Schnelle Umsetzung von Einstellungen für sichere Netzwerke 10 Tipps für mehr Sicherheit in Windows Server 2019

Autor / Redakteur: Thomas Joos / Peter Schmitz

Windows Server 2019 kann mit Bordmitteln und kostenlosen Zusatztools schon generell grundlegend abgesichert werden. Wir zeigen im folgenden Beitrag und dem dazugehörigen Video, wie Serverdienste in Windows Server 2019 sicherer betrieben werden können.

Firma zum Thema

10 schnell umsetzbare Tipps, mit denen Administratoren die Sicherheit von Windows Server 2019 deutlich verbessern können.
10 schnell umsetzbare Tipps, mit denen Administratoren die Sicherheit von Windows Server 2019 deutlich verbessern können.
(© monsitj - stock.adobe.com)

Nach der Installation von Windows Server 2019 sollten Sie sich mit der Sicherheit des Servers dahingehend auseinandersetzen, in dem Sie grundlegende Sicherheitseinstellungen möglichst schnell umsetzen. Wir zeigen nachfolgend 10 schnell umsetzbare Tipps, mit denen die Sicherheit von Windows-Servern deutlich verbessert werden kann.

10 wichtige Tipps für mehr Sicherheit in Windows Server 2019 zeigen wir im Video und in der Bildergalerie.

Bildergalerie
Bildergalerie mit 12 Bildern

Tipp 1 - Best Practices Analyzer nutzen

Im Server-Manager steht der Best Practices Analyzer nach der Installation automatisch zur Verfügung. Neben Informationen für eine schnellere und stabilere Konfiguration, zeigt der Server-Manager hier auch Sicherheitsinformationen an. Nach dem Start des Server-Managers ist der Best Practices Analyzer (BPA) über „Lokaler Server“ und dem Kasten „Best Practices Analyzer“ zu finden. Über einen Klicke auf „Aufgaben\BPA-Überprüfung starten“ scannt der Server den Computer auf Probleme und zeigt diese anschließend an. Der BPA gibt in diesem Zusammenhang auch Tipps zum Verbessern der Sicherheit. Über das Icon neben „Filter“ können Sie festlegen, dass nur „Warnungen oder Fehler“ angezeigt werden.

Tipp 2 - Updates überprüfen und installieren - Update-Richtlinien testen

Microsoft veröffentlicht regelmäßig Updates, auch für Windows Server 2019. Vor allem in 2020 wurde an nahezu jedem Patchday ein neuer Rekord mit geschlossenen Sicherheitslücken aufgestellt. Server sollten nach der Installation und in regelmäßigen Abständen aktualisiert werden. Die Updates werden in der Einstellungs-App über „Update und Sicherheit“ gesteuert. Werden keine Updates angezeigt, sollte mit einer erneuten Suche überprüft werden, ob neue Updates zur Verfügung stehen.

Wenn im Netzwerk mit Gruppenrichtlinien gearbeitet wird, um Updates auf Computern zu steuern, kann über „Erweiterte Optionen“ und „Konfigurierte Updaterichtlinien anzeigen“ überprüft werden, ob die Richtlinien auch angewendet werden. In der Befehlszeile kann mit „gpupdate /force“ eine erneute Übertragung der Richtlinie erfolgen.

Tipp 3 - Administrator-Konto umbenennen

Grundsätzlich sollte das lokale Administrator-Konto auf einem Server entweder umbenannt, oder gleich deaktiviert und gegen ein neues Konto ersetzt werden. Um den lokalen Administrator in „suser“ umzubenennen, können Sie die lokale Benutzerverwaltung aufrufen, oder die Befehlszeile verwenden. Die lokale Benutzerverwaltung rufen Sie mit „lusrmgr.msc“ auf. In der Befehlszeile führen Sie die Umbenennung mit dem folgenden Befehl durch:

wmic useraccount where name="Administrator" call rename name="suser”

10 wichtige Tipps für mehr Sicherheit in Windows Server 2019 zeigen wir im Video und in der Bildergalerie.

