Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Härtung von Windows-Worker-Knoten
OS Hardening ist eine Kombination aus Betriebssystemkonfiguration, Patchen und Entfernen unnötiger Softwarepakete, die darauf abzielen, ein System zu sperren und die Angriffsfläche zu reduzieren. Es hat sich bewährt, Ihr eigenes EKS-optimiertes Windows-AMI mit den von Ihrem Unternehmen geforderten Härtungskonfigurationen vorzubereiten.
AWS stellt jeden Monat ein neues EKS-optimiertes Windows-AMI bereit, das die neuesten Windows Server-Sicherheitspatches enthält. Es liegt jedoch weiterhin in der Verantwortung des Benutzers, sein AMI zu schützen, indem er die erforderlichen Betriebssystemkonfigurationen anwendet, unabhängig davon, ob er selbstverwaltete oder verwaltete Knotengruppen verwendet.
Microsoft bietet eine Reihe von Tools wie das [Microsoft Security Compliance Toolkit](https://www.microsoft.com/en-us/download/details.aspx?id=55319) und [Security Baselines](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-baselines), die Ihnen dabei helfen, Schutzmaßnahmen auf der Grundlage Ihrer Sicherheitsrichtlinien zu erreichen. [CIS-Benchmarks](https://learn.cisecurity.org/benchmarks) sind ebenfalls verfügbar und sollten zusätzlich zu einem für Amazon EKS optimierten Windows-AMI für Produktionsumgebungen implementiert werden.
## Reduzierung der Angriffsfläche mit Windows Server Core
Windows Server Core ist eine Minimalinstallationsoption, die als Teil des [EKS-optimierten Windows-AMI](https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-windows-ami.html) verfügbar ist. Die Bereitstellung von Windows Server Core bietet eine Reihe von Vorteilen. Erstens hat es einen relativ geringen Festplattenbedarf, nämlich 6 GB auf Server Core gegenüber 10 GB auf Windows Server mit Desktop-Erfahrung. Zweitens hat es aufgrund seiner kleineren Codebasis eine kleinere Angriffsfläche und ist verfügbar. APIs
AWS stellt seinen Kunden AMIs jeden Monat ein neues Amazon EKS-optimiertes Windows zur Verfügung, das die neuesten Microsoft-Sicherheitspatches enthält, unabhängig von der von Amazon EKS unterstützten Version. Als bewährte Methode gilt, dass Windows-Worker-Knoten durch neue ersetzt werden müssen, die auf dem neuesten Amazon EKS-optimierten AMI basieren. Für jeden Knoten, der länger als 45 Tage läuft, ohne dass ein Update installiert oder ein Knoten ausgetauscht wurde, fehlen bewährte Sicherheitsmethoden.
## Vermeidung von RDP-Verbindungen
Remote Desktop Protocol (RDP) ist ein Verbindungsprotokoll, das von Microsoft entwickelt wurde, um Benutzern eine grafische Oberfläche zur Verfügung zu stellen, mit der sie über ein Netzwerk eine Verbindung zu einem anderen Windows-Computer herstellen können.
Als bewährte Methode sollten Sie Ihre Windows-Worker-Knoten so behandeln, als wären sie kurzlebige Hosts. Das bedeutet, dass keine Verwaltungsverbindungen, keine Updates und keine Problembehandlung erforderlich sind. Jede Änderung und Aktualisierung sollte als neues benutzerdefiniertes AMI implementiert und durch die Aktualisierung einer Auto Scaling Scaling-Gruppe ersetzt werden. Weitere Informationen finden Sie unter **Patchen von Windows-Servern und Containern** und **optimiertes Windows AMI-Management mit Amazon EKS**.
