Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumCheckliste
Checkliste zur Absicherung von Windows Server

Checkliste zur Absicherung von Windows Server

Während das Bereitstellen von Servern in ihrem Standardzustand der schnellste Weg sein kann, um sie betriebsbereit zu machen, bleibt es in Bezug auf die Sicherheit deutlich zurück. Direkt nach dem Auspacken sind Server für eine einfache Handhabung optimiert — was häufig auf Kosten der Sicherheit geht.

Dieser Vorbehalt ist besonders wichtig für Windows Server-Systeme aufgrund der entscheidenden Rolle, die sie im Microsoft-Ökosystem spielen, einschließlich Authentifizierung und Autorisierung. Indem Sie ein wenig mehr Zeit in die sichere Konfiguration Ihrer Windows Server-Systeme investieren, können Sie Ihre Angriffsfläche drastisch reduzieren.

Um zu helfen, bietet dieser Leitfaden eine umfangreiche Checkliste der besten Praktiken zur Absicherung von Windows Server. Zuerst werden wir Windows Server selbst behandeln: Benutzer, Funktionen, Rollen, Dienste und so weiter. Aber dann werden wir einen Windows-Härtungsleitfaden für eine Vielzahl anderer Aspekte der IT-Umgebung bereitstellen, die ebenfalls die Sicherheit und Verfügbarkeit von Windows Server beeinflussen, wie Netzwerk- und Firewall-Konfiguration, Anwendungs- und Dienstkonfiguration, Zugriffsmanagement und Überwachungsrichtlinien. Abschließend bieten wir eine Lösung an, die den Prozess der Serverhärtung erheblich vereinfacht.

Servervorbereitung

Die Absicherung von Servern beginnt bereits bevor Sie das Betriebssystem installieren. Um eine solide Grundlage für die Serversicherheit zu schaffen, führen Sie die folgenden Schritte aus:

  • Erstellen und pflegen Sie ein detailliertes Inventar aller Ihrer Server.
  • Isolieren Sie neue Server vom Netzwerk- und Internetverkehr, bis sie vollständig abgesichert sind.
  • Sichern Sie das BIOS/Firmware mit einem robusten Passwort.
  • Deaktivieren Sie die automatische administrative Anmeldung an der Wiederherstellungskonsole.
  • Konfigurieren Sie die Bootreihenfolge der Geräte, um das Booten von alternativen Medien zu verhindern.

Aktualisieren Sie die Windows Server-Installation und halten Sie sie auf dem neuesten Stand

Nach der Installation des Windows Server-Betriebssystems aktualisieren Sie es sofort mit den neuesten Patches, um bekannte Schwachstellen zu beheben. Updates können direkt von Microsoft oder über Window Server Update Services (WSUS) oder System Center Configuration Manager (SCCM) heruntergeladen werden.

Um Ihre Server sicher zu halten, aktivieren Sie die automatische Benachrichtigung über die Verfügbarkeit von Patches und installieren Sie Updates umgehend. Bevor Sie jedoch irgendeinen Patch, Hotfix oder Service Pack bereitstellen, stellen Sie sicher, dass Sie ihn gründlich testen, um zu gewährleisten, dass er in Ihrer spezifischen Umgebung ordnungsgemäß funktioniert.

Absicherung der Benutzerkontensicherheit

Sobald ein Server bereitgestellt und auf dem neuesten Stand bezüglich Sicherheitspatches ist, fahren Sie mit der Benutzersicherheitskonfiguration fort, um das Risiko unbefugten Zugriffs zu minimieren. Zu den besten Praktiken für die Benutzerkonfiguration gehören die folgenden:

