Windows Server absichern

  • Hallo,


    habe folgendes Grundlegendes Problem:


    Mein Netcup Rootserver wird im Minutentackt attakiert.


    Das AV Programm reagiert teilweise während Remote Arbeiten, mit dem abschießen des Versuchten Ausführen eines Exploits.


    IP Adressen werden im 2 Minuten takt geblockt, der Server wurde mittlerweile mit einer Neinstallation unter Windows Server 2016 scheinbar nicht mehr erfolgreich gekapert.


    Unter Windows Server 2012 R2 während dem Abschluss der Nachinstallation wurde der Server Verseucht und alle Dateien Verschlüsselt mit .actor Dateien habe dazu aber nichts gefunden.


    Ich wollte den Server eigentlich als Homeserver nutzen um Strom zu Sparen, wenn ich aber Angst haben muss das dieser mir alles Versucht finde ich das nicht besonders gut.

  • Was willst du auf dem Server hosten?

    Das Problem ist, solange die letzten Updates nicht installiert sind, kann es immer wieder zu Attacken kommen. Das in diesem Fall sicherste (solange zu keinen 2ten Linux Server als Proxy nutzen kannst) ist, erst einmal ohne Netzwerk über die KVM zu installieren und dann zuerst die Firewall komplett einzuschalten und keine Dienste nach außen freizugeben. Dann kannst du alle Updates installieren. Ich weiss nicht ob man ein Image mit den Updates hochladen und dann ohne Netz installieren kann.

    Aber am besten:

    Suche dir jemanden der dir hilft oder lerne das vorher in einer VM. So bis du für alles verantwortlich was mit diesem Server geschieht.

  • Habe vorhin ein 2012 Image mit Updates erstellt das ist grad am Uploaden.


    Der Server dient als DC allerdings nur über VPN.


    Möchte ganz gern alles außer den VPN Port blocken, wie ist das wenn die Windows Firewall lücken hätte?


    Möchte eher Tipps wie ich das System so Dicht kriege das ich nur noch via VPN draufkomme.



    Zum Thema anderen überlassen:


    Bin selbst in der IT Tätig und normalerweise steht dort eine Hardware Firewall vornedran, das kann ich dort aber nicht Umsetzen.

  • Wenn du selber in der IT tätig bist, dann bis du dir ja auch der Gefahren bewusst.

    Also entweder den Server zuerst ohne Netzwerk installieren und dann alle Dienste erst einmal abstellen bis du das System aktualisiert hast. Dann FW bis aufs VPN zumachen und die AD Dienste nur auf der internen Schnittstelle laufen lassen. Oder du mietest dir noch einen zweiten RS, installierst da dir ein Linux (pfsense mit OpenVPN) und bindest den Windows Server nur über das interne VLAN an.

  • Danke für die Tipps, war bisher bei einen anderen Hoster gewesen mit ner Separaten FW davor.

    Da merkt man mal wie gut eig. so ne Firewall ist. Werde mir einen 2. Server anschaffen und dort ne Pfsense oder ne Sophos Installieren.


    Bei der Sophos gäbe es ja das HTML5 VPN.

  • Guten Morgen,


    habe nochmal über das Thema geschlafen.


    Habe den Server neu aufgesetzt mit dem 2012 R2, während der Ersterkennung des Netzwerkes mit "Nein" Antworten dann wird die Firewall alles blockieren.


    Der Server ist jetzt Komplett durch gepatcht einen Teil mittels WSUS Offline und dem NT Lite, der Rest um die 80 Updates mit Windows Update.


    Ein AV Programm ist Installiert, der RDP Port ist umgebogen.


    Zusätzlich wurde als Fallback-DNS der OpenDNS eingetragen einen Account bei denen hab ich erstellt und alles Gefiltert was Gefährlich werden könnte.


    Weitere Schutzmaßnahmen einen neuen Admin Account mit 50 Stelligen Passwort.

