Windows Server sichern gegen Angriffe...
- Ersteller maik29
- Erstellt am
passat3233
Urgestein
- Mitglied seit
- 01.05.2007
- Beiträge
- 4.369
Egal ob Server oder Desktop:
Es sollten grundsätzlich alle Ports dicht gemacht werden, die nicht benötigt werden.
Es sollten nur die Features und Dienste installiert werden, die man auch tatsächlich braucht.
Und es sollte das Betriebssystem sicherheitstechnisch aktuell gehalten werden.
Und natürlich sollte auch die installierte Software sicherheitstechnisch immer aktuell gehalten werden.
Unsichere Protokolle sollte man auch abschalten (z.B. SMB v1, SSL 2.0/3.0, TLS 1.0 und 1.1), etc..
Desktop-Software hat auf einem Server auch nichts zu suchen (z.B. Office, etc.), ebensowenig Software, die für die Dienste, die der Server anbieten soll, nicht nötig sind.
Zudem sollte regelmäßig in die Systemlogs geschaut werden, damit man überhaupt die Chance hat, Angriffe zu erkennen.
Es sollten grundsätzlich alle Ports dicht gemacht werden, die nicht benötigt werden.
Es sollten nur die Features und Dienste installiert werden, die man auch tatsächlich braucht.
Und es sollte das Betriebssystem sicherheitstechnisch aktuell gehalten werden.
Und natürlich sollte auch die installierte Software sicherheitstechnisch immer aktuell gehalten werden.
Unsichere Protokolle sollte man auch abschalten (z.B. SMB v1, SSL 2.0/3.0, TLS 1.0 und 1.1), etc..
Desktop-Software hat auf einem Server auch nichts zu suchen (z.B. Office, etc.), ebensowenig Software, die für die Dienste, die der Server anbieten soll, nicht nötig sind.
Zudem sollte regelmäßig in die Systemlogs geschaut werden, damit man überhaupt die Chance hat, Angriffe zu erkennen.
Inekai
Enthusiast
... und kennt man sich damit nicht aus und stellt solche Fragen, sollte man a) besser keinen eigenen Server im Internet betreiben (muss man so hart sagen, denn jeder schlecht oder nicht gewartete Server stellt ein erhebliches Risiko für uns alle dar), oder b) man nimmt sich einen managed Server, bezahlt etwas mehr, lässt das Profis machen und ist einigermaßen abgesichert. Für die Software, die man installiert, ist man aber nach wie vor selbst verantwortlich und muss sie aktuell halten.
Wird über Deinen Server z. B. Schadsoftware, Spammails etc. verbreitet und man kann Dir beweisen, dass Dein Server Sicherheitslücken hatte oder hat, dann bist Du haftbar und das kann sehr schnell verdammt teuer werden und bis zur Existenzbedrohung gehen.
Wird über Deinen Server z. B. Schadsoftware, Spammails etc. verbreitet und man kann Dir beweisen, dass Dein Server Sicherheitslücken hatte oder hat, dann bist Du haftbar und das kann sehr schnell verdammt teuer werden und bis zur Existenzbedrohung gehen.
RedMoon
Urgestein
Nicht umsonst lernt man in Studiengängen, in Security-Fortbildungen, für viel Aufwand und viel Geld, wie man Perimeter und Server absichert. Du denkst doch nicht im ernst, das könne dir hier jemand in drei Sätzen runterleiern? Ich hoffe doch nicht, denn dann hast du noch weniger Ahnung von der Materie und solltest es unbedingt sein lassen.
Ich zahle meinem Security-Spezialisten 145€ netto die Stunde, damit er mich in solchen Fällen berät, und das obwohl ich vom Fach bin. Nicht böse gemeint, aber ich bin diese "mein Neffe hat einen Computer, er ist jetzt ein IT-Spezialist" Klischees satt
Ich zahle meinem Security-Spezialisten 145€ netto die Stunde, damit er mich in solchen Fällen berät, und das obwohl ich vom Fach bin. Nicht böse gemeint, aber ich bin diese "mein Neffe hat einen Computer, er ist jetzt ein IT-Spezialist" Klischees satt
passat3233
Urgestein
- Mitglied seit
- 01.05.2007
- Beiträge
- 4.369
Noch etwas essentielles vergessen:
Datensicherung!
Und zwar regelmäßig und auf einem rotierenden Offlinemedium!
Damit ist gemeint, das man mehrere Datensicherungsmedien hat, die rotierend benutzt werden.
Für den Privatbereich reicht da das sog. Großvater, Vater- Sohn-Prinzip (im kommerziellen Bereich sind ausgefeiltere Strategien erforderlich, u.A. auch, um gesetzliche Auflagen zu erfüllen).
Man hat 3 Datensicherungsmedien, die abwechselnd benutzt werden:
1, 2, 3, dann wieder 1, 2, 3 usw.
Ist mal ein Sicherungsmedium defekt, kann man immer noch eine Generation zurück.
Und die Protokolle der Datensicherung sollte man sich auch immer nach jeder Datensicherung anschauen.
Nur so bekommt man mit, falls mal eine Datensicherung fehlerhaft ist.
Und ein Offlinemedium ist ein Medium, das nur genau für die Zeit der Datensicherung physisch verbunden ist.
Ein NAS z.B. taugt nicht als Datensicherungsmedium, außer, man zieht nach jeder Sicherung das Netzwerkkabel und den Stromstecker ab.
Bei z.B. einer Überspannung würde sonst nicht nur der Server, sondern auch gleich das Datensicherungsmedium mit sterben.
