Windows Server möglichst optimal absichern...
- Thread starter Metapro
- Start date
S
server4downs
Guest
Ich glaube hier haben wir zu 99% Prozent Linux-Chefs 
Vielleicht meldet sich ja noch der eine Prozent
Ich kenn mich mit Windows-Servern nicht aus. Nur "normalem" Windows.
Vielleicht meldet sich ja noch der eine Prozent
Ich kenn mich mit Windows-Servern nicht aus. Nur "normalem" Windows.
Ich wüsste nicht, warum Win 2003 Server dafür nicht gemacht ist...aber diese Diskussion wollte ich eigentlich vermeiden, ich wollte einfach nur ein paar Erfahrungswerte von Windows Usern, welche Massnahmen sich bewährt haben....
Aber um die Frage trotzdem zu beantworten:
Ich habe die Erfahrung gemacht, dass elementare Softwareänderungen an Win Servern leichter und vor allem schneller durchgeführt sind, alleine schon weil man sich nicht erst durch 300 Text Config Dateien arbeiten muss, die erfahrungsgemäss jede für sich einen anderen perplexeren Aufbau hat und wild im System verstreut sind je nach Programmierer, Distribution und Software...das Win Server universeller einsetzbar sind (zusätzlich ASP, evtl. MSSQL, etc. pp)
Aber wie gesagt da hier sowieso jeder selbst seine eigene unumstössliche Meinung hat finde ich es ein wenig müssig das durchzudiskutieren....
Aber um die Frage trotzdem zu beantworten:
Ich habe die Erfahrung gemacht, dass elementare Softwareänderungen an Win Servern leichter und vor allem schneller durchgeführt sind, alleine schon weil man sich nicht erst durch 300 Text Config Dateien arbeiten muss, die erfahrungsgemäss jede für sich einen anderen perplexeren Aufbau hat und wild im System verstreut sind je nach Programmierer, Distribution und Software...das Win Server universeller einsetzbar sind (zusätzlich ASP, evtl. MSSQL, etc. pp)
Aber wie gesagt da hier sowieso jeder selbst seine eigene unumstössliche Meinung hat finde ich es ein wenig müssig das durchzudiskutieren....
Hallo!
Soll ja auch keine Grundsatzdiskussion werden. Wie du schon sagst, jeder hat seiner persönlichen Favoriten. Und sicher haben Windows Server ihre Daseinsberechtigung.
Zurück zum Thema:
Die Microsoft Security Updates sind natürlich Pflicht. Von den Applikationen her habe ich mit Serv-U als FTP Server eigentlich gute Erfahrungen gemacht. Man sollte nur nicht jedes verführerrische Feature (Remote-Admin bspw.) aktivieren. Mail Server unter Windows sind so ein Thema für sich.
Grundsätzlich sage ich immer 'Nimm alles, außer Exchange'. Ich betreue z.B. ein SMTP Relay auf Windows Basis (MIMEsweeper for SMTP (http://www.mimesweeper.com)). Bin sehr zufrieden mit dem Produkt.
Wichtig ist meiner Meinung nach - und das viel intensiver als im Linux Umfeld - die Absicherung der Maschine an sich. Das meinte ich mit Firewall. Ich habe überhaupt kein Problem damit, einen IIS hinter einer Firewall die wirklich nur HTTP Anfragen zuläßt (stateful inspection) zu betreiben. Absolut überhaupt nichts halte ich von integrierten Portfiltern die Microsoft selbst anbietet.
Eventuell ist das jetzt eine Diskussionsgrundlage.
mfG
Thorsten
Soll ja auch keine Grundsatzdiskussion werden. Wie du schon sagst, jeder hat seiner persönlichen Favoriten. Und sicher haben Windows Server ihre Daseinsberechtigung.
Zurück zum Thema:
Die Microsoft Security Updates sind natürlich Pflicht. Von den Applikationen her habe ich mit Serv-U als FTP Server eigentlich gute Erfahrungen gemacht. Man sollte nur nicht jedes verführerrische Feature (Remote-Admin bspw.) aktivieren. Mail Server unter Windows sind so ein Thema für sich.
Grundsätzlich sage ich immer 'Nimm alles, außer Exchange'
. Ich betreue z.B. ein SMTP Relay auf Windows Basis (MIMEsweeper for SMTP (http://www.mimesweeper.com)). Bin sehr zufrieden mit dem Produkt.Wichtig ist meiner Meinung nach - und das viel intensiver als im Linux Umfeld - die Absicherung der Maschine an sich. Das meinte ich mit Firewall. Ich habe überhaupt kein Problem damit, einen IIS hinter einer Firewall die wirklich nur HTTP Anfragen zuläßt (stateful inspection) zu betreiben. Absolut überhaupt nichts halte ich von integrierten Portfiltern die Microsoft selbst anbietet.
