mabies
Goto Top

Windows 2008-Server absichern?

Hallo miteinander,
eingangs die Bitte: keine Diskussion über die reine Lehre.
Ich weiß sehr wohl was Microsoft vorschreibt und kenne die Schreckgespenster die jeder an die Wand malt nach Ablauf des Supports.
Mir ist auch klar dass ich das Ding nicht zu 100% dicht machen kann, aber ich will tun was ich kann.

Zur Sache:
auf dem 2008er läuft SQL2008 und Navision 2009 als ERP.
Packe ich den Server an, muß ich SQL mitziehen. NAV2009 wiederum mag neuere SQL nicht.
In Summe sind wir da gehoben deutlich 5stellig in € unterwegs wenn man das umziehen wollte - ohne einen einzigen geschäftlichen Vorteil.

Daher will ich den 2008er so lang wie geht weiter betreiben und mit vorhandenen Mitteln absichern.
- Es gibt keine SMB-Zugriffe, Mappings etc.pp. auf das Ding, nur SQL.
- Es gibt keine Zugriffe 'von ausserhalb des internen Netzes' darauf.
- Nach draussen haben wir eine Sophos UTM laufen
- die HW ist stabil, Platten auf SSD-Raid1

Was kann ich also unter Beibehaltung des 2008er tun um uns möglichst wenig zu exponieren?

Vielen Dank
GGa

Content-ID: 468895

Url: https://administrator.de/contentid/468895

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

Lochkartenstanzer
Lösung Lochkartenstanzer 04.07.2019 aktualisiert um 11:00:35 Uhr
Goto Top
Zitat von @mabies:

Was kann ich also unter Beibehaltung des 2008er tun um uns möglichst wenig zu exponieren?

Steck das Ding in einen eigene Zone und lasse nur Verbindungen aus Deinem LAN auf Navision zu und nichts anderes zu.

ggf. noch ein Zone für die Administration über RDP auf dem zweiten interface des Servers.

Notfalls hängst du einfach einen Mikrotik- oder DD-WRT-Router für 30€ vor die Kiste mit passenden Firewall-Regeln (An die statischen Routen im default gateway denken!).

lks
Looser27
Lösung Looser27 04.07.2019 um 11:14:49 Uhr
Goto Top
Evtl. noch den Internetzugang des Servers unterbinden, da er sowieso keine Updates mehr bekommt. Wenn doch mal was eingespielt werden soll, kann man das ja offline erledigen.
em-pie
Lösung em-pie 04.07.2019 um 11:20:04 Uhr
Goto Top
Moin,

wie lks schrieb:

ein neues IP-Netz (VLAN) aufbauen.
den NAV-Server dort hinein
die Sophos (oder eine andere Firewall) regelt dann den Zugriff:
  • Quelle = Unternehmensclient (IP-Netz = 192.168.123.0/24), Port für Navision: 7046 und für den SQL 1433 (Quelle: Dynamics Community), wenn beides Positiv, dann Allow
  • Quelle = IT-Client, dann Port 3389 (RDP) Allow

Alles andere dicht machen.
Wenn eine AV auf der Kiste drauf ist, dann vom NAV ausgehend noch den Port zum internen AV-Server zulassen, damit er Patterns etc. ziehen kann

Darüberhinaus ggf. noch alle Dienste, die der Server nicht bereitstellen muss oder benötigt, beenden. da würde ich aber mal schauen welche DIenste laufen und was die so machen...

Gruß
em-pie
JGA-Attus-IT
Lösung JGA-Attus-IT 04.07.2019 um 11:30:33 Uhr
Goto Top
Moin,

ein wenig OT, aber:

Wenn die Maschine so kritisch ist, willst du die Maschine dann nicht lieber virtualisieren?
Die VHD dann auf ein SAN (oder ne NAS) und auf die derzeitige Hardware dann Hyper-V oder VM-Ware.
Wenn die Hardware dann irgendwann doch de Beine hoch reisst kannste einfach umschwenken.

V-Lan etc. kannste auch virtuell abbilden.

BG

JGA
VGem-e
Lösung VGem-e 04.07.2019 um 11:56:37 Uhr
Goto Top
Moin,

würde auch diese Kiste virtualisieren.

Bei uns in einer Außenstelle läuft auch noch ein älteres Server-OS, das nur noch zu Auskunftszwecken dient und weder Updates noch Support erhalten kann.

Die alte Hardware konnte entsorgt werden und ich habe dadurch zugleich ein Platzproblem weniger und spare mir durch die Virtualisierung Stromkosten u.ä. ein.

