IIS, Sicherheit & Plesk

I

IceDragon

Registered User
Servus Leute,

ich habe mir einen RootDS Profi Server von Keyweb mit Windows 2003 und IIS zugelegt und bin bisher ganz zufrieden damit. Mir gehts derzeit auch etwas um die Sicherheit meines Webservers, damit ich ihn gegen Attacken von außen so gut wie es geht dicht mache. Ich habe auch hier schon einiges dazu gelesen, habe aber jetzt doch noch die ein oder andere Frage dazu:

- Es wird empfohlen den Administrator-Account unter Windows umzubennen. Das würde ich auch gerne machen, nur weiß ich nicht wie sich danach Plesk verhält, hat damit schon jemand Erfahrungen gemacht?

- Außerdem wird empfohlen die IIS-Verzeichnisse
C:\inetpub\wwwroot (WWW-Server)
C:\inetpub\ftproot (FTP-Server)
C:\WinNt\System32\LogFiles
umzulegen. Kommt es da auch zu Problemen unter Plesk und hat damit vielleicht auch schon jemand Erfahrungen gemacht?

- Ich habe mir auch den Microsoft Baseline Security Analyzer runtergeladen, nur leider kann ich den auf meinem RootDS nicht laufen lassen. Beim Aufruf steht schon unter Computername "\*error*" und egal was ich eintrage, er läuft nicht durch. Hat jemand eine Idee wie ich das Tool zum Laufen bekomme?

- Könnt Ihr spezielle Tools zur Sichhereit, z.B. IDS, IIS-Tools empfehlen, die man unbedingt installieren und konfigurieren sollte, bzw. weitere wichtige Sicherheittipps geben?

Danke für Eure Hilfe/Tipps schon mal im voraus!;)

Ciao
Matthias
 
Ich würde einen anderen User anlegen, dem Remote Desktoprechte geben. Dann den Administrator für RD ausschalten. GENAU die Reihenfolge!! Sonst bist draussen.

Ausserdem ist auch auf einem Server ein Virenscanner Pflicht. Weiterhin wäre es wichtig, solche Erweiterungen wie PHP SICHER zu konfigurieren. Safe Mode ist da sicher, leider geht aber auch manches damit nicht.

Weiterhin sollte man konservativ mit der Vergabe von (Schreib)rechten umgehen und Webapplikationen so wenig wie möglich erlauben.

Dass die Windowsfreigabe TABU ist ist hoffentlich klar. Ich persönlich betreibe allerdings die Windowsfreigabe über Hamachi Da sollte man durch das VPN dann doch geschützt sein.

Was es bringen soll, die Ordner umzubenennen ist mir nicht ganz klar. Ich halts für nen Schmarrn, denn die Applikationen, die im IIS laufen sind doch vermutlich darauf nicht angewiesen.

Jo, das sind mal so ein paar Punkte.

Gruß
THunda
 
MOD : Fullquote entfernt.

Hi,

vielen dank für Deine Tipps, werde ich so mal machen und auch das Hamachi werde ich mir mal näher anschauen. Kann man das so einfach auf einem RootDS installieren bzgl. hinzufügen eines Network Devices, ist ja immerhin auch nur ein virtueller Server? Ein Virenscanner ist bereits drauf und aktiv!

Mit dem MBSA habe ich aber immer noch meine Probleme und genauso mit Snort, dass will auch nicht über das WinPcap-Interface laufen, da kommt jedesmal ein Fehler, obwohl ich jetzt schon 3 oder 4 verschiedene WinPcap-Versionen versucht habe!:(

Ciao
Matthias
 
Last edited by a moderator:
IceDragon said:
Kann man das so einfach auf einem RootDS installieren bzgl. hinzufügen eines Network Devices, ist ja immerhin auch nur ein virtueller Server? Ein Virenscanner ist bereits drauf und aktiv!
Click to expand...


Das könnte in der Tat ein Problem sein, denn man muss einen HW Netzwerkadapter installieren. Das wird wohl nicht gehen. Naja, für irgendwas muss der Root ja noch gut sein. Bei www.keyweb.de gibts übrigens einen WINDOWS Server schon für ca. 30€, wenn man alle Rabattstufen ausnutzt. Das ist nicht viel mehr als mancher RootDS.

Gruß
Thunda
 
Na ja, ich möchte mich erstmal nicht so lange binden, von daher ist der Preis dann schon nicht mehr so günstig und kommt für mich derzeit nicht in Frage. Ich habe aber mitbekommen, dass ab Virtzuozzo 4.0 für Windows es möglich sein soll, auch VPNs zu installieren und es soll auch bald rauskommen, von daher muss ich da wohl noch ein klein wenig Geduld haben. :rolleyes:

Bzgl. deinem Vorschlag mit dem neuen User für die RDP-Connection, der sollte ja dann aber auch Admin-Rechte bekommen bzw. in der Administratoren-Gruppe Mitglied sein, oder?
 
IceDragon said:
Bzgl. deinem Vorschlag mit dem neuen User für die RDP-Connection, der sollte ja dann aber auch Admin-Rechte bekommen bzw. in der Administratoren-Gruppe Mitglied sein, oder?
Click to expand...

Das ist klar. Du brauchst halt ein Adminäquivalent (User in Gruppe Administrators). Davon abgesehen, musst Du noch im "System" Fenster, diesen User als Remotedesktopuser freischalten. Wenn das Einloggen mit diesem User klappt, kann man den Administrator an gleicher Stelle aus dem RD rausnehmen. Lieber sicher sein, dass alles geht, sonst hat man sich rausgesperrt.

Aussperren kann man sich auch gerne mal durch die Installation einer Firewall. Mit der WinFW hat man da am wenigsten Gefahren, allerdings ist diese nicht wirklich leistungsfähig. Zum Abblocken externer Verbindungsversuche tuts diese aber auch. Leider kann man aber keine Intern->Extern Regeln aufstellen. Der Defaultzustand bei neu installierten Firewalls ist nämlich ALLES ABWEISEN. Da hat man natürlich bei RD ein Problem!!! :eek: Daher hier VORSICHT!!!

Gruß
THunda
 
Ich habe mir auch den Microsoft Baseline Security Analyzer runtergeladen, nur leider kann ich den auf meinem RootDS nicht laufen lassen. Beim Aufruf steht schon unter Computername "\*error*" und egal was ich eintrage, er läuft nicht durch. Hat jemand eine Idee wie ich das Tool zum Laufen bekomme?
Click to expand...

Ja ich bzw. hab ich die Antwort vom UH support bekommen ging sogar innerhalb von ein paar Minuten hat mich richtig erstaunt. Naja ich hatte das gleiche Problem du mußt ICMP Aktivieren dann geht es.
 
You must log in or register to reply here.
Back
Top