Windows-Server werden immer beliebter. Seitdem Hoster die zusätzlichen Kosten für Betriebssystem-Lizenzen nicht mehr an Kunden weiterzugeben, ist die Zahl der eingesetzten Windows-Server nochmals deutlich gestiegen. Die gestiegene Attraktivität macht diese gleichzeitig aber auch zu einem immer beliebteren Angriffsziel für Hacker und DDOS-Attacken. Deshalb möchte ich Ihnen hier einige Sicherheitstipps für Windows-Server vorstellen, mit denen Sie Ihr System und Ihre Anwendungen schützen können.

1. Verdächtige IP-Adressen aussperren

Hinter jedem Angriff auf Ihren Server steckt „im weitesten Sinne“ ein anderer Server mit einer bestimmten IP-Adresse, auch wenn sich dieser hinter einem Proxy oder einem Wald von Proxys verbirgt. Deshalb sollten Sie Ihren Server über das Microsoft IIS Modul „Dynamic IP Restrictions“ schützen.

Dieses Tool ist eine komfortable Möglichkeit, um Ihren Server automatisch gegen gezielte DDOS-Angriffe und versuchtes Passwort-Cracking durch Brute-Force-Attacken abzusichern.

Über die Einstellungsmöglichkeiten von Dynamic IP Restrictions können Sie präzise definieren:

  • wie viele Anfragen von einer IP-Adresse gleichzeitig an Ihren Server gestellt werden können.
  • wie viele Anfragen maximal von einer IP-Adresse bzw. maximal in einem bestimmten Zeitraum eingehen dürfen.

Bei der Überschreitung eines voreingestellten Grenzwertes, wird die entsprechende IP-Adresse automatisch geblockt.

Legen Sie darüber hinaus fest, welche Fehlermeldung bei einer geblockten IP-Adresse angezeigt werden soll sowie in welcher Logfile-Datei die Zugriffsversuche protokolliert werden sollen.

Dynamic IP Restrictions können Sie kostenlos über den Download-Bereich von IIS.net downloaden.

2. Verschleiern Sie Dienste oder Betriebssysteme, mit denen Sie arbeiten

Geben Sie potentiellen Angreifern so wenige Ansatzpunkte wie möglich. Dazu gehört auch das Verwischen von sogenannten „Fingerprints“, durch die Unbefugte Informationen über die Version der von Ihnen eingesetzten Diensten und Betriebssystemen erhalten, um so deren Schwachstellen unter Umständen gezielt auszunutzen.

Eine wichtige Sicherheitsmaßnahme ist z.B. die Deaktivierung der DNS-Version für öffentliche Zugriffe. Geben Sie dazu über die Windows-Kommandozeile folgenden Befehl ein:

dnscmd /config /EnableVersionQuery 0

Warum ist die Deaktivierung der DNS-Version für öffentliche Zugriffe so wichtig?

Insbesondere älteren DNS-Servern kann man sehr einfach die Versionsnummer entlocken.
Checken Sie zu Ihrer Sicherheit einfach einmal, ob das auch bei Ihrem DNS-Server der Fall ist.
Geben Sie dazu folgenden Befehl über die Kommandozeile ein:

nslookup -type=txt -class=chaos version.bind <IP>

Erhalten Sie daraufhin die Versionsnummer Ihres DNS-Servers angezeigt, sollten diesen möglichst umgehend (wie oben beschrieben) für öffentliche Zugriffe deaktivieren.

3. Legen Sie einen neuen Administrator-Benutzernamen an

Standardmäßig ist auf Ihrem Windows-Server der Benutzer „Administrator“ angelegt. Auch das kann – vor allem in Verbindung mit einem „schwachen Passwort“ – zu einem Einstiegstor für Hacker werden. Daher sollten Sie aus Sicherheitsgründen das Administrator-Konto deaktivieren bzw. umbenennen.

Der Standardbenutzernamen lässt sich schnell und einfach mit folgendem Befehl über die Windows-Kommandozeile ändern.

wmic useraccount where name="Administrator" call rename name="<IHR NEUER ADMINISTRATOR- NAME>"

4. Verschlüsseln Sie IMAPS-Mails über eine SSL gesicherte Verbindung

Standardmäßig sind Windows-Server, die Sie mit der Administrationsoberfläche Plesk betreiben, mit dem kostenlosen Mail-Server MailEnable ausgestattet. Diese bietet Ihnen allerdings keine SSL-Verschlüsselungsoption. Sie können natürlich die kostenpflichtige Professional Mail Server Edition erwerben, die Ihnen unter anderem auch die SSL-Verschlüsselung ermöglicht.

Alternativ lässt sich die SSL-Verschlüsselungsfunktion aber auch ganz einfach und kostenlos nachrüsten. Zum Beispiel mit der SSL-Codiersoftware „STunnel“.
Dieses Open Source-Tool STunnel ermöglicht Ihnen den Aufbau eines verschlüsselten Tunnel auf Basis des IMAP Version 4 Protokolls zum Mail-Server.

So konfigurieren Sie STunnel

Laden Sie STunnel herunter und starten Sie das Setup. Standardmäßig werden nun Firewall-Regeln angelegt, die Sie für die Konfiguration von STunnel deaktivieren sollten. Für die Verbindung mit Ihrem E-Mail-Client müssen Sie das Mailserver-Zertifikat in die stunnel.conf-Datei eintragen. Den entsprechenden Schlüssel und das Zertifikat finden Sie in der .pem Datei, die Ihnen in der Regel von Ihrem Provider zur Verfügung gestellt wird.

Fügen Sie folgende Zeilen in die Installations-Datei von STunnel (stunnel.conf) ein:

; Certificate/key is needed in server mode and optional in client mode
cert = www_beispieldomain_de.pem
;key = stunnel.pem

So konfigurieren Sie Ihre E-Mail-Clients

  • Stellen Sie für den Posteingangsserver SSL/TSL Port 993 ein.
  • Aktivieren Sie die Option Verschlüsseltes Passwort senden.
  • Wählen Sie für den Postausgangsserver SMTPS Server Post 465 SSL/TLS.
  • Stellen Sie für den Ausgangsserver SSL Port 465 ein.
  • Achten Sie darauf, dass das Relaying für lokale Adressen nicht aktiviert ist, damit verhindern Sie, dass Ihr Server für Spamversand missbraucht werden kann.
  • Passen Sie die Konfiguration von stunnel Ihren Bedürfnissen an.
    Die Anpassungen können Sie in der stunnel.conf_Datei vornehmen, die sich üblicherweise im Verzeichnis: Program Files (x86)\stunnel\config\ befindet. Wichtig: Verweisen Sie in der Sektion „TLS server mode services“ / Parameter „cert“ auf die von Ihnen genutzte Zertifikatsdatei.
  • Ändern Sie die automatisch von stunnel angelegten Firewallregeln. Definieren Sie für die von Ihnen genutzten Dienste eigene Regeln. Das betrifft vor allem folgende Dienste:
    – 465 TCP für SMTPS
    – 993 TCP für IMAPS
    – 995 TCP für POP3S
  • Erteilen Sie der stunnel.exe-Datei eine Freigabe. Sie finden diese gewöhnlich im Verzeichnis Program Files(x86)\stunnel\bin\.
  • Zum Schluss sollten Sie die Authentifizierung aktivieren, um stunnel nutzen zu können.

Blockieren Sie den Port der Firewall nun für die unverschlüsselte IMAP Kommunikation

STunnel können Sie auf dieser Seite kostenlos downloaden.

Sicherheitstipps für Windows-Server – Fazit

Mit diesen vier Sicherheitstipps für Windows-Server können Sie Ihr System und Ihre Anwendungen bereits wirkungsvoll gegen Hacking-Attacken absichern. Gehen Sie auf Nummer Sicher und schützen Sie Ihren Windows-Server am besten noch heute.

Weitere nützliche Tipps zu den Themen Windows Netzwerke, Server Hosting und Virtualisierung finden Sie auch im Blog von Tobias Schneider.


Sie haben weitere Sicherheitstipps für Windows-Servers oder Tricks und Hinweise zum Schutz vor Hacking? Dann schicken Sie uns einen Kommentar. Wir freuen uns auf Ihr Feedback.

Wolf-Dieter Fiege

Wolf-Dieter Fiege ist Senior Specialist für Content Marketing & SEO und Chefredakteur des Blogs der Host Europe GmbH, einem der größten Anbieter von Domain- und Webhosting sowie Serverprodukten in Europa.

5 thoughts on “4 Sicherheitstipps für Windows-Server

  1. Moin moin

    geiler Artikel. Aber hier fehlt noch ein wichtiger Punkt meiner Meinung nach und zwar die grundlegende Änderung des RDP Ports. Ist im Grunde ziemlich einfach und führt dazu, dass kein RDP Versuch funktioniert, da dieser im Normalfall auf dem Standard Port versucht wird.

    Wichtig. Sollte man keine KVM Karte haben und somit keinen weiteren Zugriff, sollte man im Vorfeld den Port in der Firewall freischalten.

    Man muss lediglich den Dezimalwert im folgenden Schlüssel anpassen und entsprechend den Server durch starten:


    HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-TcpPortNumber

    Gruß
    Kai

    • Hallo Kai,
      absolut richtig. Sehr guter Hinweis. Zum Thema Sicherheit für Windows-Server plane ich noch einen zweiten Artikel, im dem ich unter anderem auch Hinweise zur Einstellung/Absicherung des RDP Ports vorstellen möchte.
      Beste Grüße
      Wolf-Dieter

  2. Es tut mir Leid, aber der Artikel ist zu banal. IP-Rate-Limiting kann, gerade wenn es Proxies betrifft, schnell eine ganze Firma aussperren. Desweiteren ist von „DDoS“ die Rede: Hier machen beispielsweise 500 unterschiedliche IP-Adressen ein paar wenige Requests, der Server bricht trotzdem zusammen. Von Nicht-Ebene-7-Angriffen mal abgesehen. Interessanter aus Kundensicht wäre es, welche Schutzmaßnahmen Hosteurope innerhalb der Infrastruktur selbst anbietet, z.B. ob Arbor-Appliances. Ich vermute: keine.

  3. Herzlichen Dank für den Artikel. Auch war es sehr nett von Kai auf die Änderung von RDP Port zu hinweisen. Jetzt warte ich sehr gespannt auf den zweiten Teil… 🙂

  4. Hallo Wolf-Dieter,
    danke für den interessanten Artikel! Ich werde die Punkte umsetzen.
    Für Windows Server gibt es leider nur wenige Aniti-Viren-Programme. Ich arbeite zurzeit mit der AVG Server Version. Welche Anti-Viren-Software empfielst Du?
    Gruß
    Thomas

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.