· Rexoma Team · IT-Sicherheit · 6 min read
Windows Server absichern: Härtungs-Checkliste für KMU
Kritische Windows-Server-Lücken werden aktuell aktiv ausgenutzt. Diese Checkliste zeigt KMU, wie sie ihren Windows Server Schritt für Schritt absichern.
Sicherheitsexperten von Heise Security warnen regelmäßig: Kritische Windows-Server-Lücken werden aktiv ausgenutzt, oft bevor KMU reagieren können. In kleinen und mittleren Unternehmen läuft der Windows Server häufig in einer Konfiguration, die seit der Erstinstallation kaum angefasst wurde – mit allen Standardeinstellungen, die Angreifern das Leben leicht machen. Wer seinen Windows Server nicht aktiv absichert, riskiert Datenverlust, Betriebsunterbrechungen und Bußgelder nach DSGVO.
Warum Windows Server in KMU ein bevorzugtes Angriffsziel ist
In größeren Unternehmen gibt es dedizierte Security-Teams. In ostdeutschen KMU hingegen kümmert sich oft eine einzige Person nebenbei um die IT. Der Windows Server läuft, solange er läuft – aktives Absichern bleibt dabei auf der Strecke.
Typische Schwachstellen in nicht gehärteten Windows-Server-Umgebungen:
- RDP direkt im Internet: Remote Desktop Protocol auf Port 3389 ist direkt erreichbar, ohne Schutzmechanismus
- SMBv1 aktiv: Das veraltete Protokoll ist der Einfallstor für WannaCry und ähnliche Angriffe
- Schwache Administratorpasswörter: Standard-Admin-Konten mit vorhersehbaren Passwörtern
- Kein Patch-Management: Sicherheitsupdates werden aufgeschoben oder vergessen
- Fehlendes Logging: Ohne Logs ist eine Angriffserkennung unmöglich
Diese Kombination macht Windows Server zu einem Hauptziel von Ransomware-Gruppen, die gezielt KMU angreifen, weil dort die Schutzmaßnahmen fehlen.
Windows Server absichern: Schritt für Schritt
Die folgende Checkliste orientiert sich an den Empfehlungen des BSI (IT-Grundschutz) und ist auf KMU-Realitäten zugeschnitten – umsetzbar auch ohne spezialisiertes Security-Team.
1. Sicherheitsupdates konsequent einspielen
Das Wichtigste zuerst: Windows Server muss immer aktuell sein. Microsoft veröffentlicht Sicherheitsupdates monatlich am zweiten Dienstag (Patch Tuesday) – kritische Patches auch außer der Reihe.
Aktivieren Sie Windows Update für alle Microsoft-Produkte:
Windows Update → Erweiterte Optionen → Updates für weitere Microsoft-Produkte aktivierenFür mehrere Server empfiehlt sich WSUS (Windows Server Update Services) als zentrales Patch-Management. Wichtig: Patches nur testen, nicht dauerhaft blockieren. Ein ungepatchter Server ist gefährlicher als ein kurzes Wartungsfenster.
2. RDP absichern – oder komplett deaktivieren
Remote Desktop Protocol ist der meistgenutzte Angriffsweg auf Windows Server. Wer RDP direkt aus dem Internet erreichbar macht, bekommt automatisierte Angriffe innerhalb von Minuten.
Die sichere Variante: RDP nur über VPN zugänglich machen. Kein direkter Internetzugang auf Port 3389.
Falls RDP unvermeidbar ist, mindestens:
- Network Level Authentication (NLA) aktivieren
- Kontosperrung nach maximal 5 Fehlversuchen, 15 Minuten Sperrzeit
- Zugriff per Firewall auf bekannte IP-Adressen einschränken
Für Dresdner KMU, die mobiles Arbeiten oder Homeoffice ermöglichen, ist WireGuard VPN die deutlich sicherere Alternative zu offenem RDP.
3. SMBv1 deaktivieren
SMBv1 ist veraltet und der Ausgangspunkt des WannaCry-Angriffs von 2017, der weltweit mehr als 200.000 Systeme lahmlegte. Auf modernen Windows-Server-Installationen ist SMBv1 standardmäßig deaktiviert – auf älteren Systemen oder nach Upgrades kann es noch aktiv sein.
