Ahoi,
nachdem mir mein Uralt Windows Server 2008 erfolgreich gekapert wurde (Häme ist an dieser Stelle durchaus angebracht). Wird es Zeit meine Windowsstrukturen auf den aktuellen Stand zu bringen. Ich konnte den Angriff zwar dank Monitoring sehr zeitnah feststellen - aber kaputt war dann schon alles ;-).
Neuer Server, neues Glück. In den vergangenen Monaten hat sich ja hoffentlich ein bisschen was getan. Da ich die News nicht immer ganz genau verfolge nun die Bitte um Feedback. Ich könnte mir vorstellen dass am Ende auch andere davon profitieren können.
Der Rechner muss leider auf "normalem" Windows 10 laufen. Inzwischen gibt es jedoch auch dort eine Firewall die man dicht bekommt.
Bisher steht auf meiner Roadmap:
* RDP-Port ändern
* Firewall bis auf das allernötigste dicht machen.
* RDP nur für Standardbenutzer freigeben.
* Fail2Ban für Windows: Hat da wer Erfahrungen? Wail2Ban oder ts_block scheint es zu geben. Wieso kann Windows das nicht Out-of-the-Box? Mein alter Server wurde tatsächlich gebruteforced. Obwohl alle Ports dicht waren, keine Pingantworten etc.. Hat jemand den verwendeten Port (Jaja. Security by Obscurity ist kacke.) gefunden und dann den Server weggeschossen.
* Loginmail bei erfolgreichem Login einbauen.=> Ich bekomme jedes Mal einen Ping wenn sich eingeloggt wird. Umsetzung vermutlich über ein Skript beim Start.
Wo ich mir noch unklar bin:
RDP überhaupt nutzen? Oder VNC/Teamviewer/Whatever?
Alternativ: Login nur über eigenes VLAN?
Gibt es bei Windows inzwischen die Möglichkeit sich Zertifikatsbasiert einzuloggen um die Schwachstelle Passwort zu beseitigen?
Gibt es eine sinnvolle 2FA Authentifizierung?
Auf dem Server soll schlussendlich ein Offsitebackup mit ein paar zusätzlichen Features (wie Backblazebackup) laufen. Auf Grund der eingesetzten Software benötigt es (leider) ein normales Windows.
Feedback?