seppxx
Goto Top

Wie Windows Server 2003 grundsätzlich absichern?

Servus,

mir (Azubi) wurde heute die Aufgabe zugeteilt für eine relativ kleine Firma (1 Server, 2 Pc´s, 2 Drucker, 1 Switch, 1 Router) einen Windows 2003 Server einzurichten.


Der Server dient als reine Dateiablage für die 2 Benutzer
Der Server befindet sich hinter einem "Speedport W701" (wem das kein Begriff ist: Ein Billigrouter der im Flatratepaket des rosa Riesen dabei ist)
Der Router hat zwar eine vorinstallierte FW, aber natürlich vertraue ich nicht auf diese.

Mir stellen sich folgende Fragen:
Soll ich auf dem Server eine FW installieren (wenn ja, WELCHE?)
Sollte eine Antivirenlösung auf dem Server installiert werden (WELCHE?)
Gibt es außerdem i.welche Dienste, die man besser stoppen sollte?
Werden automatische Updates benötigt? (Mir ist klar, dass Updates im allg. nichts böses tun, hab aber auch schon andere Erfahrungen damit gemacht...)

Vielen Dank für`s lesen ;)


Servus

Content-ID: 92283

Url: https://administrator.de/forum/wie-windows-server-2003-grundsaetzlich-absichern-92283.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

harald21
harald21 17.07.2008 um 14:08:24 Uhr
Goto Top
Hallo,

1. Den Speedport richtig konfigurieren (NAT: ein; FW: ein; UPnP: aus, etc.)
2. Bei W2k3 ist (genau wie bei WinXP) bereits eine Firewall integriert, diese ist ausreichend.
3. Ein aktueller Virenscanner ist unumgänglich, welchen du verwendetst hängt von deinem Budget, deinen Kenntnissen und den konkreten Anforderungen ab. (Trend Micro, F-Prot, Kaspersky, Avira Antivir, etc.)
4. Sicherheitsupdates sollten installiert werden (nicht sofort, aber zeitnah). Am besten Updates automatisch downloaden aber manuell installieren (vorher im Internet nach Problemen mit diesen Updates recherchieren.
5. Nicht benötigte Dienste (Nachrichtendienst, Remote-Registrierung, evtl. Taskplaner, etc.) hängt wieder von den konkreten Anforderungen der Firma ab.

mfg
Harald
6741
6741 17.07.2008 um 14:45:10 Uhr
Goto Top
Die lokalen Sicherheitsrichtlinen beachten dort sitzt das Herzstück!!!

Sowohl für den Server als auch für die Clients.

Wer die Windows Firewall nutzt dem kann man nicht mehr helfen........

mit dem Kopf auf dem Tisch hauen ....

gruß
seppxx
seppxx 17.07.2008 um 14:51:39 Uhr
Goto Top
Ich bin schon ständig am überlegen, welche Firewall
meine Bedürfnissen ( sollte auf Server mit 512MB Ram laufen + sicher sein)
befriedigt?!

Vielen Dank schon mal an euch für die schnellen Antworten!
wiesi200
wiesi200 17.07.2008 um 15:35:53 Uhr
Goto Top
Du könntest ne kleine Cisco ASA dazwischen hängen.
Beim Virenscanner hab ich mit Trendmicro gute Erfahrungen
harald21
harald21 17.07.2008 um 15:37:45 Uhr
Goto Top
Hallo, firewalldevil,

prinzipiell hast du ja Recht mit deiner Bemerkung über die Windows Firewall, aber welches Produkt willst du den Azubi den konfigurieren lassen? Etwa Zonealarm?
Im Zweifelsfall geht hinterher entweder gar nichts mehr oder alles ist möglich und ordentlich deinstallieren ließ sich Zonealarm noch nie!

mfg
Harald
seppxx
seppxx 17.07.2008 um 16:08:19 Uhr
Goto Top
Nur weil ich ein Azubi bin, heißt das noch lange nicht, dass ich dumm wie Brot bin ;)

Bisher haben wir immer ne Hardware-FW hingestellt
Aber bei dieser kleinen Menge ist das nicht rentabel (laut Chief)


Gibt es also eine Viren- oder FWLösung, die eventuell keine hohen Systemanforderungen hat + umsonst ist?
6741
6741 17.07.2008 um 16:08:25 Uhr
Goto Top
ja TM macht einen guten Job, zur FW würde ich Sygate installieren leider wurden die geschluckt ...
triumvirat
triumvirat 17.07.2008 um 16:31:57 Uhr
Goto Top
Heieieieiei,

liebe Freunde,
wieviele Eurer Kunden die einen Windows 2003 Server als Datei und Druckserver nutzen, ohne MSSQL, ohne Exchange und ohne ADS wahrscheinlich, die Ihr Netzwerk hinter einem Standard DSL Router vom Rosa Riesen haben und keinerlei Dienste extern bereitstellen wollen, sind denn schon von extern gehackt worden ????

Ich kenne keinen Fall !!!
Ich denke das es völlig ausreichend ist den Speedport ordentlich zu konfigurieren, keine Dienste extern anzubieten und auch kein Dyndns und so ein Zeug zu installieren und gut iss.
Kein WLAN und wenn doch dann die aktuell nötigen Sicherheitskonfigurationen, NAT und fertig. Kauf Dir dazu noch ein 3er Pack NAV (was auch aufm Server geht) und die Birne ist geschält.

By the Way: Hackt einer den Speeport Router ist er noch lange nicht aufm Server, der NUR eine lokale IP hat!

cu
Ekki
wiesi200
wiesi200 17.07.2008 um 18:08:27 Uhr
Goto Top
Umsonst ist für Firmen eigentlich nie was.
6741
6741 17.07.2008 um 19:36:36 Uhr
Goto Top
wer sagt das man nicht auch im internen Netz sicher sein sollte?

Ich würde eine gute Absicherung intern auf alle Fälle einrichten, sonst könnte ein User auch ungewollt Schaden zufügen.

ich hätte keine Lust wegen unachtsamkeit einen Server wieder aufsetzten zu müssen, nur weil ein dummer User mir ein Streich gespielt hat und ich es nicht mal mitbekomme, wäre ein Sport in der Firma.

Wenn jetzt noch Geld eine Rolle spielt, sprich eine Bank gibt der Firma einen Kredit, so erkundigen die sich schon mal gerne nach sollte Sicherheitseinstellungen.

Nur als Denkanstoß ... evtl ein Nummer zu groß, mann sollte mal darüber nachdenken ...

Gruß
Nailara
Nailara 17.07.2008 um 23:03:03 Uhr
Goto Top
Jupp - Zustimmung pur. Wieviele Attacken kommen von Innen? Mehr als man vermuten würde face-smile.

Mathias
harald21
harald21 18.07.2008 um 08:34:29 Uhr
Goto Top
Hallo seppxx,

das du dumm bist wollte ich eigentlich nie ausdrücken - meiner Erfahrung nach haben Azubis aber im allgemeinen noch nicht die Erfahrung, um so etwas ordentlich zu konfigurieren.

Als Virenscanner kann ich dir Trend Micro Officescan empfehlen (für SMB gibts es da auch eine Suite), dort ist auch eine Software-Firewall integriert. Das ist allerdings nicht umsonst, die Performance stimmt aber.


mfg
Harald
6741
6741 18.07.2008 um 08:44:32 Uhr
Goto Top
als Test nehme ich den Microsoft Baseline Security Analyzer damit werden die Systeme geprüft auf z.b. schwache Kennwörter oder ob SP´s fehlen.

http://technet.microsoft.com/en-us/security/cc184924.aspx