Erster Windows Root, wie absichern?

hei.

Ich besitze schon seit einigen Jahren verschiedene Linux Rootserver, habe jedoch noch niemals einen Windows Root besessen.
Kann ich mich da einfach per Remotedesktop anmelden und z.b. xampp laufen lassen? Und muss ich gesondert Sicherheitssoftware installieren? Ähnlich fail2ban u.ä.?

Im Internet finde mich leider hauptsächlich Beiträge von Leute die die Geräte firmenintern laufen lassen. Meiner wiederum hängt ja direkt am Internet...

mit freundlichen Grüßen

Dieter

XAMP gibt es auch für Windows, kannst du also verwenden. Für Windows gibt es anstatt fail2ban Lösungen wir RdpGuard, allerdings halte ich von fail2ban selbst auf Linux nicht viel.

Muss ich denn überhaupt gesondert absichern wenn ich ein Passwort 20 Stellen+ verwende?

Das kommt einzig und allein auf die Dienst an. Ich sichere z.B. meinen SSH-Server lediglich mit Public-Key Auth und häng den Dienst vielleicht auf nen anderen Port.

SSH auf Windows?

Ich würde den Server primär zum 3D-Rendering nutzen, würde es da reichen das Gerät einzig und allein über die RemoteDesktopVerbindung zu verwalten? Vorrausgesetzt ich lasse den Webserver aus?

Jup. Mach an der Firewall alles andere dicht, und gut ist.
Die kriegst du mit wf.msc auf.

//e: Achja, und härte im Local GPO noch die RDP Settings. https://www.adamcouch.co.uk/windows-clientserver-hardening-part-1-remote-desktop/

Ok, danke

orrrr hört bitte bitte bitte bitte bitte endlich auf, Xampp auf Prod-Umgebungen bzw im Internet zu verwenden.
Das Dingen ist nicht nur offen wie ein Scheunentor sondern mehr so die nackte hilflose Bauerntocher in der Scheune nachdem man Dach, Wände, Fundament und Scheunentor abgefackelt und entfernt hat.

Ist ja auch nicht so, dass an zig Stellen davor gewarnt wird, das Ding produktiv zu nutzen, z.B. hier:
https://www.apachefriends.org/de/hosting.html

Die meisten "Hacks" passieren nicht über ein ungesichertes OS sondern durch Nutzung von ungeeigneten bzw schlecht und gar nicht konfigurierten Anwendungen.
So, nachdem wir also alle Xampp nur noch lokal zum testen und entwickeln verwenden, kommen wir zu deinen Fragen:
Baseline Security Hardening Guide direkt vom Hersteller
Windows Server Security Hardening Guideline einer US Uni
Liste beliebig erweiterbar, einfach nach "Windows Security Hardening" suchen

Wenn das OS soweit steht geht es an die extern erreichbaren Dienste. Also RDP und was du sonst ggf. noch so nutzen willst. Google und dann "$Dienst security hardening"
Desweiteren ist es sinnvoll alle alten Abhängigkeiten zu deaktivieren, also kein SMBv1, kein NTLMv1 oder im besten Fall auf kein NTLMv2 sondern nur Kerberos zur Authentifizierung, etc.

Ebenso solltest du die Firewall natürlich einschalten und korrekt konfigurieren. Also Netzwerkumgebung auf öffentlich stellen, damit hast schon mal ein halbwegs brauchbares Grundgerüst an Regeln. Im besten Fall ist aber bis auf RDP nichts erlaubt.

Solltest du jetzt weitere Anwendungen bereit stellen wollen, so sollten diese abgesichert werden. Der beste Server bringt dir nix wenn ich über eine schlampig konfigurierte und programmierte Webseite SQL-Injections ausführen oder Remote Code Execution möglich ist.
Sowas kann man idR mit (Web) Application Firewalls lösen, unter Linux würde mir da zuerst ModSecurity einfallen um Webseiten abzusichern.

Generell sollte jeder (extern erreichbare) Dienst unter einem eigenen Nutzer laufen der nur die so gerade minimalst notwendigen Berechtigungen besitzt.

Wenn das dann alles konfiguriert ist, dann kann das Gerät ans Internet gehangen werden. Zu guter Letzt: Mit der einmaligen Einrichtung ist es nicht getan. Updates sollten zeitnah eingespielt werden, sowohl vom OS als auch den installierten Anwendungen und Diensten.

Hör auf den snaxilian.

Kerberos wird zwar schwer bei nem Standaloneserver, aber ansonsten passt das alles.
Auch wenn ichs jetzt nicht so verstanden hatte, dass du dein XAMPP irgendwohin präsentieren wolltest.