Windows Server 2008 R2 Serversicherheit - Sinnvolles Konzept?

[Hellblazer]

Hallo,

ich bin Nutzer zweier Windows Server (2008 R2 und 2012 R2).

Ich betreibe darauf ein kleiners Projekt mit einer Website und einem Webservice mit dazugehöriger Datenbank.
Das Ganze sollte natürlich halbwegs sicher vor Hackerangriffen sein.

Ein Allgemeinrezept für "absolut sicher" wirds wohl nicht geben (hab zumindest keines gefunden, außer naja, Internetanschluss abziehen und sämtliche I/O-Ports zunageln )

Natürlich existieren ein paar Grundregeln zum Thema Sicherheit:

- unnötige Accounts entfernen (Gast usw.)
- unnötige Programme entfernen
- Admininstrator-Account umbennnen
- unnötige Dateifreigaben entfernen
- aktuelleste Updates einspielen
- Anti-Virus-Programm verwenden (was wäre da für Server zu empfehlen? da haben die größeren Hersteller ja alle was extra für Server im Programm, darf auch etwas kosten)
- Sicherheitsrichtlinien einrichten
- unnötige Dienste abschalten
- unnötige Ports schließen bzw. nur Ports öffnen, die benötigt werden (Windows Firewall/Paketfilter)
- RDP Zugang irgendwie absichern


zu den letzten beiden Punkten:

- unnötige Ports schließen/nur benötigte Ports öffnen
Ich brauch eigentlich nur 80, 443, den Port meines Services und den RDP-Port. Theoretisch sind alle anderen Ports für mich unnötig. Also dachte ich, ich schau einfach, dass alle anderen Ports ungeöffnet sind. Sollten dabei irgendwelche größeren Probleme auftreten?

- RDP absichern
Zur Absicherung der Remote-Desktop-Verbindung:
- Administrator-Account umbennen (bzw. anderen Admin anlegen und ursprünglichen deaktivieren)
- RDP Port ändern
- sichere Passwörter für die bestehenden Accounts verwenden
- evtl. kryptische Accountnamen?

Weiterführend:
- Service schreiben, womit ich den Remotedesktop deaktivieren kann, wenn ich ihn nicht benötige (hab ich mal in einem Blog gelesen, und fand die Idee nicht schlecht)
- RD-Verbindung nur über eine IP zulasssen (ich dachte da an sowas wie: über meinen zweiten Server zum RD vom ersten connecten, VPN?. Muss mir das nochmal etwas gründlicher durchdenken, aber ist die Idee im Grunde sinnvoll?)


Mit diesen Maßnahmen dürfte doch das Rsiko erheblich eingeschränkt werden, oder?

Alleine schon mit den letzen beiden Punkten (RDP, Ports) hat man doch wohl die größte Angriffsfläche genommen, oder übersehe ich etwas Grundlegendes (ausgenommen eventuelle Lücken auf der Website/Webservice)?

Gäbe es sonst noch irgendwelche Maßnahmen, die ich zur weiteren Absicherung durchführen könnte?

 

[iDont_Know]

Hallo ich kenne mich nicht soo gut aus aber ich würde das so machen:

1)
Zuerst nur die nötigen Ports öffnen ( nicht bei dem Server sondern bei dem Router!)
nur die Ports öffnen die wirklich offen sein müssen

2) Ports für Wartung, rdp. etc überhaupt nicht öffenen, sondern nur die von VPN
Open VPN soll sicherer sein

- RD-Verbindung nur über eine IP zulasssen

klingt gut, ist die IP statisch ? wenn nicht, bringt das nichts

- Anti-Virus-Programm verwenden (was wäre da für Server zu empfehlen? da haben die größeren Hersteller ja alle was extra für Server im Programm, darf auch etwas kosten)

hm, dur wirst doch nicht mit dem Server surfen und komische sachen Runterladen, oder ?
eine extra Firewall wäre besser, wenn die von Winows schlecht ist

 

[Hellblazer]

Vielleicht sollte ich noch erwähnen, dass es sich bei meinem Servern um einen Root und einen Virtual-Server handelt.

