Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Richtlinien zur Serverhärtung: Beispiele und Tipps

Richtlinien zur Serverhärtung: Beispiele und Tipps

Nov 3, 2021

Verschiedene Studien zeigen, dass erschreckende 80% der gemeldeten Sicherheitsverletzungen das Ausnutzen von Schwachstellen in den Konfigurationen von IT-Systemen betreffen. Um Angriffe proaktiv zu blockieren und damit kostspielige Ausfallzeiten und data breaches zu verhindern, empfehlen Experten die Implementierung einer Server-hardening policy, die eine spezifische Art von system hardening-Richtlinie ist.

Eine Server-Härtungsrichtlinie ist eine Reihe von Richtlinien, Verfahren und Kontrollen, die darauf ausgelegt sind, Systeme vor unbefugtem Zugriff und Ausnutzung zu schützen. Tatsächlich ist ein Server, der in seinem Standardzustand eingesetzt wird, einem Risiko von Kompromittierungen und Malware-Angriffen ausgesetzt. Aber indem Sie unnötige Software und Funktionen entfernen, Sicherheitseinstellungen richtig konfigurieren und bewährte Praktiken für Zugriffskontrolle, Auditing und Incident Response implementieren, können Sie Ihre Angriffsfläche erheblich reduzieren.

Die folgenden Tipps und Beispiele können als Ausgangspunkt für Ihre Absicherungsbemühungen dienen.

Sorgfältig ausgewählte verwandte Inhalte

Benutzerkonten und Passwörter

  • Ist die Sperrdauer und die Schwellenwert für das Konto festgelegt?
  • Ist die Kerberos-Verschlüsselung aktiviert und sind die ausgewählten Typen stark genug?
  • Sind Standardlokalkonten, wie das integrierte Administrator- und Gastkonto auf Windows-Systemen, deaktiviert oder umbenannt?
  • Entsprechen die Passwortanforderungen der Benutzer den besten Praktiken, wie den NIST-Richtlinien?

Beispiel: Richten Sie eine Kontopasswortrichtlinie mit den folgenden Parametern ein:

  • Mindestpasswortalter: 1 oder mehr Tage
  • Mindestpasswortlänge: 14 oder mehr Zeichen
  • Schwellenwert für Kontosperrung: 10 oder weniger Versuche (aber nicht 0)
  • Zurücksetzen des Sperrzählers für Konten: 15 Minuten oder länger

Betriebssysteme

  • Wird jedes Betriebssystem (OS) vollständig vom Anbieter unterstützt und auf den neuesten Stand gepatcht? Und wird dies mindestens einmal im Monat überprüft?
  • Wurden alle unnötigen Dienste und Daemons entfernt oder deaktiviert? Wurden Web-, FTP-, Telnet- und Remote-Desktop-Zugriffe entfernt? Der beste Tipp ist, alles zu deaktivieren, von dem Sie wissen, dass es nicht erforderlich ist (wie der Themes-Dienst) und dann vorsichtig eins nach dem anderen mit anderen Diensten zu experimentieren, von denen Sie glauben, dass sie unnötig sind. Wenn das Deaktivieren eines Dienstes den Geschäftsbetrieb beeinträchtigt, halten Sie ihn aktiviert.
  • Wissen Sie, welche Ports offen sind? Gibt es einen triftigen Grund dafür, dass sie offen bleiben, oder können sie entfernt werden? Können Sie neu geöffnete Ports erkennen, wenn sie auftauchen?
  • Wurde die lokale Security Policy vollständig ausgeschöpft? Ausnutzbare Schwachstellen können mit dieser Richtlinie gemildert werden, die Hunderte von detaillierten Sicherheitskonfigurationskontrollen bietet, um die Sicherheit zu stärken.

Beispiel: Definieren Sie die folgenden Einstellungen für Windows-Betriebssysteme:

  • UIAccess-Anwendungen dürfen ohne Verwendung des sicheren Desktops nicht zur Erhöhung auffordern: Deaktiviert
  • Aufforderung zur Rechteerhöhung für Administratoren im Admin-Zustimmungsmodus: Aufforderung zur Zustimmung auf dem sicheren Desktop
  • Aufforderung zur Rechteerhöhung für Standardbenutzer: Automatische Ablehnung von Erhöhungsanfragen
  • Erkennung von Anwendungsinstallationen und Aufforderung zur Rechteerhöhung: Aktiviert
  • Aktivieren Sie nur UIAccess-Anwendungen, die an sicheren Orten installiert sind: Aktiviert
  • Führen Sie alle Administratoren im Modus 'Admin-Genehmigung erforderlich' aus: Aktiviert
  • Virtualisieren Sie Schreibfehler von Dateien und Registrierung in benutzerspezifische Bereiche: Aktiviert

Dateisysteme

  • Sind für Unix- und Linux-Server die Berechtigungen für wichtige Sicherheitsdateien (wie /etc/password und /etc/shadow) gemäß den Best Practice-Empfehlungen gesetzt? Wird sudo verwendet? Wenn ja, dürfen es nur Mitglieder der root wheel-Gruppe benutzen?
  • Sind für Windows-Server die wichtigen ausführbaren Dateien, DLLs und Treiber im System32- und SysWOW64-Ordner sowie im Ordner Program Files/(x86) geschützt?

