M 4.285 Deinstallation nicht benötigter Client-Funktionen von Windows Server 2003

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Standardinstallation von Windows Server 2003 enthält verschiedene Funktionen, die als Clientzubehör von Windows XP bekannt sind. Auf einem Server werden sie nicht benötigt und sollten deinstalliert oder, falls Deinstallation nicht möglich, zumindest deaktiviert werden, um die Angriffsfläche zu verringern und die damit verbundenen unnötigen Risiken zu reduzieren.

Deinstallieren von Programmen unter Start | Alle Programme | Zubehör

Hinweis: Durch die Schritte 1 bis 3 werden die Software-Optionen in Schritt 4 erst sichtbar gemacht.

Deaktivieren von Mediaplayer, Outlook Express und Netmeeting

Die Deinstallationsroutinen der integrierten Komponenten Mediaplayer, Outlook Express und Netmeeting entfernen die Programme nicht vollständig, das ungewollte Ausführen ist weiterhin möglich. Deshalb sollten diese Programme mit Hilfe der Richtlinien für Softwareeinschränkungen (siehe M 4.286 Verwendung der Softwareeinschränkungsrichtlinie unter Windows Server 2003) deaktiviert werden.

Werden Active Directory und Gruppenrichtlinien verwendet, so muss die Wirksamkeit der Einstellungen auf dem einzelnen Server durch korrekte Konfiguration der Gruppenrichtlinien sichergestellt sein (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows).

Anpassen der lokalen Softwareeinschränkungsrichtlinie:

Falls eines der deaktivierten Programme bisher beim Start des Betriebssystems automatisch geladen wurde, können Fehlermeldungen auftreten. Die entsprechenden Autostart-Funktionen sollten vor der Aktivierung der Richtlinie abgeschaltet werden, z. B. mit msconfig.exe.

Weiterhin sollte die Internetkommunikation für Windows-Client-Komponenten eingeschränkt werden. Dazu ist in der lokalen Gruppenrichtlinie (Start | Ausführen... | gpedit.msc) der Zweig Computerkonfiguration | Administrative Vorlagen | System | Internetkommunikationsverwaltung | Internetkommunikationseinstellungen auszuwählen. Hier sollten alle Funktionen deaktiviert werden. Nur Automatische Aktualisierung von Stammzertifikaten und Windows Update sollten aktiviert bleiben, solange hierfür kein alternatives Verfahren für den Server festgelegt wurde.

Wenn weitere nicht benötigte Client-Anwendungen und -Funktionen auf dem Server aktiv sind, dann sind auch diese zu deinstallieren bzw. zu deaktivieren..

Ergänzende Kontrollfragen: