Sicherheits-Tuning für Windows Server 2003

Server-Security: Baseline und Spezialtypen

Nachdem Sie die domänenweit gültigen Richtlinien aktiviert haben, geht es daran, die für alle Server gültige "Member Server Baseline" einzurichten. Sie wird per Group Policy auf die Server verteilt und bildet die Basis für die darauf aufsetzenden typspezifischen Sicherheitseinstellungen. Der Security Guide beschreibt für folgende Servertypen die jeweils am besten geeigneten Settings:

• Domain Controller

• Infrastrukturserver

• Fileserver

• Printserver

• IIS-Server

• IAS-Server

• Certificate Server

• Bastion Host

Welche Einschränkungen Sie hinnehmen müssen, wenn Sie einen Windows-2003-Server für höchste Sicherheit konfigurieren, sehen Sie an den strengen Vorgaben für Bastion Hosts. Unter anderem lassen sie sich nicht mehr aus der Ferne verwalten.

Bei Bastion Hosts handelt es sich meist um öffentlich zugängliche Webserver. Aufgrund ihrer exponierten Stellung sollten diese Systeme nicht Mitglied einer Windows-Domäne sein, sondern als Standalone-Server arbeiten. Deshalb ist es nicht möglich, die vom Security Guide empfohlenen Sicherheitseinstellungen per Group Policy vom Domänen-Controller aus zu verteilen. Stattdessen müssen Sie die Settings per Security-Template auf jedem Server lokal einspielen.

Wenn Sie einen Server als Bastion Host konfigurieren möchten, sollten Sie auf jeden Fall zuerst ein Backup durchführen. Denn ist das System erst einmal abgeschottet, gibt es nur schwer einen Weg zurück.