RAS
Will man die interne Infrastruktur von Microsoft von zuhause oder unterwegs nutzen, so muss man "RAS" nutzen. Dieses System ist allen Microsoft-Mitarbeitern ein Begriff, steht für Remote Access Services und dürfte dem Rest der Welt mehr unter VPN geläufig sein. Da Microsoft wertvolles geistiges Eigentum - etwa die Source Codes seiner Betriebssysteme und Applikationen auf den Servern liegen hat, ist Sicherheit oberste Priorität. Die Server in Redmond sind daher auch, wenig verwunderlich, beliebte Angriffsziele für Hacker und liegen hinter Firewalls gut geschützt und überwacht verborgen.
100.000 Angriffe
Laut Angaben der Microsoft-IT gegenüber Computerworld werden jedes Monat rund 100.000 Angriffsversuche verzeichnet. Gegenwärtig filtern die Microsoft-Filter 9 Millionen Spam- und Virenmails aus dem täglichen E-Mail-Aufkommen von 10 Millionen Nachrichten. Dies bedeutet, dass sage und schreibe 90 Prozent aller eingehender Mails bei Microsoft Spam sind.
Nur VPN?
Die Zahl der Angriffe und die Bedeutung der gespeicherten Daten nur geschützt durch VPN? Dies klingt doch etwas gewagt, und wäre es auch, aber Microsoft hat zudem noch weitere Sicherheitsmaßnahmen implementiert. Die erste Schutzschicht ist die Zwei-Wege-Authentifizierung für das Microsoft-VPN. Nach einem Zwischenfall im Jahr 2000 hat Microsoft einen zertifizierten Public-Key installiert und Smartcards an alle MitarbeiterInnen und LizenzkundInnen ausgeteilt um eine Remote-Verbindung zu den wichtigen und benötigten Daten sicherzustellen. Für eine Zwei-Wege-Authentifizierung braucht man neben der Smartcard auch ein Passwort. "Heute benötigt man eine Smartcard mit einem gültigen Zertifikat und einen PIN, darüber hinaus werden auch ein Netzwerkausweis und ein Zertifikat benötigt, welche die Erlaubnis für den Remote-Zugriff auf das Netzwerk sicherstellen", so Mark Estberg, Direktor der Microsoft Internal Security. Derzeit wird bei Microsoft kein biometrisches System eingesetzt.
Sandbox
Die zweite Sicherheitsebene sind so genannte "Sandboxes". Dies bedeutet, dass die Software vom Rest des Systems abgeschirmt wird, also quasi in einen Sandkasten gesetzt, in dem es einerseits keinen Schaden anrichten kann und andererseits die Wirkungen der Software aufgezeichnet werden können. Bevor ein Computer auf das Netzwerk zugreifen kann, wird er auf verdächtige Aktivitäten gescannt. Zudem müssen die AnwenderInnen über ein genehmigtes Betriebssystem mit sämtlichen installierten Sicherheitsupdates verfügen. Sollten sich die Sicherheitsupdates nicht finden, so werden die AnwenderInnen darauf hingewiesen und zu Updates genötigt. Geschieht dies nicht, dann wird die Verbindung unterbrochen.
Sicherheit vs. Benutzerfreundlichkeit
All diese Sicherheitsvorkehrungen brauchen natürlich eine gewisse Zeit, die den potenziellen AnwenderInnen ordentlich auf die Nerven gehen kann. Laut Angaben der Microsoft-IT dauert der VPN-Sign-in-Scan manchmal mehr als fünf Minuten. Für einen Rechner, der nicht den geforderten Standards entspricht und dem Netzwerk unbekannt ist, können es auch schon einmal bis zu 15 Minuten werden. Um AnwenderInnen, die regelmäßig das Netzwerk nutzen, nicht den Spaß an der Sache zu verleiden, hat Microsoft für diese NutzerInnen die Einwählphase beschleunigt. Die Netzwerkserver speichern Daten während eines Scanns und erkennen regelmäßige AnwenderInnen, diesen wird eine längere Zeitspanne eingeräumt bevor ein erneuter Anmeldescan notwendig wird. Dieser UserInnen sollen innerhalb einer Minute Zugriff auf das Netzwerk erhalten.
Verschlüsselung
Microsoft folgt seinen eigenen Regeln für VPN-Verschlüsselung. Passwortstärke und Passwortänderungen. Aus Sicht des Softwarekonzerns ist die sicherste VPN-Authentification über das Extensible Authentication Protocol-Transport Level Security (EAP-TLS) gewährleistet, welches mittels Smartcards operiert. Das so genannte Point-to-Point Tunneling Protocol (PPTP) in Verbindung mit EAP-TLS bietet den primären VPN-Diensten Verschlüsselung und Absicherung. Zudem bietet der Windows Server 2003 eine Auswahl von standardmäßig vordefinierten Passwort-Policies. Diese verlangen unterschiedlich lange Passworte mit einer Mischung aus unterschiedlichen Zeichen und einem Wechsel des Passworts nach einer gewissen Zeitperiode. Microsoft verwendet eine etwas striktere Version der Standard Windows Server 2003-Passwortpolicy für sein eigenes Netzwerk.
E-Mail und IM