Der Windows Server ist das Rückgrat der IT-Infrastruktur in den meisten kleinen und mittleren Unternehmen. Active Directory, Dateifreigaben, DNS, DHCP — all das läuft in der Regel auf einem oder mehreren Windows-Servern. Genau deshalb ist er auch ein bevorzugtes Angriffsziel.
Laut BSI-Lagebericht 2024 sind schlecht gesicherte Windows-Server nach wie vor einer der häufigsten Einstiegspunkte für Ransomware-Angriffe in Deutschland. Viele dieser Angriffe nutzen keine Zero-Day-Exploits — sie missbrauchen schlicht veraltete Konfigurationen und deaktivierte Sicherheitsfunktionen.
Die gute Nachricht: Ein Großteil der wirkungsvollsten Härtungsmaßnahmen ist kostenlos und lässt sich mit Bordmitteln umsetzen.
SMBv1 deaktivieren — sofort
SMBv1 ist ein uraltes Netzwerkprotokoll aus den 1990er Jahren. Es war die Grundlage für den WannaCry-Angriff 2017 und hat keine modernen Sicherheitsmechanismen. Trotzdem ist es auf vielen Servern noch aktiv — oft weil es nie bewusst deaktiviert wurde.
Prüfen, ob SMBv1 aktiv ist:
Get-SmbServerConfiguration | Select EnableSMB1Protocol
Deaktivieren:
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
Nach dem Deaktivieren kurz prüfen, ob ältere Systeme oder Netzwerkdrucker Probleme melden. Moderne Geräte nutzen SMBv2 oder SMBv3 ohne Einschränkungen.
Group Policy: Sicherheitseinstellungen zentral durchsetzen
Group Policy Objects (GPOs) sind das mächtigste Werkzeug zur zentralen Härtung von Windows-Umgebungen. Diese Einstellungen sollten in jedem KMU aktiv sein:
Passwort-Richtlinien (Fine-Grained Password Policy oder Default Domain Policy):
- Mindestlänge: 12 Zeichen (BSI empfiehlt 2024 mindestens 8, besser 12+)
- Komplexitätsanforderungen: aktiviert
- Kontosperrung nach 5 Fehlversuchen, Sperrzeit 30 Minuten
Audit-Richtlinien aktivieren:
- Anmeldevorgänge (Erfolg + Fehler)
- Kontoverwaltung
- Verzeichnisdienstzugriff
- Objektzugriff (bei sensiblen Freigaben)
Administrativen Zugriff einschränken:
- Keine regulären Benutzer in der lokalen Administratorengruppe
- Dedizierte Admin-Konten, die nicht für E-Mail oder Browsing genutzt werden
- Restricted Admin Mode für RDP aktivieren
LAPS: Lokale Administratorkonten sicher verwalten
Das Local Administrator Password Solution (LAPS) löst ein klassisches Problem: In vielen KMU haben alle Windows-Clients denselben lokalen Administrator-Passwort. Wenn ein Angreifer dieses Passwort kennt, kann er sich lateral durch das gesamte Netzwerk bewegen.
LAPS generiert automatisch einzigartige, zufällige Passwörter für das lokale Administratorkonto auf jedem Rechner und speichert sie sicher in Active Directory. Das Windows LAPS (ab Windows Server 2019/2022) ist direkt im Betriebssystem integriert und benötigt keine separate Installation.
LAPS aktivieren:
# Windows LAPS konfigurieren
Update-LapsADSchema
Set-LapsADComputerSelfPermission -Identity "OU=Clients,DC=firma,DC=local"
RDP absichern: Fernzugriff ohne Risiko
Remote Desktop Protocol (RDP) ist notwendig, aber ohne Absicherung eine offene Einladung für Angreifer. Port 3389 wird laut BSI kontinuierlich weltweit von Bots gescannt.
Maßnahmen:
- RDP nicht direkt ins Internet exponieren. Zugriff nur über VPN (siehe auch: VPN für Unternehmen einrichten)
- Network Level Authentication (NLA) erzwingen: Authentifizierung erfolgt vor dem Aufbau der RDP-Sitzung
- Restricted Admin Mode aktivieren: Verhindert, dass Anmeldeinformationen auf dem Zielserver gecacht werden
- RDP auf nicht-standardmäßigen Port verlegen (Security by Obscurity — kein Ersatz für echte Maßnahmen, aber reduziert Rauschen im Log)
- Firewall: RDP nur für bekannte IPs/Subnets erlauben
GPO-Pfad für NLA:
Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Remotedesktopdienste → NLA-Authentifizierung erforderlich: Aktiviert
Windows Firewall: Nicht deaktivieren, sondern konfigurieren
Ein häufiger Fehler: Die Windows-eigene Firewall wird deaktiviert, weil sie "stört". Das ist gefährlich. Die Windows Firewall bietet host-basierte Filterung — auch wenn ein Angreifer bereits im Netzwerk ist.
Grundprinzipien:
- Alle drei Profile (Domain, Private, Public) aktiv lassen
- Eingehende Verbindungen standardmäßig blockieren, ausgehende erlauben
- Regeln per GPO zentral verwalten, nicht manuell auf jedem Server
- Logging aktivieren:
Set-NetFirewallProfile -All -LogAllowed True -LogBlocked True
Kontosperrungsrichtlinie und Brute-Force-Schutz
Ohne Kontosperrungsrichtlinie können Angreifer unbegrenzt Passwörter ausprobieren. Die Einstellung in der Default Domain Policy:
- Account lockout threshold: 5 ungültige Anmeldeversuche
- Account lockout duration: 30 Minuten
- Reset account lockout counter after: 30 Minuten
Für privilegierte Konten (Domain Admins) sollte zusätzlich ein separates Monitoring auf Anmeldeversuche eingerichtet werden.
Härtungs-Checkliste für Windows Server 2022/2025
- SMBv1 deaktiviert
- Windows LAPS konfiguriert und aktiv
- RDP nur über VPN erreichbar, NLA erzwungen
- Kontosperrungsrichtlinie konfiguriert (5 Versuche, 30 Min)
- Audit-Richtlinien aktiviert (Anmeldung, Kontoverwaltung)
- Windows Firewall auf allen Profilen aktiv
- Administratorkonten dediziert und nicht für Alltag genutzt
- Windows Defender aktiv und aktuell
- Automatische Updates aktiviert oder WSUS konfiguriert
- Bitlocker auf allen Volumes aktiviert
- Backup-Strategie getestet (3-2-1-Regel)
- Ereignisprotokoll-Größen ausreichend konfiguriert
Fazit
Windows Server-Härtung ist kein Einmalprojekt, sondern ein kontinuierlicher Prozess. Die hier beschriebenen Maßnahmen bilden eine solide Grundlage — sie sind kostenlos, mit Bordmitteln umsetzbar und reduzieren das Risiko drastisch.
Wer nicht die interne Kapazität hat, diese Konfigurationen zu verwalten und aktuell zu halten, sollte über einen externen IT-Dienstleister nachdenken. Passend dazu: Incident Response Plan erstellen — was tun, wenn trotz aller Maßnahmen etwas passiert?