Windows Server 2012 R2 - Absichern

Violence78

Violence78

Neuling
Thread Starter
Mitglied seit
11.08.2015
Beiträge
68
Ort
Salzgitter
Hallo Freunde,

Ich bin Relativ neu im Bereich der Dedicated Server und habe mir Dennoch einen bei dem Anbieter Hetzner geholt. Derzeit erstmals "Nur" Für mich zugänglich und noch nicht erreichbar ins Internet.

Ich möchte mich jetzt hier mal Informieren, wie es mit der ganzen Absicherung am sinnvollsten funktioniert.

Bin seit einigen Jahren mit Windows und deren Betrieb vertraut. Hatte von 2009-2012 schon einen Dedizierten Server, den wir aber nur über die Hauseigene Firewall geschützt hatten und eben geblockte Ports. Nicht sonderlich das beste gewesen.

Jetzt möchte ich mich aber Besser absichern um nicht irgendwann Post zu erhalten mit Schadenersatz o.Ä.

Als System kommt ein Windows Server 2012 R2 zum Einsatz, welches auf dem neusten Patchstand ist. Als Oberfläche für WEB kommt "PLESK Onyx" zum einsatz inkl. Drweb addon.
Mailserver ist Deaktiviert, der läuft bei mir über einen Seperaten hoster, wo auch meine Domains liegen.
Plesk ist auch nur Intern erreichbar und nicht von außerhalb, um Änderungen o.ä zu zu vermeiden

Ist es Sinnvoll eine Zusätzliche Antivirensoftware zu benutzen oder Firewall? z.B Eset oder Kaspersky Internet Security( Beispiele?)

Habt ihr sonst noch Erfahrungen - oder auch Tipps, für einen Sicheren betrieb?

Ich bin der einzige, der Zugriff auf den Server hat, dies geschieht per RDP.

Danke vorab für eure Hilfe. Euch einen schönen Tag

Grüße,
Violence
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Uh... kenne eigentlich niemanden, der einen Windows Server "direkt" (also ohne dedizierte Firewall davor) im Internet hängen hat... aber da müssen sich die Profis mal melden.
 
Moin,

wenn du noch länger Herrscher über Deinen Server bleiben möchtest mach ihn dicht, d.h. Erreichbarkeit nur über VPN, dann mach Dich schlau und frage Jemanden um Hilfe der sich damit wirklich auskennt und schau ihm / ihr über die Schulter und lerne ...

-teddy
 
Zuletzt bearbeitet:
magicteddy schrieb:
Moin,

wenn du noch länger Herrscher über Deinen Server bleiben möchtest mach ihn dicht, d.h. Erreichbarkeit nur über VPN, dann mach Dich schlau und frage Jemanden um Hilfe der sich damit wirklich auskennt und schau ihm / ihr über die Schulter und lerne ...

-teddy
Zum Vergrößern anklicken....


Deshalb bin ich hier - da ich persönlich niemanden Kenne. Möchte mich aber - soweit es geht - selber Einlesen und durchfuchsen.

Grüße !
 
Moin,

keine Ahnung ob sich das Jemand hier antut und das ist wirklich nicht böse gemeint, das kann eine ganz komplexe Sache werden!! Deine Vorgehensweise ist schon mal deutlich geschickter als das was viele andere hinlegen, einfach Frickeln und hinterher heulen, Respekt! Welche Dienste müssen aus dem Web erreichbar sein? Was willst Du mit dem Server bezwecken? Wenn nur Du per RDP auf die Kiste willst wäre OpenVPN oder IPsec ein Ansatz.

1. Tipp, den User Administrator aussperren, damit hast Du schon mal einen bekannten Angriffspunkt aus der Welt geschafft, was spricht gegen einen User Namens "lkjgobbhsdac" als Admin? Dann noch ein gutes Passwort :banana:

2. Windows Firewall so einstellen das nur der RDP Port von außen erreichbar ist, besser noch wenn Du zuhause eine statische IP hast, dann nur die IP zulassen

....

-teddy
 
Zuletzt bearbeitet:
Hallo,

Ich hatte früher mal einen Gamingserver und von daher kenne ich auch noch den ein oder anderen "Kniff".

Der Server dient zu 95% Eigentlich nur als Webserver für meine Internetprojekte, die ich mir aneigne ( Internetseite und 1 Forum )
Die Restlichen 5% Sind FTP Datengrab für mich (Kleines Backup) sowie TS3 und ein Spieleserver, der nur ausschließlich nur für Freunde-/Familie benutzt wird und nicht "Offiziell" für Person A-Z zugänglich.

Mir ist bewusst, das Serversicherheit ein sehr Komplexes Thema ist. Daher wende ich mich hier an ein Fundiertes Forum, da ich hier der meinung war(bin), die richtigen Antworten und Lösungsanssätze zu bekommen.

Zugriff nur per RDP und auch nur ich als einzelne Person - über mein Laptop bzw. mein Windows Tablet (Wenn ich unterwegs bin)

Ich denke, das der Server "Auch" zusätzlich noch eine Netzwerkfirewall hat, da ich die Ports, die ich in der Windows Firewall eintrage, auch im Menü des Anbieters einstellen muss, da ich sonst kein Zugriff darauf habe.

Beste Grüße
 
Moin,
Violence78 schrieb:
Ich denke, das der Server "Auch" zusätzlich noch eine Netzwerkfirewall hat, da ich die Ports, die ich in der Windows Firewall eintrage, auch im Menü des Anbieters einstellen muss, da ich sonst kein Zugriff darauf habe.
Zum Vergrößern anklicken....

Ok der Ansatz erscheint mir recht sinnvoll um die Kiste dicht zu halten prüfe das unbedingt, so das aus denken wissen wird ;), ich persönlich würde so ein Szenario mit Linux abfrühstücken aber das nützt Dir nix. Aber Du könntest dann die IP Range schon mal auf die Provider beschränken wo die Nutzer ihren Internetzugang realisieren, damit bist Du einige üble Schurken, auch die die über asiatische Proxys kommen schon mal los.

-teddy
 
Moin,

Genau so! :bigok:
Aber: Zitat von der genannten Seite: "... Firewall-Regeln

Es können maximal 10 Regeln gesetzt werden. ..."


Hetzner halt:wall:.

-teddy
 
Sinngemäß

1. Deny all
2. Allow VPN
3. Allow https
4. Allow wasauchimmer

...reicht doch ;)
 
besterino schrieb:
Sinngemäß

1. Deny all
2. Allow VPN
3. Allow https
4. Allow wasauchimmer

...reicht doch ;)
Zum Vergrößern anklicken....

genau,

und nach Punkt 1 den Support anrufen :fresse:

Such mal lieber nach sowas wie Server 2012R2 hardening oder so.

Ich glaube aber es ist im allgemeinen keine gute Idee das so zu betreiben. Einen IIS ohne reverse proxy zu betreiben wäre mir zu heikel. Kann gut gehen, leg nur nix lebenswichtiges drauf :d

z.b
Windows Server 2012 R2 Hardening Checklist | UT Austin ISO
Server Hardening - Windows Server 2012, WS2012, Secure | TechNet
 
Zuletzt bearbeitet:
Danke für eure weiteren Antworten.

Ich werde mir das alles mal Ansehen ;-)

Wie sieht es denn bzgl. CloudFlare aus, das kan nman ja über Plesk (z.B) schon alles einbinden. Was habt ihr da für Erfahrungen? Lohnt die "Kostenlose" Version überhaupt? oder Ist das alles nur Humbug?
 
Servus, Die Firewall ist soweit schon eingestellt. Es gibt nur noch die Offenen Ports : FTP(21), Web(80), RDP(3389). Mehr nicht. Werde mich jetzt noch weiter in OpenVPN Einlesen um das Prinzip besser zu verstehen und dieses dann Umsetzen. Mehr wird von Außen also nicht Erreichbar sein.

Die Ports, die Später vom Gameserver und TS3 belegt werden, schalte ich nur dann zu, wenn ich diese auch brauche.

Beste Grüße
 
Nabend Alle,

Wie sieht das eigentlich aus, wenn ich auf den Server mit nur einer Bestimmten Domain (DynDNS) auf den Server zugreife? Funktioniert das, so wie ich mir das Vorstelle? Würde dann meine Domain mit einem IP-Updater nehmen, für mein Laptop und Tablet.

Habe diesbezüglich noch nicht gesucht. Vielleicht hat hier von euch ja einer Erfahrung damit? Reicht ja, das nur ich per RDP auf FTP und den Server drauf zugreifen kann.

Beste Grüße
 
Servus.

Also die Regel mit deny_all ist gar nicht so doof. Verbietet alles, was nicht erlaubt ist. Muss nur als letzte Regel greifen, da er sonst die erlaubten Regeln blockt. Alte Sau die ;-)

Pro Regel kann ich 3 Ports nehmen. Reicht also massig. Der Gameserver hat ja auch nur 3. Passt. ;-)

Das mit den IPs habe ich vorhin Leier auch gesehen. Statische ip ist leider nicht möglich. Zumal ich auch ab und an bei meinen Eltern bin oder auch unterwegs im LTE netz.

Da wäre dyndns ein sahnebonbon in Sachen Komfort....
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh