Windows 2008-Server absichern?
Hallo miteinander,
eingangs die Bitte: keine Diskussion über die reine Lehre.
Ich weiß sehr wohl was Microsoft vorschreibt und kenne die Schreckgespenster die jeder an die Wand malt nach Ablauf des Supports.
Mir ist auch klar dass ich das Ding nicht zu 100% dicht machen kann, aber ich will tun was ich kann.
Zur Sache:
auf dem 2008er läuft SQL2008 und Navision 2009 als ERP.
Packe ich den Server an, muß ich SQL mitziehen. NAV2009 wiederum mag neuere SQL nicht.
In Summe sind wir da gehoben deutlich 5stellig in € unterwegs wenn man das umziehen wollte - ohne einen einzigen geschäftlichen Vorteil.
Daher will ich den 2008er so lang wie geht weiter betreiben und mit vorhandenen Mitteln absichern.
- Es gibt keine SMB-Zugriffe, Mappings etc.pp. auf das Ding, nur SQL.
- Es gibt keine Zugriffe 'von ausserhalb des internen Netzes' darauf.
- Nach draussen haben wir eine Sophos UTM laufen
- die HW ist stabil, Platten auf SSD-Raid1
Was kann ich also unter Beibehaltung des 2008er tun um uns möglichst wenig zu exponieren?
Vielen Dank
GGa
eingangs die Bitte: keine Diskussion über die reine Lehre.
Ich weiß sehr wohl was Microsoft vorschreibt und kenne die Schreckgespenster die jeder an die Wand malt nach Ablauf des Supports.
Mir ist auch klar dass ich das Ding nicht zu 100% dicht machen kann, aber ich will tun was ich kann.
Zur Sache:
auf dem 2008er läuft SQL2008 und Navision 2009 als ERP.
Packe ich den Server an, muß ich SQL mitziehen. NAV2009 wiederum mag neuere SQL nicht.
In Summe sind wir da gehoben deutlich 5stellig in € unterwegs wenn man das umziehen wollte - ohne einen einzigen geschäftlichen Vorteil.
Daher will ich den 2008er so lang wie geht weiter betreiben und mit vorhandenen Mitteln absichern.
- Es gibt keine SMB-Zugriffe, Mappings etc.pp. auf das Ding, nur SQL.
- Es gibt keine Zugriffe 'von ausserhalb des internen Netzes' darauf.
- Nach draussen haben wir eine Sophos UTM laufen
- die HW ist stabil, Platten auf SSD-Raid1
Was kann ich also unter Beibehaltung des 2008er tun um uns möglichst wenig zu exponieren?
Vielen Dank
GGa
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 468895
Url: https://administrator.de/forum/windows-2008-server-absichern-468895.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
21 Kommentare
Neuester Kommentar
Zitat von @mabies:
Was kann ich also unter Beibehaltung des 2008er tun um uns möglichst wenig zu exponieren?
Was kann ich also unter Beibehaltung des 2008er tun um uns möglichst wenig zu exponieren?
Steck das Ding in einen eigene Zone und lasse nur Verbindungen aus Deinem LAN auf Navision zu und nichts anderes zu.
ggf. noch ein Zone für die Administration über RDP auf dem zweiten interface des Servers.
Notfalls hängst du einfach einen Mikrotik- oder DD-WRT-Router für 30€ vor die Kiste mit passenden Firewall-Regeln (An die statischen Routen im default gateway denken!).
lks
Moin,
wie lks schrieb:
ein neues IP-Netz (VLAN) aufbauen.
den NAV-Server dort hinein
die Sophos (oder eine andere Firewall) regelt dann den Zugriff:
Alles andere dicht machen.
Wenn eine AV auf der Kiste drauf ist, dann vom NAV ausgehend noch den Port zum internen AV-Server zulassen, damit er Patterns etc. ziehen kann
Darüberhinaus ggf. noch alle Dienste, die der Server nicht bereitstellen muss oder benötigt, beenden. da würde ich aber mal schauen welche DIenste laufen und was die so machen...
Gruß
em-pie
wie lks schrieb:
ein neues IP-Netz (VLAN) aufbauen.
den NAV-Server dort hinein
die Sophos (oder eine andere Firewall) regelt dann den Zugriff:
- Quelle = Unternehmensclient (IP-Netz = 192.168.123.0/24), Port für Navision: 7046 und für den SQL 1433 (Quelle: Dynamics Community), wenn beides Positiv, dann Allow
- Quelle = IT-Client, dann Port 3389 (RDP) Allow
Alles andere dicht machen.