Deaktivieren Sie RDP-Verbindungen auf Windows-Knoten während der Bereitstellung, indem Sie der Eigenschaft ssh den Wert **false** übergeben, wie im folgenden Beispiel:
```
nodeGroups:
- name: windows-ng
instanceType: c5.xlarge
minSize: 1
volumeSize: 50
amiFamily: WindowsServer2019CoreContainer
ssh:
allow: false
```
Wenn Zugriff auf den Windows-Knoten erforderlich ist, verwenden Sie [AWS System Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html), um eine sichere PowerShell Sitzung über die AWS-Konsole und den SSM-Agenten einzurichten. Informationen zur Implementierung der Lösung finden Sie unter [Sicherer Zugriff auf Windows-Instances mithilfe von AWS Systems Manager Session Manager](https://www.youtube.com/watch?v=nt6NTWQ-h6o)
Um System Manager Session Manager verwenden zu können, muss eine zusätzliche IAM-Richtlinie auf die IAM-Rolle angewendet werden, die zum Starten des Windows-Worker-Knotens verwendet wird. Im Folgenden finden Sie ein Beispiel, in dem **Amazon** im `eksctl` Cluster-Manifest angegeben SSMManaged InstanceCore ist:
```
nodeGroups:
- name: windows-ng
instanceType: c5.xlarge
minSize: 1
volumeSize: 50
amiFamily: WindowsServer2019CoreContainer
ssh:
allow: false
iam:
attachPolicyARNs:
- arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
- arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
- arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
- arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
- arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
## Amazon Inspector
[Amazon Inspector](https://aws.amazon.com/inspector/) ist ein automatisierter Sicherheitsbewertungsservice, der dazu beiträgt, die Sicherheit und Konformität der auf AWS bereitgestellten Anwendungen zu verbessern. Amazon Inspector bewertet Anwendungen automatisch auf Sicherheitslücken, Sicherheitslücken und Abweichungen von bewährten Methoden. Nach der Durchführung einer Bewertung erstellt Amazon Inspector eine detaillierte Liste der Sicherheitsfeststellungen, die nach Schweregrad priorisiert sind. Diese Ergebnisse können direkt oder als Teil detaillierter Bewertungsberichte überprüft werden, die über die Amazon Inspector Inspector-Konsole oder API verfügbar sind.
Amazon Inspector kann verwendet werden, um die CIS-Benchmark-Bewertung auf dem Windows-Worker-Knoten auszuführen, und es kann auf einem Windows Server Core installiert werden, indem die folgenden Aufgaben ausgeführt werden:
1. Laden Sie die folgende EXE-Datei herunter: https://inspector-agent.amazonaws.com/windows/ installer/latest/AWSAgentInstall .exe
1. Übertragen Sie den Agenten auf den Windows-Worker-Knoten.
1. Führen Sie den folgenden Befehl aus PowerShell , um den Amazon Inspector Agent zu installieren: `.\AWSAgentInstall.exe /install`
Im Folgenden finden Sie die Ausgabe nach dem ersten Lauf. Wie Sie sehen können, wurden Ergebnisse auf der Grundlage der [CVE-Datenbank](https://cve.mitre.org/) generiert. Sie können dies verwenden, um Ihre Worker-Knoten zu härten oder ein AMI auf der Grundlage der gehärteten Konfigurationen zu erstellen.
![\[Inspektor, Agent\]](http://docs.aws.amazon.com/de_de/eks/latest/best-practices/images/windows/inspector-agent.png)
Weitere Informationen zu Amazon Inspector, einschließlich der Installation von Amazon Inspector-Agenten, der Einrichtung der CIS-Benchmark-Bewertung und der Erstellung von Berichten, finden Sie im Video [Verbesserung der Sicherheit und Konformität von Windows-Workloads mit Amazon Inspector](https://www.youtube.com/watch?v=nIcwiJ85EKU).
## Amazon GuardDuty
[Amazon GuardDuty](https://aws.amazon.com/guardduty/) ist ein Service zur Bedrohungserkennung, der kontinuierlich nach böswilligen Aktivitäten und unberechtigtem Verhalten sucht, um Ihre AWS-Konten, Workloads und in Amazon S3 gespeicherten Daten zu schützen. Mit der Cloud wird die Erfassung und Aggregation von Konto- und Netzwerkaktivitäten vereinfacht, aber es kann für Sicherheitsteams zeitaufwändig sein, Ereignisprotokolldaten kontinuierlich auf potenzielle Bedrohungen zu analysieren.
Durch die Nutzung von Amazon haben GuardDuty Sie Einblick in böswillige Aktivitäten gegen Windows-Worker-Knoten, wie RDP-Brute-Force- und Port-Probe-Angriffe.
Sehen Sie sich das GuardDuty Video [Bedrohungserkennung für Windows-Workloads mithilfe von Amazon](https://www.youtube.com/watch?v=ozEML585apQ) an, um zu erfahren, wie Sie CIS-Benchmarks auf optimiertem EKS-Windows-AMI implementieren und ausführen
## Sicherheit in Amazon EC2 für Windows
Informieren Sie sich über die [bewährten Sicherheitsmethoden für Amazon EC2 Windows-Instances](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-security.html) zur Implementierung von Sicherheitskontrollen auf jeder Ebene.