Beispiel: Wenden Sie file integrity monitoring auf die folgenden Dateien und Ordner an:

  • %PROGRAMFILES%: Verwenden Sie den SHA1-Hash, Änderungen an Systemdateien, schließen Sie Protokolldateien aus, rekursiv
  • %PROGRAMFILES(x86)%: Verwenden Sie den SHA256-Hash, Änderungen an Systemdateien, schließen Sie Protokolldateien aus, rekursiv
  • %SYSDIR%: Verwenden Sie den SHA256-Hash, Änderungen an Systemdateien, schließen Sie Logdateien aus, rekursiv
  • %WINDIR%SysWOW64: Verwenden Sie den SHA256-Hash, Änderungen an Systemdateien, Logdateien ausschließen, rekursiv

Client/Server-Netzwerk

  • Ist die integrierte Software-Firewall aktiviert und auf „Alle ablehnen“ konfiguriert?
  • Wurden auf Linux die TCP Wrappers für „Deny All“ konfiguriert?
  • Wurden entfernt zugängliche Registrierungspfade und Freigaben für Ihre Umgebung angemessen eingeschränkt? Dies wird für einen Mitgliedsserver anders sein als für einen Domänencontroller.

Beispiel: Geben Sie in Ihrer Sicherheitsrichtlinie die folgenden Netzwerkclient- und Netzwerkservereinstellungen an:

  • Digitale Signierung der Kommunikation (wenn der Server zustimmt): Aktiviert
  • Unverschlüsselte Passwörter an SMB-Server von Drittanbietern senden: Deaktiviert
  • Digitale Signatur von Kommunikation (immer): Aktiviert
  • Digitale Signatur der Kommunikation (wenn der Client zustimmt): Aktiviert
  • Trennen Sie Clients, wenn die Anmeldezeiten ablaufen: Aktiviert

Auditierung und Änderungskontrolle

  • Sind Audit-Trails für alle Zugriffe, die Verwendung von Privilegien, Konfigurationsänderungen und den Zugriff, die Erstellung und Löschung von Objekten aktiviert?
  • Werden Prüfpfade sicher gesichert und für mindestens 12 Monate aufbewahrt?
  • Wird eine zentrale, geschützte NTP-Quelle konfiguriert und verwendet?
  • Wird file integrity monitoring (FIM) verwendet, um Ihre sicheren Build-Standards zu wahren?
  • Gibt es einen definierten change management-Prozess, der Vorschläge für Änderungen (einschließlich Auswirkungsanalyse und Rücknahmevorkehrungen), Genehmigung von Änderungen, QA-Tests und eine Nachimplementierungsprüfung umfasst?
  • Werden protokollierte Ereignisse sicher auf einem zentralen Server gesichert? Dies erfordert eine Methode zum Weiterleiten von Ereignissen von überwachten Servern an den Protokollserver (normalerweise ein Syslog-Weiterleitungsagent oder eine umfassendere Lösung wie Netwrix Change Tracker), sowie eine strukturierte Audit-Policy.

Beispiel: Definieren Sie die folgenden Einstellungen in Ihrer Erweiterten Überwachungsrichtlinie:

  • Audit-Abmeldung: Erfolg
  • Audit-Anmeldung: Erfolg und Fehler
  • Auditieren Sie andere An-/Abmeldeereignisse: Erfolg und Fehler
  • Audit Spezielle Anmeldung: Erfolg

Software und Anwendungen

  • Welche Pakete und Anwendungen werden durch Ihren sicheren Build-Standard definiert? Zum Beispiel, haben Sie Standards für Ihr Anti-Virus, Data Leakage Prevention, Firewall und FIM-Tools? Wie ist der Prozess für die periodische Aktualisierung der Baselines mit allen genehmigten Änderungen?
  • Gibt es einen Prozess, um sicherzustellen, dass Sie die neuesten Versionen haben und dass Patches getestet und angewendet wurden?
  • Sind automatisierte Aktualisierungen von Paketen zugunsten geplanter Update-Bereitstellungen deaktiviert?

Auswahl einer Server-Härtungsrichtlinie und Anpassung an Ihre Organisation

Eine Hardening-Checkliste oder eine Server-Härtungsrichtlinie zu bekommen, ist einfach genug. Zum Beispiel stellt das Center for Internet Security (CIS) hardening checklists zur Verfügung; Microsoft bietet Checklisten für Windows-Geräte; Cisco liefert Checklisten für seine Router; und die National Vulnerability Database, die von NIST gehostet wird, bietet Checklisten für eine breite Palette von Linux-, Unix-, Windows- und Firewall-Geräten. NIST bietet auch das National Checklist Program Repository an, das auf den SCAP- und OVAL-Standards basiert.

