Sinds de introductie van Windows Server 2003, in april 2003, hebben ontwikkelingen op het gebied van onder meer cloud computing, big data en mobile device management het it-landschap drastisch veranderd en het belang van goede beveiliging flink vergroot.

"We hebben de afgelopen twaalf jaar veel mooie dingen meegemaakt, maar ook de aanvallen en risico's hebben zich verder ontwikkeld", zegt Hans Bos, National Technology Officer van Microsoft. "In het begin konden we dat redelijk bijhouden met updates en patches, maar op een gegeven moment kom je toch voor de keus te staan de architectuur rigoureus te veranderen. Je wilt gewapend zijn tegen de modernste aanvallen."

Blijven draaien op Windows Server 2003 is riskant, waarschuwt Bos. Servers moeten, ten opzichte van 2003, nu rekening houden met veel meer data en netwerk verbindingen dan ooit. En die komen niet alleen meer uit het eigen, redelijk geïsoleerde, netwerk maar vooral ook vanaf het internet. In de recente jaren is cloud het leidende softwaremodel geworden en deze verschuiving vraagt ook om vernieuwing van de beveiliging van besturingssystemen. Het onderwerp staat inmiddels ook op de agenda van de overheid en toezichthouders: zo liet het College Bescherming Persoonsgegevens - de Nederlandse privacy-waakhond - eerder al een waarschuwing horen over het gebruik van Windows XP na het beeindigen van de ondersteuning in april 2014.

Windows Server 2003 mist ten opzichte van recentere versies een aantal belangrijke veiligheidsaspecten. Vijf concrete veranderingen op een rijtje die het belang van een update onderstrepen:

1. Security auditing

In de meest recente versies van Windows Server sluit deze security auditing veel beter aan bij de huidige eisen van organisaties en bijvoorbeeld de toezichthouders. "Door het gebruik van security auditing, ben je bijvoorbeeld beter in staat aan te tonen dat je in overeenstemming met het eigen informatiebeleid en de wet- en regelgeving opereert", stelt Bos. "Goede security auditing helpt je om aan te tonen dat je grip hebt op de veiligheid van je infrastructuur."

2. Read Only Domain Controllers

Read Only Domain Controllers worden sinds Windows Server 2008 ondersteund. Doordat veel organisaties hun netwerken spreiden over vestigingen en bijvoorbeeld koppelen aan netwerken van andere parijen, nemen ook de veiligheidsrisico's toe. Heb je bijvoorbeeld twintig vestigingen, dan wil je niet dat de sub domain controller in iedere vestiging dezelfde mogelijkheden heeft als de hoofd domain controller. Bos: "Dan zouden te makkelijk algemene wijzigingen kunnen worden aangebracht vanuit een wellicht minder goed fysiek beveiligde kleine vestiging. Deze functie betekent een enorme verbetering in de beveiliging voor bijvoorbeeld organisaties met een verspreide infrastructuur."

3. Domain name system security extentions

Het type aanval op infrastructuur is de afgelopen tien jaar natuurlijk veranderd. Een van de aanvallen richt zich op websites. Het protocol DNSSEC maakt het mogelijk de authenticiteit van websites beter te bevestigen. Vooral bij cloud toepassingen en internettechnologieën is deze vorm van beveiliging belangrijk. "We ondersteunen DNSSEC vanaf Windows Server 2008", zegt Bos. "En vanaf 2012 is het weer verbeterd. Maar in Server 2003 ontbreekt het volledig." De Nederlandse overheid heeft DNSSEC op de lijst van 'comply or explain' standaarden staan, om maar aan te geven hoe belangrijk de ondersteuning van deze standaard is.

4. Multi tenant security en isolatie

Steeds vaker bevinden processen en gegevens van meerdere klanten en leveranciers zich op één en dezelfde server. Voor 'hosting' is het niet kostenefficiënt om iedereen een volledig eigen fysieke server toe te wijzen. In 2003 was er weinig of geen discussie over multi-tenancy, en al helemaal niet over 'de cloud'. "Als we allemaal dezelfde server gebruiken, dan wil je natuurlijk niet dat jouw data toegankelijk is voor iemand anders", stelt Bos. "Dataverkeer moet strikt gescheiden blijven. Met 'multi-tenancy' wordt vanaf Windows Server 2008 expliciet rekening gehouden. Dat begint bijvoorbeeld al op netwerkprotocolniveau. Een van de eerste vragen die een klant haar 'hosting' of cloud leverancier tijdens een risicoanalyse altijd stelt is: 'Hoe heb je multi-tenancy risico's beperkt?' Bij de beveiliging van cloud computing is multitenant security dus erg belangrijk geworden."

5. Kerberos

Het authenticatieprotocol Kerberos sluit in Windows Server 2012 beter aan bij producten van derden, en het is meer interoperabel en beter te managen. Windows Server 2003 had wel een vorm van Kerberos-authenticatie, maar vanaf 2012 is het verbeterd en makkelijker geworden om te gebruiken. Het is bijvoorbeeld eenvoudiger geworden om Kerberos vanaf een remotedesktop te benutten. "Ict is natuurlijk ook steeds complexer geworden", geeft Hans Bos aan. "Encryptie is bijvoorbeeld sterk verbeterd. Recentere versies zoals Windows Server 2012 kunnen ook beter omgaan met deze hogere niveaus van encryptie."