Server-Härtung

Server-Härtung bedeutet, ein System so zu konfigurieren, dass unnötige Angriffsfläche reduziert wird. Ziel ist nicht maximale Einschränkung um jeden Preis, sondern ein sinnvoll sicherer Betrieb.

Grundprinzipien

• nur benötigte Rollen und Features installieren
• unnötige Dienste deaktivieren
• starke Authentifizierung verwenden
• administrative Rechte begrenzen
• Firewall aktiv und gezielt konfigurieren
• Updates regelmäßig einspielen
• Protokollierung aktivieren
• Backups testen
• Änderungen dokumentieren

Updates

Patchmanagement ist eine Kernaufgabe.

Wichtig:

• Sicherheitsupdates priorisieren
• Testsysteme nutzen, wenn möglich
• Wartungsfenster definieren
• Neustarts planen
• Update-Status dokumentieren
• fehlgeschlagene Updates nachverfolgen

Dienste und Ports

Jeder offene Dienst ist eine mögliche Angriffsfläche.

Prüffragen:

• Wird der Dienst wirklich benötigt?
• Ist der Dienst intern oder extern erreichbar?
• Gibt es eine verschlüsselte Variante?
• Ist der Dienst aktuell?
• Gibt es bekannte Schwachstellen?
• Wird Zugriff protokolliert?

Windows-Firewall

Die Windows-Firewall sollte nicht deaktiviert werden. Besser ist eine gezielte Konfiguration:

• nur notwendige eingehende Verbindungen erlauben
• Managementzugriff auf Admin-Netze beschränken
• SMB, RDP und WinRM nicht unnötig breit öffnen
• Regeln dokumentieren
• GPOs für konsistente Einstellungen nutzen

Rechte

Grundregel:

So wenig Rechte wie möglich, so viele wie nötig.

Praktisch bedeutet das:

• keine normalen Benutzer als lokale Admins
• getrennte Admin-Konten
• keine Domain Admins für Alltagsaufgaben
• privilegierte Gruppen regelmäßig prüfen
• Dienstkonten mit minimalen Rechten

Protokollierung

Logs helfen bei Fehleranalyse und Sicherheitsvorfällen.

Wichtige Bereiche:

• Anmeldungen
• fehlgeschlagene Anmeldungen
• administrative Aktionen
• Dienständerungen
• Gruppenmitgliedschaften
• Firewall-Ereignisse
• RDP-Verbindungen