Wie Windows Server 2003 grundsätzlich absichern?
Servus,
mir (Azubi) wurde heute die Aufgabe zugeteilt für eine relativ kleine Firma (1 Server, 2 Pc´s, 2 Drucker, 1 Switch, 1 Router) einen Windows 2003 Server einzurichten.
Der Server dient als reine Dateiablage für die 2 Benutzer
Der Server befindet sich hinter einem "Speedport W701" (wem das kein Begriff ist: Ein Billigrouter der im Flatratepaket des rosa Riesen dabei ist)
Der Router hat zwar eine vorinstallierte FW, aber natürlich vertraue ich nicht auf diese.
Mir stellen sich folgende Fragen:
Soll ich auf dem Server eine FW installieren (wenn ja, WELCHE?)
Sollte eine Antivirenlösung auf dem Server installiert werden (WELCHE?)
Gibt es außerdem i.welche Dienste, die man besser stoppen sollte?
Werden automatische Updates benötigt? (Mir ist klar, dass Updates im allg. nichts böses tun, hab aber auch schon andere Erfahrungen damit gemacht...)
Vielen Dank für`s lesen ;)
Servus
mir (Azubi) wurde heute die Aufgabe zugeteilt für eine relativ kleine Firma (1 Server, 2 Pc´s, 2 Drucker, 1 Switch, 1 Router) einen Windows 2003 Server einzurichten.
Der Server dient als reine Dateiablage für die 2 Benutzer
Der Server befindet sich hinter einem "Speedport W701" (wem das kein Begriff ist: Ein Billigrouter der im Flatratepaket des rosa Riesen dabei ist)
Der Router hat zwar eine vorinstallierte FW, aber natürlich vertraue ich nicht auf diese.
Mir stellen sich folgende Fragen:
Soll ich auf dem Server eine FW installieren (wenn ja, WELCHE?)
Sollte eine Antivirenlösung auf dem Server installiert werden (WELCHE?)
Gibt es außerdem i.welche Dienste, die man besser stoppen sollte?
Werden automatische Updates benötigt? (Mir ist klar, dass Updates im allg. nichts böses tun, hab aber auch schon andere Erfahrungen damit gemacht...)
Vielen Dank für`s lesen ;)
Servus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 92283
Url: https://administrator.de/forum/wie-windows-server-2003-grundsaetzlich-absichern-92283.html
Ausgedruckt am: 23.12.2024 um 11:12 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
1. Den Speedport richtig konfigurieren (NAT: ein; FW: ein; UPnP: aus, etc.)
2. Bei W2k3 ist (genau wie bei WinXP) bereits eine Firewall integriert, diese ist ausreichend.
3. Ein aktueller Virenscanner ist unumgänglich, welchen du verwendetst hängt von deinem Budget, deinen Kenntnissen und den konkreten Anforderungen ab. (Trend Micro, F-Prot, Kaspersky, Avira Antivir, etc.)
4. Sicherheitsupdates sollten installiert werden (nicht sofort, aber zeitnah). Am besten Updates automatisch downloaden aber manuell installieren (vorher im Internet nach Problemen mit diesen Updates recherchieren.
5. Nicht benötigte Dienste (Nachrichtendienst, Remote-Registrierung, evtl. Taskplaner, etc.) hängt wieder von den konkreten Anforderungen der Firma ab.
mfg
Harald
1. Den Speedport richtig konfigurieren (NAT: ein; FW: ein; UPnP: aus, etc.)
2. Bei W2k3 ist (genau wie bei WinXP) bereits eine Firewall integriert, diese ist ausreichend.
3. Ein aktueller Virenscanner ist unumgänglich, welchen du verwendetst hängt von deinem Budget, deinen Kenntnissen und den konkreten Anforderungen ab. (Trend Micro, F-Prot, Kaspersky, Avira Antivir, etc.)
4. Sicherheitsupdates sollten installiert werden (nicht sofort, aber zeitnah). Am besten Updates automatisch downloaden aber manuell installieren (vorher im Internet nach Problemen mit diesen Updates recherchieren.
5. Nicht benötigte Dienste (Nachrichtendienst, Remote-Registrierung, evtl. Taskplaner, etc.) hängt wieder von den konkreten Anforderungen der Firma ab.
mfg
Harald
Die lokalen Sicherheitsrichtlinen beachten dort sitzt das Herzstück!!!
Sowohl für den Server als auch für die Clients.
Wer die Windows Firewall nutzt dem kann man nicht mehr helfen........
mit dem Kopf auf dem Tisch hauen ....
gruß
Sowohl für den Server als auch für die Clients.
Wer die Windows Firewall nutzt dem kann man nicht mehr helfen........
mit dem Kopf auf dem Tisch hauen ....
gruß
Hallo, firewalldevil,
prinzipiell hast du ja Recht mit deiner Bemerkung über die Windows Firewall, aber welches Produkt willst du den Azubi den konfigurieren lassen? Etwa Zonealarm?
Im Zweifelsfall geht hinterher entweder gar nichts mehr oder alles ist möglich und ordentlich deinstallieren ließ sich Zonealarm noch nie!
mfg
Harald
prinzipiell hast du ja Recht mit deiner Bemerkung über die Windows Firewall, aber welches Produkt willst du den Azubi den konfigurieren lassen? Etwa Zonealarm?
Im Zweifelsfall geht hinterher entweder gar nichts mehr oder alles ist möglich und ordentlich deinstallieren ließ sich Zonealarm noch nie!
mfg
Harald
ja TM macht einen guten Job, zur FW würde ich Sygate installieren leider wurden die geschluckt ...
Heieieieiei,
liebe Freunde,
wieviele Eurer Kunden die einen Windows 2003 Server als Datei und Druckserver nutzen, ohne MSSQL, ohne Exchange und ohne ADS wahrscheinlich, die Ihr Netzwerk hinter einem Standard DSL Router vom Rosa Riesen haben und keinerlei Dienste extern bereitstellen wollen, sind denn schon von extern gehackt worden ????
Ich kenne keinen Fall !!!
Ich denke das es völlig ausreichend ist den Speedport ordentlich zu konfigurieren, keine Dienste extern anzubieten und auch kein Dyndns und so ein Zeug zu installieren und gut iss.
Kein WLAN und wenn doch dann die aktuell nötigen Sicherheitskonfigurationen, NAT und fertig. Kauf Dir dazu noch ein 3er Pack NAV (was auch aufm Server geht) und die Birne ist geschält.
By the Way: Hackt einer den Speeport Router ist er noch lange nicht aufm Server, der NUR eine lokale IP hat!
cu
Ekki
liebe Freunde,
wieviele Eurer Kunden die einen Windows 2003 Server als Datei und Druckserver nutzen, ohne MSSQL, ohne Exchange und ohne ADS wahrscheinlich, die Ihr Netzwerk hinter einem Standard DSL Router vom Rosa Riesen haben und keinerlei Dienste extern bereitstellen wollen, sind denn schon von extern gehackt worden ????
Ich kenne keinen Fall !!!
Ich denke das es völlig ausreichend ist den Speedport ordentlich zu konfigurieren, keine Dienste extern anzubieten und auch kein Dyndns und so ein Zeug zu installieren und gut iss.
Kein WLAN und wenn doch dann die aktuell nötigen Sicherheitskonfigurationen, NAT und fertig. Kauf Dir dazu noch ein 3er Pack NAV (was auch aufm Server geht) und die Birne ist geschält.
By the Way: Hackt einer den Speeport Router ist er noch lange nicht aufm Server, der NUR eine lokale IP hat!
cu
Ekki
wer sagt das man nicht auch im internen Netz sicher sein sollte?
Ich würde eine gute Absicherung intern auf alle Fälle einrichten, sonst könnte ein User auch ungewollt Schaden zufügen.
ich hätte keine Lust wegen unachtsamkeit einen Server wieder aufsetzten zu müssen, nur weil ein dummer User mir ein Streich gespielt hat und ich es nicht mal mitbekomme, wäre ein Sport in der Firma.
Wenn jetzt noch Geld eine Rolle spielt, sprich eine Bank gibt der Firma einen Kredit, so erkundigen die sich schon mal gerne nach sollte Sicherheitseinstellungen.
Nur als Denkanstoß ... evtl ein Nummer zu groß, mann sollte mal darüber nachdenken ...
Gruß
Ich würde eine gute Absicherung intern auf alle Fälle einrichten, sonst könnte ein User auch ungewollt Schaden zufügen.
ich hätte keine Lust wegen unachtsamkeit einen Server wieder aufsetzten zu müssen, nur weil ein dummer User mir ein Streich gespielt hat und ich es nicht mal mitbekomme, wäre ein Sport in der Firma.
Wenn jetzt noch Geld eine Rolle spielt, sprich eine Bank gibt der Firma einen Kredit, so erkundigen die sich schon mal gerne nach sollte Sicherheitseinstellungen.
Nur als Denkanstoß ... evtl ein Nummer zu groß, mann sollte mal darüber nachdenken ...
Gruß
Hallo seppxx,
das du dumm bist wollte ich eigentlich nie ausdrücken - meiner Erfahrung nach haben Azubis aber im allgemeinen noch nicht die Erfahrung, um so etwas ordentlich zu konfigurieren.
Als Virenscanner kann ich dir Trend Micro Officescan empfehlen (für SMB gibts es da auch eine Suite), dort ist auch eine Software-Firewall integriert. Das ist allerdings nicht umsonst, die Performance stimmt aber.
mfg
Harald
das du dumm bist wollte ich eigentlich nie ausdrücken - meiner Erfahrung nach haben Azubis aber im allgemeinen noch nicht die Erfahrung, um so etwas ordentlich zu konfigurieren.
Als Virenscanner kann ich dir Trend Micro Officescan empfehlen (für SMB gibts es da auch eine Suite), dort ist auch eine Software-Firewall integriert. Das ist allerdings nicht umsonst, die Performance stimmt aber.
mfg
Harald
als Test nehme ich den Microsoft Baseline Security Analyzer damit werden die Systeme geprüft auf z.b. schwache Kennwörter oder ob SP´s fehlen.
http://technet.microsoft.com/en-us/security/cc184924.aspx
http://technet.microsoft.com/en-us/security/cc184924.aspx