Windows "Server" richtig absichern

  • Ahoi,


    nachdem mir mein Uralt Windows Server 2008 erfolgreich gekapert wurde (Häme ist an dieser Stelle durchaus angebracht). Wird es Zeit meine Windowsstrukturen auf den aktuellen Stand zu bringen. Ich konnte den Angriff zwar dank Monitoring sehr zeitnah feststellen - aber kaputt war dann schon alles ;-).


    Neuer Server, neues Glück. In den vergangenen Monaten hat sich ja hoffentlich ein bisschen was getan. Da ich die News nicht immer ganz genau verfolge nun die Bitte um Feedback. Ich könnte mir vorstellen dass am Ende auch andere davon profitieren können.


    Der Rechner muss leider auf "normalem" Windows 10 laufen. Inzwischen gibt es jedoch auch dort eine Firewall die man dicht bekommt.


    Bisher steht auf meiner Roadmap:

    * RDP-Port ändern

    * Firewall bis auf das allernötigste dicht machen.

    * RDP nur für Standardbenutzer freigeben.

    * Fail2Ban für Windows: Hat da wer Erfahrungen? Wail2Ban oder ts_block scheint es zu geben. Wieso kann Windows das nicht Out-of-the-Box? Mein alter Server wurde tatsächlich gebruteforced. Obwohl alle Ports dicht waren, keine Pingantworten etc.. Hat jemand den verwendeten Port (Jaja. Security by Obscurity ist kacke.) gefunden und dann den Server weggeschossen.

    * Loginmail bei erfolgreichem Login einbauen.=> Ich bekomme jedes Mal einen Ping wenn sich eingeloggt wird. Umsetzung vermutlich über ein Skript beim Start.


    Wo ich mir noch unklar bin:

    RDP überhaupt nutzen? Oder VNC/Teamviewer/Whatever?


    Alternativ: Login nur über eigenes VLAN?

    Gibt es bei Windows inzwischen die Möglichkeit sich Zertifikatsbasiert einzuloggen um die Schwachstelle Passwort zu beseitigen?

    Gibt es eine sinnvolle 2FA Authentifizierung?



    Auf dem Server soll schlussendlich ein Offsitebackup mit ein paar zusätzlichen Features (wie Backblazebackup) laufen. Auf Grund der eingesetzten Software benötigt es (leider) ein normales Windows.


    Feedback? :)

  • Hallo,


    ein schönes Thema dessen ich mich gerne mal anschliessen würde.
    In meinem Fall erledigt der Windows Server kleinere von mir geschriebene Backupaufgaben.
    Aktuell setze ich Windows Server 2019 ein.


    Ich habe folgendes getan:

    1. Die Firewall lässt standardmäßig ziemlich alles nach draußen.
      Für den ausgehenden Verkehr habe ich diese ebenfalls aktiviert, sodass jede Anwendung oder jeder Port die / der nach draußen möchte, explizit von mir freigegeben werden muss
    2. Mit Windows Bordmitteln wurde ein überwachter Ordnerzugriff eingerichtet.
      Jede Anwendung die irgendwo hin schreiben möchte muss zuerst freigegeben werden.
    3. FTP-Verbindungen wurden auf die IP´s beschränkt, welche letzlich auch die Backups anliefern.
    4. Passwörter wurden (erklärt sich mitlerweile von selbst) entsprechend stark gesetzt.
    5. Nicht benötigte Dienste wurden abgeschaltet und nicht benötigte Ports wurden geblockt.

    Den RDP-Port habe ich nicht geändert.


    Wie sieht Ihr das Thema Vireschutz?
    In der fachpresse ist häufig zu lesen, das die Windows-eigenen Bordmitteln vollkommen ausreichen, ein interessanter Beitrag findet sich hier:
    https://www.heise.de/newsticke…rodukten-auf-4103873.html


    Grüße, Daniel

  • Wie sieht Ihr das Thema Vireschutz?
    In der fachpresse ist häufig zu lesen, das die Windows-eigenen Bordmitteln vollkommen ausreichen, ein interessanter Beitrag findet sich hier:
    https://www.heise.de/newsticke…rodukten-auf-4103873.html


    Grüße, Daniel

    Hat ein Server überhaupt "Bordmittel" beim Thema Antivirus?

    Auf den Clients ist Windows-Defender sicher ausreichend. Unser Unternehmen ist kürzlich von Sophos auf Windows-Defender im Client-Bereich umgestiegen. Bei den Windows-Servern setzen wir weiter auf Sophos.

    Learn to sit back and observe. Not everything needs a reaction

  • Ein Problem mit diversen Antivirenprogramme ist leider oft auch, dass diese Programme selbst so unsicher programmiert sind, dass sie mehr Sicherheitslöcher aufreissen als sie schliessen. Zumal sie selbst mit sehr umfangreichen Rechten laufen. Dann doch lieber gleich Defender, da weiss man wenigstens woher die Sicherheitslücken stammen. Und auch die NSA ist zufrieden... ;)

  • Den RDP-Port habe ich nicht geändert.


    Das würde ich auf jeden Fall empfehlen. Auch bei FTP etc. nutze ich gerne andere Ports.


    Schau mal in deine Ereignisanzeige. Würde fast wetten dass da schon jeder am kratzen ist.


