Windows Server Hardening
Eine Sicherheits-Checkliste mit den wichtigsten Schritten zur Minimierung der Angriffsfläche Ihres Windows Server 2019, 2022 und 2025. Die Konfiguration erfolgt über die Lokale Sicherheitsrichtlinie, den Server-Manager und PowerShell.
Achtung vor Sperrung: Änderungen an Firewall-Regeln oder Kontorichtlinien können zu einem Systemausschluss führen. Implementieren Sie Änderungen schrittweise und testen Sie sorgfältig — besonders beim Umgang mit RDP.
1. Benutzer- & Kontoverwaltung
Das sicherste Fundament beginnt mit der Härtung aller lokalen und administrativen Konten.
Schritt 1: Standard-Administratorkonto umbenennen
Das Standard-Administratorkonto ist das primäre Ziel für automatisierte Brute-Force-Angriffe. Benennen Sie es sofort um — oder deaktivieren Sie es vollständig, nachdem Sie ein neues dediziertes Admin-Konto erstellt haben:
Schritt 2: Nicht benötigte Konten deaktivieren
Das Gastkonto und alle nicht explizit benötigten Standardkonten stellen unnötige Risiken dar und müssen deaktiviert werden:
Schritt 3: Kennwort- & Sperrungsrichtlinien durchsetzen
Öffnen Sie die Lokale Sicherheitsrichtlinie (secpol.msc) und konfigurieren Sie folgendes unter Kontorichtlinien:
| Einstellung | Empfohlener Wert |
|---|---|
| Minimale Kennwortlänge | Mindestens 12 Zeichen |
| Kennwortkomplexität | Aktiviert |
| Kennwortchronik | Letzte 10 Kennwörter merken |
| Kontosperrungsschwellenwert | Max. 5 Fehlversuche in 15 Minuten |
Schritt 4: Prinzip der minimalen Rechtevergabe
Vergeben Sie Benutzern, Diensten und Anwendungen nur die minimal notwendigen Berechtigungen. Administrative Aufgaben sollten ausschließlich mit separaten, dedizierten Administratorkonten durchgeführt werden — niemals mit Alltagskonten.
2. Windows Defender Firewall Härtung
Implementieren Sie eine Default-Deny-Strategie, um den gesamten eingehenden Netzwerkverkehr abzusichern.
Schritt 5: Standard-Eingangsrichtlinie auf Blockieren setzen
Setzen Sie in der Windows Defender Firewall mit erweiterter Sicherheit die Standard-Richtlinie für alle Profile (Domäne, Privat, Öffentlich) auf Blockieren für eingehenden Verkehr. Nur explizit erstellte Regeln sollen Pakete durchlassen.
Schritt 6: RDP-Zugriff absichern und einschränken
RDP (Port 3389) ist einer der am häufigsten angegriffenen Dienste. Beschränken Sie den Zugriff über die Firewall auf ausschließlich vertrauenswürdige Quell-IP-Adressen — z. B. Ihr Büronetzwerk oder VPN-Subnetz:
Aktivieren Sie zusätzlich die Authentifizierung auf Netzwerkebene (NLA) in den RDP-Einstellungen, um eine Authentifizierung vor dem Aufbau einer vollständigen Sitzung zu erzwingen.
Schritt 7: Firewall-Protokollierung aktivieren
Aktivieren Sie die Firewall-Protokollierung in den erweiterten Einstellungen der Windows Defender Firewall, um alle verworfenen Pakete zu protokollieren. Dies ist unverzichtbar für die Fehlersuche und die Erkennung von Einbruchsversuchen.
3. Serverrollen & Dienste
Entfernen Sie alle Funktionen und Dienste, die die Angriffsfläche unnötig vergrößern.
Schritt 8: Unnötige Serverrollen und Features entfernen
Entfernen Sie über den Server-Manager oder PowerShell alle Features, die für den Zweck des Servers nicht zwingend erforderlich sind — z. B. Faxserver, Telnet-Client oder nicht benötigte Webserver-Komponenten:
Schritt 9: Legacy-Protokolle deaktivieren (SMBv1)
Veraltete Protokolle wie SMBv1 sind obsolet und bieten bekannte Angriffsvektoren — darunter die Verbreitungsmethode von Ransomware wie WannaCry. Deaktivieren Sie sie sofort:
Schritt 10: Unnötige Windows-Dienste deaktivieren
Öffnen Sie die Dienstverwaltung (services.msc) und setzen Sie den Starttyp auf Deaktiviert für Dienste, die für den Zweck Ihres Servers nicht benötigt werden:
| Dienst | Deaktivieren wenn… |
|---|---|
| Remote-Registrierung | Kein Remote-Registrierungszugriff benötigt |
| Windows Search | Server wird nicht für Dateisuche genutzt |
| Druckerwarteschlange | Keine Druckdienste benötigt |
4. Systemintegrität & Überwachung
Diese Schritte gewährleisten langfristige Sicherheit und Nachvollziehbarkeit von Ereignissen.
Schritt 11: Regelmäßige Updates & Patch-Management
Halten Sie das Windows Server-Betriebssystem, alle installierten Anwendungen und Hypervisor-Software stets aktuell, um bekannte Sicherheitslücken schnell zu schließen. Dies ist die wichtigste fortlaufende Sicherheitsmaßnahme überhaupt.
Schritt 12: Erweiterte Überwachungsprotokollierung aktivieren
Aktivieren Sie erweiterte Überwachungsrichtlinien über die Lokale Sicherheitsrichtlinie oder GPOs. Konzentrieren Sie sich auf folgende kritische Ereigniskategorien:
| Ereigniskategorie | Protokollieren |
|---|---|
| Anmeldeversuche | Erfolg & Fehler |
| Änderungen an Benutzerkonten und Gruppen | Erfolg & Fehler |
| Zugriff auf kritische Dateien und Objekte | Erfolg & Fehler |
Schritt 13: Antivirenlösung sicherstellen
Stellen Sie sicher, dass Microsoft Defender for Server (oder eine gleichwertige Lösung) aktiv ist, der Echtzeitschutz läuft und automatisierte Scans außerhalb der Spitzenbetriebszeiten geplant sind.
Unternehmensumgebungen: Die umfassendste Härtung wird durch die Anwendung von Microsoft Security Baselines oder CIS Benchmarks über Gruppenrichtlinienobjekte (GPOs) erreicht. Diese bieten bewährte Vorlagen für nahezu alle Sicherheitsparameter.
Weiterführende Dokumentation
Für umfassende Härtungsvorlagen und Enterprise-Sicherheitsrichtlinien empfehlen wir die offiziellen Microsoft-Ressourcen.