11
Windows Server 2008 R2 härten
Hallo zusammen,
ich bin seit 2 Tagen in der "zivilen" IT tätig (war vorher Bundeswehr), und habe den spannenden Auftrag bekommen einen Harded Windows Server 2008 R2 zu installieren/konfigurieren. Der Server soll in einer DMZ stehen und ein TomCat 6 Server soll darauf laufen. Dieser harded Server soll Schnittstelle zwischen Firmennetzwerk und Smartphones mit einer "SAP Business One App" sein.
Nun zu meinen Fragen:
- Wie konfiguriere ich einen Harded Server?
- Woher soll ich wissen welche funktionen ich aktivieren/deaktivieren soll?
- Kann ich den fertigen Server auf funktion testen?
Das ganze ist ein Kundenauftrag und ich möchte ganz gerne alles richtig machen.
Danke schonmal im vorraus
Wolfi
ich bin seit 2 Tagen in der "zivilen" IT tätig (war vorher Bundeswehr), und habe den spannenden Auftrag bekommen einen Harded Windows Server 2008 R2 zu installieren/konfigurieren. Der Server soll in einer DMZ stehen und ein TomCat 6 Server soll darauf laufen. Dieser harded Server soll Schnittstelle zwischen Firmennetzwerk und Smartphones mit einer "SAP Business One App" sein.
Nun zu meinen Fragen:
- Wie konfiguriere ich einen Harded Server?
- Woher soll ich wissen welche funktionen ich aktivieren/deaktivieren soll?
- Kann ich den fertigen Server auf funktion testen?
Das ganze ist ein Kundenauftrag und ich möchte ganz gerne alles richtig machen.
Danke schonmal im vorraus
Wolfi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 276372
Url: https://administrator.de/contentid/276372
Printed on: April 18, 2024 at 09:04 o'clock
11 Comments
Latest comment
Wie konfiguriere ich einen Harded Server?
Ist wohl bei Winblows generell nicht möglich und eine philosophische Frage...siehe Bundestag 
Woher soll ich wissen welche funktionen ich aktivieren/deaktivieren soll?
Woher sollen wir das wissen wenn wir die Anwendung und Kommunikations Beziehungen, Ports, Security Policy etc. nicht kennen ? Hier hilft dann nur die berühmte Kristallkugel.Kann ich den fertigen Server auf funktion testen?
Testen auf WAS ?? SAP Funktion ?? Sicherheit ? Übliche Windows Bugs und Löcher ? Menschliche Fehler...?Bei Sicherheit ist Kamerad NMAP wie immer dein Freund.
Man merkt dann doch das es wieder Freitag ist heute und zudem noch heiss in D...
Moin,
Wie habt Ihr das beim Bund gemacht? Ins Auto gesetzt und zur Berufsausbildung gefahren? Ach nee, fahrende Autos gibt es dort ja nicht
... schwierig!
LG, Thomas
Das ganze ist ein Kundenauftrag und ich möchte ganz gerne alles richtig machen.
Woher soll ich wissen welche funktionen ich aktivieren/deaktivieren soll?
der ist echt gut ... die Woche scheint ihrem Ende entgegen zu gehen ...Woher soll ich wissen welche funktionen ich aktivieren/deaktivieren soll?
Wie habt Ihr das beim Bund gemacht? Ins Auto gesetzt und zur Berufsausbildung gefahren? Ach nee, fahrende Autos gibt es dort ja nicht
... schwierig!LG, Thomas
Tut mir ja leid dass ich heute das erste mal davon gehört habe.... >.<
Hallo,
wie @aqui schon schrieb: Windows und Sicher --> schwieriges Thema
Aber zur Frage: Alle Dienste, die nicht gebraucht werden, deinstalliere bzw. gar nicht erst installieren --> bei Windows schwierig bis unmöglich. Deaktivieren der Dienste ist nur die 2. beste Variante, da der Code ja auf dem Server bleibt und damit reaktiviert werden kann.
