Suchen

Windows Server 2016 Sicherheits-Guide Netzwerke mit Windows Server 2016 sicher betreiben

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Mit jeder neuen Serverversion integriert Microsoft neue Sicherheitsfunktionen in sein Serverbetriebssystem. Um Windows Server 2016 sicher im Netzwerk zu betreiben, sollten sich Administratoren mit Security-Ansätzen wie JIT und JEA, sowie Technologien wie Shielded-VMs und PowerShell Desired State Configuration auseinandersetzen und diese möglichst auch nutzen.

Firma zum Thema

Um Windows Server 2016 sicher im Netzwerk zu betreiben, sollten sich Administratoren mit den neuen Sicherheitsfunktionen des Betriebssystems auseinandersetzen und diese nutzen.
Um Windows Server 2016 sicher im Netzwerk zu betreiben, sollten sich Administratoren mit den neuen Sicherheitsfunktionen des Betriebssystems auseinandersetzen und diese nutzen.
(© vladimircaribb - stock.adobe.com)

Unabhängig davon, ob Windows Server 2016 auf einem physischen Server betrieben wird, oder als VM, sollte darauf geachtet werden, die entsprechenden Server möglichst sicher zu betreiben. Bereits bei der Installation ist Windows Defender in Windows Server 2016 so lange aktiv, bis eine andere Lösung installiert wird. Die Aktualisierung der Definitionsdateien findet über Windows Update statt. Das heißt, bis eine externe Antivirenlösung installiert wird, sollte darauf geachtet werden, dass Defender aktuell gehalten wird.

Bildergalerie
Bildergalerie mit 8 Bildern

JEA, PAM und JIT - Berechtigungen richtig nutzen und einschränken

Windows Server 2016 unterstützt die beiden Sicherheits-Ansätze Just-In-Time-Administration (JIT) und Just-Enough-Administration (JEA). Mit Privileged Access Management (PAM) lässt sich also verhindern, dass Angreifer Administratorrechte kapern und dadurch das Netzwerk kompromittieren. Damit lassen sich Administratorrechte genau auf die Rechte und die Aufgabe einschränken, die ein Administrator für eine bestimmte Zeit benötigt.

Nach Ablauf der Zeit sind die Rechte wieder eingeschränkt. Außerdem erhält der Administrator nur das Recht die jeweiligen Aufgaben durchzuführen, keinerlei andere Aufgaben. So lassen sich zum Beispiel bestimmte CMDlets definieren, die für Administratoren nur eine gewisse Zeit und für einen definierten Bereich eingesetzt werden dürfen. Microsoft erklärt die Vorgehensweise im TechNet genauer.

Shielded-VMs nutzen

Beim Betrieb als VM besteht seit Windows Server 2016 die Möglichkeit VMs zu verschlüsseln und den Zugang einzuschränken. Die neue Technologie mit der Bezeichnung „Shielded VMs“ kann besonders sensible VMs, auf denen zum Beispiel Kunden- oder Mitarbeiterdaten gespeichert werden, besonders sichern.

Der Host Guardian Service überwacht die virtuellen Server auf einem Hyper-V-Host und kann bei verdächtigen Aktionen eingreifen. Durch die Verschlüsselung kann sichergestellt werden, dass Angreifer nicht an die Daten der VM kommen, auch dann nicht, wenn sie alle Dateien der VM stehlen. Bei Shielded-VMs wird auch der Datenverkehr bei Livemigrationen verschlüsselt.

Netzwerke mit dem Netzwerkcontroller im Griff

Mit dem Serverdienst „Netzwerkcontroller“ können Administratoren zentral physische Netzwerkkomponenten, aber auch virtuelle Switches steuern und überwachen. Auch Microsoft Azure lässt sich dadurch anbinden. Der Network Controller kann auch mit System Center zusammenarbeiten, zum Beispiel System Center Virtual Machine Manager. Dadurch haben Administratoren das komplette Netzwerk und die Einstellungen der einzelnen Komponenten im Griff.