Eventuell ist das jetzt eine Diskussionsgrundlage
.mfG
Thorsten
Das ist allerdings eine sehr viel bessere Diskussionsgrundlage
Naja das mit der vorgeschalteten Firewall ist sicherlich immer interessant,
allerdings muss der Provider das ja auch mitmachen, hier zu Hause habe ich
das ja so realisiert....
Dass regelmässige Updates gefahren werden und alle Patches ständig und möglichst rasch eingespielt werden sollten, versteht sich....
Allerdings bin ich durch einen grossen deutschen Carrier und Provider ein wenig stutzig geworden (der sich ausschliesslich auf Windows spezialisiert hat) der z.B. den Ping abgeschaltet hat (was ja auch umstritten ist), Intrusion Detection betreibt, eigene Ports einsetzt etc. ob es heutzutage nicht (bei jedem Betriebssystem) sinnvoll ist noch ein wenig mehr Aufwand zu treiben...und was sich davon bei anderen Win Serverbetreibern bewährt hat...
Naja das mit der vorgeschalteten Firewall ist sicherlich immer interessant,
allerdings muss der Provider das ja auch mitmachen, hier zu Hause habe ich
das ja so realisiert....
Dass regelmässige Updates gefahren werden und alle Patches ständig und möglichst rasch eingespielt werden sollten, versteht sich....
Allerdings bin ich durch einen grossen deutschen Carrier und Provider ein wenig stutzig geworden (der sich ausschliesslich auf Windows spezialisiert hat) der z.B. den Ping abgeschaltet hat (was ja auch umstritten ist), Intrusion Detection betreibt, eigene Ports einsetzt etc. ob es heutzutage nicht (bei jedem Betriebssystem) sinnvoll ist noch ein wenig mehr Aufwand zu treiben...und was sich davon bei anderen Win Serverbetreibern bewährt hat...
Grundsätzlich muss man sich halt immer die Frage stellen, ob der Kosten/Nutzen Faktor stimmt. Es macht sicherlich keinen Sinn, die eigene, außschließlich private Homepage einem externen Penetrationstest unterziehen zu lassen. Das ganze sieht aber schon anders aus, wenn man Betreiber eines großen Onlineshops ist.
Ich halte es für nicht angebracht z.B. Standardports umzubiegen oder ähnliche Dinge. Durchaus verstehen kann ich aber das Abschalten von ICMP echo requests - das allein ist manchmal schon eine effektive Maßnahme gegen 'script-kiddies'.
mfG
Thorsten
Ich halte es für nicht angebracht z.B. Standardports umzubiegen oder ähnliche Dinge. Durchaus verstehen kann ich aber das Abschalten von ICMP echo requests - das allein ist manchmal schon eine effektive Maßnahme gegen 'script-kiddies'.
mfG
Thorsten
Genau das ist es, sicherlich kann man auch mit Kanonenkugeln auf Spatzen schiessen, die Frage ist natürlich immer wie teuer und schwer die Kugeln sind und man sich nicht irgendwann selbst behindert oder abschiesst....
Ich persönlich sehe eigentlich in den von Dir erwähnten Scriptkiddies die größte Gefahr, denn meine Projekte ziehen mit Sicherheit keinen Hass oder Missgunst auf sich, wie gesagt es ist auch weder IRC noch Gameserverkleinkrieg geplant, aber in einer Zeit in dem es für Kiddies das größte Vergnügen ist mittels irgendwelcher "One klick to root" Tools Server einzunehmen und diese gleich in drei bis vierstelliger Anzahl zu "sammeln" ist es halt immer eine Gewissensfrage, ob regelmässige Patches und Updates alleine ausreichend sind.
Ich persönlich sehe eigentlich in den von Dir erwähnten Scriptkiddies die größte Gefahr, denn meine Projekte ziehen mit Sicherheit keinen Hass oder Missgunst auf sich, wie gesagt es ist auch weder IRC noch Gameserverkleinkrieg geplant, aber in einer Zeit in dem es für Kiddies das größte Vergnügen ist mittels irgendwelcher "One klick to root" Tools Server einzunehmen und diese gleich in drei bis vierstelliger Anzahl zu "sammeln" ist es halt immer eine Gewissensfrage, ob regelmässige Patches und Updates alleine ausreichend sind.