Bildergalerie
Bildergalerie mit 12 Bildern

Tipp 4 - Lokale Administratoren überprüfen

Neben der Umbenennung des lokalen Administrators, sollten auch die Mitglieder der lokalen Administrator-Gruppe überprüft werden. Auch das erfolgt mit der lokalen Benutzerverwaltung, die mit lusrmgr.msc aufgerufen werden kann. Hier sollten die Benutzerkonten entfernt werden, die unberechtigt Mitglied sind. Zusätzlich sollte die Mitgliedschaft regelmäßig überprüft werden.

Tipp 5 - Richtlinien mit Microsoft Security Compliance Toolkit

Microsoft stellt Gruppenrichtlinienvorlagen für die Absicherung von Computer dar. In den Vorlagen werden von Microsoft empfohlene Einstellungen automatisch gesetzt. Wir haben im Beitrag „Sicherheitsempfehlungen für Windows 10 und Server 2019“ die Vorgehensweise besprochen. Die notwendigen Tools stellt Microsoft kostenlos zum Download zur Verfügung.

Tipp 6 - Remotedesktopzugriff aktivieren und überprüfen

Die Aktivierung oder Deaktivierung des Remotedesktops kann in der grafischen Oberfläche gesteuert werden. Der entsprechende Bereich kann mit „sysdm.cpl“ gestartet werden. In der Registry kann der Wert im folgenden Pfad angepasst werden: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server

Der Eintrag zum Aktivieren ist „fDenyTSConnection”. Mit dem Wert „0“ wird der Remote Desktop aktiviert. Der Wert „1“ deaktiviert den Remote Desktop. Welche Benutzer verbunden sind, kann in der Befehlszeile mit dem folgenden Befehl angezeigt werden:

Qwinsta /server:<Servername>

Tipp 7 - Remotedesktopzugriff für bestimmte Gruppen erlauben oder blockieren

Soll der Zugriff per RDP für bestimmte Benutzer gesteuert werden, können Gruppenrichtlinien verwendet werden. Der Pfad zu den Einstellungen ist: Computerkonfiguration\Windows Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

Wichtig sind die beiden Einstellungen:

  • Anmelden über Remotedesktopdienste verweigern
  • Lokal anmelden verweigern

10 wichtige Tipps für mehr Sicherheit in Windows Server 2019 zeigen wir im Video und in der Bildergalerie.

Bildergalerie
Bildergalerie mit 12 Bildern

Tipp 8 - RDP-Port ändern

Für den Zugriff auf einen Server mit RDP wird meistens der Port 3389 verwendet. Dadurch kann ein Angreifer Verbindung zum Server aufnehmen. Es ist generell sinnvoll den Port zu ändern. Das erfolgt über den Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Hier ist die Portnummer beim Wert „Portnumber“ zu sehen und kann auch geändert werden. Nach der Änderung müssen natürlich in der Windows-Firewall eingehende Regeln abgeändert werden, damit diese den neuen Port zum Server zulassen. Nach der Änderung müssen Sie den Server neu starten, damit der neue Port aktiv wird.

Tipp 9 - Media Player deinstallieren

In Windows Server 2019 ist standardmäßig der Media Player mit seinen Funktionen aktiviert. Generell stellt jede unnötig installierte Software eine Sicherheitslücke dar. In den meisten Fällen wird der Media Player auf einem Server nicht benötigt. Die Deinstallation kann in der PowerShell mit dem folgenden Befehl erfolgen:

Disable-WindowsOptionalFeature -Online -FeatureName WindowsMediaPlayer

Tipp 10 - IIS mit der Freeware IIS Crypto absichern

Mit dem kostenlosen Tool „IIS Crypto“ können Sie ohne Installation Sicherheitseinstellungen des IIS überprüfen und auf Anforderung auch gleich korrigieren. Das Tool verwendet die Empfehlungen von Microsoft. Wer IIS Crypto häufiger einsetzt, kann die Einstellungen auch skripten lassen.

10 wichtige Tipps für mehr Sicherheit in Windows Server 2019 zeigen wir im Video und in der Bildergalerie.

Bildergalerie
Bildergalerie mit 12 Bildern

(ID:47467780)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist