Suchen

Wie sich betagte Server sicherer und stabiler weiter betreiben lassen So machen Unternehmen Windows Server 2003 fit und sicher

Autor / Redakteur: Thomas Joos / Ulrike Ostler

Auch wenn Microsoft zum 15. Juli dieses Jahres den Support von „Windows Server 2003/2003 R2“ und „SBS 2003/2003 R2“ einstellt, gibt es grundsätzlich für Unternehmen keinen Grund zur Eile. Dennoch sollten Vorsichtsmaßnahmen getroffen werden.

Wer Windows Server 2003 nach dem offiziellen Support-Ende weiterhin betreiben will, muss einige Vorkehrungen treffen, um sicher zu sein.
Wer Windows Server 2003 nach dem offiziellen Support-Ende weiterhin betreiben will, muss einige Vorkehrungen treffen, um sicher zu sein.
(Bild: alphaspirit / Fotolia.com)

Wer noch Server mit Windows Server 2003 betreibt, sollte zunächst über Windows-Update sicherstellen, dass alle Aktualisierungen auf dem Server installiert sind. Dadurch wird der Server stabiler, schneller und zumindest die wichtigsten Sicherheitslücken werden geschlossen. Allerdings sind aktuell schon einige Sicherheitslücken bekannt, die Microsoft nicht mehr schließen wird, aber Hacker definitiv für Angriffe nutzen werden.

Auch ein Blick in die Ereignisanzeige ist ein wichtiger Punkt. Hier sollten Administratoren alle Fehler analysieren und beseitigen. Diese beiden Schritte sorgen schon einmal für eine gewisse Grundsicherheit. Durch das Alter des Servers, ist es außerdem angebracht vor der Installation von Aktualisierungen zuerst eine vollständige Image-Sicherung des Servers durchzuführen. So besteht die Möglichkeit später zumindest den Server wiederherstellen zu können, wenn etwas nicht funktioniert.

Festplatten testen – SMART & Co.

Je älter eine Festplatte ist, umso höher ist auch die Gefahr, dass die Festplatte defekte Sektoren aufweist. Das bemerken Administratoren erst dann, wenn es zu spät ist und der Computer nicht mehr funktioniert. Administratoren sollten daher Festplatten des alten Servers auf Fehler prüfen. In Festplatten ist dazu SMART (Self-Monitoring, Analysis and Reporting Technology) integriert. Diese Funktion überwacht die Festplatte auf Fehler.

Ein sehr interessantes Tool ist die Freeware„HDDScan“. Der Vorteil dieses Tools ist, dass es nicht installiert werden muss und daher auch auf USB-Sticks verwendet werden kann, um Rechner schnell und unkompliziert auf Fehler zu scannen.

Weiterführende Tests von Festplatten lassen sich auch mit der Freeware „Sea Tools“ von Seagate vornehmen. Das Tool testet die meisten Festplatten auf Fehler, nicht nur die von Seagate selbst hergestellten.

Western Digital bietet mit „Data Life Guard“ ebenfalls ein solches Tool an, das auch als Windows-Anwendung zur Verfügung steht. Nach dem Start liest Data Life Guard die Festplatten des Systems. Über das Kontextmenü der einzelnen Festplatten werden die Tests gestartet.

Internet-Verbindung kappen – Server-Dienste sichern

Der größte Angriffspunkt von Windows Server 2003/2003 R2 wird die Ausnutzung bekannter Sicherheitslücken des „IIS“ und anderer Dienste sein. Daher sollten Unternehmen den Server vom Internet trennen. Wer Windows Server 2003 als Web-Server nutzt, sollte sich überlegen, ob die Risiken tragbar sind. Denn ab dem 15.07.2015 wachsen die Sicherheitsrisiken ins Unermessliche. Hacker können kostenlose Tools programmieren und verbreiten, während Microsoft keine Lücken mehr schließt.

Im internen Netzwerk lassen sich die Server ohne Weiteres betreiben.
Im internen Netzwerk lassen sich die Server ohne Weiteres betreiben.
(Bild: bluebay2014 / Fotolia.com)

Im internen Netzwerk lassen sich die Server weiter betreiben. Wenn eine Aktualisierung durchgeführt wurde, und das Ereignisprotokoll keine gravierenden Fehler meldet, ist der Server grundsätzlich noch einsatzbereit. Hier sollte zunächst sichergestellt sein, dass der Server keinerlei Internet-Verbindungen mehr akzeptiert. Das kann erreicht werden, in dem Server-Anfragen in das Internet und vom Internet über andere Server abgewickelt werden. Dadurch wird der Server von der größten Angriffsfläche ausgesperrt.

Sichern von Exchange und Windows-Server mit Assistenten

Neben dem Sperren der Internetverbindung sollten Unternehmen auch die internen Rechner im Netzwerk sperren, außer der Computer und IP-Adresse, die Zugriff auf den Server benötigen. Hier haben Unternehmen die Möglichkeiten den Sicherheitskonfigurations-Assistenten zu installieren und zur Absicherung zu verwenden.

