Windows Server 2003 auch nach dem Support-Ende sicher betreiben

Am 14. Juli 2015 droht das Support-Ende von Windows Server 2003. Mit diesen Tipps lassen sich betroffene Server noch eine Weile absichern.

Das Support-Ende von Windows Server 2003 und Windows Server 2003 R2 am 14. Juli 2015 steht kurz bevor, und obwohl Microsoft in den letzten Monaten immer wieder auf dieses Datum hingewiesen hat, laufen in vielen Unternehmen noch immer geschäftskritische Workloads auf dem mehr als zehn Jahre alten Server-Betriebssystem. Laut einer Umfrage des Security-Anbieters Bit9 gibt es derzeit noch neun Millionen Systeme mit Windows Server 2003, IDC dagegen kommt auf lediglich knapp drei Millionen Server-Installationen.

Unabhängig von den unterschiedlichen Zahlen werden viele Unternehmen die Deadline zum Support-Ende verfehlen. Die Gründe hierfür sind vielfältig, aber zum Beispiel auch die Wirtschaftskrise dürfte ihren Teil dazu beitragen: Viele Unternehmen verschieben derzeit ihre IT-Investitionen, womit unterfinanzierte IT-Abteilungen schon mit dem täglichen Geschäftsabläufen kämpfen müssen, ganz zu schweigen von großflächigen Server-Migrationen.

Nach dem 14. Juli 2015 wird Microsoft aber keine Sicherheits-Updates oder Hotfixes und keinen Support mehr bieten. Auch wenn Windows Server 2003 damit nicht von einem Tag auf den anderen aufhört zu funktionieren: Ab diesem Datum wird Microsoft Sicherheitslücken nicht mehr schließen, was Windows Server 2003 in kurzer Zeit enorm angreifbar machen wird. Dadurch entsteht nicht nur ein großes Sicherheitsrisiko, hier bahnt sich auch ein Compliance-Problem an, da aus dem Support gelaufene Software von nahezu allen Compliance-Standards als Kontrollverlust bewertet wird. Damit gibt es eigentlich genügend Gründe, um das höhere Management von einer Migration zu überzeugen, bevor Windows Server 2003 sein Support-Ende erreicht.

Erste Schritte nach dem Support-Ende von Windows Server 2003

Die Migration weg von Windows Server 2003 sollte natürlich so früh wie möglich beginnen, wie auch die Lektionen aus dem Support-Ende von Windows XP gezeigt haben. Der erste Schritt hierzu ist eine ordentliche Erfassung aller Installation von Windows Server 2003 und den darauf laufenden Workloads. Möglich ist dies zum Beispiel mit dem kostenlosen Microsoft Assessment and Planning Toolkit.

Als nächstes sollte die ungefähre Zeit abgeschätzt werden, die zur Migration jeder Applikation nötig sein wird. Manche Applikationen wird man einfach in die Cloud oder zu SaaS-basierten (Software-as-a-Service) Anwendungen umziehen können. Ein Beispiel hierfür wäre der Wechsel von einem lokal installierten Exchange hin zu Office 365

Virtualisierung kann für den Übergang sehr hilfreich sein, während eine Applikation von Grund auf neu geschrieben werden muss. Auch diese Neuentwicklung sollte natürlich so bald wie möglich beginnen, um Probleme und Fehler frühzeitig beheben zu können. Das ist in den meisten Fällen natürlich keine kleine Aufgabe, hier ergibt sich aber gleichzeitig die Chance, Sicherheit und Stabilität der Anwendung zu verbessern oder vielleicht auch gleich neue Funktionen einzubauen.

Upgrade-Möglichkeiten für Windows Server 2003

Eine ganz andere Möglichkeit besteht in einem Wechsel zu einer völlig neuen Plattform, beispielsweise Linux oder sogar Unix. Möglich wäre aber auch ein Betriebssystem-Upgrade zu Windows Server 2008 oder 2012 sowie die Migration der Infrastruktur zu Microsoft Azure.

Unix-basierte Betriebssysteme sind aber wohl nur für die wenigsten Unternehmen eine ernstzunehmende Alternative, da die meisten betroffenen Anwendungen wohl ausschließlich auf Windows-Systemen laufen werden. Windows Server 2008 dagegen befindet sich bereits außerhalb des Mainstream-Supports und der Extended-Support wird nur noch fünf Jahre verfügbar sein. Mit dieser Option zögert man die Probleme also nur für eine kurze Zeit hinaus.

Für ein Upgrade zu einer neueren Windows-Server-Version ist damit Windows Server 2012/2012 R2 die logische Wahl, allerdings kann Microsofts aktuelles Server-Betriebssystem keine 16-Bit-Anwendungen ausführen und 32-Bit-Anwendungen nur über einen Emulator. Zudem müssten Anwendungen aktualisiert werden, die im Kernel- statt im User-Modus ausgeführt werden müssen, also beispielsweise Security-Anwendungen oder auch Systemdienste wie Backups und Management-Agents.

Wer mit der Cloud-Option liebäugelt wird Legacy-Anwendungen ebenfalls aktualisieren müssen. Eine Windows-Server-2003-Installation kann zum Beispiel nicht auf Microsoft Azure gehostet werden, wenn sie nicht auf einem 64-Bit-Image basiert, was bei den meisten nicht der Fall sein dürfte.

Sicherheitsmaßnahmen nach dem Support-Ende

Microsoft selbst geht von einem Zeitraum von ungefähr einem Jahr aus, den Unternehmen für die Migration geschäftskritischer Applikationen in etwa veranschlagen müssen. Wer zu spät mit dem Migrationsprozess begonnen hat, muss jetzt schnell handeln, sich für eine Migrationsstrategie entscheiden und Applikationen priorisieren.

Weitere Artikel zur Server-Migration:

Web-Scale-Plattformen als Alternative zur Cloud-Migration

Vergleich gängiger Linux-Distributionen für Enterprise-Server

Office 365 Migration: Übernahmemigration vs. mehrstufige Migration

Die Sicherheit von Windows Server 2003 lässt sich anschließend mit dem kostenlosen Microsoft Enhanced Mitigation Experience Toolkit (EMET) verbessern. Hiermit können Administratoren verschiedene Sicherheitsmaßnahmen gezielt für bestimmte Anwendungen treffen, um häufigen Angriffsvektoren wie Buffer Overflows oder Memory Corruption abzumildern. Allerdings bringen die Sicherheitstechnologien des EMET mögliche Kompatibilitätsprobleme mit sich. Manche Applikationen beruhen nämlich auf dem gleichen Verhalten, das EMET blockiert, daher sollte man EMET auf allen in Frage kommenden Systemen ausreichend testen, bevor EMET in der Produktivumgebung ausgerollt wird.

EMET stellt eine grafische Benutzeroberfläche bereit, mit der sich der Status laufender Prozesse konfigurieren und überwachen lässt. Das erweist sich vor allem dann als äußerst hilfreich, wenn ein Prozess innerhalb einer größeren Sammlung von Applikationen nicht kompatibel mit einer bestimmten EMET-Technologie ist. Für diesen Prozess lässt sich dann genau diese Security-Technologie deaktivieren. Ein großer Vorteil von EMET liegt darin, dass proprietäre Software nicht neu kompiliert werden muss, um die darin gebotenen Sicherheitsmaßnahmen zu unterstützen.

Zusätzlich zu EMET kann Software zur Rechteverwaltung verhindern, dass Anwendungen auf Windows-Server-2003-Instanzen zugreifen, während virtuelles Patching und nötigenfalls auch eine Web Application Firewall für zusätzliche Sicherheit sorgen. Vorsorglich sollten für alle Fälle auch Pläne zur Isolierung von Servern mit Windows Server 2003 getroffen werden. Wer eine Kompromittierung seiner Server vermutet, kann diese mit dem kostenfreien ESET SysInspector unter die Lupe nehmen.

Die Migration von Legacy-Anwendungen ist zeit- und ressourcenintensiv, aus dem Support gelaufene Software zu verwenden ist auf Dauer aber ein zu großes Risiko. Schließlich wird jede neue Schwachstelle Hackern weit offenstehen und nicht mehr geschlossen werden. Das Support-Ende von Windows Server 2003 ist eine große Chance für Unternehmen, Server und Hardware zu aktualisieren sowie von Cloud-Modellen und neuesten Technologien zu profitieren. 

Viele Administratoren haben die Migration inzwischen erfolgreich durchgeführt, von ihren Erfahrungen kann man im Internet in vielen Technik- und Support-Foren lernen. Zudem stellt auch Microsoft umfassende Informationen für eine Migration zur Verfügung.

Nichtstun ist also definitiv keine Option mehr.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Serverbetriebssysteme

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close