• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Windows Server möglichst optimal absichern...

Metapro

Registered User
Hat jemand Tips zur Absicherung eines Windows Servers? Welche Sicherheitsmassnahmen habt ihr auf Euren Windows Servern ergriffen?

Ach und bitte bitte bitte: Keine Betriebssystemschlacht ;) Ich weiss durchaus dass viele MS Server an sich für unsicher halten.
 
Ich glaube hier haben wir zu 99% Prozent Linux-Chefs ;)
Vielleicht meldet sich ja noch der eine Prozent :)

Ich kenn mich mit Windows-Servern nicht aus. Nur "normalem" Windows.
 
Hallo!
Welchem Einsatzzweck soll diese Maschine denn nachkommen? Ist er über das Internet erreichbar? Welche Dienste sollen laufen? Welche Windows Version soll eingesetzt werden? Ist eine Firewall vorgeschaltet?

mfG
Thorsten
 
Ein HTTP FTP und MAIL Server für ca. 50-60 Webprojekte soll es werden, keine vorgeschaltete Firewall, kein Gameserver und kein IRC Server.

Software ist Win Server 2003 Web Edition.
 
Hallo!
Auch wenn diese Frage etwas 'Hochnäsig' klingen mag:
Warum nimmst du für solche Aufgaben nicht ein Betriebssystem, das dafür gemacht ist? Oder anders: Gibt es einen triftigen Grund für Windows?

mfG
Thorsten
 
Ich wüsste nicht, warum Win 2003 Server dafür nicht gemacht ist...aber diese Diskussion wollte ich eigentlich vermeiden, ich wollte einfach nur ein paar Erfahrungswerte von Windows Usern, welche Massnahmen sich bewährt haben....

Aber um die Frage trotzdem zu beantworten:

Ich habe die Erfahrung gemacht, dass elementare Softwareänderungen an Win Servern leichter und vor allem schneller durchgeführt sind, alleine schon weil man sich nicht erst durch 300 Text Config Dateien arbeiten muss, die erfahrungsgemäss jede für sich einen anderen perplexeren Aufbau hat und wild im System verstreut sind je nach Programmierer, Distribution und Software...das Win Server universeller einsetzbar sind (zusätzlich ASP, evtl. MSSQL, etc. pp)

Aber wie gesagt da hier sowieso jeder selbst seine eigene unumstössliche Meinung hat finde ich es ein wenig müssig das durchzudiskutieren....
 
Hallo!
Soll ja auch keine Grundsatzdiskussion werden. Wie du schon sagst, jeder hat seiner persönlichen Favoriten. Und sicher haben Windows Server ihre Daseinsberechtigung.

Zurück zum Thema:
Die Microsoft Security Updates sind natürlich Pflicht. Von den Applikationen her habe ich mit Serv-U als FTP Server eigentlich gute Erfahrungen gemacht. Man sollte nur nicht jedes verführerrische Feature (Remote-Admin bspw.) aktivieren. Mail Server unter Windows sind so ein Thema für sich.

Grundsätzlich sage ich immer 'Nimm alles, außer Exchange' :). Ich betreue z.B. ein SMTP Relay auf Windows Basis (MIMEsweeper for SMTP (http://www.mimesweeper.com)). Bin sehr zufrieden mit dem Produkt.

Wichtig ist meiner Meinung nach - und das viel intensiver als im Linux Umfeld - die Absicherung der Maschine an sich. Das meinte ich mit Firewall. Ich habe überhaupt kein Problem damit, einen IIS hinter einer Firewall die wirklich nur HTTP Anfragen zuläßt (stateful inspection) zu betreiben. Absolut überhaupt nichts halte ich von integrierten Portfiltern die Microsoft selbst anbietet.

Eventuell ist das jetzt eine Diskussionsgrundlage :).

mfG
Thorsten
 
Das ist allerdings eine sehr viel bessere Diskussionsgrundlage ;)

Naja das mit der vorgeschalteten Firewall ist sicherlich immer interessant,
allerdings muss der Provider das ja auch mitmachen, hier zu Hause habe ich
das ja so realisiert....

Dass regelmässige Updates gefahren werden und alle Patches ständig und möglichst rasch eingespielt werden sollten, versteht sich....

Allerdings bin ich durch einen grossen deutschen Carrier und Provider ein wenig stutzig geworden (der sich ausschliesslich auf Windows spezialisiert hat) der z.B. den Ping abgeschaltet hat (was ja auch umstritten ist), Intrusion Detection betreibt, eigene Ports einsetzt etc. ob es heutzutage nicht (bei jedem Betriebssystem) sinnvoll ist noch ein wenig mehr Aufwand zu treiben...und was sich davon bei anderen Win Serverbetreibern bewährt hat...
 
