Bundesamt für Sicherheit in der Informationstechnik

M 4.416 Einsatz von Windows Server Core

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Ab Windows Server 2008 kann das Betriebssystem als "Server Core" installiert werden. Der Server Core stellt ein minimales, weitgehend ohne graphische Oberfläche auskommendes System dar. Konfigurationen am System selbst sind ausschließlich über die Kommandozeile oder unter Windows Server 2008 R2 mit der PowerShell möglich, soweit dieses Feature installiert ist.

Die Vorteile eines Server Core sind:

  • Die Angriffsfläche des Systems wird erheblich reduziert (weniger Software bedeutet weniger relevante Schwachstellen).
  • Es müssen weniger Patches eingespielt werden. Dadurch entstehen geringere Ausfallzeiten durch die Softwarewartung.

In bestimmten Fällen wie beim Einsatz als Hyper-V ist auch der geringere Ressourcenverbrauch vorteilhaft.

Eine Server Core-Installation sollte für alle Serverdienste in Betracht gezogen werden, wenn wohldefinierte und zentrale Infrastrukturdienste aufgesetzt werden oder wenn ein höherer Schutzbedarf absehbar ist.

Da keine direkte Migration zwischen einer Vollinstallation und Server Core möglich ist, muss bereits in der Planungsphase geklärt werden, ob Server Core eingesetzt werden soll und ob bestimmte Features benötigt werden. Besonderes Augenmerk sollte auch auf die Art der Administration gelegt werden.

Die Administratoren eines Server Core müssen ausreichend geschult sein, um den Server über die verfügbaren Werkzeuge auf der Kommandozeile zu administrieren.

Die fehlenden interaktiven lokalen Administrationsoptionen werden meist durch die generischen Remote-Administrationsmöglichkeiten (Server-Manager, MMC) oder anwendungsspezifische Remote-Management-Möglichkeiten aufgewogen. Die Anwendbarkeit bestehender Administrationstools sollte vorab geprüft werden.

Auf einem Server Core sind nicht alle Rollen oder Features installierbar, es werden nur spezifische Rollen unterstützt. Die in der Praxis größte Einschränkung liegt in der fehlenden Unterstützung von .NET (kein "Managed Code") in der Standard-Installation.

Das Hauptaugenmerk bei den unterstützten Server-Rollen liegt daher bei "einfachen" Diensten wie

  • Active Directory Certificate Services,
  • Active Directory Domänendienste,
  • Active Directory Lightweight Directory Services (AD-LDS),
  • DHCP-Server, DNS-Server,
  • Dateidienste, Druckdienste,
  • Hyper-V,
  • Streaming-Media-Dienste und
  • Web-Server.

Da sich nicht jede Software auf dem Server Core nutzen lässt, ist ein ausreichender Test der einzusetzenden Software auf dieser Konfiguration unerlässlich.

Prüffragen:

  • Wurde für den Betrieb von Infrastrukturdiensten oder für Server mit erhöhtem Schutzbedarf geprüft, ob der Server als Server Core betrieben werden kann?

  • Ist das Administrationspersonal für die kommandozeilenbasierte Administration ausreichend geschult?

  • Sind alle auf dem Windows Server Core benötigten Software-Komponenten ausreichend in dieser Umgebung getestet worden?

Stand: 13. EL Stand 2013