Server-Hardening, -Monitoring und -Management – Teil 1

Windows-Server gundlegend absichern

Windows Server lassen sich mit grundlegenden Tweaks nachträglich härten.

Beim Auditing fällt immer wieder das Schlagwort „Server Hardening“, aber was genau ist ein gehärteter Windows-Server? Während einige Security-Experten sich auf weit verbreitete Best Practices und Checklisten berufen, halten andere eine umfassende Absicherung gar nicht erst für möglich – außer man verhindert jeglichen Zugriff.

Wie so oft empfiehlt sich ein Mittelweg zwischen Windows-Sicherheit und geschäftlichen Anforderungen – insbesondere wenn die Standpunkte zu einem Thema derart divergieren, wie es beim Härten von Windows-Systemen der Fall ist. Es gilt also, den für eine Firmenumgebung benötigten und angemessenen Grad des Server Hardening zu ermitteln.

Hierfür sollte man sich zunächst auf bereits getätigte Messungen konzentrieren: Was war das Ergebnis der aktuellsten Sicherheitsbewertung? Legen die Auditoren Wert auf interne Policies, gängige Richtlinien und Standards oder möglicherweise auf gewisse Best Practices?

Bevor man Zeit, Geld und Arbeit in die Härtung von Systemen investiert, sollte man also genau wissen, was von einem gefordert wird. Doch wo beginnt man, wenn das Unternehmen noch keine unabhängigen Security Assessments oder internen Audits durchlaufen hat?

Oft werden große Bemühungen in unwichtige Maßnahmen gesteckt. Fragwüdig ist beispielsweise, welchen Mehrwert eine digitale Signatur des SMB - Protokolls (Server Message Block) bietet. Selbst in Best Practices empfohlene Maßnahmen wie das Umbennen von Administrator- und Gast-Konten oder das Abschalten unnötiger Dienste zahlen sich nicht zwangsweise aus.

Ein Großteil der Administratoren ignoriert das Tweaking von Windows-Server-Konfigurationen so lange, bis tatsächlich einmal etwas Schlimmes passiert. Dabei versprechen einige Feinjustierungen am Windows Server durchaus hohen Nutzen – und zwar kostenlos:

• Netzwerk- und System-Freigaben auf das Nötigste reduzieren oder wenn möglich ganz abschalten: Dadurch lässt sich sicherstellen, dass Personen nur auf die für sie wichtigen Daten zugreifen können.

• SMB-Null-Sitzungen verhindern: Eine Null Session ist eine ungesicherte SMB-Verbindung zu einem Windows-2000- oder -NT-basierten Rechner. Über diese lassen sich zahlreiche Informationen über die Konfiguration des betroffenen Systems einholen.

• Windows- Firewall einschalten oder eine entsprechende Drittanbieter-Lösung verwenden: Dadurch lässt sich nicht nur einschränken, was auf oder mit einem Server gemacht werden kann. Obendrein bekommt man auch das Null-Session-Problem in den Griff.

• Aktuelle Patches installieren: Windows Server sind ansonsten besonders anfällig für Zero-Day- und Denial-of-Service-Attacken.

• Anti- Malware -Lösungen auch auf Server-Ebene anwenden.

• Angemessen starke Passwörter erzwingen.

• Success Audting für Logon-Events, Account-Verwaltung und Richtlinien-Änderungen einrichten.

• Physikalisch sichtbare und zugängliche Systeme mittels Disk Encryption absichern.

• Grundlegende Sicherheitsmaßnahmen bei der Active-Directory-Konfiguration beachten.

Unabhängig davon, ob ein System unter Windows NT, 2000, Server 2003 oder Server 2008 läuft, lässt sich der Server-Sicherheitsstatus mit diesen Mechanismen deutlich steigern. Hat man erst einmal eine Hardening-Grundlage mithilfe der oben genannten Kriterien geschaffen, kann man sich auch um die Details auf den kritischsten Windows-Servern kümmern. Mehr über diese tiefgreifenden Security-Mechanismen erläutert SearchSecurity.de in einem späteren Fachartikel.