Windows Server Hardening: Sicherheits-Checkliste (2019, 2022, 2025)
Diese Anleitung fasst die kritischsten und versionsübergreifend gültigen Schritte zusammen, um die Angriffsfläche Ihres Windows Servers (2019, 2022, 2025) zu minimieren. Die Konfiguration erfolgt primär über die Lokalen Sicherheitsrichtlinien, den Server Manager und PowerShell.
Achtung vor Lockout: Änderungen an Firewalls oder Kontenrichtlinien können zu einem Ausschluss führen. Führen Sie Änderungen schrittweise durch und testen Sie diese sorgfältig, insbesondere beim Remote Desktop Protocol (RDP).
1. Benutzer- und Kontenmanagement (Schritte 1 bis 4)
Die sicherste Basis ist die Härtung aller lokalen und administrativen Konten.
Das Standard-Administratorkonto ist das primäre Ziel automatisierter Brute-Force-Angriffe. Benennen Sie es sofort um oder deaktivieren Sie es vollständig, nachdem Sie ein neues, dediziertes Administratorkonto erstellt haben.
2. Windows Defender Firewall Härtung (Schritte 5 bis 7)
Implementieren Sie die "Default Deny"-Strategie, um den Netzwerkverkehr zu sichern.
Stellen Sie in der Windows Defender Firewall mit erweiterter Sicherheit die Standardrichtlinie für alle Profile (Domain, Privat, Öffentlich) auf Blockieren für den eingehenden Verkehr. Nur explizit erstellte Regeln dürfen Pakete passieren lassen.
3. Server-Rollen und Dienste (Schritte 8 bis 10)
Entfernen Sie alle Features, die die Angriffsfläche unnötig vergrößern.
Verwenden Sie den Server Manager oder PowerShell, um alle Features zu entfernen, die für den spezifischen Zweck des Servers nicht zwingend erforderlich sind (z.B. Fax Server, Telnet Client, unnötige Webserver-Komponenten).
4. Systemintegrität und Überwachung (Schritte 11 bis 13)
Diese Schritte gewährleisten die langfristige Sicherheit und Nachvollziehbarkeit von Ereignissen.
Halten Sie Windows Server, alle installierten Anwendungen und Hypervisor-Software immer auf dem neuesten Stand (Patch-Management), um bekannte Sicherheitslücken schnellstmöglich zu schließen. Dies ist die wichtigste fortlaufende Maßnahme.
Empfehlung für Enterprise-Umgebungen: Die umfassendste Härtung erfolgt durch das Anwenden von Microsoft Security Baselines oder CIS (Center for Internet Security) Benchmarks mithilfe von Gruppenrichtlinienobjekten (GPOs). Diese bieten bewährte Vorlagen für fast alle Sicherheitsparameter.