Windows Server 2008 R2 ist sicher genug für das Internet ohne Drittanbieter-Firewall (Hardware)

Question 1

Denken Sie daran, dass Sie eingehende Ports so filtern können, dass sie nur auf eine bestimmte IP reagieren. So können Sie beispielsweise eingehendes RDP so filtern, dass es nur auf die IP Ihres Büros reagiert.

Dies ist keine ideale Situation und ich würde nichts wirklich Sensibles wie dieses einbauen - ein Router + Firewall + Server-Firewall ist besser. Ich musste jedoch Systeme wie dieses verwalten und habe keine wirklichen Probleme festgestellt. Seltsamerweise habe ich bei diesen weniger Angriffsversuche festgestellt als bei Kunden mit DSL-Anschlüssen auf Privatebene.

Answer

Denken Sie daran, dass Sie eingehende Ports so filtern können, dass sie nur auf eine bestimmte IP reagieren. So können Sie beispielsweise eingehendes RDP so filtern, dass es nur auf die IP Ihres Büros reagiert.

Dies ist keine ideale Situation und ich würde nichts wirklich Sensibles wie dieses einbauen - ein Router + Firewall + Server-Firewall ist besser. Ich musste jedoch Systeme wie dieses verwalten und habe keine wirklichen Probleme festgestellt. Seltsamerweise habe ich bei diesen weniger Angriffsversuche festgestellt als bei Kunden mit DSL-Anschlüssen auf Privatebene.

Question 2

Sie können den neuen Sicherheitskonfigurationsassistenten von Microsoft verwenden, der eine Sicherheitsrichtlinie erstellt, die Sie auf dem Server anwenden können.

Der Sicherheitskonfigurationsassistent (SCW) führt Sie durch den Prozess des Erstellens, Bearbeitens, Anwendens oder Zurücksetzens einer Sicherheitsrichtlinie. Er bietet eine einfache Möglichkeit, eine Sicherheitsrichtlinie für Ihren Server basierend auf seiner Rolle zu erstellen oder zu ändern. Anschließend können Sie die Gruppenrichtlinie verwenden, um die Sicherheitsrichtlinie auf mehrere Zielserver anzuwenden, die dieselbe Rolle erfüllen. Sie können SCW auch verwenden, um eine Richtlinie zu Wiederherstellungszwecken auf ihre vorherige Konfiguration zurückzusetzen. Mit SCW können Sie die Sicherheitseinstellungen eines Servers mit einer gewünschten Sicherheitsrichtlinie vergleichen, um das System auf anfällige Konfigurationen zu prüfen.

Weitere Informationen finden Sie hier: http://technet.microsoft.com/en-us/library/cc771492(WS.10).aspx

Answer

Sie können den neuen Sicherheitskonfigurationsassistenten von Microsoft verwenden, der eine Sicherheitsrichtlinie erstellt, die Sie auf dem Server anwenden können.

Der Sicherheitskonfigurationsassistent (SCW) führt Sie durch den Prozess des Erstellens, Bearbeitens, Anwendens oder Zurücksetzens einer Sicherheitsrichtlinie. Er bietet eine einfache Möglichkeit, eine Sicherheitsrichtlinie für Ihren Server basierend auf seiner Rolle zu erstellen oder zu ändern. Anschließend können Sie die Gruppenrichtlinie verwenden, um die Sicherheitsrichtlinie auf mehrere Zielserver anzuwenden, die dieselbe Rolle erfüllen. Sie können SCW auch verwenden, um eine Richtlinie zu Wiederherstellungszwecken auf ihre vorherige Konfiguration zurückzusetzen. Mit SCW können Sie die Sicherheitseinstellungen eines Servers mit einer gewünschten Sicherheitsrichtlinie vergleichen, um das System auf anfällige Konfigurationen zu prüfen.

Weitere Informationen finden Sie hier: http://technet.microsoft.com/en-us/library/cc771492(WS.10).aspx

Question 3

Im Allgemeinen ja. SQL Server ist schwieriger, da es sich um einen bewährten Angriffsvektor handelt, sodass Sie unzählige Anmeldefehler erhalten. Schützen Sie es entweder vollständig oder verschieben Sie den Port.

Ich würde:

Mit der Firewall möglichst viele eingehende Ports sperren und nur das offen lassen, was ich für die Arbeit brauche – IIS, RDP und PPTP
PPTP in den Server normal für Wartungsarbeiten
RDP für den Notfall

Answer

Im Allgemeinen ja. SQL Server ist schwieriger, da es sich um einen bewährten Angriffsvektor handelt, sodass Sie unzählige Anmeldefehler erhalten. Schützen Sie es entweder vollständig oder verschieben Sie den Port.

Ich würde:

Mit der Firewall möglichst viele eingehende Ports sperren und nur das offen lassen, was ich für die Arbeit brauche – IIS, RDP und PPTP
PPTP in den Server normal für Wartungsarbeiten
RDP für den Notfall

Question 4

Nein. Ich würde niemals einen W2K-Server direkt ins Internet stellen. IIS hat viele Sicherheitsprobleme und Windows hat auch immer welche.

Dies gilt auch für die meisten Linux-Systeme. Nur (Open)BSD ist in Bezug auf Sicherheitslücken ein besseres Betriebssystem.

Bei der Arbeit verwenden wir eine große WAF (Web Application Firewall) vor unseren Webservern. Diese WAF analysiert den eingehenden Datenverkehr und blockiert ungewöhnliche oder böswillige eingehende Anfragen. Die WAF kennt Sicherheitslücken bereits einige Tage, bevor das CERT sie öffentlich macht.

Answer

Nein. Ich würde niemals einen W2K-Server direkt ins Internet stellen. IIS hat viele Sicherheitsprobleme und Windows hat auch immer welche.

Dies gilt auch für die meisten Linux-Systeme. Nur (Open)BSD ist in Bezug auf Sicherheitslücken ein besseres Betriebssystem.

Bei der Arbeit verwenden wir eine große WAF (Web Application Firewall) vor unseren Webservern. Diese WAF analysiert den eingehenden Datenverkehr und blockiert ungewöhnliche oder böswillige eingehende Anfragen. Die WAF kennt Sicherheitslücken bereits einige Tage, bevor das CERT sie öffentlich macht.

Windows Server 2008 R2 ist sicher genug für das Internet ohne Drittanbieter-Firewall (Hardware)

Antwort1

Antwort2

Antwort3

Antwort4

verwandte Informationen