Dieser kann in Windows Server 2003 auch Serverdienste wie SQL-Server und Exchange absichern. Wie eine Absicherung am Beispiel von Windows Server 2003/Exchange Server 2003 aussehen kann, ist auf der Seite MSExchange.org zu sehen.

Firewall vorschalten

Unternehmen sollten vor Servern mit Windows Server 2003, auch im internen Netzwerk eine Firewall vorschalten. Das kann die eigene Unternehmensfirewall sein, die Windows Server 2003 in einem eigenen Netzwerk betreibt, oder eine Zusatzlösung. Über diese lassen sich gezielt die Clients filtern, die Zugriff auf den Server erhalten sollen. Dadurch werden Angriffe weitgehend gefiltert. Alle nicht benötigen Ports zu Windows Server 2003 sollten geschlossen werden, auch IP-Bereiche von Rechnern die keinen Zugriff auf den Server nehmen müssen. Die Windows-Firewall auf dem Server ist dazu nicht geeignet, sondern sollte immer nur zusammen mit dem Sicherheitskonfigurations-Assistenten verwendet werden.

Server virtualisieren

Wollen Unternehmen Windows Server 2003 dauerhaft einsetzen, zum Beispiel weil bestimmte Anwendungen auf dem Server schlicht und ergreifend nicht für neuere Server-Versionen in Frage kommen, bietet sich eine Virtualisierung des Servers an. Der Vorteil dabei ist, dass die Sicherung einfacher durchgeführt werden kann und durch die Virtualisierung auch die Sicherheit im Netzwerk erhöht werden kann. Durch spezielle Linux-Distributionen wie „IPCop“ lassen sich zum Beispiel virtuelle Server auf Basis von Linux erstellen, die sich als Firewall für Windows Server 2003 einsetzen lassen.

Es bietet sich an, die Server zu virtualisieren.
Es bietet sich an, die Server zu virtualisieren.
(Bild: karelnoppe / Fotolia)

Basis solcher Virtualisierungen können durchaus kostenlose Lösungen wie „VMware ESXi“ oder „Hyper-V Server 2012 R2“ sein. Auch mit kostenlosen Tools wie „Disk2VHD“ lassen sich die Festplatten des Servers in virtuelle Festplatten überführen. Diese können als Basis virtueller Server dienen, während der eigentliche Server bis zur Datenübernahme parallel weiterlaufen kann.

Migration mit Microsoft-Unterstützung planen und Betrieb in der Cloud prüfen

Microsoft bietet für Unternehmen mit Windows Server 2003 das Online-Tool „Windows Server 2003 Migration Planning Assistant“. Mit diesem planen Unternehmen die spätere Migration von Server und Server-Anwendungen in der Cloud oder in virtuelle Umgebungen. Auch wenn Unternehmen aktuell keinen Umstieg planen, sollte eine potentielle Migration in Erwägung gezogen werden.

Microsoft unterstützt bei der Migration zu neueren Server-Versionen.
Microsoft unterstützt bei der Migration zu neueren Server-Versionen.
(Bild: Microsoft)

Aktualisierung zu Windows Server 2008/2008 R2

Eine weitere Möglichkeit einen Server mit Windows Server 2003 länger einsetzen zu können, ist die Aktualisierung zu Windows Server 2008/2008 R2. Das geht allerdings nur, wenn Unternehmen eine entsprechende Lizenz zur Verfügung haben.

Der Vorteil dabei ist, dass die Aktualisierung In-Place funktioniert, der bestehende Server kann also direkt aktualisiert werden. Außerdem können die alte Hardware und andere Geräte weiter verwendet werden. Außerdem wird dadurch der Support verlängert, da Windows Server 2008/2008 R2 noch einige Jahre länger unterstützt wird.

Bevor Administratoren einen Server von Windows Server 2003 direkt auf Windows Server 2008/2008 R2 aktualisieren, sollten zunächst installierte Sicherheitsprogramme und Antivirenschutzprogramme deaktiviert werden. Arbeiten Unternehmen mit Netzwerküberwachungsprogrammen, sollten sie beachten, dass Administratoren den Computer den in den Wartungsmodus versetzen.

Alle installierten Anwendungen, Management-Packs für Netzwerküberwachungsprogramme und Tools müssen kompatibel zu Windows Server 2008/2008 R2 sein. Windows-Firewall-Einstellungen dürfen Verbindungen zu anderen Servern nicht blockieren. Aktualisieren Administratoren einen Domänen-Controller, muss zuvor das Active Directory für Windows Server 2008/2008 R2 vorbereitet werden. Administratoren benötigen dazu das Tool „Adprep“ aus dem Verzeichnis \Support\Adprep von der Windows Server 2008 R2-DVD.

Der Autor:

Thomas Joos ist Autor zahlreicher Fachartikel und Fachbücher sowie Blogger auf DataCenter-Insider: "Toms Admin-Blog"

(ID:43275116)