Windows Server Härtung

[Michael1985]

Moin zusammen, 

wenn Ihr einen Windows Server härtet und absichert - was macht Ihr in der Regel immer?

Nicht benötigte Dienste deaktivieren? Spezielle Admins erstellen? Admins umbenennen?

Vielen Dank für die Antworten

[Destructor]

Hallo,

erstmals zum Netzwerk:

• Server hinter einer dedizierten Firewall stellen
• Server in das vorhergesehene VLAN zuweisen
• Zugriff via ACLs steuern

Zum Windows Server selbst:

• Einen neuen Admin User anlegen (bzw. LAPS nutzen) und den Standard Admin User deaktivieren
  • Der LAPS Admin hat natürlich einen anderen Namen
• Berechtigungskonzept einführen -> Rollenbasierte Zugriffssteuerung.
• Zugriffsprotokolle z.B. RDP auf bestimmte User und vertrauenswürdige Netze einschränken.
• Server minimal und sauber halten -> Keine unnötigen Tools installieren!
• Empfehlungen und Best Practices berücksichtigen z.B. ein DC ist ein DC und nicht nebenbei noch Webserver, Exchange usw.
• Lokale Windows Firewall überprüfen und konfigurieren
  • Achtung: Windows setzt gerne mal die automatischen Regeln bei Updates zurück!

Zum Dienst selbst: das ist natürlich Abhängig vom Dienst bzw. welche Rolle der Server übernimmt.😉

Bearbeitet 7. Oktober von Destructor

[Pixelfuchs]

Schau dir mal die "Security Technical Implementation Guides (STIGs)" des US-Verteidigungsministeriums und die CIS-Benchmarks an. Da findest du ein bisschen Input.

Beispiel: STIGs für Windows Server 2019 https://www.stigviewer.com/stig/windows_server_2019/

[Aeropsia]

Zu solchen Fragen gibt es den IT-Grundschutz vom BSI und die dazugehörigen Bausteine:

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/07_SYS_IT_Systeme/SYS_1_2_3_Windows_Server_Edition_2023.pdf?__blob=publicationFile&v=5