Wenn eine AV auf der Kiste drauf ist, dann vom NAV ausgehend noch den Port zum internen AV-Server zulassen, damit er Patterns etc. ziehen kann
Darüberhinaus ggf. noch alle Dienste, die der Server nicht bereitstellen muss oder benötigt, beenden. da würde ich aber mal schauen welche DIenste laufen und was die so machen...
Gruß
em-pie
Moin,
ein wenig OT, aber:
Wenn die Maschine so kritisch ist, willst du die Maschine dann nicht lieber virtualisieren?
Die VHD dann auf ein SAN (oder ne NAS) und auf die derzeitige Hardware dann Hyper-V oder VM-Ware.
Wenn die Hardware dann irgendwann doch de Beine hoch reisst kannste einfach umschwenken.
V-Lan etc. kannste auch virtuell abbilden.
BG
JGA
ein wenig OT, aber:
Wenn die Maschine so kritisch ist, willst du die Maschine dann nicht lieber virtualisieren?
Die VHD dann auf ein SAN (oder ne NAS) und auf die derzeitige Hardware dann Hyper-V oder VM-Ware.
Wenn die Hardware dann irgendwann doch de Beine hoch reisst kannste einfach umschwenken.
V-Lan etc. kannste auch virtuell abbilden.
BG
JGA
Moin,
würde auch diese Kiste virtualisieren.
Bei uns in einer Außenstelle läuft auch noch ein älteres Server-OS, das nur noch zu Auskunftszwecken dient und weder Updates noch Support erhalten kann.
Die alte Hardware konnte entsorgt werden und ich habe dadurch zugleich ein Platzproblem weniger und spare mir durch die Virtualisierung Stromkosten u.ä. ein.
Gruß
würde auch diese Kiste virtualisieren.
Bei uns in einer Außenstelle läuft auch noch ein älteres Server-OS, das nur noch zu Auskunftszwecken dient und weder Updates noch Support erhalten kann.
Die alte Hardware konnte entsorgt werden und ich habe dadurch zugleich ein Platzproblem weniger und spare mir durch die Virtualisierung Stromkosten u.ä. ein.
Gruß
Zitat von @VGem-e:
Moin,
würde auch diese Kiste virtualisieren.
Bei uns in einer Außenstelle läuft auch noch ein älteres Server-OS, das nur noch zu Auskunftszwecken dient und weder Updates noch Support erhalten kann.
Die alte Hardware konnte entsorgt werden und ich habe dadurch zugleich ein Platzproblem weniger und spare mir durch die Virtualisierung Stromkosten u.ä. ein.
Moin,
würde auch diese Kiste virtualisieren.
Bei uns in einer Außenstelle läuft auch noch ein älteres Server-OS, das nur noch zu Auskunftszwecken dient und weder Updates noch Support erhalten kann.
Die alte Hardware konnte entsorgt werden und ich habe dadurch zugleich ein Platzproblem weniger und spare mir durch die Virtualisierung Stromkosten u.ä. ein.
Nichtsdestotrotz muß die Kiste in einen "abgesperrten" Raum.
lks
Zitat von @mabies:
Zur Sache:
auf dem 2008er läuft SQL2008 und Navision 2009 als ERP.
Packe ich den Server an, muß ich SQL mitziehen. NAV2009 wiederum mag neuere SQL nicht.
In Summe sind wir da gehoben deutlich 5stellig in € unterwegs wenn man das umziehen wollte - ohne einen einzigen geschäftlichen Vorteil.
Zur Sache:
auf dem 2008er läuft SQL2008 und Navision 2009 als ERP.
Packe ich den Server an, muß ich SQL mitziehen. NAV2009 wiederum mag neuere SQL nicht.
In Summe sind wir da gehoben deutlich 5stellig in € unterwegs wenn man das umziehen wollte - ohne einen einzigen geschäftlichen Vorteil.
Moin,
wenn ich mich recht erinnere ist diese Version aus 2008 und damit seit vier Jahren EOL/EOS.
Auch wenn ich Deinen Ansatz nachvollziehen kann, was machst Du denn im worst-case, wenn Du keinerlei Support mehr für das Ding bekommst oder nur noch beim Einsatz einer aktuellen Version? Dann musst Du ggfs. noch viel mehr Geld in die Hand nehmen und weils schnell gehen muss, bist Du im Zugzwang. Läuft's ganz doof sind Zwischenupdates mit weiß der Geier was für Aktionen nötig.
Im privaten kleinen Umfeld kannst Du sowas machen, im professionellen Bereich ist das eine Milchmädchen Rechnung.
Es sei denn das Ganze soll abgelöst werden, aber davon schreibst Du ja nichts.
Gruss
Zitat von @sabines:
wenn ich mich recht erinnere ist diese Version aus 2008 und damit seit vier Jahren EOL/EOS.
Auch wenn ich Deinen Ansatz nachvollziehen kann, was machst Du denn im worst-case, wenn Du keinerlei Support mehr für das Ding bekommst oder nur noch beim Einsatz einer aktuellen Version? Dann musst Du ggfs. noch viel mehr Geld in die Hand nehmen und weils schnell gehen muss, bist Du im Zugzwang. Läuft's ganz doof sind Zwischenupdates mit weiß der Geier was für Aktionen nötig.
Im privaten kleinen Umfeld kannst Du sowas machen, im professionellen Bereich ist das eine Milchmädchen Rechnung.
wenn ich mich recht erinnere ist diese Version aus 2008 und damit seit vier Jahren EOL/EOS.
Auch wenn ich Deinen Ansatz nachvollziehen kann, was machst Du denn im worst-case, wenn Du keinerlei Support mehr für das Ding bekommst oder nur noch beim Einsatz einer aktuellen Version? Dann musst Du ggfs. noch viel mehr Geld in die Hand nehmen und weils schnell gehen muss, bist Du im Zugzwang. Läuft's ganz doof sind Zwischenupdates mit weiß der Geier was für Aktionen nötig.
Im privaten kleinen Umfeld kannst Du sowas machen, im professionellen Bereich ist das eine Milchmädchen Rechnung.
Das kommt im geschäftlichen Umfeld öfter vor als Du glaubst. Nicht jede Firma ist so locker drauf, daß sie eben mal 10^5€ für ein Update hinlegt. Es sind nicht immer knausrige Chefs, sondern auch manchmal die Wirtschaftlage. Da werden dann Sachen auf Verschleiß benutzt statt regelmäßig zu warten.Letztendlich muß manche Firma das Risiko eines Konkurses jetzt zu einem Risiko eines Konkurses später abwägen.
Manchmal macht auch einfach die Liquidität einem einen Strich durch die Rechnung. 100k sofort oder mehrmals 10k später macht da auch einen deutlichen Unterschied.
Jedenfalls ist es oft so, daß Systeme oft über Ihre "Lebenszeit" hinaus weiterackern. (Ich habe selbst noch einige Kunden, bei denen noch DOS und Windows 9x und NT-Systeme noch nicht in Rente gehen dürfen).
lks
Zitat von @Penny.Cilin:
Hallo,
und wann läuft Navision 2009 aus dem Support, wenn es nicht schon aus dem Support ist.?
Hallo,
und wann läuft Navision 2009 aus dem Support, wenn es nicht schon aus dem Support ist.?
Laut MS 11.10.2011
lks
Moin,
verschrottest du dein Auto auch nach Ablauf der Garantie und kaufst dir privat dann immer kurz ne neue Karre?
Solang man die Kiste abschottet - ja, dann is halt kein support von MS mehr da, so what?!? Ich habe bisher (ausser für Aktivierung) nie bei MS für Support anrufen müssen. Und keine Updates mehr - warte, lass mich kurz die letzten Updates von MS überlegen, ist das wirklich nen NACHTEIL?!? Oder das beim nächsten Update nich nen neues "Feature" reinkommt was keiner will, keiner braucht und nur MS meint du musst es haben?
Ich würde es ggf. auch als VM machen - damit eben die Hardware kein problem ist... Das wäre aber auch schon alles - und dann kann die Kiste solang abgesichert laufen bis ins nächste Jahrtausend....
verschrottest du dein Auto auch nach Ablauf der Garantie und kaufst dir privat dann immer kurz ne neue Karre?
Solang man die Kiste abschottet - ja, dann is halt kein support von MS mehr da, so what?!? Ich habe bisher (ausser für Aktivierung) nie bei MS für Support anrufen müssen. Und keine Updates mehr - warte, lass mich kurz die letzten Updates von MS überlegen, ist das wirklich nen NACHTEIL?!? Oder das beim nächsten Update nich nen neues "Feature" reinkommt was keiner will, keiner braucht und nur MS meint du musst es haben?
Ich würde es ggf. auch als VM machen - damit eben die Hardware kein problem ist... Das wäre aber auch schon alles - und dann kann die Kiste solang abgesichert laufen bis ins nächste Jahrtausend....
Hallo em-pie,
Ich würd noch die Verbindung vom NAV zum AD aufmachen oder regeln das bereits die NSTs bei korrekter Delegierung, da bin ich mir grad unsicher?
Und ich würd die Kiste intern nicht für alle Clients aufmachen sondern nur für die Server, wo die NSTs und NASs laufen. Kommt halt auf die Umgebung an. Sollten NSTs direkt auf dem Server laufen, würde ich zusätzlich die NSTs umziehen. Wenn kein ClassicClient im Einsatz ist, würde ich auch 1433 dichtmachen.
Hast du auch den ClassicClient im Einsatz oder nur den RTC?
Viel Erfolg,
Raboom
* Quelle = Unternehmensclient (IP-Netz = 192.168.123.0/24), Port für Navision: 7046 und für den SQL 1433 (Quelle: Dynamics Community), wenn beides Positiv, dann Allow
- Quelle = IT-Client, dann Port 3389 (RDP)
Ich würd noch die Verbindung vom NAV zum AD aufmachen oder regeln das bereits die NSTs bei korrekter Delegierung, da bin ich mir grad unsicher?
Und ich würd die Kiste intern nicht für alle Clients aufmachen sondern nur für die Server, wo die NSTs und NASs laufen. Kommt halt auf die Umgebung an. Sollten NSTs direkt auf dem Server laufen, würde ich zusätzlich die NSTs umziehen. Wenn kein ClassicClient im Einsatz ist, würde ich auch 1433 dichtmachen.
Hast du auch den ClassicClient im Einsatz oder nur den RTC?
Viel Erfolg,
Raboom
Zitat von @Lochkartenstanzer:
Das kommt im geschäftlichen Umfeld öfter vor als Du glaubst. Nicht jede Firma ist so locker drauf, daß sie eben mal 10^5€ für ein Update hinlegt. Es sind nicht immer knausrige Chefs, sondern auch manchmal die Wirtschaftlage. Da werden dann Sachen auf Verschleiß benutzt statt regelmäßig zu warten.Letztendlich muß manche Firma das Risiko eines Konkurses jetzt zu einem Risiko eines Konkurses später abwägen.
Manchmal macht auch einfach die Liquidität einem einen Strich durch die Rechnung. 100k sofort oder mehrmals 10k später macht da auch einen deutlichen Unterschied.
Jedenfalls ist es oft so, daß Systeme oft über Ihre "Lebenszeit" hinaus weiterackern. (Ich habe selbst noch einige Kunden, bei denen noch DOS und Windows 9x und NT-Systeme noch nicht in Rente gehen dürfen).
lks
Zitat von @sabines:
wenn ich mich recht erinnere ist diese Version aus 2008 und damit seit vier Jahren EOL/EOS.
Auch wenn ich Deinen Ansatz nachvollziehen kann, was machst Du denn im worst-case, wenn Du keinerlei Support mehr für das Ding bekommst oder nur noch beim Einsatz einer aktuellen Version? Dann musst Du ggfs. noch viel mehr Geld in die Hand nehmen und weils schnell gehen muss, bist Du im Zugzwang. Läuft's ganz doof sind Zwischenupdates mit weiß der Geier was für Aktionen nötig.
Im privaten kleinen Umfeld kannst Du sowas machen, im professionellen Bereich ist das eine Milchmädchen Rechnung.
wenn ich mich recht erinnere ist diese Version aus 2008 und damit seit vier Jahren EOL/EOS.
Auch wenn ich Deinen Ansatz nachvollziehen kann, was machst Du denn im worst-case, wenn Du keinerlei Support mehr für das Ding bekommst oder nur noch beim Einsatz einer aktuellen Version? Dann musst Du ggfs. noch viel mehr Geld in die Hand nehmen und weils schnell gehen muss, bist Du im Zugzwang. Läuft's ganz doof sind Zwischenupdates mit weiß der Geier was für Aktionen nötig.
Im privaten kleinen Umfeld kannst Du sowas machen, im professionellen Bereich ist das eine Milchmädchen Rechnung.
Das kommt im geschäftlichen Umfeld öfter vor als Du glaubst. Nicht jede Firma ist so locker drauf, daß sie eben mal 10^5€ für ein Update hinlegt. Es sind nicht immer knausrige Chefs, sondern auch manchmal die Wirtschaftlage. Da werden dann Sachen auf Verschleiß benutzt statt regelmäßig zu warten.Letztendlich muß manche Firma das Risiko eines Konkurses jetzt zu einem Risiko eines Konkurses später abwägen.
Manchmal macht auch einfach die Liquidität einem einen Strich durch die Rechnung. 100k sofort oder mehrmals 10k später macht da auch einen deutlichen Unterschied.
Jedenfalls ist es oft so, daß Systeme oft über Ihre "Lebenszeit" hinaus weiterackern. (Ich habe selbst noch einige Kunden, bei denen noch DOS und Windows 9x und NT-Systeme noch nicht in Rente gehen dürfen).
lks
Und bei grossen Unternehmen siehts nich immer besser aus - da is das Geld zwar dann ggf. nich mal das Problem, aber die Zeit das zu machen und wann man die Systeme ausser Betrieb nehmen kann. Denn es hilft ja nix wenn man 200 Server hat aber die nur 4-8 Wochen im ganzen Jahr mal ausser Betrieb nehmen könnte (und das nur in einem Zeitfenster von insgesamt 2-3 Monaten). Klar kann man das dann an nen Dienstleister geben und HOFFEN das alles läuft, wenn man es mit eigenen Leuten machen will dauert das eben etwas länger...
Zitat von @maretz:
verschrottest du dein Auto auch nach Ablauf der Garantie und kaufst dir privat dann immer kurz ne neue Karre?
Solang man die Kiste abschottet - ja, dann is halt kein support von MS mehr da, so what?!?
verschrottest du dein Auto auch nach Ablauf der Garantie und kaufst dir privat dann immer kurz ne neue Karre?
Solang man die Kiste abschottet - ja, dann is halt kein support von MS mehr da, so what?!?
Schön, dass Du einen Autovergleich genommen hast.
Würdest Du als selbständiger Kurierfahrer mit einem 25 Jahre alten Opel, für den es keine Ersatzteile mehr gibt, "arbeiten"?
Wenn Du darauf angewiesen bist ihn 24/7 zu nutzen?
Oder einen Plan B parat haben?
Würde ich mit meinem Auto Geld verdienen, dann würde ich sicherlich dafür sorgen, dass der Wagen jederzeit kurzfristig gewartet werden kann, es sei denn (siehe den Windows 2008-Server absichern?) ich kann's mir nicht leisten (oder die CNC Fräse läuft nicht mit aktueller SW/HW, aber das ist ein Spezialthema).
Und nebenbei:
Meine Autos sind ziemlich alt, eins mit H-Kennzeichen und haben eine ausgezeichnete Ersatzteilversorgung
Zitat von @sabines:
Meine Autos sind ziemlich alt, eins mit H-Kennzeichen und haben eine ausgezeichnete Ersatzteilversorgung
Meine Autos sind ziemlich alt, eins mit H-Kennzeichen und haben eine ausgezeichnete Ersatzteilversorgung
Käfer?
GT?
601?
lks
Zitat von @Lochkartenstanzer:
Käfer?
GT?
601?
Zitat von @sabines:
Meine Autos sind ziemlich alt, eins mit H-Kennzeichen und haben eine ausgezeichnete Ersatzteilversorgung
Meine Autos sind ziemlich alt, eins mit H-Kennzeichen und haben eine ausgezeichnete Ersatzteilversorgung
Käfer?
GT?
601?
- Trabbi
- /8 (legendärer Mercedes Benz)
- Kadett A / B oder Ascona / Manta A oder Ascona A 400
- 356
- 411
Sinn die Auddos älder als DU? Schraubst Du selber? Frauenpower sind Powerschrauber?
lks
Wir hatten bei nav 2009 einen 2012 auf einen 2012, passt also