Windows Server Härtung

[Micha1985]

Moin zusammen, 

wenn Ihr einen Windows Server härtet und absichert - was macht Ihr in der Regel immer?

Nicht benötigte Dienste deaktivieren? Spezielle Admins erstellen? Admins umbenennen?

Vielen Dank für die Antworten

[Destructor]

Hallo,

erstmals zum Netzwerk:

• Server hinter einer dedizierten Firewall stellen
• Server in das vorhergesehene VLAN zuweisen
• Zugriff via ACLs steuern

Zum Windows Server selbst:

• Einen neuen Admin User anlegen (bzw. LAPS nutzen) und den Standard Admin User deaktivieren
  • Der LAPS Admin hat natürlich einen anderen Namen
• Berechtigungskonzept einführen -> Rollenbasierte Zugriffssteuerung.
• Zugriffsprotokolle z.B. RDP auf bestimmte User und vertrauenswürdige Netze einschränken.
• Server minimal und sauber halten -> Keine unnötigen Tools installieren!
• Empfehlungen und Best Practices berücksichtigen z.B. ein DC ist ein DC und nicht nebenbei noch Webserver, Exchange usw.
• Lokale Windows Firewall überprüfen und konfigurieren
  • Achtung: Windows setzt gerne mal die automatischen Regeln bei Updates zurück!

Zum Dienst selbst: das ist natürlich Abhängig vom Dienst bzw. welche Rolle der Server übernimmt.😉

Bearbeitet 7. Oktober 2024 von Destructor

[Gast]

Schau dir mal die "Security Technical Implementation Guides (STIGs)" des US-Verteidigungsministeriums und die CIS-Benchmarks an. Da findest du ein bisschen Input.

Beispiel: STIGs für Windows Server 2019 https://www.stigviewer.com/stig/windows_server_2019/

[Aeropsia]

Zu solchen Fragen gibt es den IT-Grundschutz vom BSI und die dazugehörigen Bausteine:

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/07_SYS_IT_Systeme/SYS_1_2_3_Windows_Server_Edition_2023.pdf?__blob=publicationFile&v=5

[Micha1985]

Moin zusammen, 

habt Ihr die FSMO-Rollen auf den DCs verteilt oder alle FSMO-Rollen auf einen DC?

[ThePinky777]

Alle Rollen auf einem. Dieser ein sollte natürlich gut gesichert sein Desaster Recovery technisch...
Dann kann man im Worst Case auf alle anderen DCs verzichten und muss nur den einen Restoren um wieder Voll dabei zu sein.
Wenn du das Verteilst haste unter umständen ein Problem... Und wenn das keine VM sondern echte Hardware ist kannste echt viel spass haben, wenn man auch noch erstmal Hardware wieder klar schiff bekommen muss...
Meine Meinung.

 

Wegen Härtung, z.B. in einer DMZ habe ich GPOs für jeden einzelnen Server in der DMZ erstellt welche die lokale Firewall setzen, also innerhalb der DMZ können die Server sich nicht kontaktieren. Und per GPO bietet den Vorteil das ein Angreifer die Settings auch nicht drehen kann da grau hinterlegt...
Und die Zugriffe aus DMZ <> LAN usw... regelt die Hardware Firewall.
Das ganze auf den Port und IP genau abgestimmt. Kann man sich auch für ins LAN überlegen.
Eventuell Server auch in verschiedene VLANs generell aufteilen z.B. DCs seperates VLAN und per Hardware Firewall absichern usw... Oder Clients in Seperate VLANs je nach Abteilung und Funktion und dann entsprechend Client Gruppen und Server Gruppen Firewall technisch genau fein tunen...

Und halt noch die anderen Tips was die Kollegen oben so schreiben, stichwort Admin Konzept, immer Up to Date sein Patch technisch, das übliche halt...

Bearbeitet 29. Oktober 2024 von ThePinky777

[Micha1985]

Hallo zusammen, 

vielen Dank für die zahlreichen Antworten! Es hat mir viel geholfen!

Überflüssige Windows-Features kann man doch auf DC's auch entfernen, wie z. B. XPS-Viewer und Wireless-Networking, oder?

Sehe ich keinen Sinn drin, dass das auf einen DC installiert ist.