Windows-Server 2012 absichern
lima-city → Forum → Heim-PC → Betriebssysteme
anfrage
datei
datenbank
dienst
domain
erstellen
frage
ftp
http
installieren
laufen
loch
port
programm
regel
server
sicherheit
url
windows
zugriff
-
Hallo liebe Community!
Ich möchte gerne auf meinem vServer Windows-Server 2012 installieren. Jedoch weiß ich nicht so ganz wie man Windows-Server absichert. Linux ist dagegen etwas einfacher. Aber nichts desto trotz möchte ich, dass mein vServer vor Angreifern sicher ist. Was muss ich wie machen? Bevor ich nicht genau weiß, wie mein vServer sicher ist, traue ich mich auch nicht erst das OS zu installieren. Ich muss auf jeden Fall per Remote-Desktop auf den Server zugreifen können. Benötige ich ein Antiviren Programm? Wenn ja, welches ist dafür gut geeignet? Laufen auf dem Windows-Server 2012 normale Windows-Programme oder gibt es da andere? (Wie z.B. Linux-Programme meist nicht auf Windows laufen). Ach: Der Server ist aus dem WWW erreichbar.
Ich hoffe, dass ihr mir viele gute Tipps geben könnt, damit ich den Server gut absichern kann
Nebenfrage: Was kostet denn eine Windows-Server 2012 Lizenz? Sind die teuer oder relativ günstig wie normale Windows-Lizenzen?
Beitrag zuletzt geändert: 23.4.2015 17:54:28 von werbeparadise -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
werbeparadise schrieb:
Nebenfrage: Was kostet denn eine Windows-Server 2012 Lizenz? Sind die teuer oder relativ günstig wie normale Windows-Lizenzen?
Für eine Lizenz für MS Windows Server 2012 Standard (2 CPUs) wirst Du netto und ohne CALs (Userlizenzen) ca. 600€ investieren müssen. -
Firewall - logisch. Virenscanner ist unter einem Windows-System auch nie blöd, da leider die meisten Viren/Bots/Trojaner immer noch für Windows geschrieben werden.
Allgemein läuft "normale Windows-Software" auch. Allerdings blocken einige Hersteller bei Home-Produkten auf Server-Betriebssystemen die Installation. Acronis z.B. -
...hehe Acronis und Server im gleichen Kontext finde ich persönlich nicht sehr - naja...
Darf ich fragen von was für einem Hostbetriebssystem wir sprechen? Und der Server ist R2 nehme ich an?
Gruss -
rain-of-pain schrieb:
Darf ich fragen von was für einem Hostbetriebssystem wir sprechen?
Windows Server 2012 R2
oder was meinst du?
Dies würde ich gerne installieren. Zum jetzigem Stand läuft noch Linux auf dem Server
rain-of-pain schrieb:
Und der Server ist R2 nehme ich an?
Ja, was anderes könnte ich nicht installieren. Entweder Windows Server 2008 oder Windows Server 2012 R2 (von den WIN-Betriebssystemen)
Beitrag zuletzt geändert: 25.4.2015 16:17:21 von werbeparadise -
...dann würe ich mal sicher 2012 R2 nehmen.
Es kommt darauf an wofür du den Server benutzen willst. Die Rollen und Features müssen ja auch erst installiert / aktiviert werden...
EDIT: Als Virenscanner gäbe es neu eine Cloud-Lösung von Avast! Hab ich noch nicht ausprobiert, aber ist sicher nicht verkehrt:
http://free-business.avast.com/de_tstr/
Beitrag zuletzt geändert: 26.4.2015 10:04:08 von rain-of-pain -
Hallo,
ich muss ja bestimmte Ports schließen. Welche Ports sind Lebenswichtig für den Server und welche sollte man unbedingt abschalten nach meinen Bedürfnissen? Man muss weiterhin Webseiten aufrufen können, Updates zu OS und Programme sollen weiterhin durchgehen und Remote-Desktop muss ebenfalls akzeptiert werden. Gut, den Port von Remote-Desktop kann man ja ändern. Jedoch erhalte ich dann, wenn ich den Port ändere keinen Zugang mehr auf Remote-Desktop. Was muss ich da noch ändern? Ein Eintrag in der "Registry" zu ändern reicht scheinbar nicht. Ich möchte gerne auch den Port für die Webseiten ändern, wenn das Sinn machen würde. Also statt Port 80 ein anderer. Wären die Seiten dann weiterhin über Domain.de erreichbar oder muss man dann nach Portänderung Domain.de:123 eingeben? Ich besitze noch immer keinen Virenscanner auf dem Server.
rain-of-pain schrieb:
[...] Als Virenscanner gäbe es neu eine Cloud-Lösung von Avast! Hab ich noch nicht ausprobiert, aber ist sicher nicht verkehrt [...]
