Wenn sich alte Server nicht ersetzen lassen

Windows Server 2003 trotz Support-Ende sicher betreiben

| Autor / Redakteur: Thomas Joos / Andreas Donner

Manchmal geht es nicht anders und ein alter Server muss noch eine Weile seinen Dienst tun. Dabei gilt es aber dann ein paar Dinge zu beachten.
Manchmal geht es nicht anders und ein alter Server muss noch eine Weile seinen Dienst tun. Dabei gilt es aber dann ein paar Dinge zu beachten. (Bild: Joos)

Selbstverständlich ist es der sicherste Weg, veraltete Server mit Windows Server 2003/2003 R2 und SBS 2003/2003 R2 sofort zu ersetzen. Allerdings ist das nicht immer möglich. In diesem Fall sollten dann aber einige Vorbereitungen getroffen werden, um Windows Server 2003 auch nach dem Support-Ende so lange sicher weiter betreiben zu können, bis der Wechsel auf eine neue Version möglich ist.

Wenn im Netzwerk noch veraltete Server mit Windows Server 2003/2003 R2 oder SBS 2003/2003 R2 im Einsatz sind und dies aus welchen Gründen auch immer noch weitere Zeit so bleiben soll, müssen diese abgesichert speziell werden. Da Microsoft den Support eingestellt hat, und keine Aktualisierungen mehr für das Betriebssystem erscheinen, ist der Server ein direkter Angriffspunkt für Viren und Trojaner. Auch Erpressungstrojaner wie Locky und andere können den Server befallen. Das heißt, der Server sollte nicht sich selbst überlassen werden. Natürlich wollen Unternehmen keine großen Investitionen vornehmen, um alte Server abzusichern, die ohnehin über kurz oder lang ersetzt werden, aber einige Maßnahmen sind dennoch sinnvoll.

Überprüfung des Servers: Ereignisanzeige und Anwendungen

Damit ein Server weiter in Betrieb bleiben kann, sollte im ersten Schritt eine Überprüfung des Servers und eine Analyse des Ist-Zustands vorgenommen werden. Alle installierten Anwendungen und Serverdienste sollten überprüft werden.

Außerdem sollte ein Blick in die Ereignisanzeige geworfen werden. Alle Fehler, die hier zu sehen sind, sollten Administratoren genau nachverfolgen und diese so weit wie möglich beheben. Vor allem bei Servern, die bereits länger in Betrieb sind, können hier einige Fehler auftauchen, die dringend behoben werden sollten. Oft sind in der Ereignisanzeige auch Fehler bezüglich der Hardware zu sehen, aber auch Konfigurations- und Sicherheitsprobleme finden sich dort. Die Überprüfung sollte also höchste Priorität haben.

Regelmäßige komplette Sicherung des Servers

Vor allem ältere Server und Betriebssysteme die schon eine Zeitlang laufen sind empfindlich, wenn es um die Installation neuer Software, Patches oder anderer Produkte geht. Auch das Ändern der Infrastruktur kann zu Problemen führen. Hinzu kommt, dass der Server jederzeit seinen Betrieb einstellen kann. Support ist in diesem Fall dann aber nicht mehr zu erwarten, vor allem nicht von Microsoft. Zwar bieten Dienstleister weiterhin Support an, allerdings ist dieser häufig teuer und mündet meist in die Migration zu einem neueren System.

Der erste Schritt, um den Server sicher zu betreiben, besteht also darin, diesen regelmäßig komplett zu sichern. Ist das nicht möglich, sollte zumindest eine einmalige Sicherung des kompletten Servers durchgeführt werden. Geht bei den Änderungen oder der Installation von Patches auf dem Server etwas schief, kann die Sicherung wieder eingespielt werden. Eine der bekanntesten Lösungen für das Klonen von Festplatten, ist Clonezilla. Booten Administratoren einen Server mit der Live-CD, lassen sich alle Festplatten inklusive aller Partitionen sichern und im Notfall auch wiederherstellen (siehe Abbildung 1).

Die Automatische Systemwiederherstellung (Automated System Recovery, ASR)

ASR gehört zum Funktionsumfang von Windows Server 2003. Mit ASR können Administratoren eine Datensicherung ihres Servers erstellen, die es ermöglicht, das komplette System im Fehlerfall wiederherzustellen. Bei einer ASR-Sicherung ist es wichtig, dass die Sicherung nicht in eine Datei auf dem Systemlaufwerk durchgeführt wird, da das Systemlaufwerk während des Wiederherstellungsprozesses überschrieben wird. Damit ASR verwendet werden kann, müssen einige Voraussetzungen erfüllt sein.

Der Server benötigt ein Diskettenlaufwerk, da die ASR-Sicherung auf diesem Laufwerk eine spezielle Wiederherstellungsdatei (asr.sif) speichert. Die Hardware, auf die mit ASR eine Sicherung zurückgespielt wird, muss exakt mit der Hardware übereinstimmen, auf der die ASR-Sicherung erstellt wurde. Die einzigen Ausnahmen sind die Festplatte, die aber mindestens genau so groß sein muss, die Grafikkarte sowie die Netzwerkkarten. Damit die automatische Systemwiederherstellung eingesetzt werden kann, sind folgende Aktionen notwendig:

  • Das Programm zur vollständigen Sicherung von Windows Server 2003 startet über "Programme/Zubehör/Systemprogramme/Sicherung". Mit der Option "Dateien und Einstellungen sichern" wird die Sicherung konfiguriert.
  • Im nächsten Fenster muss die Option "Alle Informationen auf diesem Computer" ausgewählt werden.
  • Danach wird das Ziel der Datensicherung festgelegt.
  • Im Anschluss startet die Sicherung und sichert zunächst alle Dateien des Servers.
  • Danach muss eine Diskette in das Diskettenlaufwerk eingelegt werden. Auf dieser Diskette speichert der Assistent die notwendigen Informationen, die bei einer ASR-Wiederherstellung benötigt werden. Administratoren können diese Diskette auch über das Menü "Extras" in der Datensicherung erstellen lassen.
  • Die Diskette und die Daten müssen an einem sicheren Ort aufbewahrt werden.

Um die Wiederherstellung mit ASR durchzuführen, ist die Windows Server 2003-Installations-CD und die ASR-Wiederherstellungsdiskette notwendig (siehe Abbildung 2). Zur Wiederherstellung kann über den Bootvorgang eine ASR-Wiederherstellung durchgeführt werden.

Inquisitor: Hardware umfassend testen

Mit der kostenlosen Live-CD Inquisitor lässt sich die Hardware von Computern und Servern testen. Da beim Einsatz von Windows Server 2003 meist nicht nur das Betriebssystem sondern auch die Hardware veraltet ist, besteht auch von dieser Seite Gefahr. Administratoren sollten den Server also auf Herz und Nieren prüfen, wenn er weiter eingesetzt werden soll. Hier bietet es sich an, auf jeden Fall die Festplatten und den Arbeitsspeicher auf Fehler zu testen, eventuell aber auch andere Bereiche des Servers. Zwar bietet auch die Ereignisanzeige erste Informationen, allerdings ist ein vollständiger Hardware-Check sicherlich sinnvoller, da dadurch Probleme mit der Hardware ausgeschlossen werden können.

Sicherheits-Patches und andere Aktualisierungen installieren

Häufig sind auf veralteten Servern mit Windows Server 2003 nicht alle aktuellen Sicherheitspatches installiert. Hier sollte auf jeden Fall nachgearbeitet werden. Nach der Sicherung des Servers sollten alle verfügbaren Aktualisierungen des Servers heruntergeladen und installiert werden. Dazu wird der Internet Explorer auf dem Server verwendet.

Nach dem Start des Internet Explorers wird über "Extras\Windows Update" die Installation der Aktualisierungen gestartet. In den meisten Fällen muss die Aktualisierung mehrmals durchgeführt werden, da nach der Installation von Updates meistens weitere Aktualisierungen gefunden werden (siehe Abbildung 3). Erst wenn ein Suchvorgang keine Aktualisierungen mehr findet, ist sichergestellt, dass der Server auf dem möglichst aktuellen Stand ist.

Neben der Aktualisierung des Betriebssystems sollten auch alle Serverdienste und Anwendungen von Drittherstellern auf den möglichst aktuellen Stand gebracht werden. Auch wenn die Software in vielen Fällen veraltet sein dürfte, gibt es sicherlich noch die eine oder andere Aktualisierung, welche die Sicherheit und Stabilität verbessert.

Server vom Internet trennen, oder andere Server von Windows Server 2003 trennen

Wenn Windows Server 2003 noch mit dem Internet verbunden ist, zum Beispiel als Webserver, besteht höchste Gefahr, dass Hacker den Server angreifen. Der sicherste Weg ist daher das komplette Trennen des Servers vom Internet. Ist das nicht möglich, oder der Aufwand zu groß, dann sollten zumindest die anderen Server im Netzwerk möglichst von diesem Server getrennt und abgesichert werden, damit ein Angreifer nicht auch noch Zugriff auf das Netzwerk und andere Server hat.

Hier ist unter Umständen der Betrieb einer zusätzlichen Firewall im Netzwerk sinnvoll, die den Datenverkehr vom Server mit Windows Server 2003 vom Rest des Netzwerks absichert. Eine kostenlose Firewall für diesen Fall ist bspw. die Linux-Firewall IP-Cop (siehe Abbildung 4).

Einzelne Serverdienste migrieren

Grundsätzlich sollten IT-Manager planen, ob einzelne, relevante Serverdienste auf andere Server migriert werden können. Dadurch wird der alte Server entlastet, und die Sicherheit der übernommenen Anwendung erhöht sich. Außerdem wird dadurch der Migrationszeitraum etwas entlastet, da weniger Dienste migriert werden müssen. Auf diesem Weg sollten nach und nach alle möglichen Serverdienste migriert werden, damit nur noch die notwendigsten Dienste auf dem Server betrieben werden, die sich nicht so einfach migrieren lassen. Im Idealfall können auf diesem Weg alle Serverdienste vom Server migriert werden. Vor allem sicherheitsrelevante Serverdienste sollten so schnell wie möglich verschoben werden.

Migration frühzeitig mit kostenloser Microsoft-Hilfe planen

Microsoft unterstützt Unternehmen, die noch auf Windows Server 2003 setzen, mit einem kostenlosen Tool, um auf neuere Server zu aktualisieren. Auch wenn der Server noch weiter eingesetzt werden soll, macht es Sinn, sich einen Überblick darüber zu verschaffen, welche Sicherheitslücken es gibt, und was beachtet werden muss. Mit dem Windows Server 2003 Migration Planning Assistant können sich IT-Manager einen Überblick verschaffen (siehe Abbildung 5) und dadurch sicherstellen, dass bei der Migration alles berücksichtigt wird, und während des Migrationszeitraums der alte Server noch möglichst fehlerfrei funktioniert.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44095521 / Administration)