Alle Ports dicht, nur das öffnen, was unbedigngt notwendig ist und das dann mit Regeln absichern.
Und davor eine gute Firewall, die nur das durch läßt, was gewünscht ist.
An sonsten gelten die gleichen Regel wie bei Linux-Systemen, aber wie bereits gesagt, sind diese Regeln bei Windows schwer umzusetzen.
Für genaue Empfehlungen fehlen die Infos, wie @aqui schon schrieb.
Jürgen
wie @aqui schon schrieb: Windows und Sicher --> schwieriges Thema
Aber zur Frage: Alle Dienste, die nicht gebraucht werden, deinstalliere bzw. gar nicht erst installieren --> bei Windows schwierig bis unmöglich. Deaktivieren der Dienste ist nur die 2. beste Variante, da der Code ja auf dem Server bleibt und damit reaktiviert werden kann.
Alle Ports dicht, nur das öffnen, was unbedigngt notwendig ist und das dann mit Regeln absichern.
Und davor eine gute Firewall, die nur das durch läßt, was gewünscht ist.
An sonsten gelten die gleichen Regel wie bei Linux-Systemen, aber wie bereits gesagt, sind diese Regeln bei Windows schwer umzusetzen.
Für genaue Empfehlungen fehlen die Infos, wie @aqui schon schrieb.
Jürgen
Hi nochmal,
wer den Schaden hat ... ist so, als würdest Du mit starken pectanginösen Beschwerden zu mir kommen, ich fahre meine Diagnostikschiene ... und dann stellst Du ängstlich die alles entscheidende Frage.
Und ich antworte: Woher soll ich denn wissen, ob Sie gerade einen Herzinfarkt haben?
Ansonsten hilft in der zivilen Welt zunächst immer das.
LG, Thomas
wer den Schaden hat ... ist so, als würdest Du mit starken pectanginösen Beschwerden zu mir kommen, ich fahre meine Diagnostikschiene ... und dann stellst Du ängstlich die alles entscheidende Frage.
Und ich antworte: Woher soll ich denn wissen, ob Sie gerade einen Herzinfarkt haben?
Ansonsten hilft in der zivilen Welt zunächst immer das.
LG, Thomas
Hallo @keine-ahnung,
fahrende Autos haben die bei der Bundeswehr schon, allerdings hat man aus Kostengründen die Räder durch Atrappen aus Styropor ersetzt und bei starken Gebrauch oder Temperaturen über 30°C verzieht sich der Querlenker.
Jürgen
fahrende Autos haben die bei der Bundeswehr schon, allerdings hat man aus Kostengründen die Räder durch Atrappen aus Styropor ersetzt und bei starken Gebrauch oder Temperaturen über 30°C verzieht sich der Querlenker.
Jürgen
Wusste ich gar nicht - erklärt aber Vieles ...
Hoffentlich liest der Wladimir hier nicht mit ... sonst heisst es bald wieder!
LG, Thomas
Hoffentlich liest der Wladimir hier nicht mit ... sonst heisst es bald wieder!
LG, Thomas
Das BSI gibt recht ausführliche Anleitungen dazu raus wie man Windows Server "härten" kann. Ich habe einige dieser Einstellungen auf unseren 2003 Servern umgesetzt, muss aber sagen das dann auch die ein oder andere Fehlermeldung nicht ungewöhnlich ist, auch wenn meine wichtigen Dienste am Ende noch liefen.
Im nachhinen fand ich die meisten der genannten Möglichkeiten für Windows 2003 aber nicht sehr überzeugend. Der "Sicherheitsgewinn" schien mir eher psychologischer Natur. Mag sein das sich das für Windows 2008 verbesser hat aber man muss sich schonmal gleich die Frage stellen warum mein ein relativ altes Serversystem und nicht ein aktuelles, aber etabliertes System einsetzt wie z.B. Windows 2012.