Sicherheit ist auch keine Einstellung, die man einmal tätigt oder eine Software, die man einmal installiert und konfiguriert, sondern es ist ein Konzept, das tägliches Befassen damit erfordert.
Und die Clients darf man auch nicht vergessen.
Auch darüber kann der Server kompromittiert werden.
Z.B. Verschlüsselungstrojaner verschlüsseln auch Sachen auf Netzwerklaufwerken und mobilen Medien, wie z.B. USB-Sticks und Festplatten.
Und das, was ich hier und im vorigen Beitrag geschrieben habe, umreißt das Thema nur grob.
Das ganze Thema Sicherheit ist hochkomplex und nichts, was man mal eben so in ein paar Stunden, Tagen oder Wochen lernen kann.
Und ständige Fortbildung ist da auch nötig, denn es kommen regelmäßig neue, bisher unbekannte Angriffszenarien auf die Welt.
Datensicherung!
Und zwar regelmäßig und auf einem rotierenden Offlinemedium!
Damit ist gemeint, das man mehrere Datensicherungsmedien hat, die rotierend benutzt werden.
Für den Privatbereich reicht da das sog. Großvater, Vater- Sohn-Prinzip (im kommerziellen Bereich sind ausgefeiltere Strategien erforderlich, u.A. auch, um gesetzliche Auflagen zu erfüllen).
Man hat 3 Datensicherungsmedien, die abwechselnd benutzt werden:
1, 2, 3, dann wieder 1, 2, 3 usw.
Ist mal ein Sicherungsmedium defekt, kann man immer noch eine Generation zurück.
Und die Protokolle der Datensicherung sollte man sich auch immer nach jeder Datensicherung anschauen.
Nur so bekommt man mit, falls mal eine Datensicherung fehlerhaft ist.
Und ein Offlinemedium ist ein Medium, das nur genau für die Zeit der Datensicherung physisch verbunden ist.
Ein NAS z.B. taugt nicht als Datensicherungsmedium, außer, man zieht nach jeder Sicherung das Netzwerkkabel und den Stromstecker ab.
Bei z.B. einer Überspannung würde sonst nicht nur der Server, sondern auch gleich das Datensicherungsmedium mit sterben.
Sicherheit ist auch keine Einstellung, die man einmal tätigt oder eine Software, die man einmal installiert und konfiguriert, sondern es ist ein Konzept, das tägliches Befassen damit erfordert.
Und die Clients darf man auch nicht vergessen.
Auch darüber kann der Server kompromittiert werden.
Z.B. Verschlüsselungstrojaner verschlüsseln auch Sachen auf Netzwerklaufwerken und mobilen Medien, wie z.B. USB-Sticks und Festplatten.
Und das, was ich hier und im vorigen Beitrag geschrieben habe, umreißt das Thema nur grob.
Das ganze Thema Sicherheit ist hochkomplex und nichts, was man mal eben so in ein paar Stunden, Tagen oder Wochen lernen kann.
Und ständige Fortbildung ist da auch nötig, denn es kommen regelmäßig neue, bisher unbekannte Angriffszenarien auf die Welt.
Zuletzt bearbeitet:
Hallo zusammen, ich habe eine Webanwendung im Intranet im Einsatz, die auf einem Windows Server 2019 (IIS 10) installiert ist und vom Source Code her .NET Framework 4.5 nutzen kann. Auf dem Server ist das .NET Framework 4.7 aktiviert.
Theoretisch sollte die aktivierte SSL-Verschlüsselung serverseitig mit TLS 1.2 funktionieren.
Frage: Wie kann ich auf dem Server oder sogar im Browser (Edge und/oder IE) des/eines Clients prüfen, welche TLS-Verschlüsselung Anwendung findet?
Sollte dabei herauskommen, dass die SSL-Verschlüsselung nicht mit TLS 1.2 ausgehandelt wurde, wie gut sind dann die Chance bei einer "Framework 4.5-Anwendung" durch serverseitige Änderungen TLS 1.2 zu erzwingen?
Vielleicht hat jemand ja aus ähnlich gelagerten Situationen Erfahrungswerte dazu. Vielen Dank!
Theoretisch sollte die aktivierte SSL-Verschlüsselung serverseitig mit TLS 1.2 funktionieren.
Frage: Wie kann ich auf dem Server oder sogar im Browser (Edge und/oder IE) des/eines Clients prüfen, welche TLS-Verschlüsselung Anwendung findet?
Sollte dabei herauskommen, dass die SSL-Verschlüsselung nicht mit TLS 1.2 ausgehandelt wurde, wie gut sind dann die Chance bei einer "Framework 4.5-Anwendung" durch serverseitige Änderungen TLS 1.2 zu erzwingen?
Vielleicht hat jemand ja aus ähnlich gelagerten Situationen Erfahrungswerte dazu. Vielen Dank!
passat3233
Urgestein
- Mitglied seit
- 01.05.2007
- Beiträge
- 4.369
Mit dem Firefox ist es einfach:
Extras -> Seiteninformationen -> Sicherheit.
Da wird einem die TLS-Version, der verwendete Hash-Algorithmus etc. angezeigt.
Hier HWL ist z.B. mit TLS 1.3 verschlüsselt.
Extras -> Seiteninformationen -> Sicherheit.
Da wird einem die TLS-Version, der verwendete Hash-Algorithmus etc. angezeigt.
Hier HWL ist z.B. mit TLS 1.3 verschlüsselt.
