:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Windows Server 2016 Sicherheits-Guide Netzwerke mit Windows Server 2016 sicher betreiben
Mit jeder neuen Serverversion integriert Microsoft neue Sicherheitsfunktionen in sein Serverbetriebssystem. Um Windows Server 2016 sicher im Netzwerk zu betreiben, sollten sich Administratoren mit Security-Ansätzen wie JIT und JEA, sowie Technologien wie Shielded-VMs und PowerShell Desired State Configuration auseinandersetzen und diese möglichst auch nutzen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Unabhängig davon, ob Windows Server 2016 auf einem physischen Server betrieben wird, oder als VM, sollte darauf geachtet werden, die entsprechenden Server möglichst sicher zu betreiben. Bereits bei der Installation ist Windows Defender in Windows Server 2016 so lange aktiv, bis eine andere Lösung installiert wird. Die Aktualisierung der Definitionsdateien findet über Windows Update statt. Das heißt, bis eine externe Antivirenlösung installiert wird, sollte darauf geachtet werden, dass Defender aktuell gehalten wird.
:quality(80)/images.vogel.de/vogelonline/bdb/1399800/1399811/original.jpg "Mit Shielded-VMs lassen sich VMs sicherer betreiben und voneinander isolieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1399800/1399812/original.jpg "Shielded-VMs lassen sich auch mit System Center Virtual Machine Manager steuern.")
:quality(80)/images.vogel.de/vogelonline/bdb/1399800/1399813/original.jpg "Der Network Controller erlaubt eine zentrale Überwachung und Steuerung der Netzwerkkomponenten für mehr Sicherheit.")
:quality(80)/images.vogel.de/vogelonline/bdb/1399800/1399814/original.jpg "Mit Gruppenrichtlinien kann die Sicherheit deutlich verbessert werden.")
JEA, PAM und JIT - Berechtigungen richtig nutzen und einschränken
Windows Server 2016 unterstützt die beiden Sicherheits-Ansätze Just-In-Time-Administration (JIT) und Just-Enough-Administration (JEA). Mit Privileged Access Management (PAM) lässt sich also verhindern, dass Angreifer Administratorrechte kapern und dadurch das Netzwerk kompromittieren. Damit lassen sich Administratorrechte genau auf die Rechte und die Aufgabe einschränken, die ein Administrator für eine bestimmte Zeit benötigt.
Nach Ablauf der Zeit sind die Rechte wieder eingeschränkt. Außerdem erhält der Administrator nur das Recht die jeweiligen Aufgaben durchzuführen, keinerlei andere Aufgaben. So lassen sich zum Beispiel bestimmte CMDlets definieren, die für Administratoren nur eine gewisse Zeit und für einen definierten Bereich eingesetzt werden dürfen. Microsoft erklärt die Vorgehensweise im TechNet genauer.
:quality(80)/images.vogel.de/vogelonline/bdb/1275900/1275925/original.jpg "Je größer ein Active Directory ist, desto sinnvoller ist der Einsatz einer sicheren Verwaltungsumgebung. (Igor Stevanovic- Bits And Splits - stock.adobe.com)")
Just-In-Time-Administration (JIT)
Sichere Benutzerkonten in Windows Server 2016
Shielded-VMs nutzen
Beim Betrieb als VM besteht seit Windows Server 2016 die Möglichkeit VMs zu verschlüsseln und den Zugang einzuschränken. Die neue Technologie mit der Bezeichnung „Shielded VMs“ kann besonders sensible VMs, auf denen zum Beispiel Kunden- oder Mitarbeiterdaten gespeichert werden, besonders sichern.
Der Host Guardian Service überwacht die virtuellen Server auf einem Hyper-V-Host und kann bei verdächtigen Aktionen eingreifen. Durch die Verschlüsselung kann sichergestellt werden, dass Angreifer nicht an die Daten der VM kommen, auch dann nicht, wenn sie alle Dateien der VM stehlen. Bei Shielded-VMs wird auch der Datenverkehr bei Livemigrationen verschlüsselt.
Netzwerke mit dem Netzwerkcontroller im Griff
Mit dem Serverdienst „Netzwerkcontroller“ können Administratoren zentral physische Netzwerkkomponenten, aber auch virtuelle Switches steuern und überwachen. Auch Microsoft Azure lässt sich dadurch anbinden. Der Network Controller kann auch mit System Center zusammenarbeiten, zum Beispiel System Center Virtual Machine Manager. Dadurch haben Administratoren das komplette Netzwerk und die Einstellungen der einzelnen Komponenten im Griff.
:quality(80)/images.vogel.de/vogelonline/bdb/1393300/1393310/original.jpg "Wie man die Windows Defender Firewall mit Gruppenrichtlinien konfiguriert und unerwünschte Anwendungen blockiert, zeigen wir in diesem Video-Tipp. (alexmillos - stock.adobe.com)")
Video-Tipp: Windows Defender Firewall
Windows Defender Firewall steuern mit Gruppenrichtlinien
Gruppenrichtlinien für mehr Sicherheit nutzen
Microsoft integriert mit jeder neuen Serverversion auch neue Gruppenrichtlinien im Netzwerk, welche die Sicherheit verbessern. Das gilt auch für die Zusammenarbeit von Windows 10 und Windows Server 2016. Es sollte daher im Netzwerk darauf geachtet werden, die wichtigsten Sicherheitseinstellungen per Gruppenrichtlinie zu verteilen, auch Sicherheitseinstellungen, die bereits in Vorgängerversionen genutzt wurden, zum Beispiel für verbesserten Kennwortschutz.
PowerShell Desired State Configuration
PowerShell Desired State Configuration (DSC) ermöglicht es, dass Sie Sicherheitsvorlagen für Server erstellen, die automatisch angewendet werden. Mit DSC lassen sich Sicherheitseinstellungen zentral und automatisiert vorgeben. Mit dem DSC Resource Kit können auch Einstellungen von Serverdiensten wie Active Directory, SQL Server, IIS, Hyper-V und auch anderen Diensten mit DSC steuern.
:quality(80)/images.vogel.de/vogelonline/bdb/1355400/1355465/original.jpg "Mit PowerShell Direct können Admins auf VMs zuzugreifen und so zum Beispiel effizient Windows-Updates installieren. (Weissblick, Marima - stock.adobe.com)")
Hyper-V-Hosts und VMs mit Skripten starten
Patch-Management unter Hyper-V mit PowerShell Direct
Berechtigungen für Dateifreigaben
Beim Erstellen von Dateifreigaben gilt auch in Windows Server 2016, dass mit möglichst effektiven Berechtigungen gearbeitet werden soll. Hier ist eine Verbindung von globalen Gruppen, domänenlokalen Gruppen und Benutzerkonten sinnvoll. Generell sollten in die Berechtigungslisten von Freigaben keine Benutzerkonten aufgenommen werden. Sinnvoller ist es mit domänenlokalen Gruppen zu arbeiten. Diese lassen sich für Berechtigungen in der ganzen Domäne nutzen. Die Benutzerkonten werden in die globalen Gruppen aufgenommen, und die globalen Gruppen in die domänenlokalen Gruppen. Das schafft maximale Flexibilität.
Muss ein Benutzer zum Beispiel Zugriff auf mehrere Freigaben erhalten, kann er diese erhalten, indem er Mitglied einer globalen Gruppe wird, die wiederum Mitglied in allen domänenlokalen Gruppen ist, mit denen die Berechtigungen gesteuert werden.
WSUS-Patches regelmäßig installieren
Auch in Windows Server 2016 hat Microsoft die Serverrolle Windows Server Update Services (WSUS) installiert. Mit diesen können Patches für Microsoft-Produkte, auch für die verschiedenen Betriebssysteme zentral verwaltet werden. In jedem Fall sollten die einzelnen Server möglichst aktuell gehalten werden. Dazu lassen sich über Gruppenrichtlinien Sicherheitseinstellungen festlegen, mit denen Patches von WSUS heruntergeladen und nach den Vorgaben von Administratoren installiert werden.
Außerdem sollten nicht mehr benötigte Komponenten vom Server entfernt werden. Standardmäßig ist in Windows Server 2016 der Windows Media Player aktiv. Auf produktiven Servern wird dieser nicht benötigt. Um den Media Player zu deinstallieren, wird der folgende Befehl verwendet:
dism /online /Disable-Feature /FeatureName:WindowsMediaPlayer /norestart:quality(80)/images.vogel.de/vogelonline/bdb/1361100/1361181/original.jpg "Wie man die Windows Server Update Services (WSUS) installiert und welche Optionen bei der Ersteinrichtung besonders wichtig sind, zeigen wir in diesem Video-Tipp. (ileezhun - stock.adobe.com)")
Video-Tipp: WSUS (Teil 1)
WSUS-Grundlagen für Admins
Hyper-V-Container nutzen
Windows Server 2016 unterstützt die Isolierung von Containern in eigenen Unterstrukturen. Bei herkömmlichen Containern, zum Beispiel bei Docker, teilen sich die Container den Kernel des Betriebssystems. Das schafft generell Sicherheitsprobleme. Bei Hyper-V-Containern erhält jeder Container einen eigenen Kernel, was die Container voneinander isoliert. Dadurch steigt die Sicherheit, weil Container komplett voneinander getrennt sind. Das ermöglicht das Betreiben von Containern mit Anwendungen, die in „Lower Trust“-Umgebungen laufen, zum Beispiel Webserver, die anfällig vor Angriffen sind.
:quality(80)/images.vogel.de/vogelonline/bdb/1374500/1374527/original.jpg "Mit Windows Server 2019 integriert Microsoft Schutz vor Angriffen und Zero-Day-Exploits mit Windows Defender Advanced Threat Protection (ATP) direkt in das Betriebssystem. (Microsoft)")
Windows Server 2019 Preview verfügbar
Windows Server 2019 mit mehr Sicherheit „ab Werk“
(ID:45313568)
:quality(80)/images.vogel.de/vogelonline/bdb/1944800/1944859/original.jpg "Microsoft hilft Admins mit dem Microsoft Security Compliance Toolkit dabei, Sicherheitseinstellungen für Windows Server 2022 und Windows 11 im Netzwerk über Gruppenrichtlinien zu verteilen. (Gorodenkoff - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1765600/1765674/original.jpg "Sicherheit muss nicht immer Geld kosten. Windows Server 2016 lässt sich auch mit Microsoft Defender und der Microsoft Defender Firewall grundlegend absichern. (monsitj - stock.adobe.com)")