147062
Dec 22, 2020
2072
12
0
RDP Benutzung für Virtual Server
Hallo zusammen,
vor kurzem habe ich mir bei einem Hosting Provider einen Virtual Server (Windows Server 2016) gemietet. Erreichbar ist der Server über RDP.
Nun geht es mir darum den Server abzusichern, da dieser ja frei im Netz steht, und sich theoretisch jeder dort anmelden könnte.
Standard-Schritte für RDP abzusichern habe ich vorgenommen: Port geändert, TLS aktiviert etc..
Problem ist nun folgendes: In der Windows-Ereignisanzeige finde ich (natürlich) im Minutentakt fehlgeschlagene Anmeldungen von irgendwelchen IP-Adressen die in z.B. Afrika stehen. Aktuell wird noch NTLM zur Authentifizierung benutzt.
Der Server wird im Prinzip nur dazu benutzt eine Web-Anwedung zu hosten und um einen Mail-Server zu betreiben.
Jetzt frage ich mich wie hier der "Way to go" ist?
Ich würde am liebsten auf Kerberos umsteigen und NTLM gänzlich deaktivieren. Hierzu müsste ich ja dann ein AD einrichten und lokale Anmeldungen deaktivieren. Ist es an der Stelle überhaupt möglich sich dann nurnoch Remote an der Domäne anzumelden? Und macht es dann auch Sinn sich noch einen VPN einzurichten?
Da ich relativ wenig Erfahrung mit Windows-Server Administration bzw. generell mit Server Administration habe, würde ich mal gerne ein paar Meinungen hierzu hören.
Ich danke euch!
vor kurzem habe ich mir bei einem Hosting Provider einen Virtual Server (Windows Server 2016) gemietet. Erreichbar ist der Server über RDP.
Nun geht es mir darum den Server abzusichern, da dieser ja frei im Netz steht, und sich theoretisch jeder dort anmelden könnte.
Standard-Schritte für RDP abzusichern habe ich vorgenommen: Port geändert, TLS aktiviert etc..
Problem ist nun folgendes: In der Windows-Ereignisanzeige finde ich (natürlich) im Minutentakt fehlgeschlagene Anmeldungen von irgendwelchen IP-Adressen die in z.B. Afrika stehen. Aktuell wird noch NTLM zur Authentifizierung benutzt.
Der Server wird im Prinzip nur dazu benutzt eine Web-Anwedung zu hosten und um einen Mail-Server zu betreiben.
Jetzt frage ich mich wie hier der "Way to go" ist?
Ich würde am liebsten auf Kerberos umsteigen und NTLM gänzlich deaktivieren. Hierzu müsste ich ja dann ein AD einrichten und lokale Anmeldungen deaktivieren. Ist es an der Stelle überhaupt möglich sich dann nurnoch Remote an der Domäne anzumelden? Und macht es dann auch Sinn sich noch einen VPN einzurichten?
Da ich relativ wenig Erfahrung mit Windows-Server Administration bzw. generell mit Server Administration habe, würde ich mal gerne ein paar Meinungen hierzu hören.
Ich danke euch!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 634296
Url: https://administrator.de/contentid/634296
Printed on: May 7, 2024 at 08:05 o'clock
12 Comments
Latest comment
Hallo,
a) gehe davon aus, dass Dein Server bereits gehackt wurde
b) Installiere den Server neu und erlaube die Nutzung von RDP ausschließlich durch ein VPN
Ob das mit dem Server bei dem Provider möglich ist musst Du klären.
Stefan
a) gehe davon aus, dass Dein Server bereits gehackt wurde
b) Installiere den Server neu und erlaube die Nutzung von RDP ausschließlich durch ein VPN
Ob das mit dem Server bei dem Provider möglich ist musst Du klären.
Stefan
Gut, sind ja noch keine Daten drauf, wollte eben erstmal die Konfiguration abschließen und den Server sicher machen.
Wie lässt man denn nur ausschließlich den VPN zu? IP Whitelisten in der Firewall Regel?
Wie lässt man denn nur ausschließlich den VPN zu? IP Whitelisten in der Firewall Regel?
M
Um die Basics zu lernen eignet sich das lokale LAN
Der Server wird im Prinzip nur dazu benutzt eine Web-Anwedung zu hosten und um einen Mail-Server zu betreiben.
Warum dann kein Linux? Oder fertiges Web Hosting z.B mit Plesk?Da ich relativ wenig Erfahrung mit Windows-Server Administration
Dann ist das fahrlässig was du machst und bringst dich und andere in Gefahr und zeigt noch mehr, dass du ein fertiges Hosting Paket nehmen solltestUm die Basics zu lernen eignet sich das lokale LAN
1
Warum dann kein Linux?
Bei Linux ist es das Gleiche. Der SSH Port bekommt nicht nur im Minutentakt Angriffe.Wie lässt man denn nur ausschließlich den VPN zu?
Du machst bei der Firewall den Port für RDP dicht. Die externe Firewall Zone wirkt sich nicht auf den VPN Server aus. Sobald jemand über VPN angemeldet ist, ist er in einer internen Zone.Bei z.B. Hetzner hast du dafür sogar eine externe Firewall vor deinem Windows Server, der man einen halben Punkt mehr Vertrauen schenken kann.
