Eines vorweg: Der beste Weg, Systeme mit Windows Server 2003 fit für 2015 zu machen, ist, diese abzulösen. Ist das nicht oder nicht rechtzeitig möglich, sollten Sie dennoch Vorbereitungen treffen, damit keine Sicherheitsgefahren im Netzwerk entstehen. In diesem Beitrag geben wir Ihnen einige Tipps dazu.
Wie Sie Windows Server 2003 richtig ablösen und auf neuere Systeme umsteigen, verrät Ihnen der Beitrag "Das Support-Ende von Windows Server 2003 - das müssen Sie beachten!". Microsoft selbst stellt auf einem speziellen Portal Informationen zum Thema zur Verfügung.
Vorbereiten auf das Support-Ende von Windows Server 2003
Müssen oder wollen Sie Server mit Windows Server 2003 über den 14. Juli 2015 hinaus weiter betreiben, sollten Sie sich vorbereiten. Zunächst sollten Sie sicherstellen, dass der Server mit allen aktuellen Sicherheits-Patches und Windows-Updates versorgt ist. Darüber hinaus sollten Sie prüfen, ob die installierten Anwendungen, Tools und Anwendungen auf dem Server aktuell sind und hierfür alle Sicherheits-Patches installiert sind. Um die Updates über den Internet Explorer zu aktualisieren, sollten Sie Internet Explorer 8 für Windows Server 2003 herunterladen und installieren. Neuere Versionen sind leider nicht mehr kompatibel mit Windows Server 2003.
Der Server sollte zumindest so aktuell wie möglich installiert sein, damit unnötige Sicherheitslücken geschlossen sind. Achten Sie darauf, dass auf allen Servern mit Windows Server 2003/2003 R2 und SBS 2003/2003 R2 das Windows Server 2003 Service Pack 2 und alle darauf folgenden Patches enthalten sind.
Im nächsten Schritt sollten Sie überprüfen, ob der Server über eine Internetverbindung verfügt und ob das weiterhin nötig ist. Spätestens nach dem 14. Juli 2015 sollten Server mit Windows Server 2003/2003 R2 oder SBS 2003/2003 R2 über keine Internetverbindung mehr verfügen. Betreiben Sie einen E-Mail-Server, sollten Sie zumindest sicherstellen, dass dieser über keine direkte Leitung mehr mit dem Internet verbunden ist.
Die Sicherheitseinstellungen in Gruppenrichtlinien
Auch wenn Sie diese bisher nicht verwenden, ist es sinnvoll, spätestens jetzt die Sicherheitseinstellungen des Servers mit Bordmitteln zu verbessern. Die Nutzung der Sicherheitseinstellungen in Gruppenrichtlinien hat ihren Ausgangspunkt bei der Erstellung von Sicherheitsvorlagen. Die Gruppenrichtlinien werden Benutzern und Computern zugeordnet. Über das Snap-In Sicherheitskonfiguration und -analyse kann eine Überprüfung erfolgen, inwieweit die ursprünglich über die Sicherheitsvorlage vorgegebenen Sicherheitseinstellungen Gültigkeit haben. Mit Windows Server 2003 werden mehrere Sicherheitsvorlagen ausgeliefert. Die Vorlagen werden in C:\windows\Security\Templates gespeichert.
Bei der Verwendung dieser Sicherheitsvorlagen ist zu beachten, dass es sich um Vorschläge handelt. Die sehr sicheren Konfigurationen arbeiten nicht mit jeder Software optimal zusammen. Daher kann es erforderlich sein, einzelne Einstellungen zu lockern. Bevor Sicherheitsvorlagen eingesetzt werden, müssen sie in jedem Fall gründlich daraufhin getestet werden, ob die Systeme danach noch funktionieren. Mithilfe des besagten Snap-Ins Sicherheitskonfiguration und -analyse können einzelne Sicherheitsvorlagen gezielt auf einzelne Systeme angewendet werden.
Security Configuration Wizard (SCW) nutzen
Microsoft hat mit Windows 2003 SP1 auch für Windows-Server eine Firewall eingeführt. Die Steuerung dieser Firewall ist ähnlich der Steuerung in Windows XP. Allerdings wird sie beim Installieren standardmäßig deaktiviert. Verwenden Sie Security Configuration Wizard (SCW) zur Aktivierung der Firewall. Der SCW konfiguriert nicht die Firewall und aktiviert diese, führt Änderungen in der Registry durch und kann weitere Maßnahmen vornehmen, um den Server optimal abzusichern. Der SCW verfügt über einen integrierten Assistenten, mit dem sich die Einstellungen eines Servers einfach steuern lassen. Microsoft hat in den Security Configuration Wizard eine automatische Erkennung von Microsoft-Serverdiensten eingebaut.
