Welche Edition von Windows Server 2022 sollte ich waehlen?

Windows Server 2022 Standard eignet sich fuer physische oder minimal virtualisierte Umgebungen. Die Datacenter-Edition ist fuer stark virtualisierte Rechenzentren und Cloud-Infrastrukturen gedacht und bietet unbegrenzte Virtualisierungsrechte sowie zusaetzliche Features wie Storage Spaces Direct und Software Defined Networking.

Sollte ich Server Core oder Desktop Experience installieren?

Server Core wird fuer Produktionsserver empfohlen, da die kleinere Angriffsflaeche weniger Sicherheitsupdates erfordert und weniger Ressourcen verbraucht. Desktop Experience ist sinnvoll, wenn GUI-basierte Anwendungen benoetigt werden oder Administratoren die grafische Oberflaeche bevorzugen.

Wie aktiviere ich TLS 1.3 auf Windows Server 2022?

TLS 1.3 ist in Windows Server 2022 standardmaessig aktiviert. Stellen Sie sicher, dass aeltere Protokolle wie TLS 1.0 und 1.1 in der Registry deaktiviert sind und testen Sie die Konfiguration mit Tools wie IISCrypto oder nmap.

Wie oft sollte ich Sicherheitsupdates installieren?

Microsoft veroeffentlicht monatlich am Patch Tuesday kumulative Updates. Fuer kritische Sicherheitsupdates sollten Sie einen Zeitraum von maximal 48 Stunden nach Veroeffentlichung anstreben. Nutzen Sie WSUS oder Windows Update for Business fuer kontrolliertes Patch-Management.

Windows Server 2022: Ersteinrichtung und Sicherheitshaertung

Nach einer frischen Installation von Windows Server 2022 ist eine gruendliche Ersteinrichtung und Sicherheitshaertung unerlasslich. Dieser Leitfaden fuehrt Sie durch die wichtigsten Schritte, um Ihren Server fuer den Produktionsbetrieb vorzubereiten und gegen haeufige Angriffsvektoren abzusichern.

Grundlegende Serverkonfiguration

Beginnen Sie mit der Konfiguration des Computernamens und der Netzwerkeinstellungen ueber PowerShell:

# Computernamen festlegen
Rename-Computer -NewName "SRV-APP-01" -Restart

# Statische IP-Adresse konfigurieren
New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 192.168.1.10 -PrefixLength 24 -DefaultGateway 192.168.1.1
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 192.168.1.2,192.168.1.3

# Zeitzone setzen
Set-TimeZone -Id "W. Europe Standard Time"

# Remote Desktop aktivieren
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name "fDenyTSConnections" -Value 0
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

Installieren Sie anschliessend alle verfuegbaren Updates:

Install-Module -Name PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Windows Defender und Firewall-Haertung

Windows Defender ist in Server 2022 deutlich verbessert. Konfigurieren Sie den optimalen Schutz:

# Echtzeitschutz und Cloud-Schutz aktivieren
Set-MpPreference -DisableRealtimeMonitoring $false
Set-MpPreference -MAPSReporting Advanced
Set-MpPreference -SubmitSamplesConsent SendAllSamples

# Angriffsflaechen-Reduzierung (ASR) aktivieren
Set-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled

# Firewall-Regeln: Nur benoetigte Ports oeffnen
New-NetFirewallRule -DisplayName "Allow HTTPS" -Direction Inbound -Protocol TCP -LocalPort 443 -Action Allow
New-NetFirewallRule -DisplayName "Block SMBv1" -Direction Inbound -Protocol TCP -LocalPort 445 -Action Block -Profile Any

Deaktivieren Sie nicht benoetigte Dienste, um die Angriffsflaeche zu minimieren:

# Nicht benoetigte Dienste deaktivieren
Set-Service -Name "Browser" -StartupType Disabled
Set-Service -Name "XblGameSave" -StartupType Disabled

TLS-Konfiguration und Protokollhaertung

Erzwingen Sie moderne TLS-Versionen und deaktivieren Sie veraltete Protokolle:

# TLS 1.0 deaktivieren
New-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -Force
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -Name 'Enabled' -Value 0 -Type DWord

# TLS 1.1 deaktivieren
New-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' -Force
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' -Name 'Enabled' -Value 0 -Type DWord

# SSL 3.0 deaktivieren
New-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server' -Force
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server' -Name 'Enabled' -Value 0 -Type DWord

Audit-Richtlinien und Ueberwachung

Konfigurieren Sie erweiterte Audit-Richtlinien, um sicherheitsrelevante Ereignisse zu protokollieren:

# Erweiterte Audit-Richtlinien aktivieren
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
auditpol /set /subcategory:"Account Lockout" /success:enable /failure:enable
auditpol /set /subcategory:"Audit Policy Change" /success:enable /failure:enable
auditpol /set /subcategory:"Sensitive Privilege Use" /success:enable /failure:enable

# Maximale Groesse des Sicherheitsereignisprotokolls erhoehen
wevtutil sl Security /ms:1073741824

# Kontosperrungsrichtlinie konfigurieren
net accounts /lockoutthreshold:5 /lockoutduration:30 /lockoutwindow:30

Ueberpruefen Sie regelmaessig die Ereignisprotokolle und richten Sie eine zentrale Protokollweiterleitung an einen SIEM-Dienst ein, um Sicherheitsvorfaelle fruehzeitig zu erkennen.

Fazit

Eine gruendliche Ersteinrichtung und Sicherheitshaertung von Windows Server 2022 ist der Grundstein fuer eine sichere Infrastruktur. Ueberpruefen Sie Ihre Konfiguration regelmaessig mit Tools wie dem Microsoft Security Compliance Toolkit und halten Sie Ihren Server durch zeitnahe Patch-Installation auf dem aktuellen Stand.

Windows Server 2022: Ersteinrichtung und Sicherheitshaertung

Grundlegende Serverkonfiguration

Windows Defender und Firewall-Haertung

TLS-Konfiguration und Protokollhaertung

Audit-Richtlinien und Ueberwachung

Fazit

Frequently Asked Questions

Verwandte Artikel

Erstellen einer benutzerdefinierten administrativen Vorlage für Gruppenrichtlinien

Anleitung: Redirect the User's Documents Folder to a Network Share

PowerShell Active Directory-Automatisierung: Wichtige Skripte für Administratoren