    Überwachter Ordnerzugriff ist ein guter Tipp.

  • Hat ein Server überhaupt "Bordmittel" beim Thema Antivirus?

    Die aktuelle 2019er Servervariante ist auf dem Stand von W10 build 1809.

    Hier wurde der Defender nochmal ordentlich aufgebohrt und Ich denke, der tut auch hier genau das, was kostenpflichtige Software auch tut.


    Virenschutz ist imho abhängig vom Anwendungsfall.


    Interessant finde ich, das Ihr in Eurem Unternehmen im Client-Bereich nichts mehr anderes einsetzt.

  • [...]

    Wie sieht Ihr das Thema Vireschutz?
    In der fachpresse ist häufig zu lesen, das die Windows-eigenen Bordmitteln vollkommen ausreichen, ein interessanter Beitrag findet sich hier:
    https://www.heise.de/newsticke…rodukten-auf-4103873.html


    Grüße, Daniel


    Die beiden "unabhängigen" Prüfinstitute haben nur einen Daseinszweck: Wohlklingende Zertifikate an Antivirusprodukte zu verleihen. Mit diesen Zertifikaten gehen die Hersteller dann hausieren.

    AV-Test aus Magdeburg ist eine GmbH und arbeitet als solche gewinnorientiert. Ähm - Gewinn? Woher wohl? Sagen wir mal so: Wenn ein Produkt ein Zertifikat erhält, "freut" sich natürlich dessen Hersteller. Vielleicht kommt ja von der Freude etwas beim Testinstitut an? In der Vergangenheit ist AV-Test des öfteren mit höchst fragwürdigen Bewertungen aufgefallen. So wurde Produkt A besser bewertet als Produkt B, obwohl B die bessere Schutzwirkung hat. Das wurde dadurch erreicht, dass unwichtige Kriterien wie die Benutzeroberfläche mit hoher Gewichtung ins Endergebnis eingingen. So kann man jedes gewünschte Ergebnis erreichen ...

    Kommen wir zum konkreten Artikel. Im Test von AV-Comparatives aus Österreich wurden ausschließlich Web-basierte Angriffe untersucht! Nachzulesen auf deren Website. Die üblichen Angriffe per Datei (Trojanischer E-Mail Anhang!) wurden überhaupt nicht berücksichtigt. Ebenso wenig Autoplay-Angriffe; Conficker und Konsorten scheinen vergessen. Keines der Testinstitute untersuchte, wie gut das jeweilige Produkt gegen BadUSB Angriffe schützt, ob überhaupt.

    Mit anderen Worten: Glaube keiner Statistik, die du nicht selbst gefälscht hast. Glaube keiner Bewertung, die du nicht selbst gekauft hast.

    "Security is like an onion - the more you dig in the more you want to cry"

  • Hay,

    nachdem mir mein Uralt Windows Server 2008 erfolgreich gekapert wurde (Häme ist an dieser Stelle durchaus angebracht).



    Zwischenfrage ohne Häme ... da ich gezwungen bin, einen Windows Server 2008 zu betreiben, bin ich in der selben Situation


    War der Server auf aktuellem Patchstand?

    (Windows 2008 mit Spezialsoftware als WebService, WebService nur lesend außer Logfiles - sobald die Software soweit analysiert ist, dass sie durch eine eigene ersetzt werden kann, verschwindet auch der Windows Server komplett).


    Mein Server hat eigentlich nur IIS (80, 443) nach außen offen, der Rest ist nur über VPN erreichbar (Jumppoint auf anderem netcup-Server).


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Ich pushe das Thema mal, da ich jetzt auch einen vServer mit Windows Server 2019 laufen habe und diesen möglichst gut absichern will.

    Da ich den Server eigentlich nur benötige um Software drauf laufen zu lassen, und diese keine eingehenden Ports oder dergleichen benötigt, kann ich eigentlich alle Ports blockieren bis auf 80 und eventuell den OpenVPN Port?


    Habt ihr möglicherweise noch Tips? Ich denke ohne benötigte Webservices kann man ja Windows auch sehr gut abschotten.

    Hat jemand möglicherweise noch gute Links zum Thema "security-hardening " für Windows Server (2019)?



    Vielen Dank schon mal!

  • Nvm das blockieren hat doch funktioniert, nur der Online Scanner hat scheinbar nicht neu gescannt obwohl ich die Seite neugeladen habe (cache maybe), habs dann direkt mit Nmap getestet und die Ports sind gefiltert, aber danke :)


  • Sorry für die späte Antwort.


    Der Server hatte alle Patches installiert und war bis auf RDP (auf einem anderen Port) nach außen komplett abgeschottet. Mit VPN davor bist du vermutlich sicherer.

  • Hallo, hätte auch mal ne Frage, würde man Anti Virus benutzen wollen, wäre Kaspersky Internet Security dafür eine wahl?


    Hab alle gänigen Methoden auch schon durchgeführt, auf dem Server laufen nur FTP zugriff und ein Gameserver sonst nix.


    - RDP Port wurde geändert


    - Admin Konto umbenannt


    - Benutzerdetails im Loginmenü ausgeblendet


    - alle Ports die nicht benötigt wurden dicht gemacht