Support-Ende Windows Server 2003

So machen Sie Ihren Server fit für 2015

Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt. Das Blog von Thomas Joos finden Sie unter thomasjoos.wordpress.com.
Ab dem 14. Juli 2015 erhält Windows Server 2003 keinerlei Aktualisierung, Patches oder Hotfixes mehr. Davon betroffen sind auch die Small Business Server 2003/2003 R2. Grund genug, einige Vorbereitungen zu treffen.

Eines vorweg: Der beste Weg, Systeme mit Windows Server 2003 fit für 2015 zu machen, ist, diese abzulösen. Ist das nicht oder nicht rechtzeitig möglich, sollten Sie dennoch Vorbereitungen treffen, damit keine Sicherheitsgefahren im Netzwerk entstehen. In diesem Beitrag geben wir Ihnen einige Tipps dazu.

Wie Sie Windows Server 2003 richtig ablösen und auf neuere Systeme umsteigen, verrät Ihnen der Beitrag "Das Support-Ende von Windows Server 2003 - das müssen Sie beachten!". Microsoft selbst stellt auf einem speziellen Portal Informationen zum Thema zur Verfügung.

Das Support-Ende für Windows Server 2003 naht. Wir sagen Ihnen, wie Sie Ihr System fit für die Zukunft machen.
Das Support-Ende für Windows Server 2003 naht. Wir sagen Ihnen, wie Sie Ihr System fit für die Zukunft machen.

Vorbereiten auf das Support-Ende von Windows Server 2003

Müssen oder wollen Sie Server mit Windows Server 2003 über den 14. Juli 2015 hinaus weiter betreiben, sollten Sie sich vorbereiten. Zunächst sollten Sie sicherstellen, dass der Server mit allen aktuellen Sicherheits-Patches und Windows-Updates versorgt ist. Darüber hinaus sollten Sie prüfen, ob die installierten Anwendungen, Tools und Anwendungen auf dem Server aktuell sind und hierfür alle Sicherheits-Patches installiert sind. Um die Updates über den Internet Explorer zu aktualisieren, sollten Sie Internet Explorer 8 für Windows Server 2003 herunterladen und installieren. Neuere Versionen sind leider nicht mehr kompatibel mit Windows Server 2003.

Der Server sollte zumindest so aktuell wie möglich installiert sein, damit unnötige Sicherheitslücken geschlossen sind. Achten Sie darauf, dass auf allen Servern mit Windows Server 2003/2003 R2 und SBS 2003/2003 R2 das Windows Server 2003 Service Pack 2 und alle darauf folgenden Patches enthalten sind.

Im nächsten Schritt sollten Sie überprüfen, ob der Server über eine Internetverbindung verfügt und ob das weiterhin nötig ist. Spätestens nach dem 14. Juli 2015 sollten Server mit Windows Server 2003/2003 R2 oder SBS 2003/2003 R2 über keine Internetverbindung mehr verfügen. Betreiben Sie einen E-Mail-Server, sollten Sie zumindest sicherstellen, dass dieser über keine direkte Leitung mehr mit dem Internet verbunden ist.

Die Sicherheitseinstellungen in Gruppenrichtlinien

Auch wenn Sie diese bisher nicht verwenden, ist es sinnvoll, spätestens jetzt die Sicherheitseinstellungen des Servers mit Bordmitteln zu verbessern. Die Nutzung der Sicherheitseinstellungen in Gruppenrichtlinien hat ihren Ausgangspunkt bei der Erstellung von Sicherheitsvorlagen. Die Gruppenrichtlinien werden Benutzern und Computern zugeordnet. Über das Snap-In Sicherheitskonfiguration und -analyse kann eine Überprüfung erfolgen, inwieweit die ursprünglich über die Sicherheitsvorlage vorgegebenen Sicherheitseinstellungen Gültigkeit haben. Mit Windows Server 2003 werden mehrere Sicherheitsvorlagen ausgeliefert. Die Vorlagen werden in C:\windows\Security\Templates gespeichert.

Bei der Verwendung dieser Sicherheitsvorlagen ist zu beachten, dass es sich um Vorschläge handelt. Die sehr sicheren Konfigurationen arbeiten nicht mit jeder Software optimal zusammen. Daher kann es erforderlich sein, einzelne Einstellungen zu lockern. Bevor Sicherheitsvorlagen eingesetzt werden, müssen sie in jedem Fall gründlich daraufhin getestet werden, ob die Systeme danach noch funktionieren. Mithilfe des besagten Snap-Ins Sicherheitskonfiguration und -analyse können einzelne Sicherheitsvorlagen gezielt auf einzelne Systeme angewendet werden.

Security Configuration Wizard (SCW) nutzen

Microsoft hat mit Windows 2003 SP1 auch für Windows-Server eine Firewall eingeführt. Die Steuerung dieser Firewall ist ähnlich der Steuerung in Windows XP. Allerdings wird sie beim Installieren standardmäßig deaktiviert. Verwenden Sie Security Configuration Wizard (SCW) zur Aktivierung der Firewall. Der SCW konfiguriert nicht die Firewall und aktiviert diese, führt Änderungen in der Registry durch und kann weitere Maßnahmen vornehmen, um den Server optimal abzusichern. Der SCW verfügt über einen integrierten Assistenten, mit dem sich die Einstellungen eines Servers einfach steuern lassen. Microsoft hat in den Security Configuration Wizard eine automatische Erkennung von Microsoft-Serverdiensten eingebaut.

Durch Service Pack 1 für Windows 2003 wird unter Software bei den Windows-Komponenten ein neuer Eintrag für den SCW hinzugefügt. Sie können den SCW nachinstallieren; wechseln Sie dazu über Systemsteuerung/Software zu den Windows-Komponenten und setzen dort den Haken bei Sicherheitskonfigurations-Assistent. Nach der Installation finden Sie unter zu den Windows-Komponenten und setzen dort den Haken bei Sicherheitskonfigurations-Assistent. Nach der Installation finden Sie unter Start/Programme/Verwaltung

Auch für Exchange Server 2003 gibt es Vorlagen, um den Server sicher in Windows Server 2003 zu betreiben. SCW aktiviert nicht nur die neue Windows-Firewall und schließt damit nicht mehr benötigte Ports, sondern deaktiviert auch Systemdienste, deaktiviert Webdienste des IIS, greift in Protokolle wie SMB und LDAP ein und definiert Sicherheitsrichtlinien. Die Basis für die erstellten Sicherheitsrichtlinien sind XML-Dateien, in denen alle Absicherungsmaßnahmen gespeichert werden. Auch notwendige Registry-Änderungen, die der SCW durchführt, werden in dieser XML-Datei gespeichert.