15
Einen Server sicher betreiben (härten)
Hallo zusammen,
was mir schon eine Weile durch denk Kopf geht und ich aber nicht DIE Antwort finde und es sicher auch nicht DIE Antwort gibt... Wie härtet Ihr eure Serversysteme?
Im Näheren betrachtet Windows 2012R2 und 2016. Gesetzt den Fall der Server steht in einem Unternehmensumfeld also in einer Domäne hinter einer Firewall, (oder auch nicht)
Was ich so im Hinterkopf habe:
Kritische Systeme als Core Installationen.
Patchlevel aktuell halten, aber nicht blind patchen.
So wenig Applikationen wie möglich, so viele wie nötig installiert.
Durch Berechtigungsgruppen gesichert. (Nutzerkreis eingeschränkt)
Und/oder, ist es grade egal, weil Windows eh alle Daten nach USA schickt? :P
Würde mich mal interessieren was Ihr so zu dem Thema zu sagen habt, was für Meinungen es gibt, oder was für Empfehlungen.
LG
was mir schon eine Weile durch denk Kopf geht und ich aber nicht DIE Antwort finde und es sicher auch nicht DIE Antwort gibt... Wie härtet Ihr eure Serversysteme?
Im Näheren betrachtet Windows 2012R2 und 2016. Gesetzt den Fall der Server steht in einem Unternehmensumfeld also in einer Domäne hinter einer Firewall, (oder auch nicht)
Was ich so im Hinterkopf habe:
Kritische Systeme als Core Installationen.
Patchlevel aktuell halten, aber nicht blind patchen.
So wenig Applikationen wie möglich, so viele wie nötig installiert.
Durch Berechtigungsgruppen gesichert. (Nutzerkreis eingeschränkt)
Und/oder, ist es grade egal, weil Windows eh alle Daten nach USA schickt? :P
Würde mich mal interessieren was Ihr so zu dem Thema zu sagen habt, was für Meinungen es gibt, oder was für Empfehlungen.
LG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 430167
Url: https://administrator.de/contentid/430167
Ausgedruckt am: 24.11.2024 um 05:11 Uhr
15 Kommentare
Neuester Kommentar
Deswegen löscht man Windows und macht sich Solaris oder NetBSD drauf.
lks
2
Ganz einfach: Wichtige Server haben keinerlei Verbindung mit dem Internet!
(Und auch die internen Ports werden über mehrer Firewalls geleitet!)
Und dies unabhängig vom verwendeten OS! Denn es gibt kein unsichereres OS als das , von dem man denkt es sei sicher...
(Und auch die internen Ports werden über mehrer Firewalls geleitet!)
Und dies unabhängig vom verwendeten OS! Denn es gibt kein unsichereres OS als das , von dem man denkt es sei sicher...
Das ist klar, nur lässt sich "Wichtig" schwer definieren, fürs Business ist vermutlich jeder Server wichtig 
außerdem besteht ja auch die Möglichkeit, dass ein Angriff über ein internes System stattfindet. (Als Absicherung hierfür sollten Server ja auf jeden Fall in einem eigenen Subnetz sein)
Aber mich interessiert eher die Hardware oder VM.
Lasst Ihr z.B. Anwendungen wie 7-zip, WinRar, VLC, TeamViewer Host usw. auf euren Servern zu?
außerdem besteht ja auch die Möglichkeit, dass ein Angriff über ein internes System stattfindet. (Als Absicherung hierfür sollten Server ja auf jeden Fall in einem eigenen Subnetz sein)
Aber mich interessiert eher die Hardware oder VM.
Lasst Ihr z.B. Anwendungen wie 7-zip, WinRar, VLC, TeamViewer Host usw. auf euren Servern zu?
Zitat von @Backfolie:
Aber mich interessiert eher die Hardware oder VM.
Lasst Ihr z.B. Anwendungen wie 7-zip
Aber mich interessiert eher die Hardware oder VM.
Lasst Ihr z.B. Anwendungen wie 7-zip
Jein. (Abhängig von dem Sicherheitsbedürfnis)
WinRar
nein.
VLC
Nein.
TeamViewer Host
nein.
usw. auf euren Servern zu?
Welche Anwndungen man auf einem Server zläßt hängt einfach davon ab, welche Randbedingungen für den Server gelten sollen. (Sicherheitslevel o.ä.).
lks
Hi,
Bis auf Teamviewer (HOST und selbst da habe ich ein ungutes Gefühl) .. hat da meiner Meinung nach nichts von alledem aufm Server zu suchen. Auch kein (Ent)packer.
Auf einem Terminalserver sieht das natürlich anders aus, je nach Anforderung eben.
Aber auf Büchsen die einfach "nur" einen Service anbieten sollen, hat sowas nichts verloren.
Gruß
Lasst Ihr z.B. Anwendungen wie 7-zip, WinRar, VLC, TeamViewer Host usw. auf euren Servern zu?
Will der Server via Teamviewer (fungierend als Proxy) auf dubiose Seiten surfen , via 7Zip den Film entpacken und anschließend per VLC anschauen?Bis auf Teamviewer (HOST und selbst da habe ich ein ungutes Gefühl) .. hat da meiner Meinung nach nichts von alledem aufm Server zu suchen. Auch kein (Ent)packer.
Auf einem Terminalserver sieht das natürlich anders aus, je nach Anforderung eben.
Aber auf Büchsen die einfach "nur" einen Service anbieten sollen, hat sowas nichts verloren.