  • Für was wird der Server denn eingesetzt? GNU/Linux ist keine Option? Erspart einem eine Menge Ärger, wenn ich mir die Erfahrungen mit Windows Servern hier im Forum so durchlese :)

  • Der Server dient als Domänencontroler, er soll via VPN an meine Sophos angebunden werden.


    Linux nutze ich nur im Webhosting bereich, der Samba 4 kann einfach noch nicht 100% eines Windows ADs.


    Habe den Server soweit dicht ein Portscan ergibt 2 Offene Ports einer davon das Umgebogene RDP.


    Der andere das VPN, jetzt werde ich RDP nur noch via IP vom VPN Zulassen.

  • Ich würde dir in Anbetracht der derzeitigen Lücken in RDP dazu raten absolut alle Ports dicht zu machen und die VPN Verbindung von dem Server ausgehend zu dir nach Hause aufzubauen (DynDNS o.ä.). Ausgehende Verbindungen dürften kein Problem sein und eingehend wäre somit alles verboten. Zu Hause dürftest du anscheinend eine Sophos haben, welche sehr gut für dein Vorhaben geeignet sein sollte.


    lg.

  • RDP ist umgebogen, und die Firewall schränkt die RDP Funktion auf 2 IP Adressen ein.


    Ich muss also zwingend eine VPN Verbindung haben um eine Verbindung aufzubauen.


    Ein Portscanner zeigt mittlerweile 0 Ports an.


    Auf dem System ist zusätzlich OpenDNS, und der AppLocker aktiv.


    Heißt das Nachladen wird dank OpenDNS erschwert, und das Ausführen nicht White gelisteter Programme komplett unterbunden.


    Auf dem System selbst ist es ruhig geworden es erscheint nix mehr.

  • Hallo,


    ich hänge mich hier mal dran. den Vorschlag einen weiteren Server mit pfsense mit VLAN vor den Windows-Server zu setzten, finde ich sehr interessant.


    Meine Frage, vielleicht gibt es da ja Erfahrungen: Welcher Server würde für pfsense ausreichen, wenn nur ein Rechner dahinterhängt? Genügt der kleinste vserver oder sollte es schon ein RS sein?

  • Hallo,


    ich hänge mich hier mal dran. den Vorschlag einen weiteren Server mit pfsense mit VLAN vor den Windows-Server zu setzten, finde ich sehr interessant.


    Meine Frage, vielleicht gibt es da ja Erfahrungen: Welcher Server würde für pfsense ausreichen, wenn nur ein Rechner dahinterhängt? Genügt der kleinste vserver oder sollte es schon ein RS sein?

    Ein Blick auf der Systemvoraussetzungen von pfsense sagt, das ein VPS200 ausreichen sollte

  • Beachten dabei sollte man dass vps laut vlan Beschreibung nur maximal 200 mbits Datendurchsatz haben.

    Das heißt wenn du ein vlan mit mehr Bandbreite orderst solltest du einen Root Server anstatt einen vps nutzen, da du ggfs. sonst nicht die volle Geschwindigkeit zur Verfügung hast.

  • Beachten dabei sollte man dass vps laut vlan Beschreibung nur maximal 200 mbits Datendurchsatz haben.

    Das heißt wenn du ein vlan mit mehr Bandbreite orderst solltest du einen Root Server anstatt einen vps nutzen, da du ggfs. sonst nicht die volle Geschwindigkeit zur Verfügung hast.

    Meines Wissens wurden die 200MBit/s hier im Forum widerlegt... Ich persönlich hatte in der "Beta-Phase" einiges mehr als 200MBit/s zwischen meinen VPS

  • Kurze Rückmeldung: VPS200 wird durch pfsense nicht annähernd ausgelastet, reicht also tatsächlich vollkommen. Datendurchsatz müsste ich noch testen.

    Ansonsten ein ganz gutes Gefühl, Windows hinter einer FW zu haben ;)

    Nochmals Danke für die Antworten!