Grundsätzlich muss man sich halt immer die Frage stellen, ob der Kosten/Nutzen Faktor stimmt. Es macht sicherlich keinen Sinn, die eigene, außschließlich private Homepage einem externen Penetrationstest unterziehen zu lassen. Das ganze sieht aber schon anders aus, wenn man Betreiber eines großen Onlineshops ist.

Ich halte es für nicht angebracht z.B. Standardports umzubiegen oder ähnliche Dinge. Durchaus verstehen kann ich aber das Abschalten von ICMP echo requests - das allein ist manchmal schon eine effektive Maßnahme gegen 'script-kiddies'.

mfG
Thorsten
 
Genau das ist es, sicherlich kann man auch mit Kanonenkugeln auf Spatzen schiessen, die Frage ist natürlich immer wie teuer und schwer die Kugeln sind und man sich nicht irgendwann selbst behindert oder abschiesst....

Ich persönlich sehe eigentlich in den von Dir erwähnten Scriptkiddies die größte Gefahr, denn meine Projekte ziehen mit Sicherheit keinen Hass oder Missgunst auf sich, wie gesagt es ist auch weder IRC noch Gameserverkleinkrieg geplant, aber in einer Zeit in dem es für Kiddies das größte Vergnügen ist mittels irgendwelcher "One klick to root" Tools Server einzunehmen und diese gleich in drei bis vierstelliger Anzahl zu "sammeln" ist es halt immer eine Gewissensfrage, ob regelmässige Patches und Updates alleine ausreichend sind.
 
Ich versuche mal neutral zu Antworten. Falls ich doch abgleite, möchte ich mich schon jetzt dafür entschuldigen... ;)

Windows kann man genauso absichern wie Linux. Das Problem ist meist die unterschiedliche Benutzerrechte-Verwaltung. So erlangt man bei einem Eindringen viel leichter Administrationsrechte als z.B. unter einem gut konfigurierten Linux.

ICMP blocken ist gerade unter Windows eine sinnvolle Sache.

Wichtig ist, daß man sich viel Zeit für die Absicherung des IIS nimmt. Denn hier sind die meisten (Script-Kiddies-Like) Lücken.

Ansonsten natürlich eine Firewall, Virenscanner und vorallem ein Host-IDS (Intrusion-Detection-System) wie z.B. Snort und Tripwire. (Beides auch für Windows erhältlich.)

Eine wichtige Wahl ist das richtige Produkt für die Firewall. Es sollte eine Code-Injection erkennen. Und das können bisher nur sehr wenige Produkte.

Bei 50-60 Webs kommt ein Server auf entsprechend hohe Beschusswerte, daher die Empfehlung des IDS. Denn nur damit erkennt man entsprechende Angriffe rechtzeitig, bzw. kann sie (falls zu spät) zumindest nachträglich nachvollziehen und Beweise sammeln.
Der Unterschied:
Snort erkennt seltsame IP-Packete und kann bereits solche verwerfen und sammelt vorallem Informationen.
Tripwire verwaltet eine MD5-Datenbank mit Fingerprints aller wesentlichen Dateien und erkennt sofort, wenn sich etwas ändert.
Beide Programme sind unter Windows (Terminal-Server vorausgesetzt) wesentlich leichter zu installieren und konfigurieren als die entsprechenden Linux-Versionen.

huschi.
 
Jaaa, das sind doch mal ein paar gute neutrale Tipps...danke dafür....

So...und solange ich noch so gute Laune habe gehe ich jetzt mal schauen, was diese IDS Systeme für Windows kosten.... :p
 
Metapro said:
gehe ich jetzt mal schauen, was diese IDS Systeme für Windows kosten.... :p
Fragen kostet nichts.
Diese IDS's übrigends auch nichts.
Aber für eine gute Firewall musst Du schon was latzen. Und schau erst gar nicht bei den global-(Miss-)Playern. (Ich will keine Namen nennen, aber N...ten kannst Du Dir sparen...)

huschi.
 
Ich glaube das grösste Problem wird sowieso sein, die Firewall zu installieren ohne sich selbst abzuschiessen, die meisten FW sägen ja den Ast ab, auf dem man sitzt....
 
Auch hier gilt das gleiche wie in der Linux-Welt:
Richte ein (fast) identisches Testsystem bei Dir Zuhause ein, welches Du nur per ssh/terminal versuchst zu administrieren. (Meistens reicht es z.B. per VMware.)
Dort kannst Du jeden Schritt ausführlich testen.
Und den Erfolg kannst Du dann hier im FAQ-Bereich posten... ;)

huschi.
 
In der Theorie stimme ich voll zu, in der Praxis sieht das leider ganz anders aus...

SSH unter Windows ist so ne Sache...und wo soll ich mal eben privat ne Serverlizenz für nen Terminalserver auftreiben...

Aber ich werde schon ne Lösung finden...
 
Back
Top