Gruß
Hab ich, dennoch interessieren mich Meinungen von anderen Administratoren.
Wie schon geschrieben, würdet Ihr TeamViewer Host auf einem Server zulassen?
Es geht ja auch darum der Firma Möglichkeiten einzuräumen mit den Servern zu arbeiten, dass das sicherste System eines ist was völlig autag vor sich hin läuft ist denke ich jedem Klar.
Wie schon geschrieben, würdet Ihr TeamViewer Host auf einem Server zulassen?
Es geht ja auch darum der Firma Möglichkeiten einzuräumen mit den Servern zu arbeiten, dass das sicherste System eines ist was völlig autag vor sich hin läuft ist denke ich jedem Klar.
Terminalserver sind ein guter Einwand, da müssen natürlich Applikationen zur Verfügung gestellt werden.
Es ist halt immer so, dass es einen Kollegen/in gibt, der/die sagt, dass 7-zip nötig ist, weil zwei mal im Jahr ein Update für eine Applikation eingespielt werden muss, die halt davor entpackt werden muss.
Klar, dass das auch auf einem anderen System passieren kann.
Aber wie viel Bequemlichkeit lässt man zu?
Es ist halt immer so, dass es einen Kollegen/in gibt, der/die sagt, dass 7-zip nötig ist, weil zwei mal im Jahr ein Update für eine Applikation eingespielt werden muss, die halt davor entpackt werden muss.
Klar, dass das auch auf einem anderen System passieren kann.
Aber wie viel Bequemlichkeit lässt man zu?
Jede Bequemlichkeit geht auf Kosten der Sicherheit!
lks
Guten Abend,
Gruß,
Dani
Lasst Ihr z.B. Anwendungen wie 7-zip, WinRar, VLC, TeamViewer Host usw. auf euren Servern zu?
Nein, Nein, Nein, Nein. Terminalserver sind ein guter Einwand, da müssen natürlich Applikationen zur Verfügung gestellt werden.
Auch auf einem RDS-Host haben die genannten Anwendungen nichts zu suchen. ZIP-Dateien können Out-of-the-Box gepackt/entpackt werden. Klar, dass das auch auf einem anderen System passieren kann.
So ist es. Wir nutzen dafür sogenannte Privileged Access Workstations (PAWs). Sind virtuell und als VM (kein RDS) bereitgestellt. Diese werden morgens aus einem Image heraus erstellt und abends nach dem Abmelden wieder gelöscht. Aber wie viel Bequemlichkeit lässt man zu?
So wenig wie möglich, aber so viel wie notwendig.Einen Server sicher betreiben (härten)
Wenn ich so einen Titel lese... wer härtet hier seine Cipher Suites und SSL/TLS Server/Client Protokolle (SSL 2/SSL3/TLS1.0/TLS1.1 und TLS1.2 sowohl auf Server und/oder Clients? Ich wette keine 10 Leute hier... eins. Gruß,
Dani
1
Man kann zusammenfassend sagen:
Auf jedem Server so wenige Applikationen wie nur irgendwie möglich laufen lassen!
Jeder offene Port ist ein potentielles Sicherheitsrisiko.
Daher nur das installieren, was zum Betrieb des Dienstes, oder der Software UNBEDINGT nötig ist und den Rest evtl. deaktivieren.
Das dies mit physischen Windows Servern ein wenig "aufwändig" und teuer ist, ist klar. Ein weiterer Grund mehr für eine Virtualisierung...
Auf jedem Server so wenige Applikationen wie nur irgendwie möglich laufen lassen!
Jeder offene Port ist ein potentielles Sicherheitsrisiko.
Daher nur das installieren, was zum Betrieb des Dienstes, oder der Software UNBEDINGT nötig ist und den Rest evtl. deaktivieren.
Das dies mit physischen Windows Servern ein wenig "aufwändig" und teuer ist, ist klar. Ein weiterer Grund mehr für eine Virtualisierung...
Zitat von @Dani:
Ne, wir nicht, bei uns haben wir nicht mal bei jeden Webportal SSL (intern).Einen Server sicher betreiben (härten)
Wenn ich so einen Titel lese... wer härtet hier seine Cipher Suites und SSL/TLS Server/Client Protokolle (SSL 2/SSL3/TLS1.0/TLS1.1 und TLS1.2 sowohl auf Server und/oder Clients? Ich wette keine 10 Leute hier... eins. Gruß,
Dani
Der Ansatz mit den PAWs gefällt mir, habt ihr das dann in Kombination mit servergespeicherten Profilen im Einsatz?
Aber das lässt sich ja normal mit relativ wenig Aufwand ändern
Moin,
Da gibt es bei uns auf den verschiedenen PAWs kein Wunschkonzert. Jede Sicherheitszone hat ihre eigene PAW mit der notwendigen Software.
Gruß,
Dani
Der Ansatz mit den PAWs gefällt mir, habt ihr das dann in Kombination mit servergespeicherten Profilen im Einsatz?
Äh, warum sollte man das auf PAWs tun? Nach Abmeldung wird das lokal angelegte Profil wieder gelöscht. Damit soll sichergestellt werden, dass sich im Profil nichts einnisten kann und jedes Mal ein frisches Profil erzeugt wird.Da gibt es bei uns auf den verschiedenen PAWs kein Wunschkonzert. Jede Sicherheitszone hat ihre eigene PAW mit der notwendigen Software.
Gruß,
Dani