Gruß
Lochkartenstanzer
Lochkartenstanzer 04.07.2019 um 12:27:16 Uhr
Goto Top
Zitat von @VGem-e:

Moin,

würde auch diese Kiste virtualisieren.

Bei uns in einer Außenstelle läuft auch noch ein älteres Server-OS, das nur noch zu Auskunftszwecken dient und weder Updates noch Support erhalten kann.

Die alte Hardware konnte entsorgt werden und ich habe dadurch zugleich ein Platzproblem weniger und spare mir durch die Virtualisierung Stromkosten u.ä. ein.

Nichtsdestotrotz muß die Kiste in einen "abgesperrten" Raum.

lks
sabines
sabines 04.07.2019 um 12:29:22 Uhr
Goto Top
Zitat von @mabies:

Zur Sache:
auf dem 2008er läuft SQL2008 und Navision 2009 als ERP.
Packe ich den Server an, muß ich SQL mitziehen. NAV2009 wiederum mag neuere SQL nicht.
In Summe sind wir da gehoben deutlich 5stellig in € unterwegs wenn man das umziehen wollte - ohne einen einzigen geschäftlichen Vorteil.


Moin,

wenn ich mich recht erinnere ist diese Version aus 2008 und damit seit vier Jahren EOL/EOS.
Auch wenn ich Deinen Ansatz nachvollziehen kann, was machst Du denn im worst-case, wenn Du keinerlei Support mehr für das Ding bekommst oder nur noch beim Einsatz einer aktuellen Version? Dann musst Du ggfs. noch viel mehr Geld in die Hand nehmen und weils schnell gehen muss, bist Du im Zugzwang. Läuft's ganz doof sind Zwischenupdates mit weiß der Geier was für Aktionen nötig.

Im privaten kleinen Umfeld kannst Du sowas machen, im professionellen Bereich ist das eine Milchmädchen Rechnung.
Es sei denn das Ganze soll abgelöst werden, aber davon schreibst Du ja nichts.

Gruss
Lochkartenstanzer
Lochkartenstanzer 04.07.2019 um 12:41:11 Uhr
Goto Top
Zitat von @sabines:

wenn ich mich recht erinnere ist diese Version aus 2008 und damit seit vier Jahren EOL/EOS.
Auch wenn ich Deinen Ansatz nachvollziehen kann, was machst Du denn im worst-case, wenn Du keinerlei Support mehr für das Ding bekommst oder nur noch beim Einsatz einer aktuellen Version? Dann musst Du ggfs. noch viel mehr Geld in die Hand nehmen und weils schnell gehen muss, bist Du im Zugzwang. Läuft's ganz doof sind Zwischenupdates mit weiß der Geier was für Aktionen nötig.

Im privaten kleinen Umfeld kannst Du sowas machen, im professionellen Bereich ist das eine Milchmädchen Rechnung.

Das kommt im geschäftlichen Umfeld öfter vor als Du glaubst. Nicht jede Firma ist so locker drauf, daß sie eben mal 10^5€ für ein Update hinlegt. Es sind nicht immer knausrige Chefs, sondern auch manchmal die Wirtschaftlage. Da werden dann Sachen auf Verschleiß benutzt statt regelmäßig zu warten.Letztendlich muß manche Firma das Risiko eines Konkurses jetzt zu einem Risiko eines Konkurses später abwägen.

Manchmal macht auch einfach die Liquidität einem einen Strich durch die Rechnung. 100k sofort oder mehrmals 10k später macht da auch einen deutlichen Unterschied.

Jedenfalls ist es oft so, daß Systeme oft über Ihre "Lebenszeit" hinaus weiterackern. (Ich habe selbst noch einige Kunden, bei denen noch DOS und Windows 9x und NT-Systeme noch nicht in Rente gehen dürfen).

lks
Penny.Cilin
Penny.Cilin 04.07.2019 um 12:42:24 Uhr
Goto Top
Hallo,

und wann läuft Navision 2009 aus dem Support, wenn es nicht schon aus dem Support ist.?

Von welcher Umgebungsgröße ist die Rede?

Gruss Penny.
Lochkartenstanzer
Lochkartenstanzer 04.07.2019 um 12:45:28 Uhr
Goto Top
Zitat von @Penny.Cilin:

Hallo,

und wann läuft Navision 2009 aus dem Support, wenn es nicht schon aus dem Support ist.?

Laut MS 11.10.2011

lks
JGA-Attus-IT
JGA-Attus-IT 04.07.2019 um 12:47:28 Uhr
Goto Top
Richtig, wir haben Kunden bei denen noch Novellserver im produktiven Einsatz sind.
Ein anderer Kunde hat noch Rechner mit Windows 95 an einem Maschinenplatz stehen, da die alte CNC-Fräse mit allem was neuer ist nicht mehr kann.
wiesi200
Lösung wiesi200 04.07.2019 um 12:48:32 Uhr
Goto Top
Hallo,

Navision 2009 läuft problemlos auf aktuellen Systemen.
SQL 2012 hab ich Produktiv
SQL 2014 hab ich getestet
maretz
maretz 04.07.2019 um 19:35:14 Uhr
Goto Top
Moin,

verschrottest du dein Auto auch nach Ablauf der Garantie und kaufst dir privat dann immer kurz ne neue Karre?

Solang man die Kiste abschottet - ja, dann is halt kein support von MS mehr da, so what?!? Ich habe bisher (ausser für Aktivierung) nie bei MS für Support anrufen müssen. Und keine Updates mehr - warte, lass mich kurz die letzten Updates von MS überlegen, ist das wirklich nen NACHTEIL?!? Oder das beim nächsten Update nich nen neues "Feature" reinkommt was keiner will, keiner braucht und nur MS meint du musst es haben?

Ich würde es ggf. auch als VM machen - damit eben die Hardware kein problem ist... Das wäre aber auch schon alles - und dann kann die Kiste solang abgesichert laufen bis ins nächste Jahrtausend....
114380
114380 04.07.2019 um 20:32:29 Uhr
Goto Top
Hallo em-pie,

* Quelle = Unternehmensclient (IP-Netz = 192.168.123.0/24), Port für Navision: 7046 und für den SQL 1433 (Quelle: Dynamics Community), wenn beides Positiv, dann Allow
  • Quelle = IT-Client, dann Port 3389 (RDP)

Ich würd noch die Verbindung vom NAV zum AD aufmachen oder regeln das bereits die NSTs bei korrekter Delegierung, da bin ich mir grad unsicher?

Und ich würd die Kiste intern nicht für alle Clients aufmachen sondern nur für die Server, wo die NSTs und NASs laufen. Kommt halt auf die Umgebung an. Sollten NSTs direkt auf dem Server laufen, würde ich zusätzlich die NSTs umziehen. Wenn kein ClassicClient im Einsatz ist, würde ich auch 1433 dichtmachen.

Hast du auch den ClassicClient im Einsatz oder nur den RTC?

Viel Erfolg,

Raboom
maretz
maretz 04.07.2019 um 21:31:22 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @sabines:

wenn ich mich recht erinnere ist diese Version aus 2008 und damit seit vier Jahren EOL/EOS.
Auch wenn ich Deinen Ansatz nachvollziehen kann, was machst Du denn im worst-case, wenn Du keinerlei Support mehr für das Ding bekommst oder nur noch beim Einsatz einer aktuellen Version? Dann musst Du ggfs. noch viel mehr Geld in die Hand nehmen und weils schnell gehen muss, bist Du im Zugzwang. Läuft's ganz doof sind Zwischenupdates mit weiß der Geier was für Aktionen nötig.

Im privaten kleinen Umfeld kannst Du sowas machen, im professionellen Bereich ist das eine Milchmädchen Rechnung.

Das kommt im geschäftlichen Umfeld öfter vor als Du glaubst. Nicht jede Firma ist so locker drauf, daß sie eben mal 10^5€ für ein Update hinlegt. Es sind nicht immer knausrige Chefs, sondern auch manchmal die Wirtschaftlage. Da werden dann Sachen auf Verschleiß benutzt statt regelmäßig zu warten.Letztendlich muß manche Firma das Risiko eines Konkurses jetzt zu einem Risiko eines Konkurses später abwägen.

Manchmal macht auch einfach die Liquidität einem einen Strich durch die Rechnung. 100k sofort oder mehrmals 10k später macht da auch einen deutlichen Unterschied.

Jedenfalls ist es oft so, daß Systeme oft über Ihre "Lebenszeit" hinaus weiterackern. (Ich habe selbst noch einige Kunden, bei denen noch DOS und Windows 9x und NT-Systeme noch nicht in Rente gehen dürfen).

lks

Und bei grossen Unternehmen siehts nich immer besser aus - da is das Geld zwar dann ggf. nich mal das Problem, aber die Zeit das zu machen und wann man die Systeme ausser Betrieb nehmen kann. Denn es hilft ja nix wenn man 200 Server hat aber die nur 4-8 Wochen im ganzen Jahr mal ausser Betrieb nehmen könnte (und das nur in einem Zeitfenster von insgesamt 2-3 Monaten). Klar kann man das dann an nen Dienstleister geben und HOFFEN das alles läuft, wenn man es mit eigenen Leuten machen will dauert das eben etwas länger...
sabines
sabines 05.07.2019 aktualisiert um 07:03:03 Uhr
Goto Top
Zitat von @maretz:

verschrottest du dein Auto auch nach Ablauf der Garantie und kaufst dir privat dann immer kurz ne neue Karre?

Solang man die Kiste abschottet - ja, dann is halt kein support von MS mehr da, so what?!?

Schön, dass Du einen Autovergleich genommen hast.
Würdest Du als selbständiger Kurierfahrer mit einem 25 Jahre alten Opel, für den es keine Ersatzteile mehr gibt, "arbeiten"?
Wenn Du darauf angewiesen bist ihn 24/7 zu nutzen?
Oder einen Plan B parat haben?

Würde ich mit meinem Auto Geld verdienen, dann würde ich sicherlich dafür sorgen, dass der Wagen jederzeit kurzfristig gewartet werden kann, es sei denn (siehe den Windows 2008-Server absichern?) ich kann's mir nicht leisten (oder die CNC Fräse läuft nicht mit aktueller SW/HW, aber das ist ein Spezialthema).

Und nebenbei:
Meine Autos sind ziemlich alt, eins mit H-Kennzeichen und haben eine ausgezeichnete Ersatzteilversorgung face-wink
Lochkartenstanzer
Lochkartenstanzer 05.07.2019 aktualisiert um 07:17:51 Uhr
Goto Top
Zitat von @sabines:

Meine Autos sind ziemlich alt, eins mit H-Kennzeichen und haben eine ausgezeichnete Ersatzteilversorgung face-wink

Käfer?
GT?
601?

face-smile

lks
Penny.Cilin
Penny.Cilin 05.07.2019 um 08:28:59 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @sabines:

Meine Autos sind ziemlich alt, eins mit H-Kennzeichen und haben eine ausgezeichnete Ersatzteilversorgung face-wink

Käfer?
GT?
601?
  • Trabbi
  • /8 (legendärer Mercedes Benz)
  • Kadett A / B oder Ascona / Manta A oder Ascona A 400
  • 356
  • 411
mehr wasses nitt.

face-smile
@sabines:
Sinn die Auddos älder als DU? Schraubst Du selber? Frauenpower sind Powerschrauber? face-wink


lks
Feritachsgruss Penny.
mabies
mabies 05.07.2019 aktualisiert um 13:31:32 Uhr
Goto Top
prima Feedback, Danke Euch!

Die Umgebung besteht aus 10 concurrent user, die alle mit dem RTC arbeiten.
Die Wartung vom NAV haben wir in 2011 gekündigt - mangels irgendeines Gewinns für uns wenn man drin bleibt. Wir könnten es daher theoretisch heute neu kaufen und wären immer noch günstiger...
Aber nach eingehender Untersuchung kann ich für uns immer noch keinen Mehrwert in der neuen Release erkennen; ein bissel so wie Word 2007 vs. Word2019 für den Normaluser.

Unser NAV-Supporthaus sagte mir vor einem Jahr auf Nachfrage, dass für NAV2009 max. SRV2012 und SQL2014 (Widerspruch?) erlaubt sei.
Wenn aber SQL2014 möglich ist -> tut's dann nicht auch ggf. SRV2016 da drunter ohne das NAV das juckt (OT für das Forum, aber ich versuchs mal). Liefe SQL14 auf SRV16 oder gar SRV19?
SQL14 -> fange ich mir dann nicht wieder dasselbe Problem ein, auch der ist EOL (OK, extended bis 2024)

Und das mit dem Abschotten / Virtualisieren ist ein guter Hinweis.
(Habe vor einigen Monaten für Spaß mit DISK2VHD den NAV-Server mal abgezogen und das Ding kam wider allen Erwarten im Hyper-V klaglos hoch. Ich traue aber der dedizierten HW immer noch bessere Performance zu als einer VM - old fashioned; mal sehen)

Wenngleich: was ist mit den Schauergeschichten über Malware die nur über das LAN Injektionen verteilen können soll? Wenn sich dann ein Client was fängt und auf dem 2008er ein nicht gestopfter Exploit bereit steht...

Viele Grüße an Euch
114380
114380 05.07.2019 um 14:52:34 Uhr
Goto Top
Wir hatten bei nav 2009 einen 2012 auf einen 2012, passt also
sabines
sabines 08.07.2019 um 07:19:23 Uhr
Goto Top
Moin,

der älteste Wagen ist von 1977 und ein W107 und was ich selber machen kann, mache ich auchface-wink

Montagsgrüße