14306

Windows 2000: CC-Sicherheitszertifikat gilt nicht für's Internet

06.11.2002 | 17:01 Uhr |

Das Unternehmen SAIC hat die Professional-, Server- und Advanced Server-Versionen von Windows 2000 mit Service Pack 3 an Hand der "Common Criteria" (CC) untersucht und für sicher befunden. Ein CC-Zertifikat erhält ein Betriebssystem, wenn es alle grundlegenden Sicherheitsanforderungen nach ISO IS 15408 erfüllt. Allerdings darf der Server nicht ins Internet.

Das Unternehmen SAIC hat die Professional-, Server- und Advanced Server-Versionen von Windows 2000 mit Service Pack 3 an Hand der "Common Criteria" (CC) untersucht und für sicher befunden. Ein CC-Zertifikat erhält ein Betriebssystem, wenn es alle grundlegenden Sicherheitsanforderungen nach ISO IS 15408 erfüllt. Hierunter fallen beispielsweise die Vergabe von Zugriffsrechten für einzelne Benutzer auf Programme und Daten. Besonders bei US-Behörden wird es benötigt, da das Zertifikat einen hohen Stellenwert bei Beschaffungen hat.

Allerdings ist das Zertifikat nur begrenzt aussagekräftig: Wer genauer hinschaut, stellt verschiedene interessante Passagen in der fast 500seitigen Dokumentation fest. Etwa, das man den berüchtigten IIS-Webserver (Stichwort: "Code Red") nicht mitinstallieren darf: Im zweiten Kapitel des Sicherheitsleitfadens (Security Configuration Guide) heisst es wie folgt:

"Für Server-Installationen wird der Index-Service, der Internet Information Service (IIS), und der Script Debugger standardmäßig in dem Windows 2000 -Komponentendialog für die Installation ausgewählt. Die evaluierte Konfiguration darf diese Komponenten jedoch nicht enthalten. Wählen Sie daher bitte den Index Service, den Internet Information Service und den Script Debugger ab."

Somit kann Windows 2000 zwar problemlos als Datei- und Druckerserver dienen, ins "unsichere" Internet darf der Rechner aber nicht. Weiterhin müssen Unmengen an Anforderungen erfüllt und alle Sicherheitshinweise beachtet werden - selbst für ein größeres Administratorenteam ist das kaum möglich.

Weiterhin behauptet Microsoft, das erste besonders hohe EAL4-Zertifikat für ein Betriebssystem erhalten zu haben , aber Sun besitzt bereits seit 2000 eines für Solaris 8 . Vielmehr ist es so, dass Windows 2000 als erstes Betriebssystem nach den aktualisierten CC-Testkriterien beurteilt wurde. Solaris befindet sich hier noch in der Evaluierungsphase.

0 Kommentare zu diesem Artikel
14306