Windows Server 2016 Sicherheits-Guide

Netzwerke mit Windows Server 2016 sicher betreiben

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Um Windows Server 2016 sicher im Netzwerk zu betreiben, sollten sich Administratoren mit den neuen Sicherheitsfunktionen des Betriebssystems auseinandersetzen und diese nutzen.
Um Windows Server 2016 sicher im Netzwerk zu betreiben, sollten sich Administratoren mit den neuen Sicherheitsfunktionen des Betriebssystems auseinandersetzen und diese nutzen. (© vladimircaribb - stock.adobe.com)

Mit jeder neuen Serverversion integriert Microsoft neue Sicherheitsfunktionen in sein Serverbetriebssystem. Um Windows Server 2016 sicher im Netzwerk zu betreiben, sollten sich Administratoren mit Security-Ansätzen wie JIT und JEA, sowie Technologien wie Shielded-VMs und PowerShell Desired State Configuration auseinandersetzen und diese möglichst auch nutzen.

Unabhängig davon, ob Windows Server 2016 auf einem physischen Server betrieben wird, oder als VM, sollte darauf geachtet werden, die entsprechenden Server möglichst sicher zu betreiben. Bereits bei der Installation ist Windows Defender in Windows Server 2016 so lange aktiv, bis eine andere Lösung installiert wird. Die Aktualisierung der Definitionsdateien findet über Windows Update statt. Das heißt, bis eine externe Antivirenlösung installiert wird, sollte darauf geachtet werden, dass Defender aktuell gehalten wird.

JEA, PAM und JIT - Berechtigungen richtig nutzen und einschränken

Windows Server 2016 unterstützt die beiden Sicherheits-Ansätze Just-In-Time-Administration (JIT) und Just-Enough-Administration (JEA). Mit Privileged Access Management (PAM) lässt sich also verhindern, dass Angreifer Administratorrechte kapern und dadurch das Netzwerk kompromittieren. Damit lassen sich Administratorrechte genau auf die Rechte und die Aufgabe einschränken, die ein Administrator für eine bestimmte Zeit benötigt.

Nach Ablauf der Zeit sind die Rechte wieder eingeschränkt. Außerdem erhält der Administrator nur das Recht die jeweiligen Aufgaben durchzuführen, keinerlei andere Aufgaben. So lassen sich zum Beispiel bestimmte CMDlets definieren, die für Administratoren nur eine gewisse Zeit und für einen definierten Bereich eingesetzt werden dürfen. Microsoft erklärt die Vorgehensweise im TechNet genauer.

Sichere Benutzerkonten in Windows Server 2016

Just-In-Time-Administration (JIT)

Sichere Benutzerkonten in Windows Server 2016

29.08.17 - Mit Privileged Account Management (PAM), Just-In-Time-Administration (JIT) und Just Enough Administration (JEA) können Unternehmen unter Windows Server 2016 sicherstellen, dass die Administratorkonten nicht für Angriffe auf das Netzwerk verwendet werden können, und nur die notwendigen Sicherheitsberechtigungen genau für den Zeitpunkt erhalten, der notwendig ist. lesen

Shielded-VMs nutzen

Beim Betrieb als VM besteht seit Windows Server 2016 die Möglichkeit VMs zu verschlüsseln und den Zugang einzuschränken. Die neue Technologie mit der Bezeichnung „Shielded VMs“ kann besonders sensible VMs, auf denen zum Beispiel Kunden- oder Mitarbeiterdaten gespeichert werden, besonders sichern.

Der Host Guardian Service überwacht die virtuellen Server auf einem Hyper-V-Host und kann bei verdächtigen Aktionen eingreifen. Durch die Verschlüsselung kann sichergestellt werden, dass Angreifer nicht an die Daten der VM kommen, auch dann nicht, wenn sie alle Dateien der VM stehlen. Bei Shielded-VMs wird auch der Datenverkehr bei Livemigrationen verschlüsselt.

Netzwerke mit dem Netzwerkcontroller im Griff

Mit dem Serverdienst „Netzwerkcontroller“ können Administratoren zentral physische Netzwerkkomponenten, aber auch virtuelle Switches steuern und überwachen. Auch Microsoft Azure lässt sich dadurch anbinden. Der Network Controller kann auch mit System Center zusammenarbeiten, zum Beispiel System Center Virtual Machine Manager. Dadurch haben Administratoren das komplette Netzwerk und die Einstellungen der einzelnen Komponenten im Griff.

Windows Defender Firewall steuern mit Gruppenrichtlinien

Video-Tipp: Windows Defender Firewall

Windows Defender Firewall steuern mit Gruppenrichtlinien

22.05.18 - Mit der Windows Defender Firewall in Windows 10 und Windows Server 2016 lassen sich über Regeln Anwendungen und Datenverkehr im Netzwerk blockieren. Administratoren können die Regeln lokal setzen, aber auch über Gruppenrichtlinien. Dadurch lassen sich die Regeln dann auf mehrere Rechner verteilen. Wie das genau funktioniert zeigen wir in diesem Video-Tipp. lesen

Gruppenrichtlinien für mehr Sicherheit nutzen

Microsoft integriert mit jeder neuen Serverversion auch neue Gruppenrichtlinien im Netzwerk, welche die Sicherheit verbessern. Das gilt auch für die Zusammenarbeit von Windows 10 und Windows Server 2016. Es sollte daher im Netzwerk darauf geachtet werden, die wichtigsten Sicherheitseinstellungen per Gruppenrichtlinie zu verteilen, auch Sicherheitseinstellungen, die bereits in Vorgängerversionen genutzt wurden, zum Beispiel für verbesserten Kennwortschutz.

