natali_mis - stock.adobe.com
Wie Windows Server 2022 die Netzwerksicherheit verbessert
Secured-Core-Server ist eine wichtige neue Sicherheitsfunktion in Windows Server 2022. Aber Microsoft hat im neuen Release auch Schutzoptionen für Netzwerkverbindungen integriert.
Cyberattacken auf Data Center kommen aus allen erdenklichen Richtungen. Doch mehrere neue und verbesserte Funktionen für die Netzwerksicherheit von Windows Server 2022 sollen diese Angriffsversuche vereiteln.
In den letzten Jahren gab es zahlreiche Datenpannen in Unternehmen aller Größenordnungen, was die Notwendigkeit einer besseren Netzwerksicherheit unterstreicht. Aufgrund der Bedeutung von Windows Server als Schlüsselkomponente in der Unternehmensinfrastruktur ist es von entscheidender Bedeutung, dass der Administrator alle ihm zur Verfügung stehenden Mittel einsetzt, um das Risiko zu reduzieren, Opfer eines Angriffs zu werden. Unternehmen, die ihre Abwehrfähigkeit stärken möchten, können mit den verbesserten Netzwerksicherheitsfunktionen von Windows Server 2022 ihre Anfälligkeit für eine Vielzahl von Attacken verringern.
Transport Layer Security 1.3
Neben Secured-Core-Server ist eine der größten sicherheitsspezifischen Verbesserungen, die Microsoft in Windows Server 2022 vorgenommen hat, die native Unterstützung für Transport Layer Security 1.3 (TLS), das 2018 vorgestellt wurde. Diese neueste Version des Protokolls, das zur Verschlüsselung des Netzwerk-Traffics verwendet wird, behebt die in TLS 1.2 gefundenen Schwachstellen und bietet eine bessere Leistung, insbesondere beim Handshake-Prozess.
Microsoft hat TLS 1.3 standardmäßig in Windows Server 2022 aktiviert, aber das Betriebssystem kann weiterhin frühere TLS-Versionen nutzen, um inkompatible Clients zu unterstützen.
HTTP/3
HTTP gibt es schon seit 1989. Entwickelt, um Inhalte aus dem World Wide Web an Clients zu übertragen, haben seine Schöpfer wohl nicht vorausgesehen, wie schnell es sich durchsetzen würde. Die letzte größere Aktualisierung von HTTP im Jahr 2016 diente der Behebung von Sicherheits- und Performance-Problemen. Nun wurde mit HTTP/3 die dritte Revision in Windows Server 2022 implementiert.
HTTP/3 befindet sich derzeit in der Entwicklung, wird aber bereits von Google und Facebook verwendet. HTTP/3 verwendet das Transportprotokoll QUIC, das auf dem User Datagram Protocol (UDP) basiert. Außer einer besseren Performance nutzt HTTP/3 standardmäßig Verschlüsselung, um eine sichere Verbindung zu gewährleisten.
Um HTTP/3 zu aktivieren, müssen Sie den folgenden Registry-Schlüssel hinzufügen:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP\Parameters" /v EnableHttp3 /t REG_DWORD /d 1 /f
Microsoft empfiehlt Administratoren, den Windows-Webservice so zu konfigurieren, dass die Verfügbarkeit des Dienstes über HTTP/3 bekannt gegeben wird. Clients, die eine Verbindung mit einem älteren Protokoll herstellen, werden über die HTTP/3-Unterstützung informiert und wechseln zu dem sichereren Protokoll. Um das HTTP/3-Advertisement zu aktivieren, ergänzen Sie den folgenden Registry-Schlüssel:
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP\Parameters" /v EnableAltSvc /t REG_DWORD /d 1 /f
Starten Sie anschließend den Server neu, damit die Änderungen wirksam werden.
Secure DNS
Microsoft hat die Netzwerksicherheit von Windows Server 2022 durch die Unterstützung von Secure DNS verbessert. Dabei handelt es sich um einen Industriestandard, der auch unter verschiedenen anderen Bezeichnungen wie DNS-over-HTTPS (DoH) bekannt ist.
Durch DoH bleiben DNS-Abfragen vertraulich. Wenn jemand den Netzwerk-Traffic überwacht, sieht er, dass DNS-Abfragen durchgeführt werden, aber der Inhalt dieser Abfragen bleibt verborgen. Einige Unternehmen verwenden Secure DNS, um ihre Online-Aktivitäten vor dem ISP zu kaschieren. Secure DNS kann auch dazu beitragen, DNS-Manipulationsversuche zu verhindern.
Firmen sollten abwägen, ob es in ihrem Interesse liegt, Secure DNS zu nutzen. Neben den Sicherheitsvorteilen kann Secure DNS auch das Erkennen verdächtiger Aktivitäten aus dem Netzwerk erschweren, da es die von diesen Angriffen erzeugten DNS-Abfragen maskiert.
SMB-Verschlüsselung mit AES-256
SMB-Verschlüsselung codiert den SMB-Traffic (Server Message Block) im Netzwerk. SMB ist das Protokoll, das Windows-Geräte verwenden, um auf Windows-Dateifreigaben zuzugreifen. SMB wird auch häufig für die Konnektivität zu NAS-Appliances und anderen Speicher-Arrays genutzt.
Microsoft hat SMB-Verschlüsselung mit Windows Server 2012 eingeführt und sie in Windows Server 2022 durch Unterstützung für AES-256-GCM- und AES-256-CCM-Verschlüsselung verbessert.
SMB-Verschlüsselung lässt sich über das Windows Admin Center aktivieren, indem man sich mit dem Server verbindet, der eine SMB-Freigabe hostet, auf Dateifreigabedateien klickt und dann zum Tab Dateifreigaben wechselt. Anschließend wählt man die zu verschlüsselnde Freigabe aus und schaltet die Option SMB-Verschlüsselung aktivieren ein.
Wenn Sie das Ganze über die PowerShell durchführen möchten, geben Sie den folgenden Befehl ein, um SMB-Verschlüsselung für eine Windows-Dateifreigabe zu nutzen:
Set-SmbShare –Name <sharename> -EncryptData $true
Bei der Verwendung von SMB-Verschlüsselung müssen Sie den Unterschied zwischen der Aktivierung und der (obligatorischen) Anforderung von SMB-Verschlüsselung kennen. Aktivierung bedeutet, dass Clients, die eine Verbindung zu einer SMB-Freigabe herstellen, wenn möglich Verschlüsselung nutzen. Bei der Anforderung von SMB-Verschlüsselung hingegen werden alle nicht verschlüsselten Verbindungen zurückgewiesen.
Windows Server 2022 und Windows 11 sind derzeit die einzigen Windows-Betriebssysteme, die AES-256-Verschlüsselung unterstützen. Ältere Windows-Clients, die eine Verbindung zu einer SMB-Freigabe herstellen, die auf einem Windows Server 2022 gehostet wird, greifen auf einen älteren Verschlüsselungsstandard zurück, zum Beispiel AES-128.
Windows Server 2022 unterstützt auch SMB-Verschlüsselung für Ost-West-Traffic, das heißt den SMB-Traffic, der zwischen Windows-Failover-Clusterknoten und einem freigegebenen Cluster-Volume fließt. Wenn der Failover-Cluster Storage Spaces Direct (Direkte Speicherplätze) verwendet, ermöglicht diese Option die Verschlüsselung der Clusterkommunikation für eine bessere Gesamtsicherheit.
Der einfachste Weg, einen Clusterknoten dazu zu zwingen, den gesamten SMB-Traffic zu verschlüsseln, ist die Eingabe des folgenden Befehls in der PowerShell:
Set-SMBServerConfiguration -EncryptData $True -Force
Überprüfen Sie, ob der Vorgang erfolgreich war, indem Sie das Kommando Get-SMBServerConfiguration ausführen und danach den Wert von EncryptData kontrollieren.
SMB-Direct- und RDMA-Verschlüsselung
Microsoft hat in Windows Server 2022 Unterstützung für die Verschlüsselung per SMB Direct eingeführt. Dieses Protokoll nutzt Remote Data Memory Access (RDMA), um große Datenmengen ohne den normalerweise für solche Vorgänge erforderlichen CPU-Overhead zu übertragen.
In früheren Windows-Server-Versionen wurde durch die Aktivierung von SMB-Verschlüsselung Direct Data Placement abgeschaltet, was zu einer deutlich langsameren Performance von SMB Direct führte, die somit einer normalen SMB-Sitzung entsprach. Microsoft hat dieses Problem in Windows Server 2022 behoben, um Unternehmen verschlüsselte Hochgeschwindigkeitsübertragungen zu ermöglichen, indem die Daten vor der Platzierung verschlüsselt werden. Der Verschlüsselungsvorgang benötigt zwar einige CPU-Ressourcen, aber die Auswirkungen auf die Performance sind in der Regel äußerst gering.
Microsoft beschreibt diese SMB-Verbesserungen unter diesem Link.
