statistic

Windows-Server 2016: IT-Sicherheitsexperte rät trotz Nano-Server zur weiteren Absicherung


Seit Oktober 2016 ist Windows Server 2016 offiziell in finaler Version verfügbar: Durch den Wegfall der GUI und die Option der Nano-Server wurde die Sicherheit optimiert, gleichzeitig sind Speicherressourcen extrem geschont. „Aufgrund des neuen Speichersystems, Microsoft nennt die neue Technologie Storage Spaces Direct, ist die Performance von Windows Server 2016 nicht zu verachten! Dessen Selbstoptimierung trägt zu einer hervorragenden Geschwindigkeit bei. Eine neue Rechtevergabe sorgt zudem für ein Plus an Sicherheit. Microsoft hat an den richtigen Stellschrauben gedreht, um Windows Server 2016 schneller und sicherer als seinen Vorgänger, Windows Server 2012 R2, zu gestalten“, zeigt sich Christian Heutger, Geschäftsführer der PSW GROUP, zufrieden.

Aufräumen von Windows Server 2016 dank neuer Speichertechnologie kinderleicht

Microsoft geht mit Windows Server 2016 einen großen Schritt in Richtung Software-defined Storage, was es leicht macht, Speicherplatz freizugeben. Administratoren werden in die Lage versetzt, Datenspeicher effizienter zusammenzufassen und zu verwalten, sowie sehr komplexe Storage-Szenarien abzubilden.

Lokal angebundene Datenspeicher lassen sich mit Windows Server 2016 in einem Cluster zusammenfassen, um sie als gemeinsame virtuelle Speicher zu nutzen. „Solche Cluster sind nicht auf gemeinsame externe Datenspeicher angewiesen. Jeder Cluster arbeitet mit seinem eigenen Datenspeicher. Das bietet Administratoren die Möglichkeit zum Erstellen einzelner Laufwerke, auf denen sich Daten ablegen lassen, was zu erhöhter Flexibilität, Effizienz und Skalierbarkeit führt“, erklärt Heutger.

Microsoft hat Windows Server 2016 zudem erweiterte Konfigurationen für Storage Tiers spendiert. Administratoren können nun unterschiedliche Speichertechnologien, wie SSD, HDD oder NVMe-SSD, innerhalb eines Storage Space Direct mixen und Regeln für die optimierte Speicherung von Daten festlegen. „Durch Storage Space Direct ergibt sich dann auch die Unterstützung von Nano-Servern, eine der wichtigsten Neuerungen in Windows Server 2016. Administratoren erhalten die Möglichkeit, Cluster basierend auf Nano-Servern aufzubauen und winzige, sehr effiziente Hyper-V-Cluster zu erstellen. Ist der Cluster aufgebaut, kann die Funktion in der PowerShell über den Befehl „Enable-ClusterStorageSpacesDirect“ aktiviert werden“, ergänzt Christian Heutger.

Absicherung mit Bordmitteln und Security-Suite notwendig

Windows Server fällt mit 400 MB extrem kompakt aus. Um den geringen Speicherbedarf aufrechtzuerhalten, verfügt Windows Server über keine Bedienoberfläche. Viele Treiber müssen nicht installiert werden, der Zugriff erfolgt via Netzwerk oder über Bordmittel (Hyper-V-Manager).

“Um der Tatsache Rechnung zu tragen, dass immer mehr Attacken innerhalb eines Netzwerks gestartet werden, erlaubt Microsoft mit Windows Server 2016 das individuelle Anpassen von Administrator-Rechten. Den Prinzipien „Just-in-Time-Administrator“ und „Just-Enough-Administrator“ folgend, können Admin-Rollen rechtlich beschränkt werden. So kann ein DNS-Administrator-Account ausschließlich DNS-relevante Dateien bearbeiten“, sagt der IT-Sicherheitsexperte und ergänzt: „Diese bereits recht stark ausgefallenen Sicherheitsmaßnahmen werden durch den „Credential Guard“ ergänzt. Das Feature ermöglicht das Speichern sicherheitsrelevanter Informationen auf lokalen Maschinen. Sie dürfen in der Folge nur durch die Virtualisierung mithilfe von privilegierter Software abgerufen werden.“

Zu den Schwachstellen in Windows Server gehörte bislang die grafische Benutzeroberfläche, die viele Angriffspunkte bot. Die neuen Nano-Server, eine entschlackte Rohvariante von Windows Server 2016 ohne GUI (Benutzeroberfläche) und mit weniger Treibern, sind deutlich sicherer: Denn wo es weniger Treiber gibt, da existieren auch weniger Einfallstore.

Um auch die neuen Nano-Server richtig abzusichern, rät Christian Heutger zu einem Mix aus physikalischem Schutz, dem Einsatz der Bordmittel der Windows-Server zum Verschlüsseln von Dateien und Verzeichnissen sowie einer zusätzlichen Security-Suite. Letztere sollten Anti-Malware- und Spyware-Schutz sowie eine Server-Verwaltung, die sich physisch, virtuell und Cloud-basiert implementieren lässt, mitbringen. „Eine geeignete Security-Suite zeichnet sich durch einen On-Demand-Scanner aus, der regelmäßig das komplette System untersucht und deren Wächter Zugriffe kontrolliert. Einige Suiten erlauben auch das Erstellen von Profilen, um ungewöhnliche Zugriffe zu erkennen und den Admin darüber zu informieren. Als sinnvoll erachte ich zudem Features wie Whitelistings, die vor Zero-Day-Bedrohungen schützen, sowie Änderungskontrollen, die Server auf gesetzliche Sicherheitsvorschriften hin prüfen und Verstöße beim Admin melden. Auch die Definition von Sicherheitsregeln, wie Zugriffskontrollen oder die Einhaltung von Compliance-Vorschriften, sollte möglich sein“, ergänzt der Experte.

Weitere Informationen unter: www.psw-group.de

Weitere Informationen zu diesem Anbieter sowie den Produkten und Bewertungen finden Sie auch im webhostlist.de-Anbieterprofil.