PowerShell Desired State Configuration

PowerShell Desired State Configuration (DSC) ermöglicht es, dass Sie Sicherheitsvorlagen für Server erstellen, die automatisch angewendet werden. Mit DSC lassen sich Sicherheitseinstellungen zentral und automatisiert vorgeben. Mit dem DSC Resource Kit können auch Einstellungen von Serverdiensten wie Active Directory, SQL Server, IIS, Hyper-V und auch anderen Diensten mit DSC steuern.

Patch-Management unter Hyper-V mit PowerShell Direct

Hyper-V-Hosts und VMs mit Skripten starten

Patch-Management unter Hyper-V mit PowerShell Direct

20.02.18 - Microsoft hat in Windows Server 2016 die PowerShell erweitert. Mit der PowerShell Direct können Admins aus einer PowerShell-Sitzung heraus auf VMs zuzugreifen und Befehle auszuführen. Der Vorteil dabei besteht darin, dass sich in der PowerShell sehr schnell Admin-Aufgaben auf Host und VMs durchführen lassen. Zum Beispiel lassen sich so Windows-Updates installieren. lesen

Berechtigungen für Dateifreigaben

Beim Erstellen von Dateifreigaben gilt auch in Windows Server 2016, dass mit möglichst effektiven Berechtigungen gearbeitet werden soll. Hier ist eine Verbindung von globalen Gruppen, domänenlokalen Gruppen und Benutzerkonten sinnvoll. Generell sollten in die Berechtigungslisten von Freigaben keine Benutzerkonten aufgenommen werden. Sinnvoller ist es mit domänenlokalen Gruppen zu arbeiten. Diese lassen sich für Berechtigungen in der ganzen Domäne nutzen. Die Benutzerkonten werden in die globalen Gruppen aufgenommen, und die globalen Gruppen in die domänenlokalen Gruppen. Das schafft maximale Flexibilität.

Muss ein Benutzer zum Beispiel Zugriff auf mehrere Freigaben erhalten, kann er diese erhalten, indem er Mitglied einer globalen Gruppe wird, die wiederum Mitglied in allen domänenlokalen Gruppen ist, mit denen die Berechtigungen gesteuert werden.

WSUS-Patches regelmäßig installieren

Auch in Windows Server 2016 hat Microsoft die Serverrolle Windows Server Update Services (WSUS) installiert. Mit diesen können Patches für Microsoft-Produkte, auch für die verschiedenen Betriebssysteme zentral verwaltet werden. In jedem Fall sollten die einzelnen Server möglichst aktuell gehalten werden. Dazu lassen sich über Gruppenrichtlinien Sicherheitseinstellungen festlegen, mit denen Patches von WSUS heruntergeladen und nach den Vorgaben von Administratoren installiert werden.

Außerdem sollten nicht mehr benötigte Komponenten vom Server entfernt werden. Standardmäßig ist in Windows Server 2016 der Windows Media Player aktiv. Auf produktiven Servern wird dieser nicht benötigt. Um den Media Player zu deinstallieren, wird der folgende Befehl verwendet:

dism /online /Disable-Feature /FeatureName:WindowsMediaPlayer /norestart

WSUS-Grundlagen für Admins

Video-Tipp: WSUS (Teil 1)

WSUS-Grundlagen für Admins

06.03.18 - Die Installation von Windows-Updates oder Patches für Microsoft-Produkte möchten Administratoren selten ganz dem Anwendern überlassen. Will man die Updates effizient, zur passenden Zeit und ohne extreme Auslastung der eigenen Internetleitung im Netzwerk verteilen, kommt man um Windows Server Update Services (WSUS) nicht herum. Im ersten Teil der WSUS-Video-Tipp-Serie zeigen wir die wichtigsten Grundlagen für Installation und Einsatz von WSUS. lesen

Hyper-V-Container nutzen

Windows Server 2016 unterstützt die Isolierung von Containern in eigenen Unterstrukturen. Bei herkömmlichen Containern, zum Beispiel bei Docker, teilen sich die Container den Kernel des Betriebssystems. Das schafft generell Sicherheitsprobleme. Bei Hyper-V-Containern erhält jeder Container einen eigenen Kernel, was die Container voneinander isoliert. Dadurch steigt die Sicherheit, weil Container komplett voneinander getrennt sind. Das ermöglicht das Betreiben von Containern mit Anwendungen, die in „Lower Trust“-Umgebungen laufen, zum Beispiel Webserver, die anfällig vor Angriffen sind.

Windows Server 2019 mit mehr Sicherheit „ab Werk“

Windows Server 2019 Preview verfügbar

Windows Server 2019 mit mehr Sicherheit „ab Werk“

28.03.18 - Mit Windows Server 2019 Preview stellt Microsoft den Nachfolger von Windows Server 2016 vor, der im Bereich der Sicherheit mehr Schutz „out of the box“ liefern soll als seine Vorgänger. Im Gegensatz zu den Semi-Annual-Channel-Versionen Windows Server 1709/1803 steht Windows Server 2019 Insider Preview auch mit einer grafischen Oberfläche zur Verfügung. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45313568 / Server)