Windows Server 2003 für den weiteren Einsatz optimieren

Sicherheitskonfigurations-Assistent nutzen

Der Sicherheitskonfigurations-Assistent (Security Configuration Wizard, SCW) in Windows Server 2003 aktiviert die Windows-Firewall, konfiguriert Sicherheits-Regeln, deaktiviert nicht notwendige Dienste und setzt verschiedene Sicherheitseinstellungen. Es regelt die Überwachung, steuert die Authentifizierung nimmt zahlreiche Sicherheitseinstellungen vor.  Wenn der SCW bisher nicht im Einsatz ist, sollte er spätestens jetzt verwendet werden. Sind auf dem Server weitere Serverdienste im Einsatz, wie Exchange, SQL und SharePoint, kann SCW auch diese Dienste absichern. Allerdings sollte hier sehr vorsichtig vorgegangen werden. Durch zu restriktive Einstellungen ein Server schnell außer funktioniert gesetzt werden kann. Allerding lassen sich alle Einstellungen des SCW unkompliziert über einen Assistenten wieder rückgängig machen oder ändern.

Um den SCW zu nutzen, müssen Administratoren zunächst über Systemsteuerung\Software die Option Windows-Komponenten hinzufügen/entfernen auswählen. Hier muss der Haken bei Sicherheitskonfigurations-Assistent gesetzt und die Software erst installiert werden.

Über den Assistenten zum Hinzufügen von Windows-Komponenten installieren Administratoren zunächst den Sicherheitskonfigurations-Assistent (Screenshot: Thomas Joos).

Für die Installation wird die Windows Server 2003-SP2-Installations-DVD benötigt. Ein Neustart ist nach der Installation normalerweise nicht notwendig. Nach der Installation rufen Administratoren den Assistenten über Start\Alle Programme\Verwaltung\Sicherheitskonfigurations-Assistent auf.

Auf der ersten Seite muss zunächst ausgewählt werden, dass eine neue Sicherheitsrichtlinie erstellt werden soll. Später lässt sich die Richtlinie auch speichern und auf anderen Servern einlesen. Danach wird der Name des aktuellen Servers ausgewählt, da er die Basis für die Sicherheitsrichtlinie ist. Der Assistent liest danach die Sicherheitskonfigurationsdatenbank ein. Über die Schaltfläche Konfigurationsdatenbank anzeigen sind die Server-Anwendungen zu sehen, die der Assistent automatisiert absichern kann.

Über die Sicherheitskonfigurationsdatenbank liest der Assistent die notwendigen Einstellungen (Screenshot: Thomas Joos).

Danach muss ausgewählt werden welche Rollen auf dem Server installiert sind. Hier muss genau darauf geachtet werden, dass alle Rollen angezeigt werden, da ansonsten zu viele Netzwerkverbindungen deaktiviert werden.

Im ersten Schritt werden die installierten Serverrollen ausgewählt, die der Assistent absichern soll (Screenshot: Thomas Joos).

Danach wählen Administratoren die Serverfunktionen aus, die auf dem Server installiert sind, also DNS-Client, Domänenmitglied, etc. Nach diesem Fenster werden weitere installierte Optionen ausgewählt, wie das Drucken über Netzwerk, WMI und andere Netzwerkdienste. Findet der Assistent weitere Software, die abgesichert werden muss, zeigt der diese im nächsten Fenster an. Das ist zum Beispiel der Fall, wenn Administratoren den alten Server über einen neueren Windows-Server mit Hyper-V virtualisieren, wie in diesem Beitrag ebenfalls empfohlen.

Der nächste Abschnitt des Assistenten behandelt Systemdienste, die auf dem Server nicht verwendet werden. Da hier zahlreiche Sicherheitslücken existieren, macht es Sinn, sich alle Dienste anzusehen und nicht notwendige Dienste deaktivieren zu lassen. Über den Assistenten können Administratoren bei Problemen einzelne Dienste jederzeit wieder aktivieren.

SCW kann nicht notwendige Dienste deaktivieren und so die Sicherheit erhöhen (Screenshot: Thomas Joos).