Einen Secure Shell Server direkt unter Windows aufzusetzen, ist heutzutage zum Glück kein Hexenwerk mehr. Früher musste man oft auf externe Tools ausweichen, doch mittlerweile liefert Microsoft eine native OpenSSH-Komponente mit. Damit bekommen Admins eine zuverlässige und vor allem skriptfähige Verbindung zu ihren Servern und Clients, ohne Umwege gehen zu müssen.
Warum ein SSH-Server unter Windows wirklich Sinn ergibt
Das alte Klischee, SSH sei nur etwas für die Linux-Welt, ist längst passé. Seit Microsoft OpenSSH fest ins System integriert hat, hat sich die Systemadministration spürbar verändert. Für IT-Teams ist das ein riesiger Gewinn: Endlich eine einheitliche, plattformübergreifende Verwaltung, die umständliche Insellösungen überflüssig macht.
Stellen Sie sich den Alltag in einer gemischten IT-Landschaft vor. Statt ständig zwischen RDP für Windows und SSH für Linux hin- und herzuspringen, verwenden Sie einfach ein einziges, sicheres Protokoll für alles. Ob Sie nun schnell eine Datei kopieren oder ein Wartungsskript auf allen Systemen ausführen wollen – die Automatisierung wird dadurch massiv vereinfacht.
Was sich in der Praxis geändert hat
Diese native Integration ist mehr als nur ein nettes Feature; sie ist ein echter Effizienz-Booster. Bewährte Automatisierungswerkzeuge wie Ansible oder auch komplexe PowerShell-Skripte lassen sich so nahtlos auf Windows-Systemen einsetzen.
Der Trend ist unübersehbar. Seit Microsoft OpenSSH als „Feature on Demand“ anbietet, ist die Nutzung in die Höhe geschossen. Daten des BSI deuten darauf hin, dass mittlerweile über 40 % der mittelständischen IT-Abteilungen in Deutschland OpenSSH für administrative Aufgaben auf Windows-Servern im Einsatz haben. Wer tiefer in die Materie einsteigen will, findet in der Sicherheitsanalyse von Windows 10 auf heise.de interessante Einblicke.
Ein zentrales, sicheres Protokoll für alle Systeme reduziert nicht nur die Komplexität und Fehleranfälligkeit. Es stärkt auch die Sicherheitslage ganz erheblich, indem es die Angriffsfläche verkleinert.
So klappt die OpenSSH-Installation auf Ihrem Windows Server
Der erste Schritt ist natürlich, den Secure Shell Server unter Windows überhaupt erst einmal zu installieren. Das Schöne daran ist: Microsoft macht es uns hier ziemlich einfach. Je nach Vorliebe können Sie den Weg über die grafische Oberfläche gehen oder alles direkt in der PowerShell erledigen.
Wer sich am wohlsten mit Fenstern und Klicks fühlt, für den ist die Installation über die Windows-Einstellungen der richtige Weg. Einfach zu „Apps“ > „Optionale Features“ navigieren und dort den OpenSSH-Server hinzufügen. Das ist ideal, wenn man es nur einmalig für einen einzelnen Server einrichtet und sich nicht mit Kommandozeilen herumschlagen möchte.
Für die Profis: Installation per PowerShell
Wenn Sie es gewohnt sind, effizient zu arbeiten oder die Installation auf mehreren Systemen automatisieren wollen, führt kein Weg an der PowerShell vorbei. Ein kurzer Befehl reicht, und schon ist alles erledigt. Das ist besonders praktisch, wenn man zum Beispiel eine ganze Reihe von Servern in einer Testumgebung aufsetzen muss. Wenn Sie mehr darüber erfahren möchten, was eine virtuelle Maschine ist, haben wir dazu einen passenden Artikel.
Öffnen Sie einfach eine PowerShell mit Administratorrechten und geben Sie Folgendes ein:
Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0
Der Befehl lädt und installiert das Feature direkt. Hier sehen Sie, wie das Ganze nach einer erfolgreichen Ausführung aussehen sollte:
Die Ausgabe bestätigt, dass der Server nun installiert und einsatzbereit ist.
Allerdings reicht die reine Installation nicht aus. Der Dienst muss auch gestartet werden und – ganz wichtig – so konfiguriert sein, dass er nach einem Neustart des Servers von allein wieder anläuft.
Tipp aus der Praxis: Ein klassischer Fehler ist, nach der Installation zu vergessen, den Dienst zu starten und den Starttyp anzupassen. Das führt dann nach dem ersten Reboot zur Fehlersuche. Sparen Sie sich den Ärger und erledigen Sie es sofort mit den nächsten beiden Befehlen.
