Server für Internet sperren
Hallo,
aus Sicherheitsgründen möchte ich auf einen Windows 2008 R2 zwar Update installieren, aber das Internet sollte für den klassischen Zugriff gesperrt sein.
Mit dem simplen Versuch einer Firewall Rule zB den Port 80 zuzumachen, kamen auch keine Updates bzw. funktionierte der Prozess nicht mehr. Also nutzt dies wohl auch Port 80.
Meine Frage(n) nun
- kann ich den Port für die Updates umbiegen?
- kann man den Internetzugriff nur über das Auswählen der einzelnen Anwendungen sperren?
- Gibts eine Regel "Alles aus, außer X, und/oder Y usw. ?
Oder - stelle ich mir das zu einfach vor?
Danke im Voraus
aus Sicherheitsgründen möchte ich auf einen Windows 2008 R2 zwar Update installieren, aber das Internet sollte für den klassischen Zugriff gesperrt sein.
Mit dem simplen Versuch einer Firewall Rule zB den Port 80 zuzumachen, kamen auch keine Updates bzw. funktionierte der Prozess nicht mehr. Also nutzt dies wohl auch Port 80.
Meine Frage(n) nun
- kann ich den Port für die Updates umbiegen?
- kann man den Internetzugriff nur über das Auswählen der einzelnen Anwendungen sperren?
- Gibts eine Regel "Alles aus, außer X, und/oder Y usw. ?
Oder - stelle ich mir das zu einfach vor?
Danke im Voraus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 225504
Url: https://administrator.de/forum/server-fuer-internet-sperren-225504.html
Ausgedruckt am: 08.04.2025 um 10:04 Uhr
12 Kommentare
Neuester Kommentar
nein, zu kompliziert.
das ist ein klasischer Fall für Apllication -level-proxies (squid & co.).
Im Proxy kannst Du ganz einfach per white oder backlist, ggf über Userauthetifizierung, regeln, wo die Kisten hindürfen und wo nicht. Da kann man auch einstellen, daß Admins, die sich gegenüber dem Proxy authentifiziert haben, auch andere Seiten als windows-Update aufrufen dürfen, um z.B. irgendwelche Tools direkt aus dem internet zu laden.
lks
Hallo Pertin,
nein. Port umbiegen ist nicht, außer du setzt einen dedizierten WSUS auf, welcher dann aber auch wieder FullAccess über Port 80 braucht.
Du kannst, vorausgesetzt deine UTM/FW Hardware/Software kann das, die Ziele erlauben und blockieren. Sprich: MS-Server OK, Alles andere nicht.
Ob es einfach ist oder nicht kommt auf deine Gegebenheiten an.
nein. Port umbiegen ist nicht, außer du setzt einen dedizierten WSUS auf, welcher dann aber auch wieder FullAccess über Port 80 braucht.
Du kannst, vorausgesetzt deine UTM/FW Hardware/Software kann das, die Ziele erlauben und blockieren. Sprich: MS-Server OK, Alles andere nicht.
Ob es einfach ist oder nicht kommt auf deine Gegebenheiten an.
Mahlzeit.
Man möge mir das Herumnörgeln verzeihen, aber mit ist unklar, welche "Gefahr" für einen Server besteht, wenn er "Internetzugriff" hat?
Sofern der Server hinter einem Router hängt und dort keine Portforwardings eingetragen sind, die auf eben diesen Server zeigen, ist der Server genauso sicher bzw. unsicher wie alle anderen Rechner im Netz auch, sprich: Ein Zugriff von extern direkt auf diesen Server ist nicht möglich.
Dass man sich als Admin nicht auf einen Server verbindet, um dann dort fröhlich loszusurfen, sollte eigentlich jedem klar sein, das gehört zur absoluten Grundsicherung jedes Servers/Netzwerks.
Was die Update-Versorgung angeht, hier wurde ja schon ein WSUS-Server erwähnt, also ein Server, der zentral alle (benötigten) Updates von MS herunterlädt und dann allen Maschinen im internen Netz bereitstellen kann - verhindert, dass die internen Maschinen direkt von MS laden und beschleunigt natürlich die Installation von Updates proportional zur Anzahl der vorhandenen Maschinen. Dass dieser WSUS-Server dann Zugriff aufs Internet braucht, dürfte klar sein, die Updates müssen ja irgendwie heruntergeladen werden. Zum "Verbiegen" der Update-Ports ist ein hausinterner WSUS die zwingende Vorraussetzung.
Cheers,
jsysde
Man möge mir das Herumnörgeln verzeihen, aber mit ist unklar, welche "Gefahr" für einen Server besteht, wenn er "Internetzugriff" hat?
Sofern der Server hinter einem Router hängt und dort keine Portforwardings eingetragen sind, die auf eben diesen Server zeigen, ist der Server genauso sicher bzw. unsicher wie alle anderen Rechner im Netz auch, sprich: Ein Zugriff von extern direkt auf diesen Server ist nicht möglich.
