeit. Doch nicht jedes IT-System hat identische Anforderungen an die USV und selten wird für den Fall vorgesorgt, dass der Strom einmal längerals ein paar Minuten ausfällt.

22 Weitere kritische Infrastrukturaspekte: Der Teufel steckt im DetailDie Frage nach kritischen Ersatzgeräten und -teilen vor Ort will ebenso geklärt sein wie der Hochwasserschutz inbestimmten Regionen. In diesem Beitrag beleuchten wir wichtige Infrastrukturaspekte, die es abzusichern gilt

26 Planung und Konzeption der Datensicherung: Nicht alle Wege führen zum ZielDieser Workshop befasst sich mit dem Planungsprozess eines vollumfänglichen und zukunftsorientiertenDatensicherungskonzepts, angelehnt an die Empfehlungen der IT-Grundschutzkataloge des BSI.

33 Notfallmanagement implementieren: Ruhig schlafenUm gravierende Risiken frühzeitig zu erkennen, sollten Sie ein geeignetes Notfallmanagement – häufig als BusinessContinuity Management bezeichnet – etablieren. Ziel ist es, die Ausfallsicherheit der Geschäftsprozesse zu erhöhen undin einem Notfall systematisch und richtig zu reagieren.

35 Sensibilisierung der Mitarbeiter: Auf der HutSei es aus Gutgläubigkeit, Unwissenheit oder auch böser Absicht heraus – schnell geraten vertraulicheUnternehmensdaten in die falschen Hände oder das Netzwerk ist infiziert. Wie Sie bei Ihren Mitarbeitern fürdie nötige Sensibilität sorgen, lesen Sie in diesem Beitrag.

I T - A d m i n i s t r a t o r – S o n d e r h e f t I I / 2 0 1 3

66 Sicherheit mit Gruppenrichtlinien: Ferngesteuert sicherGruppenrichtlinien erlauben, das Sicherheitsniveau auf den Client-Rechnern zentral zu steuern. Neben den bekanntenMöglichkeiten wie etwa der Steuerung der Kennwortsicherheit von Anwendern lässt sich beispielsweise auch dasPatchmanagement mit GPOs administrieren.

73 Active Directory-Zertifikatdienste einrichten: Den Ausweis, bitteViele aktuelle Serversysteme von Microsoft oder Drittanbietern benötigen Zertifikate für den Zugriff. Beispiele dafür sind Exchange Server oder SharePoint. Dieser Workshop zeigt, wie Sie in Windows Server 2012 die Zertifikatdienste einrichten und verwalten.

80 Ereignisprotokolle im Netzwerk sammeln und auswerten: EreignissammelstelleWir zeigen in diesem Workshop Methoden zur Erhöhung des Sicherheitsniveaus durch regelmäßige zentrale Auswertung der Meldungen von Windows Server.

86 Schreibgeschützte Domänencontroller verwenden: Reduzierte AngriffsflächeUm Domänencontroller in Zweigstellen abzusichern, bietet sich die schreibgeschützte Variante an, der Read-only DomainController. Dieser erhält die replizierten Informationen von den normalen Domänencontrollern, nimmt aber selbst keineÄnderungen vor.

90 Berechtigungen für Dateien und Verzeichnisse verwalten: Sicheres FundamentDer interne Schutz vor unbefugten Änderungen, Löschungen oder gar Diebstahl wertvoller Unternehmensdaten basiertinsbesondere auf einer sinnvollen Vergabe der Berechtigungen für Verzeichnisse und Dateien.

95 Active Directory-Verbunddienste nutzen: Grenzenlos arbeitenFür Unternehmen werden die Authentifizierung für Webdienste über Organisationsgrenzen hinweg oder Single-Sign-On-Szenarien – in der Cloud zusammen mit lokalen Anmeldungen – zunehmend zu einer zentralen Anforderung an die IT.

100 Netzwerk mit Open Source-Software überwachen: Gut und günstigWelche Open Source-Tools sich eignen, um Ihr Netzwerk absichern, lesen Sie in diesem Workshop.

SICHERHEIT FÜR SHAREPOINT UND EXCHANGE

106 SharePoint 2010 im Internet veröffentlichen: Appsolute SicherheitSharePoint 2010 spielt seinen ganzen Nutzen dann aus, wenn auch mobile Anwender auf das System zugreifen können. In diesem Workshop veröffentlichen wir zunächst Schritt für Schritt eine SharePoint-Seite mit TMG 2010 und anschließend Seiten und Applikationen mit UAG 2010.

114 SharePoint-Farmen sicher betreiben: Schutz für die HerdeNeben den Sandboxed Solutions, die installierte Anwendungen in SharePoint überwachen und Angriffe verhindern, gilt es bei der Absicherung einer SharePoint-Farm weitere Besonderheiten zu beachten.

120 Sicherer Zugriff auf SharePoint 2010: Zertifizierter TürsteherIn diesem Workshop installieren wir zunächst Zertifikate auf SharePoint, konfigurieren diese, beheben möglicheFehler und zeigen die Rolle von SSL. Abschließend beschäftigen wir uns mit der automatischen Umleitung auf SSL-gesicherte Seiten.

