Abschied von Username/Passwort

Zeitgleich mit dem Release der Beta-Version von Windows 7 hat Microsoft auch die Beta-Version des Windows Server 2008 vorgestellt. Dort gibt es auch einige interessante Neuerungen in Sachen Identity und Access Management (IAM) und Governance, Risk Management und Compliance (GRC).

Dass die beiden Beta-Versionen von Windows 7 und Windows Server 2008 zeitgleich kamen, hat einen guten Grund: Sie werden parallel entwickelt, weil sie in wichtigen Bereichen die gleiche Code-Basis haben. Das zeigt übrigens auch, dass die Bedeutung von Windows 7 etwas überschätzt wird. Dass dieses Release nicht Windows Vista R2 heißt, hat letztlich nur Marketing-Gründe.

Bei den Neuerungen des Windows Server 2008 R2 fallen unter anderem die Verbesserungen für die Unterstützung von Smartcards und biometrische Verfahren auf. Microsoft propagiert ja bereits seit längerem den Schritt weg von klassischen Benutzername-/Kennwort-Verfahren hin zu einer Zwei-Faktor-Authentifizierung. Beim Windows Server 2008 (und bei Windows 7) gibt es nun über die modulare Authentifizierungsarchitektur, die mit Windows Vista eingeführt wurde, hinaus wesentliche Verbesserungen.

Bei den Smartcards wird das Plug and Play für Karten unterstützt, die dem vom amerikanischen NIST (National Institute of Standards and Technologies) definierten PIV-Standard (Personal Identity Verification) entsprechen. Damit wird es deutlich einfacher als bisher, Smartcard-Reader und Smartcards in Windows-Umgebungen zu nutzen – was auch für die Administratoren eine Erleichterung darstellt. Neu ist auch die Möglichkeit, biometrische Geräte in standardisierter Weise zu nutzen.

Die neuen Windows-Versionen enthalten das Windows Biometric Framework als Standard-Schnittstelle für die Einbindung biometrischer Verfahren. Ausgebaut wurde auch die Unterstützung für die Network Access Protection (NAP), wo es nun deutlich flexiblere SHVs (System Health Validators) gibt, die unterschiedliche Konfigurationen der Sicherheitsrichtlinien unterstützen können. Damit lassen sich beispielsweise einfacher unterschiedliche Sicherheitszonen realisieren.

Auch das Active Directory wird aufgepeppt. Hier gibt es beispielsweise viele neue administrative Funktionen und eine Webservices-Schnittstelle. Außerdem lassen sich gelöschte Objekte aus dem Papierkorb einfach wiederherstellen. Wirklich interessant sind aber zwei andere Änderungen. Via Authentication Mechanism Assurance können Informationen über die Authentifizierungsstärke in Kerberos-Tickets eingefügt werden, so dass Anwendungen abhängig davon den Zugriff steuern können – ein wichtiger Schritt hin in Richtung auf eine kontext-basierende Autorisierung.

Außerdem gibt es so genannte Managed Service Accounts, also Dienstkonten, die vom System verwaltet werden. Damit werden zumindest einige der Anforderungen abgedeckt, die sonst über spezielle PAM-Lösungen (Privileged Account Management) adressiert werden müssen.

Alles in allem finden sich also doch einige interessante Neuerungen in diesem Zwischenrelease – auch wenn der größere Schritt aus der Identity Management-Perspektive sicherlich das Geneva-Framework ist, das ja – unter anderem – wesentliche Erweiterungen für die Federation-Funktionen und das Windows Rights Management mit sich bringt.



KuppingerCole PLUS

Get access to the whole body of KC PLUS research including Leadership Compass documents for only €800 a year

Stay Connected

KuppingerCole on social media

Subscribe to our Podcasts

KuppingerCole Podcasts - listen anywhere


How can we help you

Send an inquiry

Call Us +49 211 2370770

Mo – Fr 8:00 – 17:00