  • Deaktivieren Sie das Gastkonto auf jedem Server.
  • Benennen Sie entweder das lokale Administrator-Konto um oder deaktivieren Sie es und erstellen Sie ein neues Konto mit einem einzigartigen Namen.
  • Minimieren Sie sowohl die Mitgliedschaft als auch die Berechtigungen von integrierten Gruppen wie Lokales System (NT AUTHORITY\System), Netzwerkdienst (NT AUTHORITY\NetworkService), Administratoren, Sicherungs-Operatoren, Benutzer und Jeder. Ändern Sie beispielsweise die Standardeinstellung, die der Gruppe Jeder das Recht 'Zugriff auf diesen Computer über das Netzwerk' gewährt, um uneingeschränkten Fernzugriff auf Ihre Server zu verhindern.
  • Stellen Sie sicher, dass die Passwörter von System- und Administrator-Konten den bewährte Passwortpraktiken entsprechen. Insbesondere sollten diese Passwörter mindestens 15 Zeichen lang sein und eine Mischung aus Buchstaben, Zahlen und Sonderzeichen verwenden sowie alle 90–180 Tage geändert werden.
  • Konfigurieren Sie eine Kontosperrungsrichtlinie gemäß den Best Practices für Kontosperrungen.
  • Deaktivieren Sie die anonyme SID-/Namensübersetzung.
  • Deaktivieren oder löschen Sie ungenutzte Benutzerkonten umgehend.
  • Serveradministratoren sollten sich mit einem lokalen Administratorkonto statt eines privilegierten Domänenkontos anmelden, um das Risiko von domänenweiten Problemen oder Kompromittierungen zu begrenzen.

Konfiguration von Funktionen und Rollen

Eine weitere wichtige Best Practice zur Absicherung von Windows-Servern besteht darin, alle Funktionen und Rollen zu entfernen, die für den vorgesehenen Zweck des Servers nicht notwendig sind. Diese Strategie verringert die Angriffsfläche und erleichtert auch die Verwaltung des Servers.

Anwendungs- und Servicekonfiguration

Reduzieren Sie ebenso die Anzahl der Anwendungen, Dienste und Protokolle, die auf jedem Server installiert sind. Installieren Sie insbesondere keine zusätzlichen Webbrowser auf dem Server und beschränken Sie den Webzugang für alle Benutzer.

Die Beschränkung der auf einem Server laufenden Anwendungen und Dienste verringert dessen Angriffsfläche und vereinfacht auch das Update- und Patch-Management.

Netzwerkkonfiguration

Die Konfiguration Ihres Netzwerks hat erhebliche Auswirkungen auf die Sicherheit Ihrer Windows-Server. Hier sind einige wichtige Netzwerkkonfigurationspraktiken, denen Sie folgen sollten.

  • Isolieren Sie den Server von nicht vertrauenswürdigen Netzwerken oder Segmenten mithilfe von VLANs, Subnetting oder anderen Netzwerksegmentierungstechniken. Diese Strategie begrenzt die Exposition des Servers gegenüber potenziellen Bedrohungen.
  • Stellen Sie sicher, dass die DNS- und Hostnamen-Konfigurationen korrekt sind, um DNS-bezogene Manipulationen zu verhindern.
  • Implementieren Sie IP-Beschränkungen und Filterregeln, um zu steuern, welche IP-Adressen oder -Bereiche mit dem Server kommunizieren können. Dies hilft, unbefugten Zugriff und die Exposition gegenüber Angriffen zu begrenzen.
  • Wenn eine Fernverwaltung erforderlich ist, beschränken Sie den RDP-Zugriff auf bestimmte IP-Adressen oder Netzwerke, um unbefugten Zugriff zu verhindern.
  • Deaktivieren Sie sowohl NetBIOS über TCP/IP als auch die LMHosts-Suche, es sei denn, sie sind für ältere Software oder Hardware erforderlich.

Firewall-Konfiguration

Um Ihre Windows-Server vor unbefugtem Zugriff und bösartigem Datenverkehr zu schützen, befolgen Sie diese Best Practices zur Firewall-Konfiguration:

  • Aktivieren Sie die Windows-Firewall.
  • Konfigurieren Sie jedes Windows-Firewallprofil (Domäne, Privat und Öffentlich), um eingehenden Datenverkehr standardmäßig zu blockieren. Wenn eingehender Zugriff für einen Server notwendig ist, beschränken Sie ihn auf wesentliche Protokolle, Ports und spezifische IP-Adressen.
  • Öffnen Sie nur die erforderlichen Netzwerkports; beschränken oder verweigern Sie den Zugang für alle anderen Ports.

Netzwerkzeitkonfiguration (NTP) Konfiguration

NTP ist entscheidend, um genaue Zeitstempel bei Ereignissen zu gewährleisten, was Organisationen dabei hilft, sich gegen Zeitmanipulation und Replay-Angriffe zu schützen.

Weisen Sie einen bestimmten Server als primären Zeitgeber zu und konfigurieren Sie ihn so, dass er mit einer vertrauenswürdigen Atomuhrquelle synchronisiert wird. Legen Sie dann eine Richtlinie fest, die vorschreibt, dass alle Server und Arbeitsstationen ihre Zeit ausschließlich mit diesem Server synchronisieren.

Registrierungskonfiguration

Eine ordnungsgemäße Konfiguration der Registrierungseinstellungen und die Kontrolle von Änderungen daran sind ebenfalls entscheidend für die Serversicherheit. Zu den bewährten Methoden gehören die folgenden:

  • Wenn der Remote Registry-Dienst nicht erforderlich ist, deaktivieren Sie ihn. Wenn er benötigt wird, kontrollieren Sie den Zugriff darauf streng.
  • Deaktivieren Sie die Einstellungen "NullSessionPipes" und "NullSessionShares", um den anonymen Zugriff auf Netzwerkressourcen zu begrenzen.
  • Erlauben Sie nur autorisierten Benutzern und Administratoren, kritische Registrierungsschlüssel und Unterschlüssel zu ändern.

Verschlüsselung

Um die Serversicherheit zu erhöhen, ist es ratsam, die BitLocker-Laufwerksverschlüsselung für das gesamte Systemlaufwerk sowie alle zusätzlichen Laufwerke, die Daten enthalten, zu aktivieren und zu konfigurieren. Für einen feiner abgestimmten Datenschutz sollten Sie das Verschlüsselnde Dateisystem (EFS) in Betracht ziehen, um einzelne Dateien zu verschlüsseln.

Um die Vertraulichkeit und Integrität der Daten im Netzwerk zu gewährleisten, können Sie IPsec implementieren, um den Netzwerkverkehr zwischen Servern zu verschlüsseln.

Access Management

Access Management ist ein kritischer Bestandteil der Windows-Härtungscheckliste, da es steuert, wer auf welche IT-Ressourcen zugreifen kann und welches Zugriffslevel sie haben. Zu den Best Practices für Access Management gehören die folgenden:

  • Setzen Sie das Prinzip der geringsten Rechte durch, indem Sie Benutzern und Prozessen nur die minimal notwendigen Rechte zur Ausführung ihrer Aufgaben gewähren. Seien Sie insbesondere sehr sorgfältig bei der Vergabe von Berechtigungen an die Gruppe Jeder.
  • Erlauben Sie nur authentifizierten Benutzern den Zugriff auf jeden Computer im Netzwerk.
  • Konfigurieren Sie zulässige Verschlüsselungstypen für die Kerberos-Authentifizierung.
  • Speichern Sie keine LAN Manager-Hashwerte.
  • Deaktivieren Sie die Datei- und Druckerfreigabe, wenn sie nicht benötigt wird.
  • Deaktivieren Sie das NTLMv1-Protokoll, es sei denn, es wird benötigt, um ältere Technologie zu unterstützen.

Konfiguration des Fernzugriffs

Remote Desktop Protocol (RDP) ist ein häufiges Ziel für Hacker und sollte daher nur bei Bedarf aktiviert werden. Wenn RDP aktiviert ist, stellen Sie die Verschlüsselungsstufe der RDP-Verbindung auf hoch ein.

