Tags: Windows Server 2016, Sicherheit, System-Management
Microsoft veröffentlichte eine Excel-Tabelle, die alle standardmäßig installierten Dienste von Windows Server 2016 enthält. Sie erläutert, welche Aufgabe diese Services jeweils erfüllen und unter welchen Bedingungen man auf sie verzichten kann. Bedarf für Optimierung gibt es besonders bei installierter Desktop Experience.
Windows Server 2016 sieht neben dem neuen Nano Server, der mit einem herkömmlichen Windows Server nicht mehr viel gemein hat, nur zwei Installationsoptionen vor. Die eine davon ist Server Core, die auf eine GUI verzichtet, die andere eine Vollinstallation mit der kompletten Desktop Experience (siehe dazu: Nano as a Service, kein Wechsel zwischen GUI und Core).
Vollinstallation abspecken statt Wechsel zu Core
Wer sich für die grafische Oberfläche entschieden hat, kann anders als unter Server 2012 R2 nicht mehr zwischen ihr und Server Core hin- und herwechseln. Möchte man daher die Vollinstallation mit weniger Angriffsfläche konfigurieren, dann ist das Ändern der Installationsvariante somit keine Option mehr.
Als Ausweg bleibt unter anderem das Abschalten von nicht benötigten Services. Die von Microsoft veröffentlichte Excel-Tabelle weist alleine 72 Dienste aus, die nur zusammen mit der Desktop Experience installiert werden. Insgesamt sind es 187.
Die meisten davon sind vom Typ Manuell und starten nicht automatisch, wenn das System hochfährt. Sie werden jedoch bei Bedarf von anderen Services aktiviert, so dass sie potenziell eine Angriffsfläche bieten.
Services umsichtig deaktivieren
Aufgrund der möglichen Abhängigkeit anderer Services von einem als manuell konfigurierten Dienst sollte man diesen nicht einfach auf den Starttyp Deaktiviert setzen. Die genannte Excel-Tabelle rät daher explizit, ob man bestimmte Dienste abschalten kann oder besser aktiviert lassen sollte.
Insgesamt hilft das Deaktivieren von Services zwar, um die Sicherheit von Systemen zu erhöhen. Gleichzeitig ist jedoch klar, dass Microsoft die Desktop Experience primär für RD Session Hosts vorsieht und für andere Rollen Server Core oder Nano Server favorisiert.
Die Excel-Tabelle mit der Übersicht über alle Dienste von Windows Server 2016 kann von diesem TechNet-Blog herunterladen. Möchte man bestimmte Services auf einer größeren Zahl von Servern abschalten, dann kann man dies über Gruppenrichtlinien tun.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Defender in Windows Server 2016 installieren und konfigurieren
- NAS, ESXi, Appliances: Liste von Produkten, die noch SMB 1.0 verlangen
- Mit G DATA Network Monitoring die IT-Infrastruktur überwachen
- Password Manager Pro: ManageEngine vereinfacht Privileged Account Management
- VMware mit Management-Plattform für IoT
Weitere Links