SBS remote Webarbeitsplatz - SICHER???

Moinsens miteinander,

wozu brauche ich dann den Strusel, wenn ich eh über VPN in die Praxis gehe?? Da sehe ich keinen wirklichen Sinn drin - ausser das das GUI schön bunt ist .

Wenn ich via RDP auf irgendeine Büchse gehe, habe ich das, was der Arbeitsplatz anbietet, ja auch alles. Nur schneller und grösser und halt nicht webbasiert ...

LG, Thomas

Moinsens miteinander,

SRY, gestern keinen Bock mehr auf IT&Gedöhns mehr gehabt ...

Gehen wir mal davon aus, dass bei mir eine Standardinstallation des SBS läuft (+ Firlefanz). Heisst Installation --> Bill möchte jetzt zwingend, dass vom Router 25/80/443 auf den SBS zeigen, weil die Kiste sonst gar nicht läuft. Macht IMHO bis dahin auch noch Sinn (über OWA hat wohl noch keiner ein Netz penetriert). Wenn man einen lustigen Router mit aktivem UPnP hat, bohrt sich der SBS während der Installation die Löcher selbst, sonst musst Du sie halt mit Hand freimachen. Aber Du musst!
Nach der Standardinstallation ist der Webarbeitsplatz aktiv, dass muss man ja zunächst ersteinmal gar nicht wissen. Auch wenn man es weiss, nimmt man dass zumindest erst einmal nicht ernst, da man die erweiterten Fähigkeiten im Vgl. zum Vorgänger nicht kennt (also zumindest ich nicht, da ich nicht jeden Tag zwei SBS-Netze aufsetze oder migriere ). Du wurschtelst nach der Migration wie gewohnt weiter (VPN-fähiger Router mit vernünftiger Firewall LANCOM 1780, Einwahl von draussen ausschliesslich über das VPN per RDP auf die Büchsen, über den Browser auf die Geräte mit Webserver).
Also ein setup, wie es zigtausendfach installiert sein sollte, nur dass vernünftige Firewall meistens durch Fritzbox ersetzt ist und VPN, wenn überhaupt, via Fritz-Fernzugang realisiert werden sollte.

Auf den Gig mit dem Webarbeitsplatz bin ich eigentlich nur gestossen, weil ich an einer Rezeptionsarbeitsbüchse durch Zufall dieses nette SBS-Desktop-Gadget aktiviert habe und mir gestern (!) - drei Wochen nach Migration - mir mein SBS eine wunderbunte email geschickt habe, dass meine Praxis SBS 2011 installiert hat, und ich mich fragen soll, wenn ich über alle gimmicks informiert werden möchte . Mit verlinkten, bunten Bilderchen zu den erreichbaren services. U.a. halt auch auf den Webarbeitsplatz.

Klick. NAT loopback funktioniert. Name. Passwort. Drin.

Auf der Startseite meine wichtigsten shares im Netz und das Angebot, wieder per Klick RDP auf alle meine Server, auch auf den SBS, und natürlich die Clients zu aktivieren.

Schick: Klick. Passwort des Domänenadmins ändern? Kein Problem.

Und wie gesagt: trotz Firewall hängt der SBS per default mit dem Nackten frei im Internet. Account gehackt, keine Chance mehr. Die Spieleinstellungen am Webarbeitsplatz habe ich mir angesehen, da kann man viel ausblenden. Ist man ersteinmal auf der Büchse drauf, sind das aber alles Standardpfade. Macht man halt nicht Klick, sondern spricht per Pfad an.

Eine Überprüfung von Clientzertifikaten gibt es per default nicht, da der SBS mit selbst erstellten Zertifikaten zufrieden ist. Würde für die GEschichte auch keinen Sinn machen, Geräte, die ein überprüfbares Zertifikat onboard haben, sind ja eh Deine Geräte. Da kannst Du einen VPN-Client drauf stöpseln.

Dafür haben die MS-Jungens eine extra-Seite für iOS designt !

Ich habe das ganze aus der Ferne mit einem PC ohne installiertes SBS-Zertifikat und mit einem iPhone ohne VPN ausprobiert. Kein Problem. Sobald Du die account-Daten hast, bist Du Chef.

Wenn ich 3389 auf den SBS freigeben würde, hätte ich das gleiche Ergebnis. Nur dass ich dann nur den SBS erreiche. Dank Webarbeitsplatz habe ich Zugriff auf alle Clients .

Entweder habe ich einen gravierenden Denkfehler. Oder das Ganze ist nicht wirklich durchdacht ...
Und ja: meine Passwörter sind komplex. Aber ich kann (und will) keine kryptischen Salatformeln generieren, arbeiten muss man ja letztlich damit auch können.

Resultat: ganz schnell die Webseite deaktiviert. Was ich hiermit wärmstens weiter empfehle .

LG, Thomas

Hi Andy,

ich habe kein Problem damit, etwas abzusichern, was ich brauche (den Webarbeitsplatz brauche ich nicht wirklich). Mein Problem ist, dass das Dingens standardisiert aktiv und durch die firewall hindurch erreichbar ist. Das ist der schickste, bunteste und am leichtesten zu bedienende Trojaner, den ich bisher gesehen habe .

LG, Thomas

Zurück
Weil ich ihr das verraten habe? Sonst hätte ich schwerste Probleme, ausserhalb einer VPN-Verbindung via OWA auf den Exchange zu kommen ...

Mal ein Auszug aus dem SBS-Telefonbuch von Joos:

"Haben Sie den neuen Server über einen Router oder eine Firewall mit dem Internet verbunden,
müssen Sie auf dem Router Portweiterleitungen konfigurieren oder ändern. Folgende Ports müssen
Sie dabei zur internen IP-Adresse des SBS 2011 weiterleiten lassen:
 Port 25 (SMTP)
 Port 80 (HTTP)
 Port 443 (HTTPS)
 Port 987 (HTTP für Companyweb)
 Port 1723 (VPN)"

Ich habe mir mangels Bedarf 987 und 1723 verkniffen, aber ohne 443 ist schlecht . Ich will jetzt auch nicht extra im IIS rühren und die Portbindungen ändern, wer weiss, aus welcher Ecke der SBS einem dann entgegenspuckt ...

However: das sind ausschliesslich Standardkonfigurationen - von Microsoft implementiert und empfohlen, von mir offenbar dienstbeflissen exekutiert ... .

LG, Thomas

Hi Ihr,
Das kann man so und so sehen. Ich sehe das unbedingt so

@andy: Mit OWA ist ein Kompromiss zwischen Sicherheit und Bequemlichkeit, den ich aktiv gemacht habe. Zumindest im SBS 2008. Ich denke, dass das im Zuge der Migration mit rüber gewandert ist. Allerdings ... weiss der Geier, was auf einem nackt installierten SBS alles per default offen ist. Andererseits: wie soll ich auf dem SBS OWA absichern? Ich kann ja jetzt schlecht das ganze SBS-Gerassel in eine DMZ parken, auch wenn das meiner eher pazifistisch geprägten Grundeinstellung entgegen kommen würde
In keinem Fall. Aber einen Umzugswagen sollte er schon bestellen
Hier wird es selbst mit :80 schon schwierig, ich denke mal, dass der WSUS den braucht. Apropos WSUS, da fällt mir doch gerade wieder der Umzugswagenbesteller ein ... :443 ist für mich essential - ich bekomme ohne active sync / OWA Entzugserscheinungen. IMHO auch nicht anders lösbar, ohne an Schrauben zu drehen, die in einem SBS keiner gerne dreht.
Das Teil wird doch aber gerade durch den "eingebauten" Exchange interessant ...

Insgesamt wird der SBS immer ein Kompromiss sein. Das ist auch o.k. so. Er ist durch absolute beginners wie mich aufsetz- und konfigurierbar, kostet nicht die Welle und bietet relativ viel. Ob man das braucht, ist ein anderer Schuh, aber das Angebot schafft sich die Nachfrage .

Ich habe auch kein Problem, diesen eigenartigen Webarbeitsplatz abzuschalten, ich brauche ihn ja nicht wirklich. Aber warum muss ich diesen Pseudo-Trojaner abschalten? Besser wäre es gewesen, ich hätte ihn b.B. aktivieren müssen.

Was mir gerade einfällt: eventuell ist das Teil ja auch migrationsbedingt aktiv?? Mea culpa? Mea maxima culpa??

keine-ahnung! Müsste man mal bei einem neu installierten SBS schauen ...

LG, Thomas

(habe heute wenig Zeit, die Waschmaschinenmonteure von HP kommen nachher dass Mutterbrett im Gen8-ProLiant wechseln. Zeitfenster: 120 Minuten. Bin ja mal gespannt)

Gott sei Dank! Ich habe schon befürchtet, zum Arzt gehen zu müssen

Ich mach den Fred mal zu - irgendwann setze ich den SBS mal nackt auf und schau, was da alles aktiv ist. Ich befürchte allerdings ...

Als Laie würde ich trotzdem empfehlen, den Webarbeitsplatz still zu legen (wir arbeiten eh viel zu viel), ein user-account ist schneller geknackt als man denkt, aber dem SBS die Standard-Portweiterleitungen wegzunehmen ... ich möchte gar nicht wissen, wie der Kumpel drauf reagiert. Zumal einige wirklich bequeme gimmicks dann nicht mehr nutzbar sind ...

Wenn jemand eine Idee hat, wie man den SBS mit vertretbaren Mitteln sicher ins Netz stellen kann - gerne her damit.

LG, Thomas

Mensch Andy, gratis? Ich doch nicht. Bis 98 Cent kann das schon kosten .

Situation: ich habe jetzt max. 10 Arbeitsplätze bei maximal 6 Usern am Laufen. Dafür halte ich den SBS und einen Memberserver für Schnulli (Fax, loginventory, BackupExec, intrexx, PRTG etc.) vor. Dass könnte ich per auch auf dem SBS laufen lassen, breit genug aufgestellt ist er m.E.
Vertretbar wäre: kein zusätzlicher Server, überschaubarer Administrationsaufwand. Und wie gesagt, letztlich geht es nur um OWA und active sync.

LG, Thomas

Mmmh,

die Seite von denen sieht nicht so aus, als hätten die in diesem Jahrzehnt schon mal gearbeitet? Und einen [ACHTUNG: JETZT KOMMT MEIN OUTING] client für (ich schäm mich ja so) iOS scheint es da auch nicht zu geben?

LG, Thomas

Hi Namensvetter ,

dir Frage war eigentlich nicht, was ich nutzen möchte (den Webarbeitsplatz benötige ich nicht, da ich eh nur per VPN in mein Netz gehe). Die Frage bezog sich auf die Sicherheit des Standard-Setups eines SBS nach der Installation - der remote-Webarbeitsplatz läuft und ist direkt mit dem Internet konnektiert.

Zielt man mal auf eine normale SBS-Umgebung, in welcher der Kontoanmeldename vermutlich häufig identisch zum Kontonamen ist, habe ich mit Erhalt einer email schon mal den FQDN + den Namen eines Kontos. Ergo ist die einzige Barriere das Kontopasswort, welches zwischen mir und dem Zugriff auf das Netzwerk steht.

Werden jetzt noch schwache Passwörter verwendet ...

Geht man jetzt mal davon aus, dass SBS-Installationen recht häufig von Laien wie mir durchgezogen werden, sehe ich mit diesem default schon ein recht grosses Tor .

LG, Thomas