Huschi
Moderator
Ich versuche mal neutral zu Antworten. Falls ich doch abgleite, möchte ich mich schon jetzt dafür entschuldigen...
Windows kann man genauso absichern wie Linux. Das Problem ist meist die unterschiedliche Benutzerrechte-Verwaltung. So erlangt man bei einem Eindringen viel leichter Administrationsrechte als z.B. unter einem gut konfigurierten Linux.
ICMP blocken ist gerade unter Windows eine sinnvolle Sache.
Wichtig ist, daß man sich viel Zeit für die Absicherung des IIS nimmt. Denn hier sind die meisten (Script-Kiddies-Like) Lücken.
Ansonsten natürlich eine Firewall, Virenscanner und vorallem ein Host-IDS (Intrusion-Detection-System) wie z.B. Snort und Tripwire. (Beides auch für Windows erhältlich.)
Eine wichtige Wahl ist das richtige Produkt für die Firewall. Es sollte eine Code-Injection erkennen. Und das können bisher nur sehr wenige Produkte.
Bei 50-60 Webs kommt ein Server auf entsprechend hohe Beschusswerte, daher die Empfehlung des IDS. Denn nur damit erkennt man entsprechende Angriffe rechtzeitig, bzw. kann sie (falls zu spät) zumindest nachträglich nachvollziehen und Beweise sammeln.
Der Unterschied:
Snort erkennt seltsame IP-Packete und kann bereits solche verwerfen und sammelt vorallem Informationen.
Tripwire verwaltet eine MD5-Datenbank mit Fingerprints aller wesentlichen Dateien und erkennt sofort, wenn sich etwas ändert.
Beide Programme sind unter Windows (Terminal-Server vorausgesetzt) wesentlich leichter zu installieren und konfigurieren als die entsprechenden Linux-Versionen.
huschi.
Windows kann man genauso absichern wie Linux. Das Problem ist meist die unterschiedliche Benutzerrechte-Verwaltung. So erlangt man bei einem Eindringen viel leichter Administrationsrechte als z.B. unter einem gut konfigurierten Linux.
ICMP blocken ist gerade unter Windows eine sinnvolle Sache.
Wichtig ist, daß man sich viel Zeit für die Absicherung des IIS nimmt. Denn hier sind die meisten (Script-Kiddies-Like) Lücken.
Ansonsten natürlich eine Firewall, Virenscanner und vorallem ein Host-IDS (Intrusion-Detection-System) wie z.B. Snort und Tripwire. (Beides auch für Windows erhältlich.)
Eine wichtige Wahl ist das richtige Produkt für die Firewall. Es sollte eine Code-Injection erkennen. Und das können bisher nur sehr wenige Produkte.
Bei 50-60 Webs kommt ein Server auf entsprechend hohe Beschusswerte, daher die Empfehlung des IDS. Denn nur damit erkennt man entsprechende Angriffe rechtzeitig, bzw. kann sie (falls zu spät) zumindest nachträglich nachvollziehen und Beweise sammeln.
Der Unterschied:
Snort erkennt seltsame IP-Packete und kann bereits solche verwerfen und sammelt vorallem Informationen.
Tripwire verwaltet eine MD5-Datenbank mit Fingerprints aller wesentlichen Dateien und erkennt sofort, wenn sich etwas ändert.
Beide Programme sind unter Windows (Terminal-Server vorausgesetzt) wesentlich leichter zu installieren und konfigurieren als die entsprechenden Linux-Versionen.
huschi.
Huschi
Moderator
Fragen kostet nichts.Metapro said:gehe ich jetzt mal schauen, was diese IDS Systeme für Windows kosten....
Diese IDS's übrigends auch nichts.
Aber für eine gute Firewall musst Du schon was latzen. Und schau erst gar nicht bei den global-(Miss-)Playern. (Ich will keine Namen nennen, aber N...ten kannst Du Dir sparen...)
huschi.
Huschi
Moderator
Auch hier gilt das gleiche wie in der Linux-Welt:
Richte ein (fast) identisches Testsystem bei Dir Zuhause ein, welches Du nur per ssh/terminal versuchst zu administrieren. (Meistens reicht es z.B. per VMware.)
Dort kannst Du jeden Schritt ausführlich testen.
Und den Erfolg kannst Du dann hier im FAQ-Bereich posten...
huschi.
Richte ein (fast) identisches Testsystem bei Dir Zuhause ein, welches Du nur per ssh/terminal versuchst zu administrieren. (Meistens reicht es z.B. per VMware.)
Dort kannst Du jeden Schritt ausführlich testen.
Und den Erfolg kannst Du dann hier im FAQ-Bereich posten...
huschi.