Absicherung eines Windows Server 2008

R

Rene

New Member
Ich würde gerne allgemein gültige Informationen darüber einhalen, wie ich einen Windows Server 2008 effektiv oder zumindest "standardmäßig" absichern kann.

Gemeint ist, ich habe ein frische Installation von Windows Server 2008 samt allen Patches aufgesetzt. Dieser Server ist im Internet erreichbar. RDP wird zudem genutzt um als Admin auf den Server zu gelangen.

Wo sollte man bei Windows ansetzen um es "sicherer" zu machen. Gibt es z.B. etwas bzgl RDP zu beachten?

Gerne könnt ihr auf Quellen aus dem Internet verweisen oder hier euer Wissen/Erfahrungen niederschreiben ;)

Danke!
 
Hallo
Um den RDP sicherer zu machen, empfiehlt sich auf jeden Fall eine VPN Verbindung einzurichten, da der normale RDP anfällig für Man-in-the-middle-Angriffe ist.
Ein Tutorial habe ich bis jetzt noch keins gefunden. Auf jeden Fall sollte man hier auch aufpassen, da man sich hier auch schnell mal aus seinem eigenen Server ausgesperrt hat.
Vielleicht können ja noch ein paar andere helfen, was man bei VPN beachten muss bzw. welche Ports man freischalten muss.
 
Hallo,
welche Rollen übernimmt der Server? Heimserver? Fileserver? Wichtigster Domänencontroller? Mailserver? Auf welcher Hardware läuft das ganze?

Hier einige allgemeine Tipps:

Patches nur manuell nach Prüfung in der Testumgebung nachziehen. Virenscanner aktuell halten. Welchen nutzt du? Warum musst du per RDP über das Internet auf den Rechner? Wenn, da gebe ich Patronenhammer recht, nur über VPN oder über das in 2008 integrierte DirectAccess. Dies setzt aber auch Windows 7 als Client voraus.. Per Acronis eine Sicherungskopie des Servers. Backup evtl. auf externe Festplatte oder gar auf Band. Da du sehr spärliche Infos über deinen Background lieferst, ist es schwer, dir etwas adäquates anzubieten. Wenn das Ding nur nen Heimserver wird ist nicht viel erforderlich.. Sollte der Server im betrieblichen Umfeld eingesetzt werden, dann sind die Anforderungen klar höher..

Den allerwichtigsten Tipp geb ich dir auch nochmal mit:

Wissen was man macht, nicht versuchen! Gerade in der Produktivumgebung. Schau dir mal VMWare od. Virtualbox an und lerne erst in der Testumgebung, bevor du dich an den Liveserver setzt...

Soviel erstmal von mir

Viele Grüße
br4inbug
 
Last edited by a moderator:
"Dieser Server ist im Internet erreichbar"

Deshalb lässt sich für mich ableiten, dass auf dem Server eine Homepage oder öffentliche Server (Game-oder Voiceserver) betrieben werden und somit die IP des Servers auch öffentlich ist und für viele zugänglich.
Das heißt du solltest am Anfang den Administratoraccount umbenennen oder einen neuen Account erstellen und diesem Adminrechte geben.
Außerdem unbedingt keine 0815 Passwort!

Sobald dein Server online ist, bzw. deine IP öffentlich, wird es keine 10 Minuten dauern, bis die ersten Scriptkiddies kommen und versuchen werden deinen Server via Bruteforceprogrammen zu knacken.
Deshalb auf jeden Fall den Namen des "Administrators" ändern und ein sicheres Passwort setzen!

Unter einem sicheren Passwort verstehe ich ein mindestens 20-30 stellige Folge die keinerlei Zusammenhang hat.
Benutze klein- und Großbuchstaben, Zahlen, Sonderzeichen (z.B "%")!

Die 2 Methoden die ich dir eben erklärt habe ist Grundlage für jedes weitere Vorgehen.
Die PW Listen der Bruteforceprogramme werden ständig gefährlicher und sind keinesfalls zu unterschätzen.
 
Grundlegendes Vorgehend nach der Installation:
- Server aufsetzen
- Updates installieren
- Unbenötigte Dienste/Programme über die Serviceverwaltung beenden/löschen
- Unbenötigte Software -> "Windowskomponenten..." entfernen
- Firewallregeln anpassen
- Lokale Sicherheitsrichtlinien definieren/anpassen (Auch: Adminkonto umbenennen und pw setzen ...)
- Rechner in Verwaltungs-VPN aufnehmen (Falls vorhanden -> Sonst erstellen)
- Backupeinstellungen vornehmen (Serversicherung von 2008 ist super :) )
- Image anlegen
- RDP freigeben
- Unbenötigte Netzwerkprotokolle (IPv6 zB) entfernen
- Rechner ans Netz hängen, IP definieren und pingtest ausführen

Danach folgen dann via Remote die weiteren Installationen von Software wie AD oder anderen. Alle offenen Services wie IIS, AD, DHCP, DNS und so weiter sind vor dem Go-Live abzusichern. Ungesicherte Dienste stellen nicht nur intern ein Risiko dar.

Jegliche VPN Verbindungen sind selbstverständlich zu verschlüsseln. Es ist die "main" Methode der aggressiven Mode vorzuziehen, da diese ein sichereres Authentifizierungsverfahren bietet.

Falls irgendwie möglich sollten die Systeme mittels einer externen Firewall gesichert werden. Diese bieten einen besseren Verwaltungszugriff, da man die Firewall als VPN Endpunkt einsetzen kann und einen Dedizierten Firewallport und am Rechner einen dedizierten NIC zur Verwaltung verwenden kann.

Sichere Passwörter, das umbenennen des Admin-Accounts und so weiter sollten eine Selbstverständlichkeit darstellen. Btw: Die lokalen Kontorichtlinien sind hierzu genug scharf anzupassen, damit auch andere Admins dies einhalten können!

Gruss NetJump
 
Last edited by a moderator:
Schonmal vielen Dank für die Eingegangenen Tipps.

Zur Rolle des Servers: Er steht in einem Rechenzentrum und soll als
- Webserver
- Mailserver
- Fileserver (Webdav, Samba etc.)
- Jabber-Server

fungieren.

Derzeit ist der Server nur über IP im Internet. Keine der oben genannten Services ist live und es ist keine Domain etc. konnektiert.

Das Admin-Passwort habe ich natürlich geändert ;-) Den Namen des Admins nocht nicht -> werde ich jetzt angehen.

Auch werde ich mal Suchen, wie ich ein sicheres VPN einrichte, damit ich mich nicht immer per RDP anmelden muss.

Virenscanner ist eine gute Frage, hier bin ich noch auf der Suche. Ins Auge gefasst habe ich die Business Suite von Eset. Hat hier jemand eine Empfehlung?

System-Patches sind natürlich auch up2date.

Ist es sinnvoll der Admin-Account nicht zu verwenden oder kann ich (wenn umbenannt und ein gutes PW existieren) alle Aufgaben via "Admin" erledigen?
 
Dank UAC kannst du dir einen eingeschränkten Account anlegen und mit diesem eigentlich alles ausführen. Also auch mit eingeschränktem Konto kannst du viel machen. Ansonsten einfach Berechtigungen freigeben.

Das ändern des Admin Accounts ist ziemlich wichtig, da meistens der "administrator" Account angegriffen wird.

Wenn du gerne Hilfe hättest kannst du dich gerne bei mir melden, werde dich so gut als möglich "live" (gleich online) in die Win Administration einführen. Einige Angelegenheiten sind für neulinge nicht auf den ersten Blick ersichtlich. Abgesehen davon könntest du dir einige Zeit einsparen. (Kostenlos natürlich ^^)

lg NetJump
 
You must log in or register to reply here.
Back
Top