none
MS Server 2012 R2 - Basiseinstellung zur Absicherung

    Frage

  • Hallo,

    für einen neu aufgesetzten MS Server 2012 R2 suche ich die optimalen Basiseinstellungen zur Absicherung. Die Windows-Firewall ist natürlich aktiviert. Da ich keine E-Mails von dem Server versenden will, habe ich auch explizit Port 25 TCP/UDP aus- und eingehend gesperrt. Alle Updates sind natürlich heruntergeladen und installiert.

    Von der Verwendung her gesehen möchte ich nur einen VPN-Zugang für berechtigte Benutzer anbieten. Diese dürfen wiederum auf die Datenbank zugreifen, die auf dem Server auf einem SQL Server Express liegt.

    Alle anderen Zugriffe von außerhalb sollen verhindert werden.

    Empfiehlt sich auf so einem Server ein Virenscanner und falls ja, gibt es spezielle Virenscanner für Windows-Server?

    Gibt es noch andere Basiseinstellungen für die Absicherung eines solchen Servers, die ich beachten sollte?

    Grüße

    Stefan

    Donnerstag, 3. März 2016 20:54

Alle Antworten

  • Am 03.03.2016 schrieb Stefaktiv:

    für einen neu aufgesetzten MS Server 2012 R2 suche ich die optimalen Basiseinstellungen zur Absicherung. Die Windows-Firewall ist natürlich aktiviert. Da ich keine E-Mails von dem Server versenden will, habe ich auch explizit Port 25 TCP/UDP aus- und eingehend gesperrt. Alle Updates sind natürlich heruntergeladen und installiert.

    Steht der Server direkt im Internet?

    Von der Verwendung her gesehen möchte ich nur einen VPN-Zugang für berechtigte Benutzer anbieten. Diese dürfen wiederum auf die Datenbank zugreifen, die auf dem Server auf einem SQL Server Express liegt.

    Greifen die Benutzer via RDP auf den Server zu und starten auf dem
    Server direkt ein Programm oder bauen sie nur die VPN-Verbindung auf?
    Greifen Sie dann mit einem Programm, das auf einem anderen PC
    installiert ist, auf die Instanz des SQL Servers zu?

    Alle anderen Zugriffe von außerhalb sollen verhindert werden.

    Mir dünkt, der Server steht direkt im Internet.

    Empfiehlt sich auf so einem Server ein Virenscanner und falls ja, gibt es spezielle Virenscanner für Windows-Server?

    Es gibt viele AV-Scanner, die man auf Windows Server installieren
    kann.

    Gibt es noch andere Basiseinstellungen für die Absicherung eines solchen Servers, die ich beachten sollte?

    Ja, ein solcher Server sollte nie direkt im Internet stehen.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos für WSUS/WPP: http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Samstag, 5. März 2016 12:38
  • Also die Aussage "ein solcher Server sollte nie direkt im Internet stehen" macht doch bei einem Dedicated Server überhaupt keinen Sinn. Natürlich steht das Rechenzentrum irgendwo und die Einwahl kann dann ja nur über das Internet erfolgen - aber eben über verschlüsselte Verbindung mittels VPN.

    Der Zugriff über Remotedesktop ist dem Admin vorbehalten. Die normalen Nutzer haben nur die Möglichkeit sich via VPN einzuwählen und dann auf die SQL-Datenbank auf dem Server zuzugreifen.

    Samstag, 5. März 2016 20:00
  • Hi,
    die Ausgangsfrage war doch zu den Basiseinstellungen. Diese kann man aber nicht ohne die genutzte Technologie betrachten. Aus Sicherheitsgründen sollte ein Datenbankserver wirklich nicht aus dem Internet zugänglich sein, da Daten das Teuerste im Unternehmen sind. Über eine VPN muss man sich ja nicht mit dem SQL Server verbinden. Innerhalb der VPN hat der Anwender dann in seiner Anwendung auch Zugriff auf die Rechner der verbundenen Domain, die keinen Zugang zum Internet haben. Genau so macht das auch der Admin. Er verbindet sich über VPN mit der Domain und kann dann z.B. über RDP Sitzungen die Rechner innerhalb der Domain administrieren.


    --
    Viele Grüsse
    Peter Fleischer (MVP, Partner)
    Meine Homepage mit Tipps und Tricks
    Kommas richtig setzen!
    Schüler sagen, Lehrer haben es gut.
    Schüler, sagen Lehrer, haben es gut



    Sonntag, 6. März 2016 04:01
  • Am 05.03.2016 schrieb Stefaktiv:

    Also die Aussage "ein solcher Server sollte nie direkt im Internet stehen" macht doch bei einem Dedicated Server überhaupt keinen Sinn. Natürlich steht das Rechenzentrum irgendwo und die Einwahl kann dann ja nur über das Internet erfolgen - aber eben über verschlüsselte Verbindung mittels VPN.

    Wenn vor dem Server ein Firewall steht, und die VPN-Verbindung dort
    terminiert, ist das in Ordnung.

    Der Zugriff über Remotedesktop ist dem Admin vorbehalten. Die normalen Nutzer haben nur die Möglichkeit sich via VPN einzuwählen und dann auf die SQL-Datenbank auf dem Server zuzugreifen.

    Mein Eindruck ist allerdings, der Server steht im Internet und ist
    über eine öffentliche IP direkt zu erreichen, ohne Firewall davor. Und
    das ist schlecht, ganz schlecht. Falls mit Firewall die Windows
    Firewall meinst, dann ist das auf keinen Fall das gleiche wie eine
    zusätzliche Hardware.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos für WSUS/WPP: http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Sonntag, 6. März 2016 12:14
  • Aus Sicherheitsgründen sollte ein Datenbankserver wirklich nicht aus dem Internet zugänglich sein, da Daten das Teuerste im Unternehmen sind. Über eine VPN muss man sich ja nicht mit dem SQL Server verbinden.

    Also der Port 1433 des Datenbankservers ist in der Windows-Firewall nur für interne IP-Nummern vergeben. Es handelt sich um den Adressbereich, der für die VPN-User vergeben wird. Damit ist der Datenbankserver nach meinem Verständnis eben nicht aus dem Internet erreichbar - sondern nur für die VPN-Nutzer.

    Die PCs der VPN-Nutzer sind nicht Teil der Domäne. Die Nutzer kennen sich gegenseitig - es ist auch ein überschaubarer Nutzerkreis.

    Bzgl. der Firewall ist es ja bei Anbietern wie Strato, 1&1 oder Hetzner so, dass die Dedicated Server ja so verbaut sind, dass die einzelnen Mieter gar keinen Zugriff auf die übergeordnete Hardware haben. Es kann also nur eine Software-Firewall zum Einsatz kommen.

    Wenn ich Eure Antworten so lese, dann frage ich mich aber gerade, weswegen man überhaupt einen Dedicated Server anmieten sollte. Denn wenn der nie eine Hardware-Firewall hat und man auch gar keine Datenbank darauf betreiben sollte - für was genau brauche ich dann noch einmal so einen Dedicated Server?

    Was ich mir eigentlich von diesem Thread erwartet habe ist aber etwas anderes... sicher gibt es beim Windows Server 2012 R2 doch irgendwelche Einstellungen, auf die man achten soll.

    Habt ihr selbst schon mal so einen Windows Server 2012 R2 eingerichtet und falls ja, war es eine reine Intranetlösung oder ein Root- bzw. Dedicated Server?

    Sonntag, 6. März 2016 20:33
  • Hi Stefan,
    anstelle den Port freizugeben, sollte die Anwendung in der Firewall nur für die Domain freigegeben werden.

    Wenn die Nutzer in der Domain keine Anmeldung haben, können sie auch keine VPN aufbauen. Ab dem Moment, wo die VPN steht, ist der PC in der Domain, d.h., er hat eine Adresse im Adressbereich der Domain. Ab diesem Moment lässt auch die Firewall des SQL Servers Zugriffe aus der Domain zu sqlserv.exe zu, wenn diese in der Domain freigeschaltet ist. Der SQL Server ist aber ohne VPN aus dem Internet nicht erreichbar.

    Warum Du einen dedicated Server anmietest, musst Du Dich schon selbst fragen. In der Microsoft Cloud z.B. gibt es auch den SQL Server als Dienst, der parallel mit anderen Nutzern läuft. Ob da Starto so etwas liefert, weiß ich nicht. Ich erwarte, dass z.B. MagentaCloud so etwas auch nach der CeBIT anbieten wird.


    --
    Viele Grüsse
    Peter Fleischer (MVP, Partner)
    Meine Homepage mit Tipps und Tricks
    Kommas richtig setzen!
    Schüler sagen, Lehrer haben es gut.
    Schüler, sagen Lehrer, haben es gut

    Mittwoch, 9. März 2016 06:44