Windows Server-Administration – welche Dienste können sicher mit dem Internet ausgeführt werden?

tag-icon tag-icon windows-server-2008 active-directory security sql-server windows-server-2012
Windows Server-Administration – welche Dienste können sicher mit dem Internet ausgeführt werden?

Da ich von Linux komme und nun einige Windows-Server (2008R2 und 2012R2) verwalten muss, frage ich mich, welche Dienste sicher direkt über das Internet ausgeführt werden können. Die Server sind alle mit dem Internet verbunden, ohne zusätzliche Hardware-Firewall oder ein internes VPN-Verwaltungsnetzwerk.

Bei den fraglichen Diensten handelt es sich um:

  1. RDP (in Standardkonfiguration)?
  2. Wie verwende ich MSSQL (2012)?
  3. Active Directory?
  4. WSUS (ohne Domäne, wenn 3. unsicher ist)?

Nach einigen Recherchen weiß ich, dass RDP zumindest in früheren Windows-Versionen (2003) unsicher war und AD allgemein als unsicher gilt. Ist es immer noch eine gute Idee, RDP über SSH zu tunneln (die Server laufen alle unter Cygwin)?

Danke für deinen Rat!

Antwort1

Meine Meinung in diesen Fällen ist, jeden einzelnen Port zu blockieren, außer denen, die der Server für seinen Hauptzweck benötigt (http/s, ftp, SQL Server), und selbst dann sollten diese Ports, wenn möglich, auf bestimmte IP-Blöcke beschränkt werden. Konfigurieren Sie für diese Server keine Remote-Konnektivität, außer für die erforderlichen Dienste.

Dann implementieren Sie eineBastion-Host. Dies ist ein extrem robuster Host, der Remote-Konnektivität aktiviert hat (SSH, RDP, VPN) und Ihnen ermöglicht, zu Ihren anderen Hosts zu wechseln. Ich weiß, dass viele Leute das für unnötig und übertrieben halten, aber ehrlich gesagt ist es die sicherste Vorgehensweise.

Antwort2

RPD sollte nur über VPN verwendet werden.

SQL kann eine Verbindung über einen bestimmten Port herstellen, daher sollte es sicher sein.

Warum sollte man AD auf der Internetseite ausführen? Wenn Sie es auf demselben Server ausführen müssen, der mit dem Internet verbunden ist, sollten Sie vorher die Sicherheitsrichtlinien gründlich prüfen.

WSUS ist fehlerhaft und unsicher. WSUS kann sogar melden, dass alles auf dem neuesten Stand ist, obwohl vor langer Zeit erstellte Patches nicht angewendet wurden. Dies macht das System anfällig und kann Sicherheitsrichtlinien beeinträchtigen. Planen Sie besser Ausfallzeiten für das Patchen ein, wenn dies erforderlich ist, und lassen Sie WSUS deaktiviert.

verwandte Informationen