Durchgängiges Patch-Management – ein Muss

Wichtig ist auch die sichere Erstinstallation eines Servers, die immer offline oder in einem geschützten Segment erfolgen sollte. Während Windows bei der Installation auf den Download neuer Patches hinweist, muss Software von Drittherstellern manuell vor dem produktiven Einsatz auf den aktuellen Stand gebracht werden. Das Patch-Management muss durchgängig sein. Es schadet auch nichts, sich im Vorfeld einen Überblick über die bereits bekannten Sicherheitslücken zu verschaffen.

Wie erwähnt, basiert die Verwundbarkeit eines Servers auf seiner Angriffsfläche. Da die Vielzahl der installierten Funktionen und laufenden Dienste nicht leicht überschaubar ist, bietet Microsoft mit dem "Security Configuration Wizard" (SCW) einen einfach zu bedienenden Assistenten, mit dem sich Sicherheitseinstellungen und Servicekonfiguration eines Servers untersuchen und anhand einer Wissensbasis konfigurieren lassen. Durch die Ausgabe als XML-Datei gehen sowohl die Übertragung auf andere Server als auch die manuelle Nachbearbeitung gut von der Hand. Allerdings ist hier wie bei allen sicherheitsspezifischen Einstellungen Vorsicht geboten, um am Ende nicht vor einem zwar gehärteten, aber funktionsunfähigen System zu stehen.

Empfehlenswert für Administratoren kleiner und mittlerer Firmen ist auch der "Microsoft Baseline Security Analyzer" (MBSA), der einen Überblick über eine Fülle von Informationen bietet. So lassen sich damit unter anderem die Versorgung mit Updates und das Einhalten von Best Practices schnell und übersichtlich anzeigen. Gerade Unternehmen mit sehr wenigen Systemen können damit notfalls die teureren Lösungen ersetzen.