servacc
Goto Top

SBS 2011 - Welche Dienste stehen beim Öffnen von Port 443 über das Internet zur Verfügung und welche sollte man aus Sicherheitsgründen abschalten?

Ich möchte auf einem SBS2011-Server Benutzern Zugang per Active Sync (iPhones) und Outlook Anywhere (Notebooks per UMTS und privatem Internetanschluss) ermöglichen. Die Konfiguration habe ich auch schon hinbekommen, jetzt geht es allerdings noch um das Minimieren des Sicherheitsrisikos.

Um Active Sync und Outlook Anywhere nutzen zu können, muss ich Port 443 auf den SBS 2011 Server weiterleiten. Nun habe ich festgestellt, dass dadurch einige weitere Dienste aus dem Internet verfügbar sind.

Ich kann z.B. über https://remote.domain.tld auf ein Feature mit dem Namen "Remote Web Access" zugreifen. Das scheint eine Besonderheit von SBS-Servern zu sein, da es mir vom normalen Windows Server 2008 R2 nicht bekannt ist. Ist dieses Feature sinnvoll für normale Anwender oder sollte ich es abschalten, da ich es nicht benötige? Wie löst man die Abschaltung am besten? Ideal wäre es natürlich wenn ich dafür nicht den Eintrag im IIS löschen müsste, sondern das Feature einfach deaktivieren könnte.

Dann habe ich im IIS noch OAB, EWS, CertEnroll, PowerShell, RPC, RPCwithCert, WebHelp und ein paar andere Anwendungen und virtuelle Verzeichnisse entdeckt. Kann man diese alle gefahrlos in der Default-Einstellung belassen oder ist hier auch noch weiteres Finetuning in Bezug auf die Sicherheit durch den offenen Port 443 möglich? Am liebsten wäre es mir wirklich, wenn über das Internet nur OWA, Outlook Anywhere und Active Sync nutzbar wären und alle anderen Feature abgeschaltet bzw. zumindest für den Zugriff aus dem Internet gesperrt werden.

Und noch allgemein eine Frage zur Sicherheit: Ich weiß dass es komplexe Lösungen mit Edge-Server, DMZ, etc. gibt. Für einen typischen SBS-Kunden ist das aber natürlich nicht praktikabel. Spricht etwas dagegen einfach den Port 443 an der Hardware-Firewall auf den SBS-Server weiterzuleiten (so wie ich es gemacht habe und wie es für Active Sync und Outlook Anywhere auch nötig ist) und gibt es kostengünstige Lösungen um die Sicherheit dabei weiter zu erhöhen? Oder ist die Vorgehensweise zu unsicher? Wie löst man das dann aber bei SBS-Kunden mit geringem Budget?

Content-Key: 169821

Url: https://administrator.de/contentid/169821

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: dog
dog 15.07.2011 um 15:35:55 Uhr
Goto Top
Wie löst man die Abschaltung am besten?

http://technet.microsoft.com/en-us/library/cc527621(WS.10).aspx

Ca. 12,3 Sekunden Google-Suche...
Mitglied: servacc
servacc 15.07.2011 um 15:50:03 Uhr
Goto Top
Danke, habe ich direkt abgeschaltet, da ich das Feature nicht benötige. Trotdem noch aus Interesse: Eine Beschränkung auf den Zugriff aus dem LAN hätte man im IIS über IP-Beschränkungen konfigurieren müssen, oder gibt es dafür auch eine 2-Klick-Lösung über die SBS-Konsole?

Ich muss auch zugeben, dass ich nach dem konkreten Punkt nicht bei Google gesucht habe, da ich allgemein wegen der Sicherheitsproblematik nachfragen wollte, bevor das Ganze produktiv genutzt wird. Und dabei habe ich den "Remote Web Access" als gutes Beispeil gesehen, da dieser einen eben sofort anspringt, wenn man ein wenig mit der OWA-URL experimentiert.