Zitat von @147062:
Da ich relativ wenig Erfahrung mit Windows-Server Administration bzw. generell mit Server Administration habe, würde ich mal gerne ein paar Meinungen hierzu hören.
Da ich relativ wenig Erfahrung mit Windows-Server Administration bzw. generell mit Server Administration habe, würde ich mal gerne ein paar Meinungen hierzu hören.
Hast du dir schon bzgl. Haftung gedanken gemacht?
Es koennte ansonsten schnell teuer werden...
Tipp: Frage jemand der sich damit auskennt bzw. Erfahrung hat!
Um das abzukürzen. Du bist vermutl. bei Strato?! 
VPN installieren. Wenn Du eh die Windows-Webserver nutzen wirst, bietet sich zunächst die Windows-eigene VPN an. Anschließend den Firewall-Port des RDP scopen. D.h. der Bereich der sich dort anmelden darf, wird in den Firewallregeln auf die VPN-internen IPs beschränkt. Anschließend natürlich auch die (meisten) restlcihen Ports schließen oder bei Bedarf scopen!
Für die Fälle, bei denen Du Dich anfangs (fast zwangsläufig) ausschließt, bietet sich für 1,50 EUR/Monat das 20(?) GB Backup an um jederzeit restoren zu können. Das dauert nur rund 10 Min. Sobald Daten auf dem Server sind, wird der Speicherplatz knapp und Strato langt mit 15 EUR/200GB "richtig hin" (relativ)
Alternativ gibt es auch ein "Hilfssystem", mit dem Du hochfahren kannst um auf Daten zurückzugreifen oder/und die Firewall temporär zu deaktivieren. Dann brauchts auch keine SSH-Lösung a la OpenSSH (bei Win 2019 wäre SSH übrigens schon drin gewesen).
Charmanter wäre natürlich ne "vorgeschaltete" Firewall-Lösung.
VPN installieren. Wenn Du eh die Windows-Webserver nutzen wirst, bietet sich zunächst die Windows-eigene VPN an. Anschließend den Firewall-Port des RDP scopen. D.h. der Bereich der sich dort anmelden darf, wird in den Firewallregeln auf die VPN-internen IPs beschränkt. Anschließend natürlich auch die (meisten) restlcihen Ports schließen oder bei Bedarf scopen!
Für die Fälle, bei denen Du Dich anfangs (fast zwangsläufig) ausschließt, bietet sich für 1,50 EUR/Monat das 20(?) GB Backup an um jederzeit restoren zu können. Das dauert nur rund 10 Min. Sobald Daten auf dem Server sind, wird der Speicherplatz knapp und Strato langt mit 15 EUR/200GB "richtig hin" (relativ)
Alternativ gibt es auch ein "Hilfssystem", mit dem Du hochfahren kannst um auf Daten zurückzugreifen oder/und die Firewall temporär zu deaktivieren. Dann brauchts auch keine SSH-Lösung a la OpenSSH (bei Win 2019 wäre SSH übrigens schon drin gewesen).
Charmanter wäre natürlich ne "vorgeschaltete" Firewall-Lösung.
Zitat von @NordicMike:
Ist aber bei weitem nicht so schlimm wie der RDP Port.Warum dann kein Linux?
Bei Linux ist es das Gleiche. Der SSH Port bekommt nicht nur im Minutentakt Angriffe1Zitat von @tech-flare:
Und wenn man statt einem Kennwort einen Schlüssel und Fail2Ban verwendet ist das schon sehr sicher.Zitat von @NordicMike:
Ist aber bei weitem nicht so schlimm wie der RDP Port.Warum dann kein Linux?
Bei Linux ist es das Gleiche. Der SSH Port bekommt nicht nur im Minutentakt AngriffeIch verwende ein IP-Whitelistung. Nur von IP A,B und C kann man SSH überhaupt aufrufen.
Ein Failsafe ist die Anmeldung mit Kennwort über die Console des Anbieters.
Stefan
1
Gibt es eigentlich ein Fail2ban für Windows? Das wärs...
Ja, ich nutzte es aber für OWA bei Kunden. Für RDP nutze ich https://secureaccess.pro/ oder ein VPN.
https://rdpguard.com/
Stefan
https://rdpguard.com/
Stefan
Zitat von @tech-flare:
M
M
Der Server wird im Prinzip nur dazu benutzt eine Web-Anwedung zu hosten und um einen Mail-Server zu betreiben.
Warum dann kein Linux?+1 Dafür braucht er kein Windows und die damit einhergehenden Nachteile. Außer er hat eine alte ASP.NET (nicht Core) Anwendung, die nur auf Win läuft. Das bezweifle ich aber mal, sind eher Unternehmen mit Legacy-Software.
Ich würde einen Linux-Server nehmen und den nach best practices härten. Mit z.B. FreeOTP bekommst du auch eine sichere und datenschutzfreundliche 2-Faktor Authentifizierung hin. Bei einem Server der im Internet steht würde ich da wirklich drüber nachdenken. Ist relativ einfach konfigurierbar, wie z.B. hier beschrieben: https://www.linuxbabe.com/ubuntu/two-factor-authentication-ssh-key-ubunt ...
Ja, bei Windows wenigstens eine WAF davor.
