Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Moin zusammen, 

wenn Ihr einen Windows Server härtet und absichert - was macht Ihr in der Regel immer?

Nicht benötigte Dienste deaktivieren? Spezielle Admins erstellen? Admins umbenennen?

Vielen Dank für die Antworten :)

Geschrieben (bearbeitet)

Hallo,

erstmals zum Netzwerk:

  • Server hinter einer dedizierten Firewall stellen
  • Server in das vorhergesehene VLAN zuweisen
  • Zugriff via ACLs steuern

Zum Windows Server selbst:

  • Einen neuen Admin User anlegen (bzw. LAPS nutzen) und den Standard Admin User deaktivieren
    • Der LAPS Admin hat natürlich einen anderen Namen
  • Berechtigungskonzept einführen -> Rollenbasierte Zugriffssteuerung.
  • Zugriffsprotokolle z.B. RDP auf bestimmte User und vertrauenswürdige Netze einschränken.
  • Server minimal und sauber halten -> Keine unnötigen Tools installieren!
  • Empfehlungen und Best Practices berücksichtigen z.B. ein DC ist ein DC und nicht nebenbei noch Webserver, Exchange usw.
  • Lokale Windows Firewall überprüfen und konfigurieren
    • Achtung: Windows setzt gerne mal die automatischen Regeln bei Updates zurück!

Zum Dienst selbst: das ist natürlich Abhängig vom Dienst bzw. welche Rolle der Server übernimmt.😉

Bearbeitet von Destructor
  • 2 Wochen später...
  • 2 Wochen später...
Geschrieben (bearbeitet)

Alle Rollen auf einem. Dieser ein sollte natürlich gut gesichert sein Desaster Recovery technisch...
Dann kann man im Worst Case auf alle anderen DCs verzichten und muss nur den einen Restoren um wieder Voll dabei zu sein.
Wenn du das Verteilst haste unter umständen ein Problem... Und wenn das keine VM sondern echte Hardware ist kannste echt viel spass haben, wenn man auch noch erstmal Hardware wieder klar schiff bekommen muss...
Meine Meinung.

 

Wegen Härtung, z.B. in einer DMZ habe ich GPOs für jeden einzelnen Server in der DMZ erstellt welche die lokale Firewall setzen, also innerhalb der DMZ können die Server sich nicht kontaktieren. Und per GPO bietet den Vorteil das ein Angreifer die Settings auch nicht drehen kann da grau hinterlegt...
Und die Zugriffe aus DMZ <> LAN usw... regelt die Hardware Firewall.
Das ganze auf den Port und IP genau abgestimmt. Kann man sich auch für ins LAN überlegen.
Eventuell Server auch in verschiedene VLANs generell aufteilen z.B. DCs seperates VLAN und per Hardware Firewall absichern usw... Oder Clients in Seperate VLANs je nach Abteilung und Funktion und dann entsprechend Client Gruppen und Server Gruppen Firewall technisch genau fein tunen...

Und halt noch die anderen Tips was die Kollegen oben so schreiben, stichwort Admin Konzept, immer Up to Date sein Patch technisch, das übliche halt...

Bearbeitet von ThePinky777
  • 4 Wochen später...
Geschrieben

Hallo zusammen, 

vielen Dank für die zahlreichen Antworten! Es hat mir viel geholfen!

Überflüssige Windows-Features kann man doch auf DC's auch entfernen, wie z. B. XPS-Viewer und Wireless-Networking, oder?

Sehe ich keinen Sinn drin, dass das auf einen DC installiert ist. 

 

 

 

 

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...