Jakub Jirsk - Fotolia
Windows Server 2008: Systeme bei Support-Ende schützen
Anfang 2020 endet der Support für Windows Server 2008. Nicht in allen Fällen wird eine Migration rechtzeitig gelingen oder möglich sein. Dann sind Security-Maßnahmen erforderlich.
Anfang 2020 stellt Microsoft den kostenlosen Support für Windows Server 2008 (R2) ein. Die meisten Unternehmen werden deshalb auf aktuellere Betriebssysteme oder direkt in die Cloud wechseln.
Eine solche Veränderung stellt jedoch für viele IT-Abteilungen eine nicht zu unterschätzende Herausforderung dar und wird dementsprechend längere Zeit in Anspruch nehmen.
Einige Systeme können aus unterschiedlichen Gründen sogar überhaupt nicht umgestellt werden und müssen mit dem alten Betriebssystem weiter betrieben werden. Doch unabhängig davon, ob Systeme nur verspätet oder gar nicht migriert werden können, müssen sie mit dem Ende des Hersteller-Supports besonders geschützt werden.
Erhöhtes Gefahrenpotential
Leistungsfähiger Schutz wird besonders deshalb benötigt, da die Wahrscheinlichkeit für das Vorhandensein von Schwachstellen bei älteren Systemen zunimmt.
Immerhin sind sie oftmals auch für neu entdeckte Lücken in Nachfolgesystemen anfällig, die bei ihnen jedoch nicht mehr gepatcht werden. Aus diesem Grund stehen Legacy-Systeme auch besonders stark im Fokus von Cyberangriffen. Um sich vor diesen zu schützen, stehen Unternehmen unterschiedliche Optionen zur Verfügung:
Custom-Support-Vereinbarungen
Betroffene Unternehmen haben in der Regel die Möglichkeit, Custom-Support-Vereinbarungen mit Microsoft zu treffen. Damit werden die Server auch weiterhin mit Notfall-Patches zur Gewährleistung der Sicherheit versorgt. In der Regel sind solche Vereinbarungen aber sehr kostenintensiv (oftmals über 200.000 US-Dollar pro Jahr) und stellen damit für die wenigsten Unternehmen eine Option dar.
Isolation
Alternativ besteht die Möglichkeit, die betroffenen Systeme möglichst schwer erreichbar zu machen – etwa durch Isolation der Systeme in separaten Netzwerken oder Netzwerksegmentierung durch Firewalls.
Diese stellen ein zusätzliches Hindernis für Hacker dar und soll diese dazu bringen, sich ein „leichteres Ziel“ zu suchen. Jedoch können viele geschäftskritische Systeme in der Praxis überhaupt nicht entsprechend abgeschottet werden, da ihre Nutzung dadurch zu sehr erschwert würde. Somit erscheint dieser Ansatz nur für einen kleinen Prozentsatz der eingesetzten Server wirklich sinnvoll.
Härtung der Systeme
Das Härten der Systeme, etwa durch Deaktivierung nicht benötigter Dienste und Nutzer-Konten sowie verwundbarer Serviceversionen, ist ein guter Ansatz zur Risikominimierung. Dennoch benötigen autorisierte Anwender auch weiterhin Zugang zum System. Daher ist eine weitgehende Einschränkung von Anwenderkonten unter Umständen nicht praktikabel.
Unternehmen sollten bei Windows Server 2008 die eingebauten Richtlinien für Software-Einschränkungen nutzen, die als globale Richtlinien durchgesetzt werden können. So wird das Risiko minimiert, dass Anwendungen fehlerhafte Kommandos ausführen. Das ist alles andere als trivial, hilft aber dabei, Server vor der Kompromittierung durch Applikationen zu schützen.
Diese Maßnahme muss jedoch stets mit zusätzlichen Sicherheitsvorkehrungen kombiniert werden. Allerdings ist zu beachten, dass durch die Abschaltung oder Entfernung nicht benötigter Services und Ports die Funktion von Geschäftsapplikationen stark eingeschränkt oder sogar gänzlich unbrauchbar werden kann.
Einsatz zusätzlicher Sicherheitslösungen
Um EOS-Systeme (End of Support) zusätzlich zu schützen, sollten neue Sicherheitskontrollen implementiert werden, um Angriffe zu identifizieren und abzuwehren. Hierfür eignen sich besonders Host-basierte Lösungen, da Perimeter-Lösungen keinen effektiven Schutz für jeden einzelnen Server bereitstellen können – insbesondere im Kontext moderner Rechenzentren und der Hybrid Cloud.
„Unabhängig davon, ob Systeme nur verspätet oder gar nicht migriert werden können, müssen sie mit dem Ende des Hersteller-Supports besonders geschützt werden.“
Richard Werner, Trend Micro
Zu den wichtigen Host-basierten Sicherheitskontrollen, deren Einsatz jedes Unternehmen erwägen sollte, gehören:
- Intrusion Detection und Prevention (IDS/IPS) zum Schutz vor Netzwerkangriffen
- Integritätsüberwachung für Systemdateien, Registry-Einstellungen und andere kritische Anwendungsdateien, um verdächtige Aktivitäten zu identifizieren
- Malware-Schutz, inklusive Antimalware und Verhaltensanalysen, zur Abwehr von Schadsoftware wie Ransomware
Um ihre Systeme wirksam vor neu entdeckten Schwachstellen zu schützen, für die keine Hersteller-Patches mehr verfügbar sind, sollten Unternehmen zudem eine Virtual-Patching-Lösung einsetzen. Damit können kritische Sicherheitslücken gegen bösartige Angriffe abgeschirmt werden.
Um das Management aller Kontrollen möglichst einfach zu gestalten, sollte die Implementierung einer integrierten, zentral verwalteten Sicherheitslösung in Erwägung gezogen werden. Wichtig ist dabei, dass diese Lösung bei einer späteren Umstellung der Systeme einfach „mitgenommen“ werden kann. Sie sollte deshalb auch für neue Bereitstellungen geeignet sein, unabhängig von Serverumgebung (Windows oder Linux) und Bereitstellungsansatz (physisch, virtuell oder Cloud).
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.