Wie rain-of-pain schrieb, gäbe es eine Cloudlösung für Virenscan? Was darf ich darunter verstehen? Und wie funktioniert das dann?
Wie kann ich MySQL vor beispielsweise der SQL-Injection schützen? Da ich ja einen Windows-Server betreibe, ist da auch MSSQL installiert? Wenn ja, wo kann ich dieses vollständig deinstallieren? Ich verwende zudem als Webserver "Internetinformationsdienste (IIS) 8 - Anwendungsserver Manager" von Microsoft. Wie kann ich dieses noch absichern?
Ich habe auch keinen Mailserver. Können dennoch (Spam-)Mails versendet werden? Wenn ich bei Wordpress auf "Passwort vergessen" drücke, kann keine Mail versendet werden. Ist das ein gutes Zeichen? Ich meine wegen z.B. PHP-Mail, weil ich zum Betrieb von Wordpress PHP installieren musste. Ich habe für MySQL leider (noch) kein PHPmyAdmin. Man soll ja auch nicht unnötig viel "Schrott" im Hintergrund laufen lassen, wegen Sicherheitslücken etc. Gut, wenn ich das Verzeichnis aufrufe, wo meine Datenbank von Wordpress liegt, sehe ich zwar die Dateien, kann sie jedoch nicht bearbeiten. Also doch PHPmyAdmin installieren? Wie sichere ich dies ab? Und wie kann das NICHT von Suchmaschinen gefunden werden? Wie richte ich dort meine Datenbanken ein?
Ich verwende für jedes Gebiet von Webseiten eigene Software. "PHP" wurde einzeln installiert, "MySQL" habe ich nachinstalliert und für den Rest, also Verwalten und HTML-Files nutze ich "IIS8"
Als Webbrowser nutze ich "Google Chrome". Jeodch nur dafür, um was herunterzuladen.
Ich hoffe, dass ihr mir diese neuen Fragen beantworten könnt
Beitrag zuletzt geändert: 8.5.2015 16:02:51 von werbeparadise -
ich muss ja bestimmte Ports schließen. Welche Ports sind Lebenswichtig für den Server und welche sollte man unbedingt abschalten nach meinen Bedürfnissen?
Du solltest alle eingehenden Ports schließen und nur die öffnen, auf denen du öffentlich Dienste anbietest. Das wären bspw. der Port 80 für http Anfragen und der Port 3389 für RDP (Remotedeskopverbindung, sofern Port nicht bereits geändert).
Jedoch erhalte ich dann, wenn ich den Port ändere keinen Zugang mehr auf Remote-Desktop. Was muss ich da noch ändern? Ein Eintrag in der "Registry" zu ändern reicht scheinbar nicht.
http://www.tecchannel.de/sicherheit/tipps/2039852/tipp_fuer_mehr_sicherheit_windows_standardport_fuer_remotedesktop_aendern/
Ich möchte gerne auch den Port für die Webseiten ändern, wenn das Sinn machen würde. Also statt Port 80 ein anderer. Wären die Seiten dann weiterhin über Domain.de erreichbar oder muss man dann nach Portänderung Domain.de:123 eingeben?
Aus Gründen der Anwenderfreundlichkeit für Besucher deiner Website vermutlich nicht empfehlenswert, da der Standardport für http Anfragen 80 ist. Die Website wäre dann nur noch über Portangabe aufzurufen (example.org:port).
Wie kann ich MySQL vor beispielsweise der SQL-Injection schützen?
Das ist kein Windows-spezifisches Problem. Der entsprechende Code, der die Anfragen an den MySQL Server ausführt, sollte entsprechend sicher gestaltet werden.
Da ich ja einen Windows-Server betreibe, ist da auch MSSQL installiert?
Standardmäßig normalerweise nicht, es sei denn dein Hoster hat es als Standard installiert.
Wenn ja, wo kann ich dieses vollständig deinstallieren?
Sytemsteuerung -> Programme und Funktionen (oder wie immer es bei Server 2012 nun heißen mag). Sofern es mittlerweile auch als Rolle oder Funktion hinterlegt ist, geht es über den Server Manager.
Ich habe auch keinen Mailserver. Können dennoch (Spam-)Mails versendet werden?
Nein, zumindestens nicht von deinem Server selbst.
Wenn ich bei Wordpress auf "Passwort vergessen" drücke, kann keine Mail versendet werden. Ist das ein gutes Zeichen?
Es ist ein Zeichen dafür, dass du keinen Mail Server installiert hast und dswg. auch kein Mails versendet werden können, sofern du nicht einen externen Mail Server für den Mailversand nutzt oder einen Mailserver lokal installierst.
Ich meine wegen z.B. PHP-Mail, weil ich zum Betrieb von Wordpress PHP installieren musste.
Die mail() Funktion benötigt ebenfalls einen SMTP Server.
Ich habe für MySQL leider (noch) kein PHPmyAdmin. Man soll ja auch nicht unnötig viel "Schrott" im Hintergrund laufen lassen, wegen Sicherheitslücken etc. Gut, wenn ich das Verzeichnis aufrufe, wo meine Datenbank von Wordpress liegt, sehe ich zwar die Dateien, kann sie jedoch nicht bearbeiten. Also doch PHPmyAdmin installieren?
Wäre eine Möglichkeit. Andere Möglichkeiten wären andere MySQL Admin Tools oder die Kommandozeilenanwendung von MySQL.
Wie sichere ich dies ab?
MySQL Port (Standard = 3306) von außen nicht öffnen. Der Zugriff ist dann nur lokal möglich. Darüber hinaus bietet es sich an, deine Anwendungen, die Zugriff auf die Datenbanken haben, möglichst sicher zu gestalten.
Und wie kann das NICHT von Suchmaschinen gefunden werden?
http://blog.xmachina.de/suchmaschinenoptimierung/indizierung-von-webseiten-verhindern/
Wie richte ich dort meine Datenbanken ein?
Hä? -
Hallo,
Jedoch erhalte ich dann, wenn ich den Port ändere keinen Zugang mehr auf Remote-Desktop. Was muss ich da noch ändern? Ein Eintrag in der "Registry" zu ändern reicht scheinbar nicht.
http://www.tecchannel.de/sicherheit/tipps/2039852/tipp_fuer_mehr_sicherheit_windows_standardport_fuer_remotedesktop_aendern/
Das Tutorial bin ich durchgegangen. Bevor du das gepostet hattest
Bin die Anleitung durch, hab das mit der Registry so gemacht, wie beschrieben, auch eine neue Regel in Firewall eingerichtet. Jedoch war das Problem nicht behoben. Und das Programm, welches das automatisch macht, funktioniert nicht bei meinem OS.
Ich möchte gerne auch den Port für die Webseiten ändern, wenn das Sinn machen würde. Also statt Port 80 ein anderer. Wären die Seiten dann weiterhin über Domain.de erreichbar oder muss man dann nach Portänderung Domain.de:123 eingeben?
Aus Gründen der Anwenderfreundlichkeit für Besucher deiner Website vermutlich nicht empfehlenswert, da der Standardport für http Anfragen 80 ist. Die Website wäre dann nur noch über Portangabe aufzurufen (example.org:port).
Ok, wenn das so ist, dann lass ich das so, wie es ist: Port 80
Wie kann ich MySQL vor beispielsweise der SQL-Injection schützen?
Das ist kein Windows-spezifisches Problem. Der entsprechende Code, der die Anfragen an den MySQL Server ausführt, sollte entsprechend sicher gestaltet werden.
Also, wie den entsprechenden Code anpassen? Es greift halt nur Wordpress auf die Datenbank zu. Bin ich diesem Angriff entkommen, sprich, es kann solch ein Angriff gar nicht stattfinden?
Ich habe auch keinen Mailserver. Können dennoch (Spam-)Mails versendet werden?
Nein, zumindestens nicht von deinem Server selbst.
Also muss ich mir um Spamversand dann keine Sorgen machen? Ich habe noch einen Mailclient (wo man Mail-Konten einrichtet und Mails schreibt), soll ich den Deinstallieren? Oder macht der nichts? Ich meine ja nur.
Wie sichere ich dies ab?
[...] Darüber hinaus bietet es sich an, deine Anwendungen, die Zugriff auf die Datenbanken haben, möglichst sicher zu gestalten.
Wie gestalte ich diese "Sicher"? Es greift nur Wordpress auf die Datenbank zu. Also hab ich damit nichts zutun?
Wie richte ich dort meine Datenbanken ein?
Hä?
Ja, muss ich neue Datenbanken mit der Komandozeilenanwendung von MySQL weiterhin erstellen oder geht das direkt mit den Admin-Tools?
Noch eine Nebenfrage:
Da ich ja alles lokal auf dem Server mache, wie kann ich eine .htaccess Datei erstellen? FTP habe ich nicht.
Beitrag zuletzt geändert: 9.5.2015 15:08:11 von werbeparadise -
Wie rain-of-pain schrieb, gäbe es eine Cloudlösung für Virenscan? Was darf ich darunter verstehen? Und wie funktioniert das dann?
Nun, ich habe mich unterdessen kurz damit beschäftigt - resp. Privat auf Avast for Business (free) umgestellt, und bin zufrieden damit.
Dafür braucht es nur ein Login bei https://business.avast.com
Es gibt die Möglichkeiten den "Agent" direkt herunter zu laden oder einen link via E-Mail zu versenden.
Nach der Installalation benötigt jedoch jedes neu erfasste Gerät einen Neustart.
Das Dashoard welches online aufgerufen werden kann, bietet eine einfache Übersicht über die in der "Avast-Cloud" erfassten Geräte.
Die exclusions für SQL (z.B). können im Dashborard über Netzwerk / Einstellungen / Antivirus Einstellungen / Ausnahmen eingetragen werden...
Gruss
rain-of-pain
Beitrag zuletzt geändert: 9.5.2015 17:55:01 von rain-of-pain -
Das Tutorial bin ich durchgegangen. Bevor du das gepostet hattest
Bin die Anleitung durch, hab das mit der Registry so gemacht, wie beschrieben, auch eine neue Regel in Firewall eingerichtet. Jedoch war das Problem nicht behoben. Und das Programm, welches das automatisch macht, funktioniert nicht bei meinem OS.
Evtl. stellt dein Provider dies immer wieder beim Neustart zurück, da ohne RDP kein Zugriff auf das System mehr möglich ist und bei Fehlern denen die Supportanfragen auf die Nerven gehen. Ggf. also dort mal nachfragen.
Also, wie den entsprechenden Code anpassen? Es greift halt nur Wordpress auf die Datenbank zu. Bin ich diesem Angriff entkommen, sprich, es kann solch ein Angriff gar nicht stattfinden?
Wordpress ist durchaus bekannt und wird entsprechend gepflegt. Sofern du immer regelmäßig entsprechende Sicherheitsupdates für Wordpress installierst, bist du relativ auf der sicheren Seite. 100%ige Sicherheit gibt es halt nunmal nie, denn auch in Wordpress werden immer mal wieder Sicherheitslücken (nicht nur im Bereich SQL) festgesellt, dann aber für gewöhnlich auch zeitnah geschlossen.
Also muss ich mir um Spamversand dann keine Sorgen machen? Ich habe noch einen Mailclient (wo man Mail-Konten einrichtet und Mails schreibt), soll ich den Deinstallieren? Oder macht der nichts? Ich meine ja nur.
Wenn kein Mailversand funktioniert, funktioniert auch kein Spammailversand. Mailclient kannst du installiert lassen. Der stellt kein Sicherheitsrisiko dar. Ob du ihn auf einem Server brauchst ist natürlich was anderes, denn Mailclients sind doch eher auf Workstations angebracht.
Wie gestalte ich diese "Sicher"? Es greift nur Wordpress auf die Datenbank zu. Also hab ich damit nichts zutun?
s.o.
Ja, muss ich neue Datenbanken mit der Komandozeilenanwendung von MySQL weiterhin erstellen oder geht das direkt mit den Admin-Tools?
Das geht auch mit den Admin-Tools (bspw. MySQL Workbench).
Noch eine Nebenfrage:
Da ich ja alles lokal auf dem Server mache, wie kann ich eine .htaccess Datei erstellen? FTP habe ich nicht.
FTP und .htaccess haben überhaupt nichts miteinander zu tun. Der IIS unterstützt jedoch kein .htaccess. Dies ist nur für Apache Webserver. Die Konfiguration von Verzeichnisschutz und Co. läuft über den IIS-Manager als GUI.
Beitrag zuletzt geändert: 10.5.2015 16:26:46 von thoba -
Hallo,
Evtl. stellt dein Provider dies immer wieder beim Neustart zurück, da ohne RDP kein Zugriff auf das System mehr möglich ist und bei Fehlern denen die Supportanfragen auf die Nerven gehen. Ggf. also dort mal nachfragen.
Jetzt habe ich es endlich hinbekommen.
Wordpress ist durchaus bekannt und wird entsprechend gepflegt. Sofern du immer regelmäßig entsprechende Sicherheitsupdates für Wordpress installierst, bist du relativ auf der sicheren Seite. 100%ige Sicherheit gibt es halt nunmal nie, denn auch in Wordpress werden immer mal wieder Sicherheitslücken (nicht nur im Bereich SQL) festgesellt, dann aber für gewöhnlich auch zeitnah geschlossen.
Angenommen mein Server hat ein "Loch" wegen Wordpress und es kommt ein Angreifer rein und er baut Mist, hab ich dann auch zu Haften bei Schäden? Oder ist es sicherer, wenn ich eine Seite entweder selber schreibe mit HTML oder mit einem Homepage-Baukasten-Programm? Sprich ohne Login und Datenbänke. Aber wie können dann Autoren Artikel schreiben? Gibt es da keine andere Lösung, als ein CMS zu verwenden?
Wenn kein Mailversand funktioniert, funktioniert auch kein Spammailversand. Mailclient kannst du installiert lassen. Der stellt kein Sicherheitsrisiko dar. Ob du ihn auf einem Server brauchst ist natürlich was anderes, denn Mailclients sind doch eher auf Workstations angebracht.
Ok, dann bin ich erleichtert
FTP und .htaccess haben überhaupt nichts miteinander zu tun. Der IIS unterstützt jedoch kein .htaccess. Dies ist nur für Apache Webserver. Die Konfiguration von Verzeichnisschutz und Co. läuft über den IIS-Manager als GUI.
Das weiß ich auch. Ich meinte, vorher hab ich meine .htaccess Dateien direkt mit FTP erstellt (FileZilla). In Windows kann man leider keine Dateien ohne Dateinamen erstellen. Schade. Aber könnte ich mit dem IIS das ganz selbe machen, wie mit .htaccess ? Und wie sieht es aus, wenn ein Skript .htaccess braucht?
Nun habe ich neue Fragen:
Kann ich in der Firewall mit einem Klick ALLE Ports dicht machen und nur bestimmte (durch Regel bestimmte) Ports offen lassen? Hab das mal probiert, aber dann hat mich mein Server gekickt. Vielleicht habe ich ja auch etwas falsch gemacht. Ich kann schlecht für alle (fast 70'000, grob gerundet) Ports je eine neue Regel erstellen. Da hocke ich ja Wochen und Lust dazu hab ich auch nicht wirklich. Was sind "Ausgehende Regeln"? Muss ich da auch alle unnötigen Ports dicht machen?
Nun habe ich endlich eine Antiviren-Software. Schützt die mich bzw. meinen Server so richtig? Also blockt die Hackerangriffe ab, etc.?
Wie kann ich einstellen, wenn man sich mehr als X-mal versucht anzumelden, dass man dann eine bestimmte Zeit gebannt wird? Bei Linux gibt es da Fail2Ban. Für Windows hab ich das nicht gefunden. Zudem kann man ja (zumindest in Linux) IP-Tables erstellen, dass nur bestimmte IP-Ranges Zugriff haben dürfen. Gibt es das auch für Windows? Aber ein Problem bleibt: Mein Privater Internet-Provider erteilt mir alle 24 Stunden eine komplett andere IP-Adresse. Wie kann ich z.B. eine Statische IP erstellen? Dann hätte ich ja immer die gleiche IP und könnte dem Server sagen: "Nur diese IP darfst du hereinlassen". Einen Proxy-Server will ich nicht nutzen.
Wenn ich die virtuelle Festplatte verschlüssele, bringt das denn viel? Und kann man dann noch Webseiten aufrufen, die auf dem Server gehostet werden? Und wie sieht es so normal aus? Kann ich auf die Dateien normal zugreifen oder muss ich die jedesmal entschlüsseln?
Welche Dienste brauch ich nicht, bzw. der Server? Ich habe nichts unnötiges installiert. Chrome, IIS, PHP, MySQL sollen weiterhin laufen und Webseiten erreichbar bleiben. Was den Rest angeht weiß ich nicht, was ein Computer, bzw. Server an Diensten benötigen. Updates sollen weiterhin eingespielt werden können. Zu aller Software.
Ist ein Teamspeak-Server-Skript sicher? Wird das automatisch geupdatet? Ist das auch ein "Loch" um in den Server zu kommen?
Wo kann ich im Server USB- und DVD-Laufwerk deaktivieren? Kann ich dann eigentlich noch virtuelle CD-Roms einlegen, also die von meinem Server-Hoster?
Ist FTP mit vorinstalliert bei einem Windows-Server 2012? Hab etwas Sorgen, damit man über FTP Zugang bekommt.
Beitrag zuletzt geändert: 12.5.2015 19:56:27 von werbeparadise -
Jetzt habe ich es endlich hinbekommen.
Das freut mich für dich.
Angenommen mein Server hat ein "Loch" wegen Wordpress und es kommt ein Angreifer rein und er baut Mist, hab ich dann auch zu Haften bei Schäden?
Ich würde mich vage voller Sicherheit zu einem entschiedenen "vielleicht" hinreißen lassen. Das Ganze ist rechtlich außerordentlich komplex und kann pauschal so nicht beantwortet werden. Beachtet werden muss hier die Art des Schadens, die Höhe des Schadens, ist der Verursacher heranzuziehen, ist irgendwer durch Tun oder Unterlassen seinen Pflichten nicht nachgekommen, etc...
Oder ist es sicherer, wenn ich eine Seite entweder selber schreibe mit HTML oder mit einem Homepage-Baukasten-Programm? Sprich ohne Login und Datenbänke. Aber wie können dann Autoren Artikel schreiben?
Ohne dir zu nahe treten zu wollen, denke ich, dass ein von dir selbst erstelltes Programm mangels persönlicher Erfahrungen in dem Bereich nicht sicherer wie Wordpress sein wird. So große Angst musst du in dem Bereich aber nicht haben, wenn du regelmäßig alle Updates installiert. Klar birgt alles im Leben Gefahren, so auch der Betrieb einer Website, aber wenn es danach geht, darf man nicht einmal über die Straße gehen. Genauso wie du dort nach links und rechts schaust, musst du halt durch regelmäßige Updates versuchen das Risiko zu minimieren.
Gibt es da keine andere Lösung, als ein CMS zu verwenden?
Viele, aber vermutlich ist ein CMS die Einfachste und Effektivste.
Aber könnte ich mit dem IIS das ganz selbe machen, wie mit .htaccess ?
Ohne Gewähr sag ich mal ja. Das Übliche (Verzeichnisschutz, etc.) funktioniert auf jeden Fall.
Und wie sieht es aus, wenn ein Skript .htaccess braucht?
Das sollte eigentlich eher selten der Fall sein, da .htaccess Anweisungen für den Webserver gibt und nicht Teil des Scripts ist. Sollte dem dennoch mal so ein, wird es auf dem IIS nicht laufen. Da müsstest du auf Apache ausweichen (gibt es auch für Windows).
Kann ich in der Firewall mit einem Klick ALLE Ports dicht machen und nur bestimmte (durch Regel bestimmte) Ports offen lassen?
So sollte die Standardkonfiguration eigentlich sein. Verwaltung -> Windows Firewall mit erw. Sicherheit -> Rechtsklick "Windows Firewall mit erw. Sicherheit" -> entsprechende Profilregisterkarte wählen -> Eingehende Verbindungen: Blockieren
Hab das mal probiert, aber dann hat mich mein Server gekickt. Vielleicht habe ich ja auch etwas falsch gemacht.
Vermutlich hast du eine Ausnahmeregel erstellt und alle Ports gesperrt, inkl. RDP. Dann ist Ende mit Zugriff von außen.
Was sind "Ausgehende Regeln"? Muss ich da auch alle unnötigen Ports dicht machen?
Das gleiche wie eingehende, nur andersherum, also alles was von deinem Server raus darf. Ich sehe hier keinen akuten Handlungsbedarf bestimmten Anwendungen den Zugriff auf das Internet zu verwähren. Wenn dem aber so sein sollte, kannst du das darüber steuern.
Nun habe ich endlich eine Antiviren-Software. Schützt die mich bzw. meinen Server so richtig? Also blockt die Hackerangriffe ab, etc.?
So richtig nicht. Die sucht nur nach bekannten Viren und versucht die zu entfernen. Für Hackerangriffe ist die Firewall eher zuständig, wobei ein sinnvoller Schutz aus mehreren Maßnahmen besteht. Sicherheitsupdates, Firewall, ggf. auch Virenschutz, wobei ich den auf einem Webserver sogar für entbehrlich halten würde, sofern man ihn nicht als Workstation missbraucht, was man nicht tun sollte. Wie ich aber bereits sagte: Trotz hervorragender Absicherung, gibt es keine 100%ige Sicherheit. Man kann das Risiko lediglich erheblich minimieren.
Wie kann ich einstellen, wenn man sich mehr als X-mal versucht anzumelden, dass man dann eine bestimmte Zeit gebannt wird? Bei Linux gibt es da Fail2Ban. Für Windows hab ich das nicht gefunden.
Du könntest das Konto temporär sperren: Verwaltung -> Lokale Sicherheitsrichtlinie (ich gehe davon aus, dass dein Server nicht als Domänencontroller eingerichtet ist, ansonsten macht man es idealierweise per Gruppenrichtinie) -> Kontorichtlinien -> Kontosperrungsrichtlinien.
Zudem kann man ja (zumindest in Linux) IP-Tables erstellen, dass nur bestimmte IP-Ranges Zugriff haben dürfen. Gibt es das auch für Windows?
Ja, Windows Firewall.
Aber ein Problem bleibt: Mein Privater Internet-Provider erteilt mir alle 24 Stunden eine komplett andere IP-Adresse. Wie kann ich z.B. eine Statische IP erstellen?
Bei einem Otto-Normal Internetprovider kannst du das vergessen. Im Businessbereich kann man auch statische IP-Adressen erhalten, aber dann wird deine monatliche Rechnung sicherlich ein paar hundert Euro teurer.
Dann hätte ich ja immer die gleiche IP und könnte dem Server sagen: "Nur diese IP darfst du hereinlassen". Einen Proxy-Server will ich nicht nutzen.
Der dürfte dir auch nicht so viel nutzen, zumindestens nicht bei Direktzugriff per RDP. Proxyserver sind eher für HTTP Anfragen ausgelegt. Sonst müsstest du das ganze schon irgendwie tunneln oder auf andere Möglichkeiten ausweichen. Vergiss es besser. Alternativ wäre noch der Aufbau eines VPN eine denkbare Alternative, jedoch glaube ich, auch ohne dir wieder zu nahe treten zu wollen, dass das deinen Horizont derzeit noch übersteigen wird.
Wenn ich die virtuelle Festplatte verschlüssele, bringt das denn viel?
Bringt meistens eine verschlüsselte Festplatte. Wichtig, wenn sie mal geklaut oder entsorgt wird und keiner die Daten lesen soll. Ich glaube das kannst du dir in dem Fall sparen. Ich gehe davon aus, dass du keine sensiblen Informationen auf dem Server hast.
Und kann man dann noch Webseiten aufrufen, die auf dem Server gehostet werden?
Ja.
Und wie sieht es so normal aus?
Normal
Kann ich auf die Dateien normal zugreifen...
Ja.
...oder muss ich die jedesmal entschlüsseln?
Nein.
Welche Dienste brauch ich nicht, bzw. der Server?
Alle Dienste die zum Betrieb des Betriebssystems erforderlich sind, braucht der Server. Was du brauchst, kommt immer drauf an, was du willst. Persönliche Empfehlungen für deinen Kenntnisstand: Finger weg von den Diensten.
Ich habe nichts unnötiges installiert. Chrome, IIS, PHP, MySQL sollen weiterhin laufen und Webseiten erreichbar bleiben.
Chrome dürfte auf einem Server unnötig sein, denn es ist keine Workstation zum surfen (erhöht potentiell und theoretisch auch die Möglichkeit sich was einzufangen, was die Sicherheit des Systems beeinträchtigen könnte)
Ist ein Teamspeak-Server-Skript sicher?
Auch hier würde ich mich vage voller Sicherheit zu einem entschiedenen "vielleicht" hinreißen lassen.
Wird das automatisch geupdatet?
Kommt auf das Script an. Vermutlich eher nicht.
Ist das auch ein "Loch" um in den Server zu kommen?
Möglicherweise ja. Wie gesagt: 100%ige Sicherheit gibt es nicht.
Wo kann ich im Server USB- und DVD-Laufwerk deaktivieren?
Im Gerätemanager, macht aber keinen Sinn. Man könnte sie ausblenden und den Zugriff sperren, damit andere User bspw. bei Terminalservern nicht darauf zugreifen können. Ich gehe davon aus, dass du der einzige Nutzer bist, also warum das Ganze?
Ist FTP mit vorinstalliert bei einem Windows-Server 2012?
Kannst du im Rahmen der IIS Serverrolle nachinstallieren. FTP ist teil von IIS bei Windows. Alternativ sind natürlich auch Anwendungen von Drittanbietern denkbar.
Was mir auffällt ist, dass du doch noch sehr viele grobe Wissenslücken in dem Bereich hast. Ich rege daher an zu überlegen, ob der Betrieb eines öffentlich zugänglichen Windows Servers, der monatlich vermutlich Miete kostet, wirklich sinnvoll für dich ist. Evtl. solltest du ersteinmal lokal auf deinem PC testen. Der IIS ist auch Bestandteil von Workstation Windows Betriebssystemen und kann dort über die Softwareverwaltung installiert werden. Firewall und Co. sollten von der Konfiguration ebenfalls relativ ähnlich sein, sodass du damit evtl. ersteinmal etwas üben könntest. Und solltest du den Server wirklich nur für Wordpress benötigen, nehme doch besser ein Website-Hostingangebot in Anspruch (wie bspw. lima-city). Dort brauchst du dich dann nur um die Sicherheit von Wordpress, nicht aber noch um die Sicherheit des Systems, kümmern.
Beitrag zuletzt geändert: 12.5.2015 21:37:07 von thoba -
werbeparadise schrieb:
Angenommen mein Server hat ein "Loch" wegen Wordpress und es kommt ein Angreifer rein und er baut Mist, hab ich dann auch zu Haften bei Schäden?
Ich sage es mal so: Ein Server hat nie ein Loch WEGEN Wordpress. Wenn eine unsichere Version von Wordpress einen Schaden am Server anrichten kann, hatte der Server vorher schon ein Loch.
Bist Du Betreiber beider Instanzen, also von Server und Wordpress, stellt sich nur noch die Frage, welchen Grad an Fahrlässigkeit es im Betrieb bedurfte, um den Schaden (gemeint ist dabei der Schaden, der anderen entsteht.) zu ermöglichen. Wer sollte außer dir da haften? Wenn jemand versucht, dich in Regress zu nehmen, entscheidet letztlich eh ein Richter darüber, ob dir hinreichendes Fehlverhalten unterstellt werden kann. Und wie üblich gilt: Bei Gericht bekommt man kein Recht, sondern ein Urteil.
Oder ist es sicherer, wenn ich eine Seite entweder selber schreibe mit HTML oder mit einem Homepage-Baukasten-Programm? Sprich ohne Login und Datenbänke. Aber wie können dann Autoren Artikel schreiben? Gibt es da keine andere Lösung, als ein CMS zu verwenden?
Klarr gibt es die andere Lösung. Die Frage ist, ob dir diese Möglichkeiten genehm wären. Eine wäre z.B. daß Du dir die Artikel von deinen Autoren als Rohtext per Email schicken läßt und selbst einpflegst.
Wenn ein Autor Artikel schreiben können soll, müßte er, wenn man nicht so schräge Wege geht, wie gerade benannt, auch schreibenden Zugriff haben.
Ob Du es schaffst, ein derartiges System sicherer zu gestalten, als z.B. Wordpress, kann ich nicht beurteilen. Auf Grund deiner Fragestellung tendiere ich aber dazu, es zu verneinen.
-
Hallo,
soll das dann in der Firewall so aussehen: http://fs2.directupload.net/images/150513/l8hzcyp2.png ? Oder war was anderes gemeint? Sind somit wirklich alle Ports dicht, außer dafür wo es eine Regel gibt? Wie sieht es mit ausgeschalteter Regel aus? Machen die nichts oder soll ich diese anmachen und alles auf "blockieren" stellen?
Aber wenn ich den MySQL-Port zu mache, sollte ich doch von extern nicht auf die Datenbank zugreifen können mittels "PHPmyAdmin" oder wie, häh? Oder ist damit gemeint, dass z.B. Wordpress, dass auf Lima-City gehostet wird, nicht auf die Datenbank von meinem vServer zugreifen kann? Das blicke ich noch nicht wirklich. Hab dazu, um den Port dicht zu machen, eine neue Regel erstellt.
Hab da noch "WWW-Dienste" gefunden, welche für Port 443 (https-Anfragen) zuständig sind. Wenn ich kein SSL-Zertifikat habe, soll ich den Port zu machen oder offen lassen? Also wären theoretisch die Webseiten nicht richtig verfügbar, weil nur Port 80 offen ist? Wenn Port 443 zu wäre und ein User https://domain.de aufruft, bekommt er dann eine Meldung, dass die Seite nicht verfügbar ist? Wenn der Port 443 offen wäre und man die Seite mittels https:// aufruft, kommt die Meldung im Browser, dass die Seite kein SSL-Zertifikat hat?
Chrome dürfte auf einem Server unnötig sein, denn es ist keine Workstation zum surfen (erhöht potentiell und theoretisch auch die Möglichkeit sich was einzufangen, was die Sicherheit des Systems beeinträchtigen könnte)
Wenn das unnötig ist, wie kann ich dann Sachen herunterladen? Bisher hab ich das so gemacht, dass ich auf meinem Privaten PC gesucht habe, den Link kopiert und im Browser vom Server eingefügt habe. Es ist aber auch noch der Internet-Explorer installiert. Reicht es, wenn ich die Browser einfach deaktiviere oder muss ich die wirklich Deinstallieren?
Du könntest das Konto temporär sperren
Also hätte ich, wenn ein Fremder das Konto temporär sperrt, aufgrund falscher Anmeldedaten, auch keinen Zugriff mehr? Oder wird nur die IP des Fremden blockiert?
Im Businessbereich kann man auch statische IP-Adressen erhalten, aber dann wird deine monatliche Rechnung sicherlich ein paar hundert Euro teurer.
Schade
Bringt meistens eine verschlüsselte Festplatte. Wichtig, wenn sie mal geklaut oder entsorgt wird und keiner die Daten lesen soll. Ich glaube das kannst du dir in dem Fall sparen.
Du sagst "klaut" oder "entsorgt wird": Wenn jemand ins Rechenzentrum einsteigt und die Server inklusive Festplatten mitnimmt, hat er dann meine ganzen Daten? Oder hat sich das Rechenzentrum schon um die Sicherheit, sprich Verschlüsselung, etc. gekümmert?
Oder sind das Selbstzerstörende Festplatten, die bei Entwendung alles völlständig mit Müll überschreiben?
So, falls ich noch dringend etwas zum Thema "Sicherheit" wissen muss, dann schreibt es mir
Beitrag zuletzt geändert: 14.5.2015 9:26:57 von werbeparadise -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