Gruppenrichtlinien für mehr Sicherheit nutzen

Microsoft integriert mit jeder neuen Serverversion auch neue Gruppenrichtlinien im Netzwerk, welche die Sicherheit verbessern. Das gilt auch für die Zusammenarbeit von Windows 10 und Windows Server 2016. Es sollte daher im Netzwerk darauf geachtet werden, die wichtigsten Sicherheitseinstellungen per Gruppenrichtlinie zu verteilen, auch Sicherheitseinstellungen, die bereits in Vorgängerversionen genutzt wurden, zum Beispiel für verbesserten Kennwortschutz.

Bildergalerie
Bildergalerie mit 8 Bildern

PowerShell Desired State Configuration

PowerShell Desired State Configuration (DSC) ermöglicht es, dass Sie Sicherheitsvorlagen für Server erstellen, die automatisch angewendet werden. Mit DSC lassen sich Sicherheitseinstellungen zentral und automatisiert vorgeben. Mit dem DSC Resource Kit können auch Einstellungen von Serverdiensten wie Active Directory, SQL Server, IIS, Hyper-V und auch anderen Diensten mit DSC steuern.

Berechtigungen für Dateifreigaben

Beim Erstellen von Dateifreigaben gilt auch in Windows Server 2016, dass mit möglichst effektiven Berechtigungen gearbeitet werden soll. Hier ist eine Verbindung von globalen Gruppen, domänenlokalen Gruppen und Benutzerkonten sinnvoll. Generell sollten in die Berechtigungslisten von Freigaben keine Benutzerkonten aufgenommen werden. Sinnvoller ist es mit domänenlokalen Gruppen zu arbeiten. Diese lassen sich für Berechtigungen in der ganzen Domäne nutzen. Die Benutzerkonten werden in die globalen Gruppen aufgenommen, und die globalen Gruppen in die domänenlokalen Gruppen. Das schafft maximale Flexibilität.

Muss ein Benutzer zum Beispiel Zugriff auf mehrere Freigaben erhalten, kann er diese erhalten, indem er Mitglied einer globalen Gruppe wird, die wiederum Mitglied in allen domänenlokalen Gruppen ist, mit denen die Berechtigungen gesteuert werden.

Bildergalerie
Bildergalerie mit 8 Bildern

WSUS-Patches regelmäßig installieren

Auch in Windows Server 2016 hat Microsoft die Serverrolle Windows Server Update Services (WSUS) installiert. Mit diesen können Patches für Microsoft-Produkte, auch für die verschiedenen Betriebssysteme zentral verwaltet werden. In jedem Fall sollten die einzelnen Server möglichst aktuell gehalten werden. Dazu lassen sich über Gruppenrichtlinien Sicherheitseinstellungen festlegen, mit denen Patches von WSUS heruntergeladen und nach den Vorgaben von Administratoren installiert werden.

Außerdem sollten nicht mehr benötigte Komponenten vom Server entfernt werden. Standardmäßig ist in Windows Server 2016 der Windows Media Player aktiv. Auf produktiven Servern wird dieser nicht benötigt. Um den Media Player zu deinstallieren, wird der folgende Befehl verwendet:

dism /online /Disable-Feature /FeatureName:WindowsMediaPlayer /norestart

Hyper-V-Container nutzen

Windows Server 2016 unterstützt die Isolierung von Containern in eigenen Unterstrukturen. Bei herkömmlichen Containern, zum Beispiel bei Docker, teilen sich die Container den Kernel des Betriebssystems. Das schafft generell Sicherheitsprobleme. Bei Hyper-V-Containern erhält jeder Container einen eigenen Kernel, was die Container voneinander isoliert. Dadurch steigt die Sicherheit, weil Container komplett voneinander getrennt sind. Das ermöglicht das Betreiben von Containern mit Anwendungen, die in „Lower Trust“-Umgebungen laufen, zum Beispiel Webserver, die anfällig vor Angriffen sind.

(ID:45313568)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist