Privatsphäre Windows Server 2012/R2

I

illumina7

Experte
Thread Starter
Mitglied seit
21.09.2014
Beiträge
67
Ort
Oberfranken
Guten Abend alle zusammen,

habe nicht direkt eine technische Frage, eher was den Datenschutz angeht.

Habe die letzten Stunden damit verbracht das Internet nach Infos aus halbwegs seriösen Quellen zu durchforsten, leider recht ergebnislos. Hauptaugenmerk liegt vor allem auf dem Aspekt Privatsphäre und welche Daten von Windows Server 2012/R2 an Microsoft übermittelt werden.
Besonders ist der Punkt interessant, weil ich aktuell in einer öffentlichen Einrichtung als Sysadmin tätig bin und dort sensible Daten auf den (Windows) Fileservern abgelegt werden.
Selbst eine aktive Verschlüsselung könnte dann einen (eventuellen) Datenaustausch im Hintergrund nicht unterbinden, höchsten wenn die entsprechenden Zielserver/Ports in der (Router-)Firewall gesperrt werden.
Warum ich mir darüber Gedanken mache? Nun wir bekommen anderem behördliche Meldewesen Daten zum Weiterverarbeiten übermittelt, falls dort Daten aus irgendwelchen Gründen nachweislich "geleakt" werden sollten werden wir keine Daten mehr bekommen, können wir unsere Einrichtung schließen oder kaum noch anständig führen. Jetzt sind ja gerade Windows 10 und aber auch 8/8.1 nicht unbedingt für den Schutz der Privatsphäre bekannt..
Hat hier vielleicht jemand ähnliche Erfahrungen und/oder auch Quellen mit relevanten Informationen zu diesem Thema?
Da ich die nächste Zeit einiges umstrukturieren möchte, stellt sich mir die Frage, ob ich hier in Zukunft nicht lieber auf Linux Server setzen möchte. Als Clients kommen derzeit ausschließlich Windows 7 Maschinen zum Einsatz, 8/8.1/10 sind derzeit von höherer Stelle nicht für den Betrieb freigegeben.

Vielen Dank schon mal!
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
weiß ich leider nichts zu.

aber in der firewall kannst du ja erstmal alles blocken. und dann gezielt einzelne ports, die du brauchst, wieder öffnen.
wobei theoretisch darüber dann nach hause telephoniert werden kann.

was müssen die windows server denn machen?
nur fileserver spielen? das geht auch problemlos mit einer beliebigen linux distribution.
wenn da noch mehr mit gemacht wird (AD, exchange,...) dann musst du erst schauen in wie weit du das mit alternativen regeln könntest.
 
Schade, vielleicht kann hier noch ein anderer User etwas dazu sagen.

Ich rede hier nicht von der Windows Firewall, die ist zwar aktiv und schon "geregelt" aber vorgeschalten ist ein Mikrotik Router mit Firewall, dort sind schon nur die notwendigsten Ports geöffnet und zusätzlich über einen Proxy noch Websites gesperrt und gefiltert.

Ein AD läuft bei uns intern, das könnte man durch SAMBA4 vollständig ersetzen. Ein Exchange Server steht übergeordnet extern, darauf habe ich keinen Einfluss oder Zugriff, dafür müsste ich auch keine Verantwortung übernehmen. Also laufen auf unseren virtuellen Windows Servern hauptsächlich die üblichen Dienste neben dem AD (DNS/DHCP/SMB/Printserver/Faxserver etc.), das könnte man alles auch problemlos unter Linux bewerkstelligen. Ggf. könnte man einen Windows Server für z.B. Zeiterfassung und Telefonanlage zusätzlich als Domainmember mitlaufen lassen.
 
illumina7 schrieb:
Habe die letzten Stunden damit verbracht das Internet nach Infos aus halbwegs seriösen Quellen zu durchforsten, leider recht ergebnislos. Hauptaugenmerk liegt vor allem auf dem Aspekt Privatsphäre und welche Daten von Windows Server 2012/R2 an Microsoft übermittelt werden.
Zum Vergrößern anklicken....

Das kann dir niemand beantworten... Warum? Es gibt keine Infos darüber, das System ist closed Source, sprich es kann auch keiner direkt in alles reingucken und der Hersteller hält sich dahingehend äußerst bedeckt!
Ist also nicht zu beantworten...

Allerdings, ich kann zwar nachvollziehen, um was es dir/euch da wohl grundsätzlich geht, dennoch verstehe ich die Frage nur bedingt.
Dreh den INet Access einfach ab und gut ist. Da kann versucht werden zu senden, was will -> es kommt nicht raus und kann somit absolut gar nix mehr übertragen werden.
Einziger Ansatzpunkt, der dann noch vorhanden wäre, wäre Windows Update -> ihr verwendet wohl sicher einen WSUS Server zur Patchverteilung -> es wäre zumindest technisch denkbar, dass über diesen Weg Infos raus kommen. Wenn euch das immernoch zu heiß ist, kann man bspw. den Weg über eine (OpenSource) Softwareverteilungslösung gehen um die Patches auf dem Fileserver einzuspielen -> damit ist dann wieder gar keine Möglichkeit mehr vorhanden, dass da Kommunikation stattfindet, die da nicht hingehört...

Auch fällt mir absolut gar kein plausibler Grund ein, warum ein Fileserver überhaupt auch nur ansatzweise INet Access brauchen sollte ;) Von daher... Dreh ab den Hahn und gut ist. Dann könnt ihr beruhigt schlafen und es kann (außer mit höherer Gewalt, Einbruch, gezielten Angriffen auf die Systeme usw.) schlicht nichts passieren...

Das ganze mit Linux abzufackeln, KANN man machen... Aber ganz ehrlich, willst du dir das wirklich antun? Verglichen mit dem MS Fileserver, vor allem in einem AD mit allem Drum und Dran grenzt so ne Samba-Kiste schon fast an Bastelei... AD Simulation über Samba ist noch schlimmer, was das angeht!
Security Aspekte in allen Ehren, aber man muss einfach mal die Kirche im Dorf lassen aus meiner Sicht. Denn ich sehe das eher so, den Server, der so oder so normal kein INet Access brauch, dahingehend umzubiegen ist der Ansatz am falschen Ende. Vor allem wenn ihr MS Windows Clients im Einsatz habt -> dort ist das Risiko, dass Daten "abhanden" kommen viel größer. Vor allem wenn die brisanten Daten von den Windows Clients in der Art angefasst werden. :wink:


EDIT:
hier: "Nun wir bekommen anderem behördliche Meldewesen Daten zum Weiterverarbeiten übermittelt, ..." sollte man an der Stelle übrigens viel eher aufpassen...
Was heist denn "übermittelt" in dem Zusammenhang? Kommt da "wer" mit ner HDD unterm Arm und kippt die Daten bei euch ab? Oder wie läuft das?
Weil wenn der Spaß über irgend eine wie auch immer geartete Verbindung über das INet kommt, dann ist dort das viel größere Risiko vorhanden, dass Daten abgegriffen werden!! Selbst bei verschlüsselten Sessions usw. usf. ist das weiterhin der Fall. Denn 100% Sicherheit gibts nicht, auch nicht bei der Verschlüsslung.
 
Zuletzt bearbeitet:
Dazu ist nicht viel zu sagen... Einerseits ein stück weit wirksam, andererseits viel zu kurz gedacht. Der Proxy auf der UTM filtert ausschließlich HTTP, HTTPS (bei aktivierung) und bei Bedarf ggf. noch ein paar weitere Protokolle.
Irgendwelche Kommunikation über irgendwelche Zielports, die NICHT über den Proxy läuft, ist davon nicht betroffen... Ergo, das ganze als Webfilterrules zu definieren ist eigentlich quark... Das Teil gehört schlicht und ergreifend vom INet getrennt und fertig die Laube.

Technisch gesehen könnte man die komplette Liste dort auch in die Firewall übertragen und wegdroppen... Problem dabei -> möglicherweise verweisen einige der Einträge einfach nur auf vhosts von Webservern, die wegen irgendwas anderem aber benötigt werden. Dann geht das einfach nicht mehr... Das sollte einem bewusst sein!
Nur als Ergänzung dazu :wink:


-> für einen Server gilt eher, INet Access komplett blocken -> safe in JEDER Hinsicht. Da brauch es keine solche Spielereien...
Für einen Client, nun ja, da sieht das etwas anders aus...
 
Voll uns Ganz richtig was du sagst.
Aber Bei einem Exchange Server oder einem IIS ist halt nichts mit Blocken des Internets.
Was würdest du da dann machen?
 
Warum?

Vor einen derartigen IIS gehört (aus meiner Sicht) ein Reverse Proxy und vor einen Exchange ein Mailgateway... Fertig.
Den einzigen Weg, den der IIS und der Exchange also kennen MUSS ist der weg zu dem jeweiligen vorgeschalteten Gerät...
Beim Mailing könnte das ein Postfix oder andere Linux based Lösungen sein, Reverse Proxy ebenso bspw. mit Apache. :wink:


Mal davon ab, ohne "Schutz" das INet potentiell auf einen IIS drauf loslassen -> ist nun auch nicht unbedingt das, was man machen sollte :wink:
 
In dem Zusammenhang brauch es doch dann kein INet Zugriff. Sprich du kannst A) die Routen zu public Netzen entfernen und/oder B) den INet Access global für die Source an der Firewall (+ ggf. vorhandenen Proxy) wegblocken.
Der TE fragt ja nach nem Fileserver -> und mir stellt sich dort die Frage eben nicht, weil der FS kein public Zugriff braucht -> für keine mir bekannte/erdenkliche Funktionalität. :wink:

Sollte CIFS direkt von public aufrufbar sein -> nunja, dann kann man sich den Spaß gleich schenken -> aber davon gehe ich mal nicht aus.
 
Ich sehe da noch ganz andere Baustellen:
Wie sind bei euch die Workstations gesichert?
80% aller Angriffe auf Daten etc. kommen aus den Firmen selbst, d.h. von den Mitarbeitern.
Da solltet ihr dafür Sorge tragen, das nicht irgendein Mitarbeiter die Daten z.B. auf einen USB-Stick kopieren kann und diesen dann auch aus der Firma herausbringen kann.
In solchen sicherheitsrelevanten Bereichen sind i.d.R. alle externen Ports der PCs (RS232, LPT, USB, Firewire etc. etc.) deaktiviert, so das niemand externe Datenträger anstecken kann.
Außerdem sind CD/DVD/BluRay-Brenner etc. in solchen PCs nicht vorhanden, ebensowenig wie z.B. alte Diskettenlaufwerke o.Ä.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh