Michael1985 Geschrieben 7. Oktober Geschrieben 7. Oktober Moin zusammen, wenn Ihr einen Windows Server härtet und absichert - was macht Ihr in der Regel immer? Nicht benötigte Dienste deaktivieren? Spezielle Admins erstellen? Admins umbenennen? Vielen Dank für die Antworten Zitieren
Destructor Geschrieben 7. Oktober Geschrieben 7. Oktober (bearbeitet) Hallo, erstmals zum Netzwerk: Server hinter einer dedizierten Firewall stellen Server in das vorhergesehene VLAN zuweisen Zugriff via ACLs steuern Zum Windows Server selbst: Einen neuen Admin User anlegen (bzw. LAPS nutzen) und den Standard Admin User deaktivieren Der LAPS Admin hat natürlich einen anderen Namen Berechtigungskonzept einführen -> Rollenbasierte Zugriffssteuerung. Zugriffsprotokolle z.B. RDP auf bestimmte User und vertrauenswürdige Netze einschränken. Server minimal und sauber halten -> Keine unnötigen Tools installieren! Empfehlungen und Best Practices berücksichtigen z.B. ein DC ist ein DC und nicht nebenbei noch Webserver, Exchange usw. Lokale Windows Firewall überprüfen und konfigurieren Achtung: Windows setzt gerne mal die automatischen Regeln bei Updates zurück! Zum Dienst selbst: das ist natürlich Abhängig vom Dienst bzw. welche Rolle der Server übernimmt.😉 Bearbeitet 7. Oktober von Destructor Stan1k, BitteNichtSchubsen und Michael1985 reagierten darauf 3 Zitieren
Gast Geschrieben 7. Oktober Geschrieben 7. Oktober Schau dir mal die "Security Technical Implementation Guides (STIGs)" des US-Verteidigungsministeriums und die CIS-Benchmarks an. Da findest du ein bisschen Input. Beispiel: STIGs für Windows Server 2019 https://www.stigviewer.com/stig/windows_server_2019/ Zitieren
Aeropsia Geschrieben 8. Oktober Geschrieben 8. Oktober Zu solchen Fragen gibt es den IT-Grundschutz vom BSI und die dazugehörigen Bausteine: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/07_SYS_IT_Systeme/SYS_1_2_3_Windows_Server_Edition_2023.pdf?__blob=publicationFile&v=5 Budspencer und Michael1985 reagierten darauf 1 1 Zitieren
Michael1985 Geschrieben 18. Oktober Autor Geschrieben 18. Oktober Moin zusammen, habt Ihr die FSMO-Rollen auf den DCs verteilt oder alle FSMO-Rollen auf einen DC? Zitieren
ThePinky777 Geschrieben 29. Oktober Geschrieben 29. Oktober (bearbeitet) Alle Rollen auf einem. Dieser ein sollte natürlich gut gesichert sein Desaster Recovery technisch... Dann kann man im Worst Case auf alle anderen DCs verzichten und muss nur den einen Restoren um wieder Voll dabei zu sein. Wenn du das Verteilst haste unter umständen ein Problem... Und wenn das keine VM sondern echte Hardware ist kannste echt viel spass haben, wenn man auch noch erstmal Hardware wieder klar schiff bekommen muss... Meine Meinung. Wegen Härtung, z.B. in einer DMZ habe ich GPOs für jeden einzelnen Server in der DMZ erstellt welche die lokale Firewall setzen, also innerhalb der DMZ können die Server sich nicht kontaktieren. Und per GPO bietet den Vorteil das ein Angreifer die Settings auch nicht drehen kann da grau hinterlegt... Und die Zugriffe aus DMZ <> LAN usw... regelt die Hardware Firewall. Das ganze auf den Port und IP genau abgestimmt. Kann man sich auch für ins LAN überlegen. Eventuell Server auch in verschiedene VLANs generell aufteilen z.B. DCs seperates VLAN und per Hardware Firewall absichern usw... Oder Clients in Seperate VLANs je nach Abteilung und Funktion und dann entsprechend Client Gruppen und Server Gruppen Firewall technisch genau fein tunen... Und halt noch die anderen Tips was die Kollegen oben so schreiben, stichwort Admin Konzept, immer Up to Date sein Patch technisch, das übliche halt... Bearbeitet 29. Oktober von ThePinky777 Michael1985 reagierte darauf 1 Zitieren
Michael1985 Geschrieben 25. November Autor Geschrieben 25. November Hallo zusammen, vielen Dank für die zahlreichen Antworten! Es hat mir viel geholfen! Überflüssige Windows-Features kann man doch auf DC's auch entfernen, wie z. B. XPS-Viewer und Wireless-Networking, oder? Sehe ich keinen Sinn drin, dass das auf einen DC installiert ist. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.