Michael1985 Geschrieben 7. Oktober Teilen Geschrieben 7. Oktober Moin zusammen, wenn Ihr einen Windows Server härtet und absichert - was macht Ihr in der Regel immer? Nicht benötigte Dienste deaktivieren? Spezielle Admins erstellen? Admins umbenennen? Vielen Dank für die Antworten Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Destructor Geschrieben 7. Oktober Teilen Geschrieben 7. Oktober (bearbeitet) Hallo, erstmals zum Netzwerk: Server hinter einer dedizierten Firewall stellen Server in das vorhergesehene VLAN zuweisen Zugriff via ACLs steuern Zum Windows Server selbst: Einen neuen Admin User anlegen (bzw. LAPS nutzen) und den Standard Admin User deaktivieren Der LAPS Admin hat natürlich einen anderen Namen Berechtigungskonzept einführen -> Rollenbasierte Zugriffssteuerung. Zugriffsprotokolle z.B. RDP auf bestimmte User und vertrauenswürdige Netze einschränken. Server minimal und sauber halten -> Keine unnötigen Tools installieren! Empfehlungen und Best Practices berücksichtigen z.B. ein DC ist ein DC und nicht nebenbei noch Webserver, Exchange usw. Lokale Windows Firewall überprüfen und konfigurieren Achtung: Windows setzt gerne mal die automatischen Regeln bei Updates zurück! Zum Dienst selbst: das ist natürlich Abhängig vom Dienst bzw. welche Rolle der Server übernimmt.😉 Bearbeitet 7. Oktober von Destructor Stan1k, Mr_JxM und Michael1985 reagierten darauf 3 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Pixelfuchs Geschrieben 7. Oktober Teilen Geschrieben 7. Oktober Schau dir mal die "Security Technical Implementation Guides (STIGs)" des US-Verteidigungsministeriums und die CIS-Benchmarks an. Da findest du ein bisschen Input. Beispiel: STIGs für Windows Server 2019 https://www.stigviewer.com/stig/windows_server_2019/ Michael1985 und Budspencer reagierten darauf 1 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Aeropsia Geschrieben 8. Oktober Teilen Geschrieben 8. Oktober Zu solchen Fragen gibt es den IT-Grundschutz vom BSI und die dazugehörigen Bausteine: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/07_SYS_IT_Systeme/SYS_1_2_3_Windows_Server_Edition_2023.pdf?__blob=publicationFile&v=5 Budspencer und Michael1985 reagierten darauf 1 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Michael1985 Geschrieben 18. Oktober Autor Teilen Geschrieben 18. Oktober Moin zusammen, habt Ihr die FSMO-Rollen auf den DCs verteilt oder alle FSMO-Rollen auf einen DC? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ThePinky777 Geschrieben 29. Oktober Teilen Geschrieben 29. Oktober (bearbeitet) Alle Rollen auf einem. Dieser ein sollte natürlich gut gesichert sein Desaster Recovery technisch... Dann kann man im Worst Case auf alle anderen DCs verzichten und muss nur den einen Restoren um wieder Voll dabei zu sein. Wenn du das Verteilst haste unter umständen ein Problem... Und wenn das keine VM sondern echte Hardware ist kannste echt viel spass haben, wenn man auch noch erstmal Hardware wieder klar schiff bekommen muss... Meine Meinung. Wegen Härtung, z.B. in einer DMZ habe ich GPOs für jeden einzelnen Server in der DMZ erstellt welche die lokale Firewall setzen, also innerhalb der DMZ können die Server sich nicht kontaktieren. Und per GPO bietet den Vorteil das ein Angreifer die Settings auch nicht drehen kann da grau hinterlegt... Und die Zugriffe aus DMZ <> LAN usw... regelt die Hardware Firewall. Das ganze auf den Port und IP genau abgestimmt. Kann man sich auch für ins LAN überlegen. Eventuell Server auch in verschiedene VLANs generell aufteilen z.B. DCs seperates VLAN und per Hardware Firewall absichern usw... Oder Clients in Seperate VLANs je nach Abteilung und Funktion und dann entsprechend Client Gruppen und Server Gruppen Firewall technisch genau fein tunen... Und halt noch die anderen Tips was die Kollegen oben so schreiben, stichwort Admin Konzept, immer Up to Date sein Patch technisch, das übliche halt... Bearbeitet 29. Oktober von ThePinky777 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.