Sicherheitsbewertung von SBS Umgebungen

Posted by o.sommer

Der SBS hat zwar seit der Version 2008 keinen integrierten ISA Server mehr, weil eine solche Konfiguration (SBS = DC mit mehreren Netzwerkkarten) von Microsoft schlicht nicht mehr unterstützt wird, aber:

der SBS 2008 und alle SBS 2011 haben trotzdem standardmäßig die Windows Server Firewall aktiviert und konfiguriert

  • die ist zwar relativ einfach gestrickt, aber der Erfolg gibt ihr Recht, denn die Windows Firewall hatte, meines Wissens nach, noch nie eine Sicherheitslücke

 

es ist vorgesehen einen SBS hinter einer Firewall bzw. mindestens einem NAT Router zu betreiben, wobei

  • der NAT Router aus Angreifer-Sicht schon einmal sehr viele potenzielle Angriffs-Szenarien unmöglich macht, da der Angreifer kaum eine Chance hat über das NAT (Network Address Translation) direkt an den SBS ranzukommen, außer an den Schnittstellen die dafür vorgesehen und speziell abgesichert sind
  • Diese durch den NAT Router zugänglichen Schnittstellen wären z.B. der Webserver der die Remote Web App Site betreibt, die aus diesem Grund nur Zugriffe erlaubt die sich authentifiziert haben, dasselbe gilt für die Websites die für Outlook Web App und Outlook Anywhere und Co. auf dem SBS betrieben werden, alle erfordern die Eingabe von Benutzernamen und Passwort, bevor man an irgendwelche potenziell verwertbaren Informationen herankommt

Hinzu kommt die securitytechnisch hervorragende Historie der Anwendungen auf dem SBS. AD DS, Exchange und Sharepoint haben wenig bis keine wirklich effektiv ausnutzbaren Sicherheitslücken.

In SBS Umgebungen werden alleine durch die obigen Maßnahmen schon die Sicherheitsfeatures erfüllt, wie Sie auch in vielen Konzern Infrastrukturen als völlig ausreichend bewertet werden.

Nur halt schon out-of-the-box und standardmäßig durch die Assistenten „sicher“ konfiguriert.