Ausgewählte verwandte Inhalte:

Das sind großartige Ausgangspunkte, aber Sie müssen jede Checkliste an den Betrieb und die Rolle eines Servers anpassen. Zum Beispiel benötigt ein Internet-Server eine stärkere Zugangskontrolle als ein Datenbankserver, der hinter Ihrer Firewall steht.

Sobald Sie Ihre Server-Härtungsrichtlinie etabliert und die Best-Practice-Checklisten auf Ihren Standard-Build angewendet haben, müssen Sie kontinuierlich alle Geräte auf Abweichungen in der Konfiguration überwachen. Ihr Änderungsmanagementprozess sollte definieren, wie Änderungen bewertet und dann entweder behoben oder in die Konfigurationsbasislinie aufgenommen werden. Netwrix Change Tracker bietet intelligente Änderungskontrolle, sodass Änderungen nur einmal für einen Server genehmigt werden müssen und dann alle weiteren Vorkommen derselben Änderung automatisch genehmigt werden. Dies beseitigt das größte Problem bei den meisten FIM- und SIEM-Systemen, nämlich dass die Flut an Änderungsmeldungen schnell überwältigend werden kann.

Zusammenfassung

Der effektivste erste Schritt in jeder Data Security-Strategie ist es, Sicherheitsverletzungen zu verhindern. Durch proaktives Ansprechen von Konfigurationsschwachstellen mittels Hardening können Server sicherer gemacht und widerstandsfähiger gegen Angriffe werden. Change-Management- und File Integrity Monitoring-Lösungen überwachen dann jede Abweichung von Ihrer Basislinie, sodass Sie sicherstellen können, dass alle Server sicher konfiguriert bleiben.

FAQ

Was ist Server-Härtung?

Server-Härtung ist der proaktive Prozess des Deaktivierens ungenutzter Programme und Funktionen, des Verschärfens von Server-Sicherheitseinstellungen und des Durchsetzens von Best Practices für Auditing und Incident Response, um Server weniger anfällig für Angriffe zu machen.

Was ist eine Hardening-Richtlinie?

Eine Hardening-Richtlinie ist eine Reihe von Richtlinien und Verfahren, die implementiert werden, um die Angriffsfläche eines Systems zu verringern. Die Richtlinie sollte auf Zugriffskontrolle, Protokollierung und Vorfallreaktion basieren. Eine Richtlinie kann spezifisch für ein bestimmtes System sein, wie Linux oder Windows Server, oder verallgemeinert wie eine Datenbank-Hardening-Richtlinie.

Was ist eine Vorlage für eine Systemhärtungsrichtlinie?

Eine Vorlage für eine system hardening-Richtlinie ist ein Dokument, das die Richtlinien und Verfahren beschreibt, die befolgt werden müssen, um Systeme zu sichern und zu schützen. Sie umfasst in der Regel eine Liste von bewährten Methoden und Sicherheitskontrollen, die für bestimmte Vermögenswerte implementiert werden sollen. Die Vorlage kann als Ausgangspunkt für die Erstellung einer individuellen Hardening-Richtlinie für verschiedene Systeme verwendet werden.

Wie kann ich die Sicherheit meines Servers verstärken?

Typische Schritte umfassen in der Regel:

  • Entfernen unnötiger Software und Dienste, um die Angriffsfläche zu verringern
  • Firewalls und Intrusion-Detection-/Prevention-Systeme konfigurieren, um unbefugten Zugriff zu blockieren
  • Aktivierung von Sicherheitsfunktionen wie Verschlüsselung und Secure Boot
  • Implementierung von Best Practices für den Zugriffsschutz, wie Multifaktor-Authentifizierung und das Prinzip der geringsten Rechte
  • Regelmäßiges Aktualisieren von Software und Aufspielen von Sicherheitspatches
  • Eine robuste Ereignisprotokollierung und Verkehrsüberwachung implementieren, um mögliche Sicherheitsvorfälle zu erkennen und darauf zu reagieren
  • Regelmäßiges Testen und Überprüfen der Server-Härtungsrichtlinie, um Schwachstellen zu identifizieren und zu beheben.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Dirk Schrader

VP of Security Research

Dirk Schrader ist Resident CISO (EMEA) und VP of Security Research bei Netwrix. Als 25-jähriger Veteran in der IT-Sicherheit mit Zertifizierungen als CISSP (ISC²) und CISM (ISACA) arbeitet er daran, die Cyber-Resilienz als modernen Ansatz zur Bekämpfung von Cyber-Bedrohungen voranzutreiben. Dirk hat an Cybersecurity-Projekten auf der ganzen Welt gearbeitet, beginnend in technischen und Support-Rollen zu Beginn seiner Karriere und dann übergehend in Vertriebs-, Marketing- und Produktmanagementpositionen sowohl bei großen multinationalen Konzernen als auch bei kleinen Startups. Er hat zahlreiche Artikel über die Notwendigkeit veröffentlicht, Änderungs- und Schwachstellenmanagement anzugehen, um Cyber-Resilienz zu erreichen.

Erfahren Sie mehr zu diesem Thema

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Was ist elektronisches Records Management?

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen