Antivirus ist tot

Frühjahrsputz Windows Server: sauber, leistungsstark und sicher

10. März 2015
  • Antivirus ist tot

© Alen-D - Fotolia.com

Hatten Server einst die Funktion, eine Festplatte im Netzwerk darzustellen, die mit Benutzerverwaltung und Druckerfunktion ausgerüstet war, werden Server mittlerweile deutlich vielfältiger eingesetzt. Server sind Applikationsplattformen, mit deren Hilfe zahlreiche Dienste bereitgestellt werden. In unserem heutigen Teil unserer Frühjahrsputz-Serie beschäftigen wir uns damit, Windows Server in der Version 2012 R2 zu säubern, die Performance zu optimieren und abzusichern. Wie bereits im Desktop– und Mobil-Bereich ist es sinnvoll, vorher eine Datensicherung durchzuführen.

Windows Server 2012 R2 aufräumen

Ob Desktop-, Mobil- oder Server-Systeme: Ordnung muss sein! Ein aufgeräumter Server ist nicht nur performanter, sondern gleichzeitig sicherer und für größere Aufgaben vorbereitet. Also: Lassen Sie uns zur Tat schreiten und die einzelnen Komponenten Ihres Windows-Servers putzen.

Windows Server 2012 R2: Datenträgerbereinigung

Insbesondere bei einem Versionsupdate, aber auch zwischendurch werden Dateien auf Ihrer Festplatte abgelegt, die Sie nicht mehr benötigen. Durch Update-Schnipsel von Vorversionen können gut und gerne mehrere GB frei werden. Die Datenträgerbereinigung, ein Feature, das Sie sicher bereits vom Desktop-Windows kennen, ist standardmäßig bei Windows-Servern mit der Version 2012 R2 nicht verfügbar. Sie haben jedoch mehrere Möglichkeiten, an das Feature zu gelangen:

Klicken Sie sich in die Verwaltung, dort auf „Rollen & Features hinzufügen“. Gehen Sie in die Features und aktivieren Sie unter „Benutzeroberflächen und Infrastruktur“ die Option „Desktopdarstellung“. Nachdem Sie den Server neu gestartet haben, führen Sie die Datenträgerbereinigung aus, wie Sie es unter Windows gewohnt sind.

Da beide benötigten Quelldateien auf Ihrem Server bereits gespeichert sind, haben Sie auch die Option, die Datenträgerbereinigung manuell zu installieren. Mit dieser Herangehensweise verzichten Sie auf den Neustart Ihres Servers. Dafür werden die Quelldateien „cleanmgr.exe“ und „cleanmgr.exe.mui“ in die Verzeichnisse „%systemroot%\system32“ bzw. „C:\Windows\System32\de-DE“ kopiert.

Windows Server 2012 R2 WSUS-Bereinigung

Auf dem WSUS (= Windows Server Update Service) werden, wie der Name bereits andeutet, Updates gespeichert. Nicht alle, die dort liegen, benötigen Sie noch. In früheren Windows Server-Versionen war es komplizierter, den WSUS zu putzen; seit Windows Server in der Version 2012 ist es ein Leichtes: Gehen Sie in die Optionen des Update Services und wählen Sie den „Assistent für die Serverbereinigung“ aus. In der Auswahl der zu bereinigenden Elemente wählen Sie aus; Sie können ohne schlechtes Gewissen sämtliche Optionen anwählen. Nach einigen Minuten werden nicht verwendete Updates ohne Neustart des Servers gelöscht sein.

Eine Alternative ist das Steuern des WSUS über PowerShell: Mit dem Commandlet „Invoke-WsusServerCleanup“ führen Sie die Bereinigung durch, für die Sie folgende Parameter nutzen können (komplette Syntax finden Sie in der Microsoft-Library):

Invoke-WsusServerCleanup [-CleanupObsoleteComputers] [-CleanupObsoleteUpdates]
 [-CleanupUnneededContentFiles] [-CompressUpdates] [-DeclineExpiredUpdates]
 [-DeclineSupersededUpdates] [-UpdateServer  ] [-Confirm] [-WhatIf]

Führen Sie die WSUS-Bereinigung regelmäßig durch. Mit der PowerShell-Lösung können Sie auch ein kleines Skript zur Automatisierung schreiben, beispielsweise in der Aufgabenplanung. Im Internet finden Sie diverse Vorlagen für solche Skripte.

Windows Server 2012 R2 WinSxS-Bereinigung

Der WinSxS-Ordner, den Sie sowohl bei Windows Server 2012 R2 als auch bei Windows 8.1 finden, wirft immer wieder die Frage auf, warum er so groß ist. Der WinSxS-Ordner liegt im Windows-Ordner und dient als Speicherort für Dateien aus dem Windows-Komponentenspeicher. Dieser unterstützt Funktionen, die Windows zum Anpassen sowie Aktualisieren nutzt. Damit wird deutlich, dass der WinSxS-Ordner nicht einfach gelöscht werden darf. Auch dürfen Sie keinesfalls sämtliche enthaltenen Dateien löschen, da Ihr System sonst beschädigt werden kann.

Es ist jedoch möglich, den WinSxS-Ordner in seiner Größe zu verändern. Unter Windows 8.1 und Windows Server 2012 R2 wird der WinSxS-Ordner mithilfe bordeigener Methoden automatisch verkleinert. Sie können auch manuell aktiv werden: Zum Bereinigen des WinSxS-Ordners macht eine Kombination aus Komponentenkomprimierung und dem Löschen der Pakete Sinn. Mit der Aufgabe StartComponentCleanup werden Komponenten automatisiert in regelmäßigen Intervallen bereinigt, wenn das System gerade nicht verwendet wird. Wird die Aufgabe ausgeführt, werden aktualisierte Komponenten mindestens 30 Tage lang aufbewahrt, anschließend wird die Vorversion der Komponente gelöscht. Legen Sie die Ausführung dieser Aufgabe fest, stellen Sie sich auf ein einstündiges Timeout während der Bereinigung ein. Starten Sie die Aufgabenplanung und navigieren Sie, nachdem Sie die Konsolenstruktur erweitert haben, zu „Task Scheduler Library\Microsoft\Windows\Servicing\StartComponentCleanup“. Klicken Sie bei „Ausgewähltes Element“ auf „ausführen“. Alternativ starten Sie die StartComponent-Cleanup-Aufgabe über die Befehlszeile: schtasks.exe /Run /TN „\Microsoft\Windows\Servicing\StartComponentCleanup“. Weitere Informationen zum WinSxS-Ordner finden Sie direkt bei Microsoft.

Die Leistung unter Windows Server 2012 R2 optimieren

Schon die Reinigung Ihres Systems hat Ihren Server schneller werden lassen. Im Folgenden betrachten wir weitere Methoden, die die Performance von Windows Server 2012 R2 optimieren:

Hardwarekonfiguration ermitteln

Es ist schwierig bis unmöglich, Ihnen Konfigurationsdetails vorzuschlagen, da wir den Einsatzzweck Ihres Servers nicht kennen. Jedoch ist die Hardwarekonfiguration unentbehrlich, wenn Sie die Performance betrachten möchten. Messen ist sowohl beim Neubeschaffen eines Servers als auch bei Verdacht eines Performance-Engpasses unabdingbar. Auch macht es Sinn, nach dem Einrichten Ihres Systems grundsätzliche Messwerte festzuhalten, um diese später zum Vergleich heranziehen zu können (= Baselining). Wissen Sie, dass die Performance-Auslastung noch vor einigen Monaten etwa halb so groß war, können Sie dank dieser Zusatzinformation etwaige Performance-Probleme in Relation setzen. Ihr Helfer dabei: Der Systemmonitor.

konfiguration_2012R2Zum Ermitteln und Messen wäre es wünschenswert, dass Software-Hersteller präzise Informationen beilegen: „Je Benutzer benötigt die Datenfestplatte 3 MB Hauptspeicher“, könnte eine solche präzise Information sein. Das ist jedoch Mangelware, pauschale Aussagen, wie wir sie häufiger von Herstellern finden, helfen nicht weiter. Werden Anwendungen bereits auf anderen Maschinen ausgeführt, lassen sich Messungen dort vornehmen, um anschließend Rückschlüsse für die konkreten Anforderungen vorzunehmen.

Der Systemmonitor ergibt jedoch die präzisesten Aussagen. Bereits in Windows NT war der Systemmonitor fester Bestandteil des Server-OS. Mittlerweile ist der Systemmonitor ins MMC Snap-In verschwunden, das Microsoft in „Zuverlässigkeit und Leistung“ umbenannt hat. Den Systemmonitor starten Sie mit einer der drei folgenden Optionen:

  • über den Server-Manager
  • in der Computerverwaltung: Gehen Sie auf „Zuverlässigkeit und Leistung“, klicken Sie sich zu „Überwachungstools“ und dort zu „Systemmonitor“
  • MMC über „ausführen“ – „MMC.exe“ starten und Snap-In „Zuverlässigkeit und Leistung“ hinzufügen

Auch der Task-Manager bietet Ihnen eine Ressourcen-Übersicht: Nach dem Öffnen wechseln Sie auf den Reiter „Leistung“ und wählen „Ressourcenmonitor“. Verstehen Sie diese Übersicht bitte nicht als Analysetool, sondern lediglich als Möglichkeit, einen flüchtigen Überblick zu erhalten. Dieser Überblick wird jedoch schon genauer als die Standard-Task-Manager-Ansicht, da mit CPU, Datenträger, Speicher und Netzwerk bereits vier Komponenten berücksichtigt werden und nicht bloß die Prozessorbelastung dargestellt wird.

Rufen Sie den Systemmonitor erstmalig auf, sehen Sie eine Messkurve mit der prozentualen CPU-Zeit; standardmäßig wird eine Minute angezeigt. Die einzelnen Parameter richten Sie über den Eigenschaftsdialog ein, die Anzeigefläche passen Sie mit dem Parameter „Bildlaufstil“ an. Um weitere Leistungsindikatoren zu ergänzen, wählen Sie bitte das grüne Kreuzchen oberhalb der Monitoranzeige an. Bestimmen Sie, von welchem Rechner Sie Leistungsindikatoren ergänzen möchten; in aller Regel ist das Ihr lokaler Computer. Darunter sehen Sie die Listbox mit zahlreichen Kategorien. Alle Objekte inkludieren verschiedene Leistungsindikatoren. Aktivieren Sie nun beispielsweise „physikalischer Datenträger“, werden diesbezüglich sämtliche Indikatoren ergänzt. Die Instanzen eines ausgewählten Objekts sehen Sie in der Liste unter der Objektliste. Für unser Beispiel „Physikalischer Datenträger“ kann es sein, dass mehrere Instanzen existieren – interessant für Server mit mehreren Festplatten und/ oder RAID-Sets. Neben Einzelinstanzen sehen Sie _Total-Instanzen. Diese können Sie als Kumulation verstehen.

Haben Sie sich für weitere Leistungsindikatoren entschieden, klicken Sie „Hinzufügen“ an. Alternativ fügen Sie das Objekt hinzu, um in der Ansicht alle dazugehörigen Leistungsindikatoren betrachten zu können. Klicken Sie einen Indikator an, erhalten Sie Zahlenwerte. Im Eigenschaftendialog Ihres Systemmonitors können Sie weitere Konfigurationen vornehmen. Das darf es jedoch noch nicht gewesen sein, denn Sie benötigen Messungen über eine Minute hinaus und idealerweise speichern Sie Ihre Messdaten, um später zu analysieren und zu vergleichen. Im Dialog „Zuverlässigkeits- und Leistungsüberwachung“ suchen Sie Sammlungssätze, klicken mit rechts auf „Benutzerdefiniert“ – „neu“ – „Sammlungssatz“. Ein Assistent führt Sie durch die weiteren Schritte. Empfehlenswert ist die Vorlage „System Performance“, da diese alle relevanten Indikatoren mit einschließt. Achten Sie bei der Auswahl des Speicherorts darauf, Ihre C-Platte möglichst außen vor zu lassen, da die Reports auf eine beachtliche Größe kommen können. Ihren Sammlungssatz sollten Sie nach dem Beenden unter „Zuverlässigkeits- und Leistungsüberwachung“ in den benutzerdefinierten Sätzen sehen. Gespeicherte Protokolle enden mit *.blg. Anhand dieser Ergebnisse können Sie bereits die Richtung bestimmen, aus der Ihre Performance-Probleme stammen.

Was beeinflusst die Performance unter Windows Server 2012 R2?

Neben CPU-Typ, -Anzahl und Taktfrequenz sind noch zahlreiche weitere Parameter für die Server-Performance verantwortlich, etwa Anzahl und Typ der PCI-Busse, die Leistung vom Systembus, etc. Nicht nur die einzelnen Komponenten, sondern auch deren Zusammenspiel mit weiteren Komponenten entscheidet. Einige Beispiele verdeutlichen:

  • Ihr Server ist zwar mit einer schnellen CPU ausgestattet, besitzt jedoch nur einen PCI-Bus. Arbeiten Sie IO-lasting, können schnell Probleme auftauchen. Die Lösung: mehrere PCI-Busse.
  • Benötigen Sie eine hohe Transferleistung, ist es nicht zielführend, wenn Sie PCI Express x8 mit x4-Geschwindigkeit betreiben. Sinnvoller ist es, die tatsächlich unterstützten Karten zu verwenden.

Geben Sie also Acht, dass einzelne Komponenten sinnvoll – das heißt: wie vom System vorgegeben und individualisiert auf Ihren Bedarf – ins große Ganze zu integrieren. Erweiterbarkeit ist dabei ein großes Thema: Benötigen Sie aktuell lediglich ein Zwei-Prozessor-System, können jedoch schon absehen, später eine höhere Prozessorleistung zu brauchen, benötigen Sie bereits jetzt ein erweiterbares System. Dazu noch ein Tipp: Ist für Sie bereits absehbar, um welche Komponenten Sie Ihr System beizeiten erweitern werden, beschaffen Sie bereits jetzt sämtliche benötigten Prozessoren und Speicher. Die Xeon-Welt ist extrem schnelllebig, und so könnte es Ihnen passieren, dass Sie in wenigen Jahren nur noch den teuren Ersatzteilweg gehen können, da heutige Prozessoren nicht mehr aktuell sind. Idealerweise bestücken Sie Ihr System aber von Anfang an voll; auch, um Probleme mit weiteren Komponenten in der Zukunft zu vermeiden.

Performance der Speichersysteme

Das Disk-Layout Ihres Servers muss einigen Grundregeln folgen, damit Ihr Server nicht nur performant, sondern auch möglichst ausfallsicher und wartungsarm, aber wartbar bleibt. Die folgenden Mindeststandards sollten Sie unabhängig vom Einsatzzweck Ihres Servers umsetzen, und fortgeschrittene Admins können zweifelsfrei mit weiteren Einstellungen noch mehr erreichen. Scheuen Sie höhere Kosten bitte keinesfalls, um diese Mindeststandards umzusetzen:

  • Das OS installieren Sie auf einem RAID1-Set. Sie benötigen nicht viel Speicherplatz für das OS; eine 24-GB-Partition dürfte reichen; 36 GB entspricht der Bruttokapazität von RAID1, das Sie mit zwei Festplatten aufbauen können. RAID5 setzt beispielsweise drei Platten voraus und ergibt eine Brutto-Kapazität von 72 GB – viel zu viel für Ihr OS. RAID1 ist auch aus diesem Grunde sinnvoll: Mit Systemänderungen, etwa Updates oder Patches, gehen immer Restrisiken einher – denken Sie nur an den Horror jedes Admins, dass der Windows-Server nach einem unkritischen Update nicht mehr startet. Ziehen Sie, bevor Sie das Update einspielen, eine Platte aus dem Mirror (RAID1) und lassen Sie das Update lediglich auf eine Festplatte. Haben Sie sich vergewissert, dass ein Update erfolgreich eingespielt wurde, wandert die gezogene Festplatte zurück in ihren Urzustand, während der RAID-Controller den Mirror neu aufbaut. Ist etwas missglückt, starten Sie einfach von der Festplatte, die Sie gezogen haben, und Sie sind binnen Sekunden wieder beim Ursprungszustand. Ein solches Vorgehen ist ausschließlich mit RAID1 möglich.
  • Speichern Sie Produktivdaten niemals (!) auf dem Betriebssystem-RAID-Set; nicht mal auf separaten Partitionen. Warum? Grund Nummer 1 ergibt sich aus eben Gesagtem: Stellen Sie sich einmal vor, Sie müssten bei eben erwähntem Fallback-Szenario auch noch Produktivdaten mitschleppen – das ist nicht zielführend. Die Verwaltung ist wesentlich übersichtlicher, wenn Sie Daten auf RAID-Sets physikalisch voneinander trennen – Sie arbeiten produktiver. Und auch für die Performance ist es relevant: Es kann zu keinem performanten Ergebnis führen, würden Sie auf genau ausbalancierten RAID-Sets Produktivdaten schreiben lassen.
  • Nehmen Sie Ihren Server ausschließlich mit fehlertoleranten Festplattenkonfigurationen, also den RAID-Sets, in Betrieb.

Für Datenbankserver ergibt sich folgendes Layout als Mindeststand: Das Betriebssystem installieren Sie auf dem RAID1-Set. In Abhängigkeit Ihrer Performance- und Kapazitätsanforderungen kommen die Datenbankdateien auf RAID1, RAID10 oder RAID5. Datenbank-Logs speichern Sie auf separaten physikalischen RAID-Sets. Neben Performance-Aspekten steckt auch die Redundanz dahinter: Im Falle eines Fehlers verlieren Sie nicht gleich Datenbank und Logs. Planen Sie zudem mindestens eine HotSpare-Platte ein, um im Verlustfalle einzelner Platten des RAID-Sets möglichst zügig wieder fehlertolerant zu arbeiten.

Hauptspeicher, CPU & Netzwerkkonnektivität als Performance-Bremsen

Sehr leicht kann der Hauptspeicher zur Performance-Bremse werden: Durch das sogenannte Swapping werden Speicherbereiche auf Festplatten ausgelagert. Überwachen Sie die Leistung am Leistungsmonitor, beachten Sie den Indikator „Speicher\Seiten/s“, der stets unter 1.000 liegen muss. Dass der Server ins Pagefile schreibt, ist nicht das Problem – solange es nicht Überhand nimmt. Liegt der Indikator-Wert über 1.000, bauen Sie den Hauptspeicher sinnvoll aus, was bei 64-Bit-Technologie äußerst flexibel geschehen kann. Zusätzlicher Speicher kann sinnvoll vom System genutzt werden.

Bei der CPU-Leistung existieren insbesondere zwei Leistungsindikatoren, die Ihre Aufmerksamkeit verdienen: Der Indikator Prozessor\Prozessorzeit darf dauerhaft nicht die 90 Prozent überschreiten. Der Leistungsindikator System\Prozessor-Warteschlangenlänge liegt idealerweise unter 2. Bitte beachten Sie, dass eine überhöhte Prozessorlast auch Folge anderer Performance-Engpässe aus anderen Bereichen sein kann. Zu den Klassikern gehört wohl die hohe CPU-Last als Folge eines extremen Swappings durch einen fehlenden Hauptspeicher. Vergleichsweise günstig und leistungsfähig genug, um auch komplexe Serveraufgaben zu bewältigen, sind mittlerweile die 2-Wege-Systeme mit Quad-Core-CPUs.

Auch die Netzwerkkonnektivität lässt sich im Systemmonitor darstellen und analysieren, wobei die folgenden beiden Indikatoren bezüglich der Systemperformance relevant sind: Der Wert vom Leistungsindikator „Netzwerkschnittstelle\Gesamtzahl Bytes/s“ liegt idealerweise nicht über 60 Prozent der Geschwindigkeit, die Ihre Netzwerkkarte leisten kann. Heißt etwa bei 100-MBit/s-Karten, dass die Geschwindigkeit 6 MBit/s nicht übersteigen sollte. Weiter ist der Indikator „Netzwerkschnittstelle\Ausgehende Pakete Fehler/s“ zu betrachten, dessen Wert stets 0 ergeben sollte.

Die Namensauflösung macht in vielen Netzen Probleme – und Server verbringen extrem viel Zeit mit dem Ermitteln der Namen; meist über umständliche Wege wie Broadcasting. Das kann die Performance gewaltig in die Knie zwingen. Die Gesamt-Performance Ihres Netzes leidet immens durch fehlerhafte DNS-Konfigurationen. Fehler dieser Art bremsen, und zwar so sehr, dass naturgemäß auch der Einsatz von Gigabit-Technologie versagt. Schließen Sie zunächst Probleme dieser Art aus, wenn Sie mutmaßen, dass die mangelnde Performance auf Ihr Netzwerk zurückgeht.

Sicherheit unter Windows Server 2012 R2

sicherheit_2012R2Bereits beim Sprung von unseren gereinigten und gesicherten Desktop-Systemen hin zu den mobilen Betriebssystemen wurde klar, dass sich die Anforderungen beider unterscheiden. Das gilt auch für Server, die beispielsweise das Webcam-Problem beider anderer Systeme gar nicht kennen, jedoch kommen neue Sicherheitsaspekte dazu, etwa physikalische Schutzmechanismen. Schauen wir uns also an, wie Sie Windows Server 2012 R2 idealerweise sichern, wie Sie Ihre Daten schützen und ob Antivirensoftware für Ihren Windows Server sinnvoll ist.

Server-Standort & Zugangskontrollen

Ganz klar: Ein Server gehört nicht in die Besenkammer. Jedoch existieren Firmen mit so geringem Platzbedarf, dass dedizierte Serverräume einfach nicht verfügbar sind. Dass Server physikalischen Schutz benötigen, sollte selbstverständlich sein: Es soll schon Unternehmen gegeben haben, in denen unbefugte Mitarbeiter einfach mal wissen wollten, was passiert, wenn der Arretierungshebel der Hot-Swap-Platten betätigt wird.

Auch Industriespionage ist ein Thema: Stellen Sie sich vor, eine böswillige Person findet Zugang zum Serverraum. Oftmals liegen Sicherungsbänder ungünstiger Weise direkt neben dem Server – und so eine Komplettsicherung zu entwenden, kann sich für Industriespione lohnen! Um Ihrem Server den nötigen Schutz zu bieten, versetzen Sie sich kurz in die Lage eines Cyberkriminellen: Für gewöhnlich wird der leichteste Weg gewählt. Und der führt nicht über etwaige Sicherheitslücken in der Firewall, sondern zum persönlichen Zugang. Befindet man sich physikalisch vor dem Server, kann dieser kinderleicht ausgeschaltet und mithilfe einer eigenen CD gebootet werden. Wenn die Boot-CD auch noch mit RAID-Controller-Treibern bespickt ist, kann der Angreifer auf sämtliche Server-Daten zugreifen. Auch lassen sich komplette Datenbanken verhältnismäßig leicht kopieren – und das Unternehmen bemerkt außer einer nicht erklärbaren Downtime nichts von dem physikalischen Angriff.

Ob Sie nun das Glück haben, einen speziellen Serverraum zu haben, oder ob Sie nun doch auf Ihre Besenkammer zurückgreifen müssen: Beachten Sie die im Folgenden genannten Mindestanforderungen an diesen Raum, ist Ihr Server physikalisch bereits sicherer:

  • Serversysteme sowie andere zentrale Komponenten kommen in einen separaten Raum.
  • In diesem Raum befinden sich ausschließlich gesicherte Fenster und die Wände sind fester als Pappe. Weiter sichert eine Stahltür den Raum, die so verschlossen werden kann, dass Büroklammer oder Haarnadel nicht zum Knacken des Schlosses ausreichen.
  • Numerische Eingabefelder sowie Kartenscanner sind ausreichende Zugangskontrollen; Sie müssen nicht gleich zu biometrischen Kontrollmechanismen greifen. Das Protokollieren der Zutritte in den Serverraum ist je nach Sicherheitslage angeraten; oftmals hilft bereits Videoaufzeichnung.
  • Die mit digitaler Sorglosigkeit einhergehende Bequemlichkeit des „Sicherheitsrisikos Mensch“ ist nicht zu unterschätzen: Werden im Serverraum die Fenster geöffnet und zu allem Überfluss ein Türstopper in die Türe gepackt, um den Durchzug im Sommer zu erhöhen, ist der gesamte physikalische Schutz für die Katz. Dasselbe gilt fürs Aufhängen des Serverraumschlüssels in Türnähe oder Aufschreiben der Zahlen-Kombi des Zahlenschlosses am Türrahmen – all das hat es leider schon gegeben.

Die Standort-Wahl ist auch mit entscheidend bei Elementarschäden: Ein Rechenzentrum auf Kellerebene erhöht die Risiken eines Wasserschadens ungemein. Erstaunlich häufig sieht man auch Gas- und Wasserleitungen, die mitten durch Rechenzentren führen. Wählen Sie einen Standort für Ihren Server, der diese Risiken auf ein Minimum reduziert. Außerdem sind Feuerlöschanlagen in Reichweite genauso sinnvoll wie Überwachungssensorik für die Umgebungsparameter, beispielsweise Luftfeuchtigkeit oder Temperatur. Mit Gipskartonwänden wird das Brandrisiko erhöht; überhaupt sollten im Rechenzentrum ausschließlich schwer oder sogar nicht brennbare Materialien zum Einsatz kommen. Dass im Serverraum Papier weder gelagert noch abgelegt wird, um das Brandrisiko gering zu halten, versteht sich von selbst.

Trotz aller Vorsichtsmaßnahmen ist ein Serverausfall grundsätzlich denkbar. Um für diesen Fall gewappnet zu sein, spiegeln Unternehmen mit entsprechendem finanziellen Background ihre Server an alternativen Standorten. Diese finanziellen Mittel besitzen jedoch die wenigsten, weshalb eine Lösung beispielsweise so aussehen kann: Setzen Sie ein Storage-System auf und spiegeln Sie Produktivdaten synchron. Zusammen mit Servern für Exchange und SAP gestalten Sie so bereits einen speziellen IT-Schrank, den Sie vor Einbruch und Umwelteinflüssen schützen. Ein speziell gesicherter Aufstellungsort muss nicht sein, da Sie ja bereits eine Art Tresor errichtet haben, achten Sie jedoch darauf, dieses Notfallsystem nicht unbedingt im Empfangsbereich für Besucher aufzustellen. Die Sicherungsgeräte außerhalb Ihres Serverraums zu verstauen, kann ohnehin sinnvoll sein: Brennt es im Serverraum, sind die Sicherungsgeräte außen vor.

Einbindung externer Nutzer

Nicht selten müssen zwei Firmenstandorte über einen Server kommunizieren oder aber Mitarbeiter vom Home-Office oder Mobil-Anbindungen eingebunden werden. Werden zwei Unternehmensteile gekoppelt, setzt man in aller Regel auf VPN-Verbindungen (Virtual Private Network). Diese Verbindung lässt sich auch beim Einbinden einzelner Mitarbeiter anwenden, es würde jedoch auch eine SSL-Verbindung genügen. Via VPN werden Daten in verschlüsselter Form durch einen „Tunnel“ geleitet. Hier kann die Latenzzeit zum Problem werden: Dauert die Paketübertragung übers Web zu lange, werden Mitarbeiter die Arbeit im zentralen System als anstrengend oder gar nervenaufreibend empfinden und Ihre Produktivität ist nicht sonderlich beglückend. Es macht Sinn, nicht irgendeine billige Internet-Flat zu wählen und darüber einen VPN-Tunnel aufzubauen, sondern einen Provider zu finden, der Ihren Datenverkehr über seinen Backbone leitet. Oftmals existieren Verbindungsqualitäts-Garantien, wobei Sie bitte insbesondere auf die Verfügbarkeit, auf die Bandbreite und die Latenzzeit achten. Viele Provider offerieren Pakete zur VPN-Nutzung, bei denen Ihnen Mindestwerte für diese drei Eigenschaften vertraglich zugesichert werden. Klar: Diese Optionen sind teurer als die erwähnten Billig-Flats, jedoch hat zugesicherte Sicherheit nun mal ihren Preis. Sparen Sie nicht am falschen Ende!

Im Übrigen hat es sich bewährt, Mitarbeitern – egal, ob lokal oder im Netzwerk verfügbar – lediglich Zugriff auf jene Ressourcen zu geben, die sie für ihre Arbeit benötigen. Sie erhöhen damit die Datenschutzstandards in Ihrem Unternehmen und sichern sich selbst vor dem „Risiko Mensch“ ab. Die Praxis zeigt: Je weiter weg ein Mitarbeiter ist, umso geringer scheint die Sorgfalt des Mitarbeiters. Dies meint nicht zur unbefugte Zugriffe, sondern auch die Tatsache, dass VPN-Verbindungen gerne als Einfallstor für Malware missbraucht werden.

Sicherheitsprobleme kommen meist von innen

Denken wir an Risiken für Server, richtet sich unser Fokus oftmals nach außen: Gedanken, ob die Firewall durchbrochen werden könnte, sind wohl jedem bekannt. Allerdings kommen die meisten Sicherheitsrisiken keinesfalls von außen auf den Server zu, sondern die „innere Sicherheit“ wird wesentlich häufiger zum Problem. Mitarbeiter selbst können angreifen: Aus Unwissen heraus, um einfach mal zu probieren, schlimmstenfalls aus böser Absicht, um Unternehmensgeheimnisse zu entwenden, eventuell sogar zu monetarisieren. Sind die Systeme technisch zudem nicht einwandfrei, fördern Unternehmen das „Risiko Mensch“ zusätzlich. Dies beginnt bei veralteten Virenscannern (denken Sie an Ihren Kollegen, der neulich seinen verseuchten USB-Stick mitbrachte …) und endet leider noch lange nicht bei Systemen, die noch nie in ihrem Leben ein Patch gesehen haben. Kennen Sie die Schutzkomponenten von Windows Server 2012 R2, sind Sie schon ganz gut gerüstet:

  • Netzwerkrichtlinien- und Zugriffsdienste: Sie können hier definieren, dass verhindert werden soll, dass Ihr System aufs Netz zugreifen darf, wenn der Virenschutz veraltet und/ oder Patches missachtet wurden.
  • Windows-Firewall: Die Firewall ist ebenfalls integriert und verhindert unbefugte Zugriffe auf Server und Clients.
  • WSUS: Zum Verteilen der Patches im Netzwerk dienen die Windows Server Update Services.

Sie sollten so gut wie alle Komponenten Ihres Systems vor unautorisiertem Zugriff schützen; Windows Server 2012 R2 gibt Ihnen alle dafür notwendigen Mittel an die Hand. Bedenken Sie immer, dass Sicherheit kein Zustand, sondern ein Prozess ist und dass Ihre IT-Umgebung nur so sicher sein kann, wie in der Konfiguration von Ihnen vorgegeben.

Dateiverschlüsselung für Windows Server 2012 R2

Neben allen bisher erwähnten Sicherheitsfeatures existiert bei Windows Server 2012 R2 die Option, Dateien im verschlüsselten Zustand im Dateisystem abzuspeichern. Erstmals wurde das Encrypting File System (kurz: EFS) mit der Windows-Server-Version 2000 ausgeliefert. Es ist empfehlenswert, eine PKI aufzubauen, damit Sie die fürs Verschlüsseln benötigten Zertifikate an einer zentralen Stelle erzeugen können. Möchten Sie ein Sicherheitsmanagement für Ihre sensiblen Dokumente aufbauen, bei dem es darum geht, dass nur bestimmte Personen auf bestimmte Dokumente zugreifen können, eignet sich der Active Directory-Rechteverwaltungsdienst (alles Wissenswerte zu AD RMS bei Microsoft). EFS betrifft ausschließlich das Verschlüsseln Ihrer Dateien. Bedenken Sie weiter, dass EFS keinesfalls die NTFS-Rechte ersetzt, zu denen Sie auf Microsofts Seiten weitere Informationen erhalten.

Zunächst benötigen Sie ein Zertifikat, das idealerweise auch das Verschlüsseln Ihrer Daten auf einem Datenträger inkludiert. Das Verwenden der Verschlüsselung ist denkbar einfach: Gehen Sie über den Rechtsklick in die Eigenschaften einer Datei und dort auf „Erweitert“. Wählen Sie die Checkbox „Inhalt verschlüsseln, um Daten zu schützen“ an und die EFS-Verschlüsselung ist aktiviert. Bedenken Sie bitte, dass Verschlüsselung und Kompression nicht zusammen angewendet werden können – Sie müssen sich entscheiden. Ist die Datei nun verschlüsselt, sehen Sie die Schaltfläche „Details“ (ohne Verschlüsselung können Sie diesen Dialog nicht anwählen). Hier konfigurieren Sie die Verschlüsselung und können unter anderem einstellen, welche Benutzer auf die Datei zugreifen dürfen.

Haben Sie eine Datei zum Verschlüsseln angewählt, werden Sie gefragt, ob nur die Datei oder auch die übergeordneten Ordner verschlüsselt werden sollen. Verschlüsseln Sie den Ordner, werden sämtliche Dateien, die neu hinzukommen, ebenfalls automatisch verschlüsselt. Sicherheitslöcher durch Temporärdateien werden dadurch vermieden, dass die Temporärdatei beim Bearbeiten der zu verschlüsselnden Datei in demselben Verzeichnis angelegt wird. Wichtig ist weiter, dass alle Dateien im übergeordneten Ordner über den Schlüssel vom aktuellen Benutzer verschlüsselt werden. Bedenken Sie dies bei Dateien, auf die alle Kollegen zugreifen müssen!

EFS steuern Sie alternativ über die Kommandozeile. Die Ausgabe des dazu nötigen Werkzeugs cipher.exe wird beim Aufrufen von „cipher /?“ (ohne Anführungsstriche) ersichtlich. Die Auflistung der Optionen des cipher-Werkzeugs ist so umfangreich, dass nähere Erklärungen an dieser Stelle unnötig sind.

Antivirus für Windows Server 2012 R2

Antivirus_2012R2Bedenken Sie, dass Ihr Rechenzentrum sozusagen das Großhirn Ihres Unternehmens darstellt, es versteht sich von selbst, dass eine gute Security-Suite für Ihren Windows Server 2012 R2 unabdingbar ist. Insbesondere für die weit verbreiteten Microsoft Server-Systeme bestehen etliche Antiviren-Lösungen. Bei der Auswahl der passenden Security-Suite für Ihren Server bedenken Sie bitte, dass die preisliche Komponente die letzte ist, auf die Sie schauen sollten. Vielmehr steht ein effizienter Schutz Ihrer Systeme im Fokus. Und das bedeutet: Konzentrieren Sie sich auf Features, die sinnvoll für Ihren Servereinsatz sind.

Ein grundlegender Schutz vor Mal- und Spyware muss vorhanden sein. Wählen Sie eine Suite aus, deren On-Demand-Scanner regelmäßig das komplette System untersucht und deren Wächter Zugriffe kontrolliert. Grundsätzlich sollten also Anti-Malware-Schutz sowie die Server-Verwaltung für Implementierungen physischer, virtueller sowie Cloud-basierter Natur vorhanden sein. Einige Suiten erlauben das Erstellen von Profilen, um ungewöhnliche Zugriffe zu erkennen und den Admin darüber zu informieren. Andere Suiten erlauben Ihnen, Sicherheitsregeln zu definieren und von der Suite überwachen zu lassen. Dies kann Zugriffskontrollen genauso beinhalten wie das Einhalten von Vorschriften-Compliances. Auch machen Whitelistings Sinn, die vor Zero-Day-Bedrohungen schützen. Änderungskontrollen können ebenfalls enthalten sein. Sie dienen dazu, Server auf gesetzliche Sicherheitsvorschriften zu prüfen und etwaige Verstöße beim Admin zu melden. Da Windows Server bereits über eine Firewall verfügen, ist das ein Feature, das Sie bei der Auswahl Ihrer Server-Security-Suite vernachlässigen können.

Fazit Windows Server 2012 R2

Unter Windows Server 2012 R2 können Sie automatisieren, was das Zeug hält, was insbesondere beim Sauber-halten Ihres Systems wertvolle Hilfsmittel sind. Schreiben Sie Skripte und vereinfachen Sie sich die Arbeit so weit wie möglich. Aufgrund vieler möglicher Einsatzszenarien ist es uns nicht möglich, Ihnen eine sinnvolle Standardkonfiguration an die Hand zu geben. Mit unseren Konfigurationstipps kommen Sie jedoch schon sehr weit und Ihnen stehen sämtliche Mittel zur Verfügung, die zu der idealen Konfiguration und damit auch zu einer idealen Performance für Ihren Einsatzzweck führen.

Server unterscheiden sich in ihren Sicherheitsanforderungen von anderen Systemen. Das „Risiko Mensch“ ist massiver zu bewerten als bei mobilen und Desktop-Systemen und auch der Serverstandort ist äußerst relevant. Mit EFS haben Sie ein wertvolles Bordmittel zum Verschlüsseln Ihrer Dateien und Verzeichnisse, das Sie unbedingt einsetzen sollten. So schützen Sie sensible Daten von innen (unbefugtes Personal) und von außen (Datendiebstahl via Netzwerk oder physisch). Antivirus ist keinesfalls tot: Auch für Windows Server 2012 R2 ist eine Security-Suite unabdingbar. Achten Sie auf Mal- und Spyware-Schutz und ergänzen Sie die Features, die für den speziellen Einsatz bei Ihnen vonnöten sind. So abgesichert, sind Bedrohungen von innen und von außen zum wesentlich geringeren Risiko geworden.



0 Kommentar(e)

Schreibe einen Kommentar