Durch Service Pack 1 für Windows 2003 wird unter Software bei den Windows-Komponenten ein neuer Eintrag für den SCW hinzugefügt. Sie können den SCW nachinstallieren; wechseln Sie dazu über Systemsteuerung/Software zu den Windows-Komponenten und setzen dort den Haken bei Sicherheitskonfigurations-Assistent. Nach der Installation finden Sie unter zu den Windows-Komponenten und setzen dort den Haken bei Sicherheitskonfigurations-Assistent. Nach der Installation finden Sie unter Start/Programme/Verwaltung
Auch für Exchange Server 2003 gibt es Vorlagen, um den Server sicher in Windows Server 2003 zu betreiben. SCW aktiviert nicht nur die neue Windows-Firewall und schließt damit nicht mehr benötigte Ports, sondern deaktiviert auch Systemdienste, deaktiviert Webdienste des IIS, greift in Protokolle wie SMB und LDAP ein und definiert Sicherheitsrichtlinien. Die Basis für die erstellten Sicherheitsrichtlinien sind XML-Dateien, in denen alle Absicherungsmaßnahmen gespeichert werden. Auch notwendige Registry-Änderungen, die der SCW durchführt, werden in dieser XML-Datei gespeichert.
Absichern in der Praxis
Wenn Sie den Assistenten starten, erscheint der Startbildschirm, der Sie über die Features des Assistenten informiert. Die Änderungen werden erst am Ende durchgeführt, wenn Sie diese übernehmen wollen. SCW arbeitet bei der Absicherung von Servern über die bereits erwähnten Sicherheitsrichtlinien.
Nachdem Sie festgelegt haben, dass eine neue Richtlinie erstellt werden soll, müssen Sie zunächst entscheiden, welcher Server als Basis für diese Richtlinie verwendet werden soll. Nachdem die Datenbank des Servers gescannt wurde, können Sie sich Informationen über die einzelnen Serverrollen ansehen.
Auch für Exchange gibt es eine solche Beschreibung, die nochmals in Exchange-Back-End und Exchange-Front-End unterteilt ist.
Vor allem der Teil des SCW, der die Firewall und die dazugehörigen Ports konfiguriert, verdient besondere Beachtung. Die Konfiguration der Sicherheitsrichtlinie unterteilt sich in unterschiedliche Bereiche. In jedem Bereich werden spezifische Serverdienste oder -funktionen geprüft. Sie sollten bei jedem Fenster genau überprüfen, ob der Assistent alle Dienste und Funktionen erkannt hat. Dabei können Sie jederzeit einzelne Punkte aktivieren oder deaktivieren.
Alle aktuellen Patches auf einmal herunterladen
Mit dem kostenlosen Tool WSUS Offline Update können Sie gezielt alle vorhandenen Aktualisierungen für Windows Server 2003 auf einmal herunterladen und installieren.
Dazu laden Sie das Tool herunter, entpacken das Archiv und starten es. Wechseln Sie danach auf die Registerkarte Altprodukt und aktivieren die Sprachen für Windows Server 2003, die Sie herunterladen wollen. Setzen Sie eine 64-Bit-Version von Windows Server 2003 ein, dann aktivieren Sie auch hier die entsprechende Sprache. Klicken Sie danach auf Start lassen sich alle Aktualisierungen herunterladen.
Foto: Thomas Joos
Die Updates werden in das Verzeichnis von WSUS Offline Update heruntergeladen. Nach dem Download installieren Sie die einzelnen Aktualisierungen nacheinander, bis alle Patches auf dem Server installiert sind.
Überprüfen Sie nach der Installation der Patches auf Basis der Liste von ManageEngine, ob noch Aktualisierungen fehlen und installieren diese unter Umständen nach.
Absicherung des DNS-Servers in Windows Server 2003
Auch wenn Sie das SP2 für Windows Server 2003 installiert haben, sind noch einige Sicherheitslücken bekannt, die Sie manuell schließen sollten, um den Server vor Angriffen zu schützen.
Foto: Thomas Joos
Die erste Schutzmaßnahme betrifft den DNS-Server. Dieser kann von extern angegriffen werden. Microsoft empfiehlt allen Unternehmen, die Windows Server 2003/2003 R2 oder Small Business Server 2003/2003 R2 einsetzen, diese Absicherung vorzunehmen. Gehen Sie zur Absicherung Ihres Servers folgendermaßen vor:
1. Starten Sie den Registry-Editor über Start/Ausführen/regedit.
2. Navigieren Sie zum Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
3. Erstellen Sie einen neuen DWORD-Wert mit der Bezeichnung RpcProtocol.
4. Geben Sie dem neuen DWORD-Wert den Wert 4.
5. Geben Sie in der Befehlszeile net stop dns und dann net start dns ein, um den DNS-Server neu zu starten. Alternativ starten Sie den ganzen Server durch.