123 SharePoint-Farmen und -Datenbanken überwachen: Auf Herz und Nieren geprüftUm SharePoint-Farmen zu überwachen, sollten Sie einen Blick auf die SharePoint-Datenbanken werfen. Nicht nur bestimmen Sie hierüber, wie Nutzer mit Dokumenten umgehen, sondern sehen auch, was im Innersten Ihrer SharePoint-Landschaft passiert.

131 Outlook Web App absichern: BriefgeheimnisDer Administrator muss einiges beachten, um den externen E-Mailzugriff sicher zur Verfügung zu stellen. Wir geben Ihnen Tipps, wie Sie Exchange Server 2007/2010 für OWA absichern.

136 Exchange Server 2010 im Internet zur Verfügung stellen: HochsicherheitstraktWie eine sichere Öffnung von Exchange aufzubauen ist und welche Besonderheiten bei unterschiedlichen Versionen vonExchange und Windows Server zu beachten sind, zeigt dieser Artikel.

143 Zertifikatbasierte Authentifizierung an Exchange ActiveSync: Robo-Pförtner

Administratoren kennen die Schwierigkeiten bei der Anmeldung von mobilen Geräten über ActiveSync an Exchange. Lesen Sie, wie Sie dieses Problem mit Zertifikaten lösen und eine Anmeldung komplett ohneBenutzerinteraktion verwirklichen.

www.it-administrator.de Sonderheft II/2013 5

6 Sonderheft II/2013 www.it-administrator.de

WINDOWS-CLIENTS SCHÜTZEN

148 Windows 7 sicher betreiben: Auf Nummer sicherIn Windows 7 hat Microsoft sicherheitstechnisch nochmal eine Schippe draufgelegt. Dennoch lässt sich mit einigen Tricks dasSecurity-Niveau weiter erhöhen und Arbeitsstationen sicherer betreiben.

156 Windows 8 absichern: AbgeschirmtAlle Funktionen in Windows 8 wurden bereits in der Entwicklung auf Angriffsmöglichkeiten hin überprüft und bezüglich derSicherheit optimiert. Doch um Arbeitsstationen wirklich sicher zu betreiben, müssen Administratoren in den aktuellenWindows-Versionen 8 und 8.1 einige Anpassungen vornehmen.

161 Zentrale Datensicherung mit Data Protection Manager 2012: Verlässlicher ArchivarWir zeigen Ihnen, wie Sie DPM 2012 einrichten und Server wie auch Clients zur Sicherung anbinden.

165 Windows Server Update Services: Automatische PflasterDie Windows Server Update Services können für Microsoft-Betriebssysteme, aber auch für alle anderen Microsoft-ProdukteUpdates herunterladen und im Netzwerk zur Verfügung stellen.

170 Gratis-Tools für Client-Sicherheit: Unscheinbare HelferleinFür die Absicherung von Windows-Clients bieten sich zahlreiche kostenfreie, aber dennoch mächtige Tools an. Sei es, umpotenzielle Schwachstellen ausfindig zu machen, die Rechner von Malware zu befreien oder den Überblick über die ActiveDirectory-Infrastruktur zu behalten.

173 Anwendungen mit AppLocker kontrollieren: Keine Chance für schwarze Schafe

AppLocker soll Administratoren ein Beschränken des Anwendungszoos auf Clients ermöglichen. Ein weiterer Nutzen liegt imSperren nicht lizenzierter Anwendungen. Die Funktion ist lokal verfügbar und lässt sich über Gruppenrichtlinien steuern.

RUBRIKEN

3 Editorial

4-6 Inhalt

178 Vorschau, Impressum, Inserentenverzeichnis

I N H A L T

Thomas Gronenwald ist seit mehreren Jahren als Berater, Fachautor und Dozent im Umfeld der IT-Sicherheit tätig. Er verantwortet als Senior Security Consultant und Manager bei dem europaweit tätigen IT-Sicherheitsanbieter admeritia GmbH den Fachbereich Consulting. Neben der technischen undorganisatorischen Beratung von internationalen Wirtschafts- und Industrieunternehmen aus dem Energie-und Produktionssektor berät er zumeist Unternehmen, die den kritischen Infrastrukturen zuzuordnen sind.Außer seinen Kernkompetenzen im Bereich der Industrial Cyber Security fokussiert er unter anderemThemen aus den Bereichen der Malware-Analyse und -Prävention, Patchmanagement von Sicherheitslücken und Security Hardening.

Thomas GronenwaldThomas Joos ist selbstständiger IT-Consultant und seit 25 Jahren

in der IT-Branche tätig. Er schreibt Fachbücher zu Microsoft-Netzwerkthemen in denBereichen Windows Server, Small Business Server, Active Directory, Exchange Server und

IT-Sicherheit. Durch seinen praxisorientierten und verständlichen Schreibstil sind seineFachbeiträge für viele Leser eine wichtige Informationsquelle geworden.

Thomas Joos