Windows Server nach außen absichern
Wer kennt sich mit Servern (vServer) und dem Betriebssystem Windows Server 2012 (R2) aus und kann ausführliche Tips geben wie man diesen absichern kann?
Nett wäre, wenn derjenige der helfen kann sich - nach Absprache - einen Test-Server, bei dem von meinem Bekannten ausgesuchtem Hoster, beantragen und per z.B. TeamViewer zeigen könnte wie man diesen absichert.
Wichtig ist, dass von außen kein Dienst (z.B. MySQL) erreichbar ist! In diesem Zusammenhang habe ich schon in Erfahrung bringen können, dass man selbst den RemoteDesktop-Port (RDP) besser ändert.... Auch soll der Server nur per bestimmten IP's (für RemoteDesktop) erreichbar sein.
Per RemoteDesktop soll sich auf dem Server verbunden werden und dann per Webinar-Dienst (z.B. GoToMeeting) und Browser der Desktop des Servers geshared werden.
Wichtig ist eben Windows Server als OS und kein Linux (z.B. Debian), da Programme installiert werden die nur auf Windows laufen - zudem sind von Linux nur Grundkenntnisse vorhanden...
Edit:
Link aus meinem Beitrag unten hat sich geändert:
https://www.itmz.uni-rostock.de/anwendungen/software/windows/sicherheit/absicherung-von-remotedesktopzugaengen/
3 Antworten
@Rekloev: was du dir hier wünscht ist schon fast nicht mehr machbar. Mit dem was Du erwartest verdienen andere ihr Geld. Niemand wird Dir, oder deinem Freund, kostenlos eine Schulung geben wie ein Server aufgesetzt, konfiguriert, eingerichtet, abgesichert und sonst noch was wird. Ist n büschn viel verlangt - erst recht in Foren wie dem hier. Aber du bist auf einem guten Weg - LESEN! Genaus das haben auch alle anderen machen müssen die Ahnung von solchen Sachen haben.
Das andere damit Geld verdienen ist uns bewusst! Für den Zweck, für den mein Bekannter den vServer benötigt, ist es ihm das aber nicht wert, jemanden dafür zu bezahlen. Es gibt aber auch nette Leute die einfach hilfsbreit sind... Wir haben jetzt ja genug Tips gefunden, u.a. den obigen Link und jetzt heißt es lesen und ausprobieren...
Auf jeden Fall eine gute Firewall installieren und n gutes antivirenprogramm. Dann die standardports alle ändern, das macht es Angreifern etwas schwieriger
Ist zwar schon etwas älter meine Frage oben, aber um anderen ggf. hiermit eine Hilfestellung zu geben: Es nützt nichts die Standard-Ports für Dienste zu ändern, das hilft, wenn überhaupt, nur gegen Skript-Kiddies. Ein Hacker wird die offenen Ports und die dahinter laufenden Dienste trotzdem finden. Da spielt es also keine Rolle ob z.B. der RDP auf dem Sandard- oder einen anderen Port läuft.
Habe mich selbst mit dem Thema intensiver befasst, deshalb kann ich das auch so sagen!
so wie rekloev schon schreibt: deine antwort ist nix, aber auch rein garnichts wert...solche antworten kannst du dir zukünftig klemmen...sowas steht in werbeanzeigen, taugt aber hier nix!
Ähm, das ist eine Standardaussage die uns (meinem Bekannten und mir) leider nicht weiterhilft!
Ich habe schon gegoogelt und einiges gefunden, aber ich kann damit so gut wie garnichts anfangen, da ich eben keine Server-Kenntnisse habe.
Da es ja ein gemieteter vServer von Anbietern werden soll und der vServer nicht bei meinem Bekannten stehen wird sondern im einem RZ des Anbieters, gehe ich davon aus, dass eine extra FW-Software und ein AV nicht zwingend notwenig sind!
Benötigen also jemanden der sich wirklich gut damit auskennt und wie geschrieben uns /mir das am besten per TeamViewer einmal demonstriert. Die Test-vServer die man beantragen kann die hat man ja ein paar Tage zum Testen. Nach Abspache mit uns/mir wäre das wirklich sehr hilfreich!
Danke!
Durch Eigeninitiative konnte ich das finden was wir/ich wollte! Jetzt heißt es halt ausprobieren...
Damit es evtl. künftigen Leuten, die sich auch dafür interessieren, nicht auch so ergeht und man gleich eine Lösung hat, poste ich hier mal den TOP-Tip als Link:
http://www.itmz.uni-rostock.de/software/windows/sicherheit/absicherung-von-remotedesktopzugaengen/
PS: Nein, es ist nicht für die Uni, sondern es sind generelle Tips!
Leider komme ich mit der "Einschränkung der Reichweite" (siehe obigen Link) nicht wirklich weiter. :-(
Zum einen soll die Reichweite ja lokal abgesichert werden zum anderen sollen wir/ich ja noch per RemoteDesktop auf den vServer zugreifen können.
Von daher ist die Frage, da wir/ich keine Ahnung von Netzwerken habe/n, wie man die IP's des ISP einträgt.
192.168.3.4/32 und 10.0.110.0/24 sind ja für ein Netzwerk, aber was es mit dem /32 und /24 auf sich hat...
Wir brauchen für unsere IP's ja nur gewisse IP-Ranges, da sich die IP's x.x.y.y (vom ISP zugewiesen) ja nur im hinteren Teil (y.y) ändern und man meist die vorderen IP-Bestandteile (x.x.) behält. Hoffe das verständlich erklärt zu haben.
Z.B. vom ISP: 92.x.y.y und man behält meist 92.x. und es ändert sich nur y.y