Im nachhinen fand ich die meisten der genannten Möglichkeiten für Windows 2003 aber nicht sehr überzeugend. Der "Sicherheitsgewinn" schien mir eher psychologischer Natur. Mag sein das sich das für Windows 2008 verbesser hat aber man muss sich schonmal gleich die Frage stellen warum mein ein relativ altes Serversystem und nicht ein aktuelles, aber etabliertes System einsetzt wie z.B. Windows 2012.
Hallo zusammen,
geht das auch wenn man nur weiß wie und das sind in der Regel recht wenige
Leute die das wirklich gut beherrschen.
immer schwerer denn viele Dienste greifen untereinander aufeinander zu und
nutzen sich gegenseitig!
da dieses OS schon gehärtet daher kommt und sich um Ellen besser dazu eignet "direkt"
mit dem Internet in Verbindung zu stehen, wenn auch nur in einer DMZ.
Als letztes noch von mir der Tipp das man einen Windows Server heute gar nicht mehr
direkt mit dem Internet verbinden sollte sondern einen Proxy Server davor schalten sollte
das erleichtert zum einen das Absichern im allgemeinen und spart zeit und Ressourcen
zum anderen.
Gruß
Dobby
P.S.
Das OS OpenBSD ist eines der besten Betriebssysteme die man härten kann und darauf
läuft auch der Tomcat 6 Server nicht schlecht, zumal es mit den Systemupdates für
Windows 2008 (R2).
- Wie konfiguriere ich einen Harded Server?
Wie härtet man einen Server sollte die Frage eher lauten und ja bei Windowsgeht das auch wenn man nur weiß wie und das sind in der Regel recht wenige
Leute die das wirklich gut beherrschen.
- Woher soll ich wissen welche funktionen ich aktivieren/deaktivieren soll?
Services deaktivieren und Software deinstallieren bzw. deaktivieren ist hierimmer schwerer denn viele Dienste greifen untereinander aufeinander zu und
nutzen sich gegenseitig!
- Kann ich den fertigen Server auf funktion testen?
Ja sicherlich gibt es dafür s.g. Pentest Tools.Das ganze ist ein Kundenauftrag und ich möchte ganz gerne alles richtig machen.
Gut und schön nur ich würde Tomcat 6 lieber auf einem CentOS 6/7 Server installierenda dieses OS schon gehärtet daher kommt und sich um Ellen besser dazu eignet "direkt"
mit dem Internet in Verbindung zu stehen, wenn auch nur in einer DMZ.
Als letztes noch von mir der Tipp das man einen Windows Server heute gar nicht mehr
direkt mit dem Internet verbinden sollte sondern einen Proxy Server davor schalten sollte
das erleichtert zum einen das Absichern im allgemeinen und spart zeit und Ressourcen
zum anderen.
Gruß
Dobby
P.S.
Das OS OpenBSD ist eines der besten Betriebssysteme die man härten kann und darauf
läuft auch der Tomcat 6 Server nicht schlecht, zumal es mit den Systemupdates für
Windows 2008 (R2).
Servus,
geht das vlt. in Richtung Core-Server?
Gruß
VGem-e
geht das vlt. in Richtung Core-Server?
Gruß
VGem-e
Hallo,
ich habe gerade bei heise folgenden Artikel gelesen:
http://www.heise.de/newsticker/meldung/Wassenaar-Abkommen-Forscher-zens ...
http://www.heise.de/download/enhanced-mitigation-experience-toolkit-eme ...
Vielleicht hilft Dir ja das Enhanced Mitigation Experience Toolkit weiter.
Jürgen
ich habe gerade bei heise folgenden Artikel gelesen:
http://www.heise.de/newsticker/meldung/Wassenaar-Abkommen-Forscher-zens ...
http://www.heise.de/download/enhanced-mitigation-experience-toolkit-eme ...
Vielleicht hilft Dir ja das Enhanced Mitigation Experience Toolkit weiter.
Jürgen