Dass man sich als Admin nicht auf einen Server verbindet, um dann dort fröhlich loszusurfen, sollte eigentlich jedem klar sein, das gehört zur absoluten Grundsicherung jedes Servers/Netzwerks.
Was die Update-Versorgung angeht, hier wurde ja schon ein WSUS-Server erwähnt, also ein Server, der zentral alle (benötigten) Updates von MS herunterlädt und dann allen Maschinen im internen Netz bereitstellen kann - verhindert, dass die internen Maschinen direkt von MS laden und beschleunigt natürlich die Installation von Updates proportional zur Anzahl der vorhandenen Maschinen. Dass dieser WSUS-Server dann Zugriff aufs Internet braucht, dürfte klar sein, die Updates müssen ja irgendwie heruntergeladen werden. Zum "Verbiegen" der Update-Ports ist ein hausinterner WSUS die zwingende Vorraussetzung.
Cheers,
jsysde
Zitat von @jsysde:
Man möge mir das Herumnörgeln verzeihen, aber mit ist unklar, welche "Gefahr" für einen Server besteht,
wenn er "Internetzugriff" hat?
Man möge mir das Herumnörgeln verzeihen, aber mit ist unklar, welche "Gefahr" für einen Server besteht,
wenn er "Internetzugriff" hat?
Wie die Erfahrung zeigt, werden Drittanbieter-Programme auf Servern normalerweise seltener aktuell gehalten als auf Desktops.
Wenn man nun auf dem Server als Admin unterwegs ist, um z.B. schnell bei administrator.de oder woanders was nachzuschauen, kann es dort einfacher sein, sich auf dem Server einen drive-by-download einzufangen, als auf dem Desktop.
lks
PS: Ich meine damit nciht, das administrator.de drive-by-downloads verteilt, sondern daß die gefahr generell dort besteht, wo werbung verteilt wird.
Mahlzeit.

Cheers,
jsysde
Zitat von @Lochkartenstanzer:
Wenn man nun auf dem Server als Admin unterwegs ist, um z.B. schnell bei administrator.de oder woanders was nachzuschauen, kann es
dort einfacher sein, sich auf dem Server einen drive-by-download einzufangen, als auf dem Desktop.
Da hast du sicherlich nicht unrecht, aber als (verantwortungsvoller) Admin surfe ich auf einem Server nicht, ganz egal, wohin. Eigentlich ein "OSI-Layer-8-Problem", kein Windows-Problem. Wenn man nun auf dem Server als Admin unterwegs ist, um z.B. schnell bei administrator.de oder woanders was nachzuschauen, kann es
dort einfacher sein, sich auf dem Server einen drive-by-download einzufangen, als auf dem Desktop.
Cheers,
jsysde
Zitat von @jsysde:
> Zitat von @Lochkartenstanzer:
> Wenn man nun auf dem Server als Admin unterwegs ist, um z.B. schnell bei administrator.de oder woanders was nachzuschauen,
kann es
> dort einfacher sein, sich auf dem Server einen drive-by-download einzufangen, als auf dem Desktop.
Da hast du sicherlich nicht unrecht, aber als (verantwortungsvoller) Admin surfe ich auf einem Server nicht, ganz egal, wohin.
Eigentlich ein "OSI-Layer-8-Problem", kein Windows-Problem.
> Zitat von @Lochkartenstanzer:
> Wenn man nun auf dem Server als Admin unterwegs ist, um z.B. schnell bei administrator.de oder woanders was nachzuschauen,
kann es
> dort einfacher sein, sich auf dem Server einen drive-by-download einzufangen, als auf dem Desktop.
Da hast du sicherlich nicht unrecht, aber als (verantwortungsvoller) Admin surfe ich auf einem Server nicht, ganz egal, wohin.
Eigentlich ein "OSI-Layer-8-Problem", kein Windows-Problem.
Auch nicht, wenn Du mal schnell einen patch brauchst, weil der Server gerade Mucken macht?
Egal wie sorgfältig man ist, man kommt immer in Situationen, wo man kurz nicht aufpaßt und schon ist es passiert.
lks

Hallo,
stell die Server die Kontakt zum Internet haben sollen in eine DMZ hinter einen HTTP/Web Proxy
und die anderen Server eben ins LAN und dann versorge diese über WSUS mit Updates.
Gruß
Dobby
stell die Server die Kontakt zum Internet haben sollen in eine DMZ hinter einen HTTP/Web Proxy
und die anderen Server eben ins LAN und dann versorge diese über WSUS mit Updates.
Gruß
Dobby
Zitat von @Lochkartenstanzer:
Auch nicht, wenn Du mal schnell einen patch brauchst, weil der Server gerade Mucken macht?
Egal wie sorgfältig man ist, man kommt immer in Situationen, wo man kurz nicht aufpaßt und schon ist es passiert.
lks
RDP - copy & paste?Auch nicht, wenn Du mal schnell einen patch brauchst, weil der Server gerade Mucken macht?
Egal wie sorgfältig man ist, man kommt immer in Situationen, wo man kurz nicht aufpaßt und schon ist es passiert.
lks
Du kannst in der Windows Firewall eine Regel für den IE machen und diesem nichts erlauben. Das setzt aber voraus, dass der Benutzer keine Anwendung installieren darf und auch keine fremde .exe starten kann (portable Browser), sonst macht das keinen Sinn.

Moin,
versteh ich das jetzt richtig nur kein Surfen? Versuch doch mal einen nicht vorhandenen Proxy in den Internetverbindungseinstellungen einzutragen.
Sollte dann ggf. kein Surfen per IE möglich sein.
HG
Strangedos
P.S. Alternativ könnte man es auch mit DNS Einstellungen probieren. Ist aber mehr Bastelarbeit da der WSUS ja weiterhin laufen soll.
versteh ich das jetzt richtig nur kein Surfen? Versuch doch mal einen nicht vorhandenen Proxy in den Internetverbindungseinstellungen einzutragen.
Sollte dann ggf. kein Surfen per IE möglich sein.
HG
Strangedos
P.S. Alternativ könnte man es auch mit DNS Einstellungen probieren. Ist aber mehr Bastelarbeit da der WSUS ja weiterhin laufen soll.
Moin,
ich vermute mal das du damit aus Sicherheitsgründen die Updates auch nur manuell installieren möchtest? (Ob dies jetzt gut oder schlecht ist will ich mal nicht diskutieren). Hierfür gibt es ja div. Update-Tools (ich glaub z.B. eines von Heise), das lädt die Updates "offline" runter, du packst das auf nen USB-Stick und installierst das dann am Server.
Jedoch: Was machst du z.B. mit nem Virenscanner? Der sollte ja auch seine Updates bekommen.
Ansonsten würde ich mich aber auch den anderen hier anschließen - wenn ich am Server nicht arbeite (und schon gar nicht als Admin irgendwelche SW da öffne / ausprobiere und/oder surfe!) stellt sich die Frage welches Problem du da siehst? Ne gute Firewall sollte ja alle Ports zumachen die nicht benötigt sind (und bei nem Server weiss ich recht genau was der nach aussen braucht!). Ich würde höchstens den Port 80 direkt sperren und nen Proxy zwangsweise dazwischen packen um Programme wie TeamViewer zu sperren (oder eben die illegalen Versionen davon) - und am Proxy eben für den Server nur die Update-Seiten freigeben. Aber je nach Umfeld kenne ich auch einige Umgebungen in denen der Server eben kein Internet haben darf weils ne Betriebsvorgabe so vorsieht...
ich vermute mal das du damit aus Sicherheitsgründen die Updates auch nur manuell installieren möchtest? (Ob dies jetzt gut oder schlecht ist will ich mal nicht diskutieren). Hierfür gibt es ja div. Update-Tools (ich glaub z.B. eines von Heise), das lädt die Updates "offline" runter, du packst das auf nen USB-Stick und installierst das dann am Server.
Jedoch: Was machst du z.B. mit nem Virenscanner? Der sollte ja auch seine Updates bekommen.
Ansonsten würde ich mich aber auch den anderen hier anschließen - wenn ich am Server nicht arbeite (und schon gar nicht als Admin irgendwelche SW da öffne / ausprobiere und/oder surfe!) stellt sich die Frage welches Problem du da siehst? Ne gute Firewall sollte ja alle Ports zumachen die nicht benötigt sind (und bei nem Server weiss ich recht genau was der nach aussen braucht!). Ich würde höchstens den Port 80 direkt sperren und nen Proxy zwangsweise dazwischen packen um Programme wie TeamViewer zu sperren (oder eben die illegalen Versionen davon) - und am Proxy eben für den Server nur die Update-Seiten freigeben. Aber je nach Umfeld kenne ich auch einige Umgebungen in denen der Server eben kein Internet haben darf weils ne Betriebsvorgabe so vorsieht...
Moin.
Ähhm, nein. "Ne gute Firewall" hat alle Ports dicht, bis auf die, die ich als Admin öffne.
Cheers,
jsysde
Ähhm, nein. "Ne gute Firewall" hat alle Ports dicht, bis auf die, die ich als Admin öffne.
Cheers,
jsysde

Moin,
dazu muss der jeweilige Admin auch die betreffende Übersicht haben.
HG
Strangedos
P.S. Die Grundlegende Frage wie ist die Ausgangsituation und wie löse ich diese, tritt etwas in den Hintergrund.
dazu muss der jeweilige Admin auch die betreffende Übersicht haben.
HG
Strangedos
P.S. Die Grundlegende Frage wie ist die Ausgangsituation und wie löse ich diese, tritt etwas in den Hintergrund.