Wichtige Sicherheitsinformationen für Ihren Windows-Server (Teil 2 von 2)

In dieser Artikelserie werden einige wichtige Sicherheitsempfehlungen und Sicherheitsmaßnahmen erklärt, die dazu beitragen, das Sicherheitsniveau Ihres Windows-Servers zu erhöhen.

In diesem Artikel erhalten Sie spezifische Sicherheitsempfehlungen, um Ihren Windows-Server sicher zu konfigurieren und einen sicheren Betrieb zu gewährleisten.

Achtung

Diese Sicherheitsempfehlungen sind ausschließlich für Server mit Root-Zugriff gültig.

Account Lockout Policy konfigurieren, um Benutzerkonten bei Angriffen zu sperren

Konfigurieren Sie die Account Lockout Policy, um Benutzerkonten bei Angriffen zu sperren. Nach der Sperrung sind für einen bestimmten Zeitraum keine Anmeldungen mehr erlaubt. Mithilfe dieser Einstellungen können Sie sich gegen Brute-Force-Angriffe wehren. Bei diesen Angriffen versuchen Cyberkriminelle die Passwortkombinationen für ein Benutzerkonto oder mehrere Benutzerkonten durch automatisiertes ausprobieren von verschiedenen Buchstaben- und Zahlenkombinationen herauszufinden. Je mehr Kombinationen hierbei getestet werden, desto größer ist die Erfolgsaussicht des Angriffs. 

Achtung

Die Konfiguration der Account Lockout Policy kann diese Angriffe nur reduzieren. Neben Brute-Force-Angriffen können Cyberkriminelle auch  Denial-of-Service-Angriffe ausführen. Bei einem solchen Angriff kann eine Reihe von Passwortangriffen zu einer Sperrung sämtlicher Benutzerkonten führen.

So konfigurieren Sie die Account Lockout Policy:

  • Loggen Sie sich auf dem Server als Administrator ein.

  • Öffnen Sie den Server-Manager.

  • Klicken Sie oben in der der Menüleiste auf Tools > Lokale Sicherheitsrichtlinie.

    Das Fenster Lokale Sicherheitsrichtlinie öffnet sich.

  • Klicken Sie in der Navigationsleiste rechts auf Kontorichtlinien > Kontosperrungsrichtlinien.

  • Doppelklicken Sie auf die Richtlinie Kontosperrungsschwelle.

  • Geben Sie die Anzahl der erfolglosen Anmeldeversuche ein, die bis zur Deaktivierung eines Kontos erfolgen müssen, z.B. 10.

  • Klicken Sie auf OK.

  • Doppelklicken Sie auf die Richtlinie Kontosperrdauer.

  • Geben Sie die gewünschte Dauer ein. 

  • Klicken Sie auf OK.

  • Klicken Sie auf Zurücksetzungsdauer des Kontosperrungszählers.

  • Geben Sie die gewünschte Zeit ein, nach der der Kontosperrungszähler zurückgesetzt werden soll.

  • Klicken Sie auf OK.

Schränken Sie den Zugriff auf die Remote-Desktop-Verbindung ein

Um die Anzahl der Personen zu begrenzen, die auf den Server zugreifen, können Sie den Zugriff auf die Remote-Desktop-Verbindung einschränken. Gehen Sie hierzu wie folgt vor:

  • Öffnen Sie den Server-Manager.

  • Klicken Sie oben in der der Menüleiste auf Tools > Computerverwaltung.

    Das Fenster Computerverwaltung öffnet sich.

  • Klicken Sie auf Lokale Benutzer und Gruppen.

  • Doppelklicken Sie auf Gruppen.

  • Doppelklicken Sie auf die Gruppe, die Sie bearbeiten möchten. Zum Beispiel Remote Desktop Benutzer oder Administratoren.

  • Legen Sie anschließend die Benutzer fest, die sich auf dem Server anmelden dürfen.

Nutzen Sie den Attack Surface Analyzer von Microsoft.

Der Attack Surface Analyzer ist eine Software, mit der Sie nach Sicherheitslücken suchen können. Diese Software zeigt Änderungen im Betriebssystem nach der Installation einer neuen Software an.

Zu diesem Zweck erstellt der Attack Surface Analyzer vor und nach der Installation der zu beobachtenden Software einen Snapshot Ihres Systemzustands. Anhand dieses Snapshots zeigt der Attack Surface Analyzer die Änderungen am Betriebssystem.

Weitere Informationen zum Attack Surface Analyzer finden Sie hier:

https://www.microsoft.com/en-us/download/details.aspx?id=58105

Passen Sie die Sicherheitsoptionen der PowerShell individuell an

Standardmäßig werden Skripte automatisch von der PowerShell blockiert. Wenn Sie jedoch auf dem Server Skripte ausführen müssen, können Sie die Sicherheitsoptionen der PowerShell individuell anpassen, um Ihren Server vor Angriffen zu schützen. 

Nutzen Sie die Windows-Sicherheitsgrundsätze, um Ihren Server zu härten

Microsoft Windows bietet eine Vielzahl von Einstellungen die sich unterschiedlich auswirken. Das herstellende Unternehmen bietet zwar umfassende Anleitungen an, aber die korrekte Konfiguration dieser Einstellungen kann dennoch sehr viel Zeit in Anspruch nehmen. Dies gilt insbesondere für die Konfiguration der Gruppenrichtlinien.

Gruppenrichtlinien sind Richtlinien zur Konfiguration von verschiedenen Einstellungen des Betriebssystems. Darunter fallen auch Sicherheitseinstellungen. Sie können
z. B. mithilfe der Gruppenrichtlinien festlegen, wie oft ein Passwort erneuert werden muss. 

Die Einstellungen in den Gruppenrichtlinien können nicht von den Anwendern geändert werden. 

Eine unsachgemäße Konfiguration dieser Richtlinien kann zu Schwachstellen und/oder zu Betriebsstörungen führen. 

Um eine schnellere Bereitstellung zu unterstützen und die Verwaltung von Windows weiter zu vereinfachen, bietet Microsoft seinen Kunden Sicherheitsgrundwerte in Formaten, die Sie direkt nutzen können, wie zum Beispiel die Sicherungen von Gruppenrichtlinienobjekten.

Weitere Informationen zu den Sicherheitsgrundwerten finden im folgenden Artikel:

Windows-Sicherheitsgrundsätze

Weitere Artikel aus dieser Artikelserie

Den zweiten Artikel dieser Artikelserie finden Sie hier:

Wichtige Sicherheitsinformationen für Ihren Windows-Server (Teil 1 von 2)