Führen Sie direkt im Anschluss diese beiden Zeilen in der PowerShell aus:
- Dienst sofort starten:
Start-Service sshd - Für automatischen Start sorgen:
Set-Service -Name sshd -StartupType 'Automatic'
Perfekt. Damit ist Ihr Secure Shell Server für Windows nicht nur installiert, sondern auch für den zuverlässigen Betrieb vorbereitet. Als Nächstes kümmern wir uns um die Konfiguration, um alles abzusichern.
Die sshd_config Datei praxisnah konfigurieren
Eine frische OpenSSH-Installation auf einem Windows Server ist zwar ein guter Anfang, aber ehrlich gesagt, in der Standardeinstellung ist der Dienst alles andere als sicher. Die eigentliche Arbeit, das Härten des Servers, findet in einer einzigen Datei statt: der sshd_config. Das ist sozusagen das Herzstück Ihres SSH-Dienstes, und hier nehmen wir jetzt gemeinsam die entscheidenden Anpassungen vor.
Sie finden diese Konfigurationsdatei normalerweise im Verzeichnis C:ProgramDatassh. Wichtig: Öffnen Sie sie unbedingt mit Administratorrechten in einem Texteditor wie Notepad++, sonst können Sie Ihre Änderungen am Ende nicht speichern.
Der folgende Überblick fasst die wesentlichen Schritte von der Installation bis zur sicheren Einrichtung auf einem modernen Windows-System gut zusammen.
Wie die Grafik zeigt, ist die Einrichtung eines Secure Shell Server unter Windows kein Hexenwerk mehr, sondern lässt sich sauber in die bestehende Serverinfrastruktur integrieren.
Die wichtigsten Sicherheitsschrauben anziehen
Als Allererstes sollten wir uns vom Standard-Port 22 verabschieden. Warum? Weil das Internet voll von automatisierten Bots ist, die pausenlos genau diesen Port scannen, um Einfallstore zu finden. Schon eine simple Änderung auf einen ungenutzten Port oberhalb von 1024 (zum Beispiel 2222) sorgt für drastisch weniger „Lärm“ in den Logfiles und wehrt die plumpesten Angriffsversuche ab.
Suchen Sie in der sshd_config die Zeile #Port 22. Entfernen Sie das # am Anfang (das ist das Auskommentierungszeichen) und ändern Sie die Zahl.
Port 2222
Der nächste kritische Punkt: der direkte Login des Administrator-Kontos. Einem Angreifer das mächtigste Konto des Systems quasi auf dem Silbertablett zu servieren, ist unnötig riskant.
Aus der Praxis: Es gehört zum absoluten Standard, den direkten Root- oder Administrator-Login via SSH komplett zu unterbinden. Admins sollten sich immer zuerst mit einem normalen Benutzerkonto anmelden und erst dann bei Bedarf ihre Rechte erhöhen.
Fügen Sie dafür diese Zeile am Ende der Datei hinzu oder passen Sie den vorhandenen Wert entsprechend an:
PermitRootLogin no
Schließlich wollen wir sicherstellen, dass wir aussagekräftige Protokolle bekommen, falls doch mal etwas schiefgeht. Detaillierte Logs sind Gold wert, wenn man einen Vorfall untersuchen oder einen Fehler finden muss.
Dazu setzen wir den Log-Level auf VERBOSE.
LogLevel VERBOSE
Speichern Sie die Datei, nachdem Sie diese Änderungen vorgenommen haben. Damit das Ganze auch greift, müssen Sie den sshd-Dienst einmal neu starten. Das geht am schnellsten über eine PowerShell, die Sie als Administrator öffnen:
Restart-Service sshd
Mit diesen drei einfachen, aber extrem wirkungsvollen Anpassungen haben Sie die Grundsicherheit Ihres Secure Shell Server Windows bereits massiv verbessert. Das ist eine solide Basis, auf der wir nun weiter aufbauen können.
In der sshd_config-Datei gibt es natürlich noch viele weitere Stellschrauben. Die folgende Tabelle gibt einen Überblick über einige der wichtigsten Parameter, die Sie für eine sichere Konfiguration im Blick haben sollten.
Wichtige Parameter in der sshd_config
Eine Übersicht der wichtigsten Konfigurationsdirektiven, ihrer Standardwerte und Empfehlungen für eine sichere Konfiguration.
| Parameter | Standardwert | Empfohlene Einstellung | Beschreibung |
|---|---|---|---|
| Port | 22 | Ein ungenutzter Port > 1024 (z. B. 2222) | Ändert den Port, auf dem der SSH-Dienst lauscht, um automatisierte Scans zu erschweren. |
| PermitRootLogin | prohibit-password | no | Verhindert den direkten Login des Administrator- oder Root-Benutzers vollständig. |
| LogLevel | INFO | VERBOSE | Erhöht die Detailtiefe der Protokollierung für bessere Fehleranalyse und Überwachung. |
| MaxAuthTries | 6 | 3 | Reduziert die Anzahl der Login-Versuche pro Verbindung, um Brute-Force-Angriffe zu verlangsamen. |
| LoginGraceTime | 2m | 30s | Verkürzt die Zeitspanne, innerhalb derer sich ein Benutzer authentifizieren muss. |
| PubkeyAuthentication | yes | yes | Sollte aktiviert bleiben, da die schlüsselbasierte Authentifizierung die sicherste Methode ist. |
| PasswordAuthentication | yes | no | Deaktiviert die passwortbasierte Anmeldung und erzwingt die sicherere Schlüsselauthentifizierung. |
| PermitEmptyPasswords | yes | no | Verbietet die Anmeldung für Konten, die kein Passwort gesetzt haben. |
Indem Sie diese Einstellungen sorgfältig prüfen und an Ihre Sicherheitsanforderungen anpassen, schaffen Sie eine robuste und widerstandsfähige SSH-Umgebung. Denken Sie daran, den sshd-Dienst nach jeder Änderung neu zu starten, damit Ihre Konfiguration auch aktiv wird.
So machen Sie Ihren Windows SSH-Server wirklich sicher
Einen SSH-Server zum Laufen zu bringen, ist die eine Sache. Ihn abzusichern, ist die andere – und ehrlich gesagt der weitaus wichtigere Teil. Ein offener SSH-Port, der nicht zusätzlich gehärtet wird, ist quasi eine offene Einladung für Angreifer. Zeit, die Tür nicht nur zu schließen, sondern richtig zu verriegeln.
Der größte Hebel für mehr Sicherheit ist die Implementierung der Public-Key-Authentifizierung. Anstelle eines simplen Passworts, das geknackt oder mitgeschnitten werden kann, setzen wir auf ein kryptografisches Schlüsselpaar. Das ist der absolute Standard in der Praxis.
Dieses Vorgehen schiebt der größten Schwachstelle eines jeden Secure Shell Servers unter Windows einen Riegel vor: Brute-Force-Angriffen auf Passwörter. Sobald Sie sich erfolgreich per Schlüssel anmelden können, gibt es nur einen logischen nächsten Schritt – schalten Sie die Passwort-Authentifizierung in der sshd_config komplett ab.
PasswordAuthentication no
Den Zugriff über die Windows Firewall begrenzen
Selbst wenn Sie sichere Schlüssel verwenden, sollten Sie den Kreis derer, die überhaupt erst anklopfen dürfen, so klein wie möglich halten. Hierfür ist die Windows Defender Firewall ein fantastisches und oft unterschätztes Werkzeug.
Anstatt den SSH-Port für das gesamte Internet zu öffnen, richten Sie eine gezielte Regel ein. Erlauben Sie den Zugriff nur von vertrauenswürdigen IP-Adressen oder ganzen IP-Bereichen. Das könnte zum Beispiel die feste IP-Adresse Ihres Büros oder der Zugangspunkt Ihres VPNs sein. Wie Sie solche Regeln erstellen und wie die Technik dahinter funktioniert, erklären wir in unserem weiterführenden Artikel darüber, wie eine Firewall funktioniert.
Eine Firewall-Regel, die den SSH-Zugang auf bekannte IPs beschränkt, gehört zu den einfachsten und wirkungsvollsten Maßnahmen überhaupt. Damit reduzieren Sie die Angriffsfläche um über 99 %.
Wachsam bleiben und Protokolle im Auge behalten
Ein wachsames Auge auf fehlgeschlagene Anmeldeversuche ist unerlässlich, um Angriffsversuche früh zu erkennen. Werfen Sie dazu regelmäßig einen Blick in die OpenSSH-Protokolldateien, die Sie unter C:ProgramDatasshlogs finden. Diese Logs verraten Ihnen schwarz auf weiß, ob jemand versucht, sich unerlaubt Zugang zu verschaffen. So können Sie reagieren, bevor es zu spät ist.
Die Sicherheitslage für SSH-Server auf Windows ist ständig im Wandel. Immer wieder werden Schwachstellen entdeckt, die teils Jahre unbemerkt blieben. Aktuellen Berichten zufolge setzen rund 55 % der deutschen Unternehmen OpenSSH auf Windows-Servern ein. Das Problem: Nur etwa 78 % davon installieren Sicherheitsupdates zeitnah. Veraltete SSH-Server sind daher ein beliebtes Ziel. Mehr zu diesem Thema finden Sie in den Analysen zu OpenSSH-Schwachstellen auf borncity.com.
Was bringt ein SSH-Server unter Windows in der Praxis?
Einen Secure Shell Server unter Windows zu installieren und abzusichern, ist die eine Sache. Sein volles Potenzial entfaltet er aber erst, wenn er im Arbeitsalltag wirklich genutzt wird. Richtig eingesetzt, ist er weit mehr als nur ein weiteres Tool – er wird zum zentralen Baustein für sichere und effiziente Admin-Aufgaben. Schauen wir uns ein paar ganz konkrete Beispiele an, die das Leben leichter machen.
Sicherer Dateitransfer per SFTP – der FTP-Nachfolger
Einer der größten und unmittelbarsten Vorteile ist das integrierte SSH File Transfer Protocol (SFTP). Es ermöglicht einen komplett verschlüsselten Dateiaustausch und ist die logische, sichere Ablösung für einen klassischen FTP-Server. Während FTP oft noch Passwörter im Klartext durchs Netz schickt, ist bei SFTP alles – von der Anmeldung bis zur Datenübertragung – lückenlos verschlüsselt.
Die Umstellung ist dabei kinderleicht. Jeder moderne SFTP-Client wie WinSCP oder FileZilla kann sich direkt mit Ihrem neuen SSH-Server verbinden. So lassen sich sensible Daten hoch- und herunterladen, ohne dass man sich über die Sicherheit der Verbindung den Kopf zerbrechen muss. Wer den direkten Vergleich ziehen möchte, findet in unserem alten Guide, wie man einen FTP-Server einrichten kann, einen guten Einblick in die traditionelle Methode – und erkennt schnell die Vorteile von SFTP.
Backup-Routinen sauber automatisieren
Stellen Sie sich folgendes Szenario vor: Jeden Tag müssen wichtige Datenbanken oder Konfigurationsdateien von einem Windows-Server gesichert werden. Mit SSH lässt sich dieser Vorgang komplett automatisieren. Von einem zentralen Management-Rechner – zum Beispiel einem Linux-Server – können Sie ein Skript starten, das sich per SSH am Windows-Server anmeldet und dort ein vorbereitetes Backup-Skript ausführt.
Ein einfacher Befehl genügt:
ssh backup_user@ihr-windows-server "powershell.exe -File C:ScriptsCreate-Backup.ps1"
Mit dieser einen Zeile stoßen Sie den kompletten Backup-Prozess remote an. Keine manuelle Anmeldung, keine umständlichen Umwege.
Die Möglichkeit, Skripte sicher aus der Ferne zu starten, ist der Kern einer skalierbaren und zuverlässigen Automatisierung. Das reduziert nicht nur menschliche Fehler, sondern sorgt auch dafür, dass kritische Aufgaben verlässlich erledigt werden.
Interne Dienste sicher erreichen – dank SSH-Tunneling
Ein weiteres, extrem mächtiges Werkzeug ist das Port-Forwarding, oft auch als SSH-Tunneling bezeichnet. Nehmen wir an, Sie betreiben eine interne Webanwendung wie ein Monitoring-Dashboard, das aus Sicherheitsgründen auf keinen Fall direkt aus dem Internet erreichbar sein darf.
Hier kommt der SSH-Tunnel ins Spiel. Sie leiten einfach einen Port auf Ihrem lokalen PC sicher an den entsprechenden Port des internen Servers weiter. Für Sie fühlt es sich dann so an, als würde die Anwendung direkt auf Ihrem Rechner laufen. In Wahrheit wird aber die gesamte Kommunikation sicher verpackt durch den SSH-Kanal geschleust.
Aus der Praxis: Antworten auf die häufigsten Fragen
Wer zum ersten Mal einen SSH-Server unter Windows aufsetzt oder ihn schon länger betreibt, stößt immer wieder auf dieselben Hürden. Hier habe ich die typischen Fragen aus dem Admin-Alltag gesammelt und gebe Ihnen klare, praxiserprobte Antworten, damit Sie schnell wieder Herr der Lage sind.