Small Business Server 2003 R2 aktualisieren
Beim Einsatz von SBS 2003 R2 müssen Sie ebenfalls einige Sicherheits-Updates und Service Packs installieren, damit der Server wenigstens grundlegend abgesichert ist. Small Business Server 2003 R2 enthält im Vergleich zu seinem direkten Vorgänger Small Business Server 2003 mit SP1 einige Neuerungen. So wird bei der Installation von Small Business Server 2003 R2 automatisch das Service Pack 1 für Small Business Server 2003 installiert, es ist keine nachträgliche Installation mehr notwendig.
Bei der Installation der R2-Komponenten von Small Business Server 2003 wird auch das Service Pack 2 für Exchange 2003 gleich integriert, es ist daher keine getrennte Installation des Service Packs mehr notwendig. Auf Servern mit SBS 2003 müssen das SP2 für Exchange 2003 aber manuell installieren.
Das Basisbetriebssystem von Small Business Server 2003 R2 ist Windows Server 2003 mit SP1, nicht Windows Server 2003 R2, was der Name vermuten lassen würde. Da Windows Server 2003 R2 jedoch nur auf Windows Server 2003 SP1 aufbaut und zusätzliche Funktionen integriert, spielt das keine Rolle. Auf genau die gleiche Weise baut Small Business Server 2003 R2 auf Windows Server 2003 SP1 auf und erweitert den Server um die neuen Funktionen. Die Service Packs und Patches bleiben dabei aber gleich.
Gleich nach der Installation von SQL Server 2005 in SBS 2003 sollten Sie das Service Pack 1 für den SQL Server installieren, besser das aktuellere SP4 Dieses Service Pack wird nicht mit R2 ausgeliefert, sollte aber unbedingt installiert werden.
ISA Server 2004 ist ebenfalls Bestandteil von Small Business Server 2003 R2 Premium Edition. Sie sollten den ISA gleich nach der Installation der anderen Serverdienste des Small Business Server 2003 R2 installieren. Auch das aktuelle Service Pack 3 für den ISA Server 2004 ist nicht Bestandteil der R2-Installationsmedien, sollte aber unbedingt installiert werden.
Zu einer ordentlichen Installation gehört die anschließende Aktualisierung eines Servers auf die notwendigen Sicherheitspatches, das gilt nicht nur für SBS, sondern auch für herkömmliche Server mit Windows Server 2003.
SharePoint Services aktualisieren
Standardmäßig sind unter Small Business Server 2003 die SharePoint Services 2.0 installiert. Zunächst sollten Sie sicherstellen, dass das Service Pack 3 für die SharePoint Services 2.0 auf dem Server installiert ist. Am schnellsten stellen Sie fest, ob das Service Pack installiert ist, wenn Sie die Systemsteuerung starten und auf Software klicken. Wählen Sie anschließend Microsoft SharePoint Services 2.0 aus und klicken auf Klicken Sie hier, um Supportinformationen zu erhalten. Stellen Sie sicher dass es sich um die Version 11.0.8173.0 handelt. Wenn das nicht der Fall ist, laden Sie das Service Pack herunter und installieren es als Nächstes.
Müssen Sie das Service Pack installieren, überprüfen Sie nach erfolgter Installation, ob die Intranetwebseite CompanyWeb ordnungsgemäß aktualisiert ist. Rufen Sie dazu in der Programmgruppe auf. Klicken Sie nach erfolgreichem Start auf die Konfiguration für die virtuellen Server. Die CompanyWeb-Seite muss die Version 6.0.2.8165 haben, dann ist sie auf dem richtigen Stand. den Link SharePoint-Zentraladministration auf. Klicken Sie nach erfolgreichem Start auf die Konfiguration für die virtuellen Server. Die CompanyWeb-Seite muss die Version 6.0.2.8165 haben, dann ist sie auf dem richtigen Stand.
Sollte das bei Ihnen nicht der Fall sein, können Sie die Seite manuell aktualisieren. Starten Sie dazu eine Befehlszeile und wechseln mit dem Befehl
cd /d \Programme\Gemeinsame Dateien\Microsoft Shared\Web Server Extensions\60\Bin
in das Verzeichnis mit dem notwendigen Tool. Geben Sie dann den Befehl
stsadm -o upgrade -forceupgrade -url http://companyweb
ein. Nach der Aktualisierung müssen Sie IIS neu starten. Geben Sie dazu den Befehl iisreset in der Befehlszeile ein, oder starten Sie am besten den Server neu, damit alle Änderungen neu geladen werden.
Nachdem Sie alle Dienste aktualisiert haben, können Sie mit dem Small Business Best Practices Analyzer überprüfen, ob der Server in einem ordentlichen Zustand ist. (mje)