Windows-serverbeheer: patches, monitoring en best practices voor IT-teams en MSP’s

Windows Server is het platform waaraan MSP’s de meeste tijd besteden. Het is het meest gebruikte serverbesturingssysteem in het MKB en bij middelgrote bedrijven, en draait Active Directory, DNS, DHCP, bestandsdeling, SQL-databases, Exchange en de applicatie-backends waarvan de bedrijfsvoering van elke klant afhankelijk is. Als Windows Server goed werkt, merkt niemand het. Als dat niet het geval is, ligt alles stil.

Het beheer dat Windows Server-omgevingen betrouwbaar houdt, is niet ingewikkeld, maar wel systematisch. Een vaste Patch Tuesday-cyclus met ringgebaseerde implementatie voordat de productieomgeving wordt aangeraakt. Monitoring van het gebeurtenissenlogboek om schijffouten en afwijkingen in de authenticatie op te sporen voordat ze tot incidenten leiden. Beveiligingsversterking die verder gaat dan het up-to-date houden van Windows. Applicatieconsistente back-ups met herstelmogelijkheden die in minuten in plaats van uren worden gemeten. En documentatie die een snel herstel mogelijk maakt, ongeacht of de technicus die de server heeft gebouwd beschikbaar is.

Deze handleiding behandelt de werkwijzen die ervoor zorgen dat Windows Server-omgevingen veilig en betrouwbaar blijven draaien, met zo min mogelijk onvoorziene uitval. Voor MSP’s die gemengde omgevingen beheren, behandelt het bijbehorende artikel over Linux-serverbeheer de werkwijzen die van toepassing zijn wanneer Windows- en Linux-servers in hetzelfde netwerk zijn ondergebracht.

Wat is Windows-serverbeheer?

Windows Server-beheer omvat het geheel van doorlopende operationele werkzaamheden die ervoor zorgen dat Windows Server-systemen worden bijgewerkt, bewaakt, beveiligd, geback-upt en volgens de specificaties blijven functioneren. Het bestrijkt de volledige levensduur van een server, van de implementatie en basisconfiguratie via routineonderhoud tot de planning van de migratie aan het einde van de levensduur.

In de praktijk omvat dit vakgebied vier onderdelen die niet los van elkaar kunnen worden gezien. Patchbeheer houdt het aanvalsoppervlak up-to-date in het licht van de maandelijkse beveiligingsupdates van Microsoft. Monitoring brengt signalen aan het licht die op problemen wijzen, nog voordat deze tot voor de gebruiker zichtbare storingen leiden. Beveiligingsversterking verkleint het kwetsbare oppervlak verder dan wat met patches alleen kan worden bereikt. Back-ups bieden een herstelroute voor het geval de eerste drie maatregelen een incident niet kunnen voorkomen.

Voor MSP’s vormt het beheer van Windows Server de operationele kern van de meeste klantomgevingen. Storingen in Active Directory, uitval van SQL Server en onbeschikbaarheid van bestandsservers zijn de categorieën incidenten met grote gevolgen die het grootste deel van de escalaties naar de servicedesk uitmaken. De werkwijzen in deze handleiding zorgen ervoor dat dergelijke incidenten minder vaak voorkomen en dat ze, mochten ze zich toch voordoen, sneller worden opgelost.

Patchbeheer voor Windows Server

Het patchen van Windows Server verloopt volgens een maandelijkse cyclus die is afgestemd op Microsofts ‘Patch Tuesday’, de tweede dinsdag van elke maand, waarop Microsoft cumulatieve updates, beveiligingsupdates en optionele niet-beveiligingsupdates uitbrengt. Buiten deze cyclus worden er buitengewone patches voor kritieke kwetsbaarheden uitgebracht, die doorgaans dringend moeten worden geïnstalleerd, afhankelijk van de ernst en de mate waarin de betreffende kwetsbaarheid kan worden misbruikt.

De aanbevolen werkwijze voor het installeren van patches begint met een testomgeving, niet met de productieomgeving. Implementeer eerst op een representatieve set niet-productieservers, observeer gedurende 24 tot 48 uur en rol vervolgens uit naar de productieomgeving. De patchbeleidsengine van Kaseya VSA 10 ondersteunt ringgebaseerde implementatie, waarbij groepen servers worden gedefinieerd die patches achtereenvolgens ontvangen met validatiepoorten tussen de ringen. Dit vangt de incidentele update op die compatibiliteitsproblemen veroorzaakt met specifieke serverworkloads, zoals een cumulatieve update die conflicteert met een bepaalde netwerkdriverconfiguratie, zonder dat de productiesystemen eerst worden blootgesteld.

Het beheer van herstarts is de andere operationeel gevoelige variabele. Voor veel Windows Server-patches is een herstart nodig om de installatie te voltooien. Herstarts van servers moeten worden ingepland tijdens onderhoudsvensters, buiten de productietijden van productieservers, waarbij klanten vooraf op de hoogte moeten worden gesteld wanneer de server bedrijfskritische applicaties host. De configuratie van onderhoudsvensters in Kaseya VSA 10 zet patch-installaties en herstarts in de wachtrij voor het goedgekeurde venster in plaats van ze onmiddellijk uit te voeren, wat betekent dat er geen ongeplande herstarts plaatsvinden tijdens productietijden.

Het patchen van applicaties van derden is een punt waarop veel Windows Server-omgevingen tekortschieten. Windows Update zorgt voor de updates van Microsoft-componenten. Applicaties van derden, zoals Adobe, Java, webbrowsers en databaseclients, moeten apart worden beheerd. De patchbibliotheek voor applicaties van derden in Kaseya VSA 10 omvat meer dan 200 applicaties, waardoor het geautomatiseerde patchbeheer niet langer beperkt blijft tot Windows, maar wordt uitgebreid naar alle software die op de server draait.

Monitoring van Windows-servers

Effectieve monitoring van Windows Server omvat vier gebieden: systeembronnen, services, gebeurtenislogboeken en schijfruimte. De meeste gevallen van onvoorziene uitval geven op ten minste één van deze gebieden een waarneembaar signaal af voordat ze voor eindgebruikers zichtbaar worden.

De monitoring van systeembronnen houdt het CPU-gebruik bij (een aanhoudend hoog gebruik duidt op een overbelaste server of op de hand gelopen processen), het geheugengebruik en het gebruik van het wisselbestand (geheugendruk die de prestaties van applicaties beïnvloedt), de latentie van schijf-I/O (trage schijfleesbewerkingen die de responstijden van applicaties beïnvloeden) en de netwerkdoorvoer (verzadiging van de interface of buitensporig veel hertransmissies). Drempelwaarschuwingen voor deze statistieken geven het technische team de tijd om onderzoek te doen voordat er gevolgen voor de gebruikers optreden.

Servicemonitoring controleert of de processen die een server zou moeten uitvoeren, ook daadwerkelijk actief zijn. Kritieke Windows-services, waaronder Active Directory, DNS, DHCP, de afdrukspooler en toepassingsspecifieke services, moeten op beschikbaarheid worden gecontroleerd en er moet automatisch een melding worden gegenereerd wanneer ze uitvallen. De servicemonitoring en de functie voor automatisch herstarten van Kaseya VSA 10 pakken veelvoorkomende storingsscenario’s aan zonder dat er een technicus aan te pas hoeft te komen. Dit maakt het verschil tussen een kortstondige storing die vanzelf weer verdwijnt en een supportticket.

Het monitoren van Windows-gebeurtenislogboeken levert de meest waardevolle vroegtijdige waarschuwingssignalen op. Mislukte authenticatiepogingen, schijffouten (gebeurtenis-ID’s 7, 11 en 51 in het systeemlogboek), programma-crashes en storingen in services worden allemaal al in de gebeurtenislogboeken geregistreerd voordat er voor de gebruiker zichtbare symptomen optreden. Door de gebeurtenislogboeken te monitoren met vooraf ingestelde waarschuwingsdrempels kan een schijf die leesfouten vertoont, een vervangingsprocedure in gang zetten voordat deze uitvalt, in plaats van pas tijdens het herstel na een storing.

Schijfruimte verdient een eigen waarschuwingssysteem, omdat een volle schijf verschillende symptomen veroorzaakt, afhankelijk van welk volume vol raakt. Een volle OS-schijf zorgt ervoor dat Windows-services worden stopgezet. Een volle logboekschijf zorgt ervoor dat applicaties er niet meer naar kunnen schrijven. Een volle gegevensschijf belemmert de toegang tot bestanden voor elke gebruiker die aan die share is toegewezen. Geautomatiseerde waarschuwingen bij 80 procent en 90 procent van de capaciteit bieden voldoende tijd om het probleem aan te pakken voordat deze gevolgen zich voordoen.

Beveiliging van Windows-servers versterken

Het beveiligen van Windows Server gaat veel verder dan alleen het up-to-date houden van patches. De belangrijkste beveiligingsmaatregelen voor door MSP’s beheerde serveromgevingen zijn de volgende.

RDP moet worden beperkt of vervangen als methode voor externe toegang. Een open RDP-poort op de standaardpoort (3389) met wachtwoordgebaseerde authenticatie is een van de meest voorkomende toegangspunten voor ransomware in MKB-omgevingen. Er moet minimaal authenticatie op netwerkniveau worden afgedwongen. Idealiter wordt directe RDP-blootstelling vervangen door VPN-gated of RMM-gebaseerde externe toegang (Kaseya VSA 10 biedt dit standaard), waardoor het externe aanvalsoppervlak volledig wordt geëlimineerd.

LAPS (Local Administrator Password Solution) moet op alle servers worden geïnstalleerd om ervoor te zorgen dat elke machine een uniek, automatisch vernieuwd lokaal beheerderswachtwoord heeft. Als er binnen een serverpark één lokaal beheerderswachtwoord wordt gedeeld, betekent dit dat één gecompromitteerde inlogcode laterale toegang tot alle servers mogelijk maakt.

Groepsbeleid moet ervoor zorgen dat de beveiligingsnormen binnen het gehele serverpark worden nageleefd. Wachtwoordbeleid, instellingen voor het vergrendelen van accounts, controlebeleid en beleid voor softwarebeperkingen worden allemaal beheerd via Groepsbeleid, en een consistente Groepsbeleidsnorm zorgt ervoor dat deze instellingen niet afwijken.

Overbodige rollen en functies moeten worden uitgeschakeld. IIS op servers die geen webtoepassingen hosten. Telnet, FTP en verouderde protocollen waarvoor moderne alternatieven bestaan. De installatieoptie Windows Server Core verkleint, waar mogelijk, het aanvalsoppervlak door de grafische gebruikersinterface (GUI) en veel van de componenten waarvan deze afhankelijk is, te verwijderen.

Auditlogging moet bevoorrechte bewerkingen omvatten. Aanmeldingsgebeurtenissen, het gebruik van bevoegdheden, beleidswijzigingen en toegang tot objecten op gevoelige shares leveren allemaal beveiligingslogboekvermeldingen op die worden ingevoerd in de correlatie-engine van een SIEM. Kaseya SIEM verwerkt Windows Server-beveiligingslogboeken en brengt zo signalen over serverbeveiliging, authenticatiegebeurtenissen, uitbreiding van bevoegdheden en beleidswijzigingen samen in dezelfde correlatielaag als telemetrie van eindpunten en netwerken uit meer dan 60 gegevensbronnen.

Back-up en herstel van Windows-servers

Voor back-ups van Windows Server zijn drie niveaus nodig die elk op verschillende herstelscenario’s zijn afgestemd.

Een back-up op image-niveau biedt bescherming tegen rampen en maakt snel herstel mogelijk na ernstige storingen, defecte hardware, versleuteling door ransomware of beschadiging van het besturingssysteem. De image legt de volledige toestand van de server vast en kan worden gebruikt om de server op andere hardware te herstellen of om de server virtueel te laten draaien terwijl het primaire herstelproces plaatsvindt.

Bij applicatieconsistente back-ups wordt gebruikgemaakt van de Volume Shadow Copy Service (VSS) om Exchange, SQL Server, Active Directory en andere VSS-compatibele applicaties vast te leggen in een transactieconsistente toestand. Een standaard momentopname op bestandsniveau van een SQL Server-database terwijl er transacties worden uitgevoerd, kan niet worden hersteld. VSS zorgt ervoor dat de vastgelegde toestand foutloos is.

Gedetailleerd herstel van bestanden en mappen is geschikt voor alledaagse herstelverzoeken, zoals per ongeluk verwijderde bestanden, eerdere versies van documenten of mailboxitems die zijn verwijderd. Het volledig terugzetten van servers voor dit soort verzoeken kost iedereen onnodig veel tijd. Met gedetailleerd herstel krijgt de gebruiker binnen enkele minuten precies wat hij nodig heeft.

Datto BCDR biedt back-ups op image-niveau met op VSS gebaseerde applicatieconsistentie voor Windows Server, waardoor alle drie de herstelscenario’s vanuit één enkele back-uparchitectuur worden gedekt. Dankzij onmiddellijke virtualisatie wordt de server binnen enkele minuten na een hardwarefout opgestart vanuit de back-upimage, waardoor de bedrijfscontinuïteit gewaarborgd blijft terwijl het primaire herstelproces doorgaat.

IT Glue , de configuratie van serverrollen, IP-toewijzingen, applicatie-instellingen en serviceafhankelijkheden vormen de operationele context die een snel herstel mogelijk maakt. Een server waarvan wel een back-up is gemaakt maar die niet gedocumenteerd is, kan in theorie weliswaar worden hersteld, maar in de praktijk verloopt dit traag. De technicus moet de configuratie van de omgeving dan uit het hoofd of door onderzoek reconstrueren terwijl de klant zonder service zit. Gedocumenteerde configuraties zorgen ervoor dat herstel een systematisch proces wordt in plaats van een zoektocht.

Ontdek Datto BCDR voor back-ups van Windows Server.

Windows-serverbeheer voor MSP’s

Voor MSP’s brengt het beheer van Windows Server binnen een klantenportfolio een extra laag van complexiteit met zich mee die verder gaat dan de technische aspecten. Dezelfde patch moet voor elke klantomgeving de workflow van ‘testen en vervolgens in productie nemen’ doorlopen, en wel volgens het onderhoudsvenster van elke klant. Waarschuwingen uit de servicemonitoring worden doorgestuurd naar de juiste ticketwachtrij van de betreffende klant. Beveiligingsgebeurtenissen van de servers van de ene klant worden niet vermengd met die van een andere klant.

De praktische omvang van het probleem wordt duidelijk wanneer er bij meerdere klanten tegelijk iets misgaat. Stel je een Patch Tuesday voor waarbij een cumulatieve update voor Windows Server 2022 een authenticatieprobleem veroorzaakt dat van invloed is op Active Directory-omgevingen met een specifieke configuratie van Groepsbeleid. Een MSP die patches via een ringmodel implementeert, ontdekt het probleem op een testserver voordat de productieomgeving wordt geraakt, stelt de implementatie bij alle getroffen klanten uit en wacht op de buiten de reguliere updatecyclus omgaande oplossing. Een MSP die handmatige patching of implementatie op dezelfde dag in de productieomgeving bij alle klanten uitvoert, heeft hetzelfde probleem tegelijkertijd actief in de AD-omgeving van elke klant, waarbij elke omgeving een afzonderlijke escalatie genereert.

De specifieke beheerswaarde voor MSP’s komt voort uit de toolinglaag. Kaseya VSA 10 en Datto RMM beheren patchbeleid, servicemonitoring, waarschuwingen via het gebeurtenissenlogboek en externe toegang voor alle klantomgevingen vanuit één enkele console, waarbij de scheiding tussen klanten te allen tijde gewaarborgd blijft. IT Glue de documentatie per klant, serverrollen, IP-toewijzingen, applicatieconfiguraties en herstelprocedures, die tijdens een actief incident toegankelijk zijn voor elke technicus in het team, zonder dat de klant of de collega die gewoonlijk dat account beheert, hoeft te worden geraadpleegd.

Kaseya Intelligence: geautomatiseerd beheer van Windows-servers

Kaseya Intelligence uit meer dan drie exabyte aan geaggregeerde en geanonimiseerde gegevens en meer dan 17 miljoen beheerde eindpunten, waardoor autonome acties binnen het Kaseya 365 mogelijk worden gemaakt. Voor Windows Server-omgevingen komt deze operationele verschuiving het duidelijkst tot uiting in de twee meest voorkomende beheertaken.

Geautomatiseerde patch-implementatie via Kaseya VSA 10, met ringgebaseerde fasering en planning van onderhoudsvensters, maakt een einde aan het handmatige coördinatiewerk dat van Patch Tuesday een terugkerende operationele gebeurtenis maakt in plaats van een achtergrondproces. De Kaseya Intelligence back-upverificatie maakt gebruik van AI-gestuurde screenshot-analyse met een nauwkeurigheid van meer dan 99,9 procent om te bevestigen dat back-uptaken succesvol zijn voltooid en dat de geback-upte omgeving in een herstelbare staat verkeert, zonder dat een technicus elke taak handmatig hoeft te controleren. Deze combinatie betekent dat de twee meest voorkomende storingen bij het beheer van Windows Server, namelijk niet-gepatchte kwetsbaarheden en niet-geverifieerde back-ups, continu worden beheerd in plaats van op basis van het tempo dat het team handmatig kan bijhouden. Ontdek Kaseya Intelligence.

De Windows Server-omgevingen die betrouwbaar blijven draaien, zijn niet degene met de meest geavanceerde tools. Het zijn juist de omgevingen waar de basisprocessen zijn geautomatiseerd en de signalen worden gemonitord. Patches worden eerst in een testomgeving getest voordat ze in productie gaan. Gebeurtenislogboeken signaleren schijfwaarschuwingen nog voordat schijven uitvallen. Servicemonitors slaan alarm nog voordat gebruikers er iets van merken. Back-ups controleren. Er is documentatie beschikbaar voor de server die op zondag om 2 uur 's nachts uitvalt. Elk van deze werkwijzen is eenvoudig. De discipline bestaat erin ze allemaal consequent uit te voeren, op elke server, voor elke klant, elke maand.