Kann ich SFTP mit dem Windows OpenSSH Server nutzen?
Ja, das funktioniert sogar auf Anhieb. Der OpenSSH-Server, den Microsoft mit Windows ausliefert, bringt von Haus aus eine vollwertige Unterstützung für das SSH File Transfer Protocol (SFTP) mit.
Sobald der SSH-Dienst (sshd) einmal läuft, ist auch SFTP sofort einsatzbereit – ganz ohne zusätzliche Konfiguration. Sie können sich dann einfach mit einem beliebigen SFTP-Client wie FileZilla oder WinSCP verbinden. Nehmen Sie dafür dieselben Zugangsdaten (Benutzer, Passwort oder SSH-Schlüssel) und den Port, den Sie für SSH festgelegt haben.
Wie wechsle ich die Standard-Shell von CMD auf die PowerShell?
Standardmäßig landet man nach dem Login in der alten Kommandozeile (cmd.exe). Wer aber direkt die wesentlich mächtigere PowerShell nutzen möchte – und das wollen die meisten Admins –, muss eine kleine Anpassung in der Windows-Registrierung vornehmen.
Das geht am schnellsten mit diesem Einzeiler in einer PowerShell, die Sie als Administrator ausführen:
New-ItemProperty -Path "HKLM:SOFTWAREOpenSSH" -Name DefaultShell -Value "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" -PropertyType String -Force
Danach kurz den sshd-Dienst neu starten, und schon landen alle neuen SSH-Verbindungen direkt in der PowerShell. Eine kleine Änderung mit großer Wirkung.
Mein SSH-Login klappt nicht – woran liegt's meistens?
Ein fehlgeschlagener Login ist ärgerlich, aber die Ursache ist meistens eine von drei typischen Kleinigkeiten. Gehen Sie am besten diese Checkliste durch:
- Läuft der Dienst überhaupt? Ein kurzer Check mit
Get-Service sshdin der PowerShell schafft Klarheit. Manchmal hat sich der Dienst einfach verabschiedet. EinRestart-Service sshdwirkt oft schon Wunder. - Macht die Firewall dicht? Ein Klassiker. Prüfen Sie, ob in der Windows Defender Firewall eine Regel für den eingehenden Verkehr auf Ihrem SSH-Port existiert. Ohne diese Regel kommt keine Verbindung durch, egal wie gut der Rest konfiguriert ist.
- Passen die Berechtigungen? Das ist die Fehlerquelle Nummer eins, wenn Sie Schlüssel anstelle von Passwörtern verwenden. Die Datei
authorized_keysim.ssh-Ordner des Benutzers ist hier sehr empfindlich. Nur der Benutzer selbst und dasSYSTEM-Konto dürfen darauf Schreibzugriff haben. Falsche Berechtigungen quittiert der Server sofort mit einem "Permission denied".
Wenn Sie im Dunkeln tappen, werfen Sie einen Blick in die Log-Dateien. Unter
C:ProgramDatasshlogsfinden Sie oft den entscheidenden Hinweis. Suchen Sie nach Fehlermeldungen, die zeitlich zu Ihrem Login-Versuch passen.
Ist der Microsoft OpenSSH Server reif für den Produktiveinsatz?
Absolut. Microsofts Implementierung basiert auf dem quelloffenen und seit Jahrzehnten im harten Praxiseinsatz bewährten OpenSSH-Projekt. Sie können ihn also bedenkenlos in einer Produktivumgebung einsetzen.
Der Knackpunkt ist aber eine saubere Konfiguration und Härtung. Wie wir in diesem Guide besprochen haben, sind Maßnahmen wie die Deaktivierung der Passwort-Authentifizierung und die Einschränkung des Zugriffs per Firewall nicht nur eine Empfehlung, sondern ein Muss. Genauso wichtig ist es, die Windows-Updates konsequent einzuspielen, um den Dienst sicher und auf dem neuesten Stand zu halten.
Möchten Sie sicherstellen, dass Ihre IT-Infrastruktur nicht nur leistungsstark, sondern auch nach höchsten Standards abgesichert ist? Als ISO 27001 zertifizierter Partner unterstützt Deeken.Technology GmbH Sie bei der Implementierung sicherer und NIS-2-konformer IT-Lösungen. Kontaktieren Sie uns für eine unverbindliche Beratung unter https://deeken-group.com.
