Suchen

Windows Server 2003 in fünf Schritten härten – Teil 2 Server Security erfordert Zugriffskontrolle und ständige Systempflege

Redakteur: Stephan Augsten

Wie sich ein Windows Server 2003 während der Installation und Konfiguration grundlegend absichern lässt, haben wir im ersten Beitrag dieses Zweiteilers erläutert. In den Schritten vier und fünf widmen wir uns nun den Maßnahmen zur Zugriffsbeschränkung sowie Instandhaltung des gehärteten Servers. So bleibt die Sicherheit von Windows Server 2003 auch nachhaltig gesichert.

Firmen zum Thema

Rostfrei: Ein gehärtetes Windows-Server-OS sollte regelmäßig auf Schwachstellen geprüft werden.
Rostfrei: Ein gehärtetes Windows-Server-OS sollte regelmäßig auf Schwachstellen geprüft werden.
( Archiv: Vogel Business Media )

Während ein Betriebssystem bootet und sämtliche Services aktiviert werden, gibt es massig Spielraum für böswillige Aktivitäten. Und auch während das Betriebssystem läuft, muss man die Zugriffe und damit verbundenen Rechte auf ein Minimum beschränken.

Schritt 4: Zugriffsbeschränkungen für Hardware und logische Komponenten

BIOS und Firmware einer gut abgesicherten Maschine sind grundsätzlich passwortgeschützt – ungeachtet des jeweiligen Betriebssystems. Darüber hinaus sollte man im BIOS die Anordnung der Boot-Medien so verändern, dass ein unberechtigtes Hochfahren von alternativen Datenträgern verhindert wird.

Ins BIOS-Setup gelangt man in der Regel, indem man kurz nach dem Start des Systems die F2-Taste betätigt. Mit der Tastenkombination Alt-P springt man durch die verschiedenen Einstellungen des BIOS. Im Boot-Menü sollte unter Boot Device Priority die interne Festplatte an oberster Stelle stehen. Master-, Administrations- und Festplatten-Passwörter richtet man unter dem Menüpunkt Security ein.

Hat man das BIOS abgesichert, sollte man im Betriebssystem die Autorun-Funktion für externe Datenträger wie CD-Roms oder USB-Sticks deaktivieren. Denn etliche Würmer, Trojaner und andere Malware-Arten verbreiten sich mittlerweile über tragbare Speichermedien.

Die Autorun-Funktion lässt sich radikal über den Registry-Editor abschalten. Hierfür gibt man im Startmenü unter Ausführen den Befehl regedit ein und hangelt sich durch die Registry bis zum Eintrag HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\. Dort kann man dann unter Einträgen wie Cdrom oder Sfloppy den Wert für Autorun auf 0 setzen.

Seite 2: Zugriffsrechte regeln und Passwort-Policy umsetzen

(ID:2043826)