Prüfen und deaktivieren:
# Status prüfen
Get-SmbServerConfiguration | Select-Object EnableSMB1Protocol
# SMBv1 deaktivieren
Set-SmbServerConfiguration -EnableSMB1Protocol $false -ForceDieser Schritt dauert zwei Minuten und schließt eine der bekanntesten Angriffslücken in Windows-Umgebungen.
4. Lokale Administratorkonten absichern
Das lokale Administrator-Konto ist standardmäßig auf jedem Windows Server vorhanden – und damit bekannt. Angreifer probieren es als Erstes.
Maßnahmen:
- Konto umbenennen: Weg vom Namen “Administrator” hin zu einem neutralen, nicht erratbaren Namen
- Starkes Passwort: Mindestens 20 Zeichen, zufällig generiert (kein Muster, kein Name)
- LAPS einsetzen: Bei mehreren Windows-Servern oder -Clients verwaltet die Local Administrator Password Solution automatisch einzigartige, regelmäßig wechselnde Passwörter – pro Maschine unterschiedlich, zentral abrufbar
LAPS verhindert, dass ein einmal kompromittiertes lokales Passwort auf allen Maschinen gleichzeitig funktioniert – ein häufiger Angriffsvektor bei lateraler Bewegung im Netzwerk.
5. Windows Firewall konfigurieren
Die integrierte Windows Firewall ist ein oft unterschätztes Werkzeug. Aktivieren Sie sie auf allen drei Profilen (Domäne, Privat, Öffentlich) und schränken Sie eingehende Verbindungen auf das notwendige Minimum ein.
Konkret:
- Nur Ports freigeben, die tatsächlich benötigt werden
- Firewall-Logging aktivieren:
%SystemRoot%\System32\LogFiles\Firewall\pfirewall.log - Ausgehende Verbindungen ebenfalls einschränken (Default-Deny ausgehend ist ein gutes Sicherheitsniveau)
Wichtig: Die Windows Firewall ergänzt eine Perimeter-Firewall (wie OPNsense), ersetzt sie aber nicht. Die optimale Architektur ist Defense-in-Depth: Netzwerk-Firewall + Windows Firewall als zweite Schicht.
6. Audit-Logging einschalten
Ohne Logging ist eine Angriffserkennung nicht möglich. Was nicht aufgezeichnet wird, kann im Nachhinein nicht analysiert werden.
Aktivieren Sie erweiterte Auditrichtlinien über secpol.msc → Erweiterte Überwachungsrichtlinien:
- Anmeldeversuche (Erfolg und Fehler)
- Kontoverwaltung
- Rechtevergabe
- Objektzugriff für kritische Freigaben und Verzeichnisse
Zentrale Log-Sammlung: Logs nur auf dem Server selbst zu speichern ist riskant – bei einem Angriff manipuliert der Angreifer als Erstes die Logs. Für KMU reicht ein separater Syslog-Server oder ein einfaches SIEM.
7. Unnötige Dienste deaktivieren
Jeder laufende Dienst ist eine potenzielle Angriffsfläche. Prüfen Sie über services.msc, was wirklich gebraucht wird:
| Dienst | Empfehlung |
|---|---|
| Print Spooler | Nur auf Druckservern aktiv lassen |
| Remote Registry | Deaktivieren – in KMU fast nie benötigt |
| Fax | Deaktivieren |
| LLMNR / NetBIOS | Deaktivieren – Einfallstor für MITM-Angriffe |
| Windows Error Reporting | Kann in sicheren Umgebungen deaktiviert werden |
Faustregel: Was nicht läuft, kann nicht kompromittiert werden.
8. Sicherheitsrichtlinien per Gruppenrichtlinien (GPO)
Gruppenrichtlinien ermöglichen konsistente Sicherheitseinstellungen für alle Server und Clients in der Domäne. Mindestens einrichten:
- Passwortrichtlinien: Mindestlänge 12 Zeichen, Komplexitätspflicht, Wiederverwendungssperre
- Kontosperrung: Nach 5 Fehlversuchen, 15 Minuten Sperrzeit
- AutoRun deaktivieren: Verhindert automatisches Ausführen von USB-Inhalten
- Screensaver mit Sperrung: Nach 10 Minuten Inaktivität
9. Regelmäßige Schwachstellenscans
Windows Server absichern ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Mindestens vierteljährliche Scans zeigen, was sich seit dem letzten Review verändert hat:
- Greenbone/OpenVAS: Kostenlos, Open Source, auch für KMU geeignet
- Nessus Essentials: Kostenlos für kleine Umgebungen bis 32 IPs
- Windows Defender Vulnerability Management: Im Microsoft-365-Defender-Paket enthalten
Häufige Fehler beim Windows Server absichern
Patches aufschieben: Viele KMU verschieben Updates aus Angst vor Unterbrechungen. Richtig ist: Ein geplantes Wartungsfenster mit Backup ist sicherer als ein ungepatchter Server, der kompromittiert wird.
RDP ohne VPN: RDP direkt im Internet ist in 2026 fahrlässig. Wer Fernzugriff braucht, löst es über VPN.
Keine Trennung von Admin- und Nutzerkonten: Administratoren sollten für Alltagsaufgaben ein normales Benutzerkonto verwenden und das Admin-Konto nur gezielt einsetzen.
Logging ignorieren: “Wir sind zu klein für einen Angriff” – das stimmt nicht. Automatisierte Angriffe treffen ungepatchte Server, unabhängig von der Unternehmensgröße.
Ihr Zeitplan: Windows Server absichern in Etappen
| Maßnahme | Aufwand | Priorität |
|---|---|---|
| Sicherheitsupdates einspielen | 1–2 Stunden | Sofort |
| SMBv1 deaktivieren | 15 Minuten | Sofort |
| RDP über VPN lösen | 2–4 Stunden | Hoch |
| Audit-Logging aktivieren | 1 Stunde | Hoch |
| Lokale Admin-Konten absichern | 30 Minuten | Hoch |
| LAPS einrichten | 2–3 Stunden | Mittel |
| GPO-Richtlinien konfigurieren | 3–5 Stunden | Mittel |
| Schwachstellenscan | 2 Stunden | Monatlich |
Unterstützung in Dresden gesucht?
Rexoma IT hilft KMU in Dresden und Sachsen dabei, Windows-Server-Umgebungen nach BSI-Standard professionell abzusichern. Von der initialen Analyse über die Umsetzung der Härtungsmaßnahmen bis zum laufenden Monitoring übernehmen wir die Verantwortung – damit Sie sich auf Ihr Kerngeschäft konzentrieren können.
Häufige Fragen zum Windows Server absichern
Wie oft sollte ein Windows Server aktualisiert werden? Sicherheitsupdates monatlich am Patch Tuesday, kritische Patches außer der Reihe sofort. Automatische Updates mit definierten Wartungsfenstern sind die pragmatischste Lösung für KMU.
Reicht die Windows Firewall oder brauche ich eine separate Firewall? Beides. Die Windows Firewall ist ein sinnvoller zweiter Schutzwall, ersetzt aber keine Perimeter-Firewall. Optimale Architektur für KMU: OPNsense als Netzwerk-Firewall + Windows Firewall auf jedem Server.
Was ist LAPS und warum ist es für KMU relevant? LAPS (Local Administrator Password Solution) verwaltet automatisch einzigartige, regelmäßig wechselnde Passwörter für lokale Administratorkonten. Ohne LAPS haben oft alle Windows-Maschinen dasselbe lokale Admin-Passwort – kompromittiert ein Angreifer eine Maschine, hat er sofort Zugriff auf alle.
Fällt Windows Server-Härtung unter NIS2? Für Unternehmen, die unter NIS2 fallen, sind technische Sicherheitsmaßnahmen an Servern Pflicht. Ein ungehärteter Windows Server wäre ein Compliance-Risiko. Rexoma IT berät KMU in Sachsen auch zur NIS2-Umsetzung.
Wie lange dauert es, einen Windows Server grundlegend abzusichern? Die wichtigsten Sofortmaßnahmen (Updates, SMBv1, RDP-Schutz, Logging) sind in einem Halbtag umsetzbar. Eine vollständige Härtung nach BSI-Standard dauert je nach Ausgangslage ein bis zwei Arbeitstage.
Rexoma IT