Also:
- feste IP
- kein Router

(ich selbst habe auch einen mehr oder weniger statische IP bei mir Zuhause, von dem her würde es vielleicht auch ohne meinen zweiten Server klappen, allerdings ändert sich meine IP Zuhause dann doch ab und an mal, und dann wäre ich ausgesperrt )

Surfen will ich damit nicht. Auf den Server soll nur die Webseite mit dem Webservice laufen. Mehr nicht. Allerdings wird eben in Artikeln über Serversicherheit oft ein Antivirenprogramm empfohlen (acuh in den Microsoft eigenen). Da die Daten, die ich speichere, in gewisser Weiße sensibel sind, dachte ich halt, leiber noch ein Antiviren-Programm dazu.
Allerdings muss ich mich im Bereich Antivirus für Server noch etwas einlesen, ob mir das überhaupt etwas bringt und wenn ja, inwiefern überhaupt. Bis jetzt bin ich auch ohne Antivrenprogramm gut ausgekommen.

 

[Masamune2]

Dein Vorhaben ist lobenswert, du machst es dir aber komplizierter als nötig. Windows ist nicht das unsichere Betriebssystem als das es bei manchen verschrien ist.

- Programme und Dienste die nicht gebraucht werden schaltest du ab, das schließt auch automatisch Ports die diese öffnen. Das viel erwähnte "Ports schließen" geht so direkt ja nicht, Ports schließt man indirekt darüber das die Programme die diese nutzen nicht ausgeführt werden.
- Auf der LAN-Schnittstelle die ins Internet zeigt solltest du die Datei und Druckerdienste abschalten.
- Das Umbenennen des Admins bietet kaum einen sinnvollen Schutz, wichtig ist ein gescheitest Kennwort. Dabei zählt Länge mehr als Komplexität: https://xkcd.com/936/
- Den RDP Port ändern kann man machen, mit gescheitem Passwort ist aber auch das egal.

Wichtig ist noch, dass die Dienste die dann doch von außen erreichbar sind nicht mit Admin Rechten laufen. Nutzt du den IIS für deine Webseite ist das automatisch so, hier gibt es einen IIS_User.

 

[Hellblazer]

- Den RDP Port ändern kann man machen, mit gescheitem Passwort ist aber auch das egal.

Mit dem Port ändern habe ich auch eher zum Ziel, dass diese ganzen Login-Versuche von Bots auf den Standardport aus den Logs verschwinden (lassen sich zwar wegfiltern, aber gefällt mir trotzdem nicht). Dazu würde dann auch mein erwähnter Remote-RD-Deaktivierungsservice beitragen (der wahrscheinlich auch eher mit Kanonen auf Spatzen geschossen ist, aber mir gefält die Idee )

Wichtig ist noch, dass die Dienste die dann doch von außen erreichbar sind nicht mit Admin Rechten laufen. Nutzt du den IIS für deine Webseite ist das automatisch so, hier gibt es einen IIS_User.

Jup, entsprechende Konten mit entsprechend eingeschränkten Rechten für jeden Service hatte ich ebenfalls vor (ich wusste, dass ich irgendwas in meiner Auflistung vergaß. Danke für den Hinweis, sonst hätt ich das möglicherweise irgendwann noch komplett vergessen).

 

[Goldilox]

Allerdings muss ich mich im Bereich Antivirus für Server noch etwas einlesen, ob mir das überhaupt etwas bringt und wenn ja, inwiefern überhaupt. Bis jetzt bin ich auch ohne Antivrenprogramm gut ausgekommen.

Tja, dazu gibt's unterschiedliche Meinungen... ich würde es weglassen - denn mit jedem zusätzlichen Dienst holst du dir auch eine weitere, potentielle Sicherheitslücke ins Haus.