Gewähren Sie darüber hinaus Fernzugriffsrechte nur den spezifischen Benutzern, die sie benötigen, und verwenden Sie, wenn möglich, eine Multifaktorauthentifizierung (MFA), um eine zusätzliche Schutzebene hinzuzufügen.

Allgemeine Sicherheits-Härtungspraktiken

Berücksichtigen Sie die Implementierung dieser allgemeinen Sicherheitsbest Practices:

  • Deaktivieren Sie die Verwendung von Wechselmedien, wie USB-Sticks, um das Risiko von Datendiebstahl und Malware-Injektionen zu mindern.
  • Zeigen Sie vor der Anmeldung des Benutzers einen rechtlichen Hinweis wie den folgenden an: „Die unbefugte Nutzung dieses Computers und der Netzwerkressourcen ist verboten.“
  • Erfordern Sie Strg+Alt+Entf für interaktive Anmeldungen und konfigurieren Sie ein Zeitlimit, um untätige interaktive Sitzungen automatisch zu beenden.
  • Wenn der Server über genügend RAM verfügt, sollten Sie erwägen, die Windows-Auslagerungsdatei zu deaktivieren, um die Leistung zu verbessern und die Sicherheit zu erhöhen, indem verhindert wird, dass sensible Daten auf die Festplatte geschrieben werden.

Windows Server Hardening-Leitfaden: Zusätzliche Empfehlungen

Weitere Empfehlungen zur Absicherung umfassen Folgendes:

  • Führen Sie regelmäßig Risikobewertungen durch und nutzen Sie diese zur Aktualisierung Ihres Risikomanagementplans.
  • Verwenden Sie eine Endpoint Security-Lösung, um Ihre Server und andere Maschinen zu schützen. Windows Defender ist standardmäßig enthalten, aber es gibt auch Lösungen von Drittanbietern. Berücksichtigen Sie auch Anti-Spyware-Schutz.
  • Installieren Sie eine Lösung zur Verhinderung von Datenverlust (DLP), um sensible Informationen vor unberechtigtem Zugriff und Datenlecks zu schützen.
  • Überwachen Sie Aktivitäten, die die Sicherheit des Servers gefährden könnten. Native Protokolle bieten einen gewissen Einblick; diese Protokolle können mit dem Windows-Ereignisanzeige überprüft werden. Aber für umfassendere Protokollierungs- und Überwachungsfunktionen implementieren Sie eine Unternehmens-Audit-Lösung, die nicht nur Überwachung bietet, sondern auch erweiterte Funktionen wie User Behavior Analytics (UBA), Echtzeitwarnungen und automatisierte Vorfallsreaktion.

Wie Netwrix helfen kann

Netwrix Change Tracker vereinfacht das Härten und die Konfigurationsverwaltung von Windows Server erheblich. Insbesondere macht es Folgendes:

  • Ermöglicht das einfache Erstellen sicherer Basis-Konfigurationen, die Standards wie denen des Center for Internet Security (CIS) und dem US Department of Defense Security Technical Implementation Guide (STIG)
  • Erkennt automatisch Abweichungen oder Veränderungen von Ihren Basis-Konfigurationen mit Hilfe von System- und Dateiintegritätsüberwachung (FIM)-Technologie
  • Koordiniert sich mit Ihrer IT-Service-Management (ITSM)-Lösung, um unerwartete Konfigurationsänderungen zu identifizieren und Administratoren zu alarmieren
  • Beschleunigt die Reaktion auf Vorfälle, indem detaillierte Informationen über Änderungen bereitgestellt werden
  • Vereinfacht Compliance-Audits mit vorgefertigten Berichten, die NIST, PCI DSS, CMMC, STIG und NERC CIP abdecken.

Teilen auf

Verwandte Ressourcen

Vertiefen Sie sich in unsere weiterführenden Ressourcen

Resource Center
E-Book

Erleichterung der Datenverlustprävention mit Netwrix Solutions

Data Loss Prevention
E-Book

Software auf Windows installieren: Schmerzhaft, aber es muss nicht sein

Endpoint Management