Server-Hardening, -Monitoring und -Management – Teil 2:

Standards, Best Practices und Tipps zur Absicherung der Windows-Server

Zu viel des Guten: Härtet man einen Windows-Server zu umfassend, hemmt er unter Umständen den operativen Betrieb.

Mit den Grundlagen des Server Hardening vor dem Hintergrund „Wie viel ist genug?“ haben wir uns bereits beschäftigt. Erst wenn gängige Server-Schwachstellen geschlossen wurden, sollte man sich mit tiefgreifenderen Sicherheitsmaßnahmen beschäftigen. Dieser Beitrag gibt einen Überblick über wichtige Security-Leitfäden und enthält weitere Tipps zur Server-Absicherung.

An härtere Kost kann man sich anschließend immer noch wagen. Unabhängig vom firmenspezifischen Sicherheitsansatz sollte man die wichtigsten Server-Hardening-Standards kennen, um sich passende Best Practices anzueignen.

Im Folgenden nennen wir deshalb erst einmal wichtige und allgemein anerkannte Richtlinien, Benchmarks und Standards, die sich mit dem Windows Server Hardening befassen:

• Windows Server 2008 Security Guide – Microsoft-Sicherheitshandbuch speziell für Windows Server 2008; nur auf Englisch, wichtige Maßnahmen findet man aber auch im folgenden deutschen Handbuch:

• Windows Server 2003 Sicherheitshandbuch – Microsoft-Security-Guide speziell für Windows Server 2003

• Handbuch für den sicheren Betrieb von Windows 2000 Servern – Von Microsoft herausgegeben, nachdem man erkannte, dass eine entsprechende Anleitung nötig ist

• Windows Benchmarks – Die vom Center for Internet Security herausgegebene Anleitung zur Server-Absicherung; detaillierte und öffentlich anerkannte Quelle

• Guide to General Server Security – Allgemeine, aber wertvolle Informationen vom Nationale Institute of Standards and Technology (NIST)

Bevor man auf dieser Grundlage mit dem Härten sämtlicher Server beginnt muss man noch ein paar Dinge beachten:

Zunächst einmal sollte man sich einen Rundumblick verschaffen und herausfinden, welche Systeme welchen Risiken ausgesetzt sind. Mithilfe eines Information Risk Assessments (entweder intern oder durch einen unabhängigen Experten) sollte man sowohl technische als auch betriebsbedingte Aspekte bezüglich der Server-Sicherheit klären. Möglicherweise gibt es Gefahren und Schwachstellen, die man bislang noch gar nicht beachtet hat.

Diese und andere Vorgaben zur Windows-Absicherung dürfen nicht als allgemein gültig betrachtet werden. Jeder Leitfaden und Standard wählt einen anderen Ansatz, also sollte man sich den passendsten für die eigenen Anforderungen heraussuchen. Jedes Netzwerk, jeder Server ist verschieden – genauso wie die Geschäftsausrichtung, Vorschriften und Risiken eines jeden Unternehmens. Dementsprechend variiert auch das Risiko für die Server und die Daten, die darauf gespeichert und/oder verarbeitet werden.

Eine wichtige Rolle spielt auch die Auffassung des Geschäftsführung von IT-Sicherheit: Wird eifrig darin investiert oder gilt sie nur als Hemmschuh des Tagesgeschäfts? Man muss die Standards für das Server Hardening auch auf die Unternehmensführung und -kultur anpassen. In der Regel bedeutet das, zu Gunsten der geschäftlichen Prozesse auf einige der Best Practices zu verzichten. Das Abwägen zwischen overativen Anforderungen und Windows-Sicherheit hat einen maßgeblichen Aneil am Absicherungsprozess.

So weitreichend Windows-Server auch gehärtet sein mögen, in irgendeiner Form bleiben sie immer angreifbar. Man sollte langsam Abstand von der allgegenwärtigen Meinung nehmen, dass „alles sicher ist, weil sämtliche Systeme abgesichert sind“. Das war noch nie so und wird niemals so sein.

Bei allen technischen Fragen sollte man zu guter Letzt eines nie vergessen: Für einen erfolgreiches Server-Hardening-Projekt sind umfassende Informationen und Unterstützung des Managements unabdingbar.