Exchange 2016 auf Windows Server 2012, Sicherheit?

  • Hallo werte Gemeinde,


    ich bin aktuell dabei auf einem Root Server mit Windows 2012 R2 einen Exchange 2016 aufzusetzen.
    Das ganze klappt an sich super nur mache ich mir Gedanken bezüglich der Sicherheit des gesamten Systems da die Folgen doch fatal sein könnten wenn der Server geknackt wird.

    Ich bin eigentlich kein Windows Fan vor allem nicht wenn der Windows Server dann auch noch eine öffentliche IP ohne separater Firewall bekommt aber in diesem Fall lässt sich das nicht anders lösen da es hier um Datenmengen geht die man nirgends wirklich hosten kann.

    In der Firewall habe ich alles unnütze deaktiviert und es sind ausschließlich die RDP und Exchange Ports frei inkl. Port 80,443 für Outlook Web.
    Ziel ist es das sich etwa 5 User via Outlook Anywhere anmelden können.


    Habt Ihr Tipps zur Sicherheit oder ist das allgemein überhaupt eine gute Idee einen Windows Server mit einer öffentlichen IP zu hosten?


    Gruß

    Gooth:)

  • Hallo Gooth,


    ich hatte auch mal Windows Server laufen, hatte nie Probleme mit der Sicherheit. Gilt ja im Prinzip das gleiche wie für Linux Server: In der Firewall alles freigeben was nötig ist, jedoch so wenig wie möglich.

    Daher fährst du mit deinen Ports (RDP für die Administration und die Exchange Ports) schon gut. Worauf du achten solltest: Installation von Programmen und Diensten öffnen dir gerne mal die Firewall durch automatisch hinzugefügte Regeln. Daher nach einer Konfigurationsänderung einfach mal nachschauen.

    Ich habe damals neben dem Deaktivieren der nicht nötigen Regeln deren Remoteadresse noch auf Localhost gesetzt, damit, im Falle der unbeabsichtigten Aktivierung, trotzdem die Ports nicht nach Außen geöffnet sind.

    Zusätzlich könntest du noch den RRAS Dienst einrichten und deinen RDP Port nur für ein internes Subnetz freigeben. Damit hast du noch eine zusätzliche Hürde für Angreifer.


    Noch eine Frage: Benötigst du für den Exchange nicht noch einen Domain Controller?


    Gruß Oli

  • Hallo,


    auch wenn der Exchange im Internet steht, ich würde dennoch ihn nicht direkt per MX-Record im DNS adressieren,

    sondern einen Linux postfix oder was auch immer vorschalten ...

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%