Server 2008r2 "Härten"

[Slavefighter 10]

Hallo zusammen,

 

Wir haben in der Gruppe das Thema "Windows härten" (sicher machen) bekommen.Sprich ein Server soll soweit sicher gemacht werden,dass es fast unmöglich ist für Malware oder eben auch unbefugte Personen,etwas an dem Server zu zerstören.

 

Bisher haben wir schon einige Sachen zusammengetragen:

 

Update / Service Packs

Dienste /Rollen und Features so gering wie möglich halten.

Wie wird er Administriert.(Remote etc)

Welche Zugriffsmöglichkeiten soll es geben(Wieviele admins etc,Kontorichtlinien)

 

Was könnte oder müsste noch speziell beachten?

Wie könnte man den Administrativen aufwand am sichersten betreiben?

 

Wenn der ein oder andere ein paar Tipps und Tricks kennt,immer her damit.

 

Regards

 

Slave

 

PS: Ich möchte natürlich nicht das jemand meine / unsere Arbeit macht, geht mir rein um Erfahrungen oder auch Tipps.

[NeMiX 76]

Windows Server 2008 Security Guide Wäre der erste Ansatz.

 

An den Diensten würde ich wenig "rumschrauben", die meisten haben eine sinnvolle Funktion.

[RHaneberg 10]

Das Bundesministerium für Sicherheit in der Informationstechnik ist auch eine gute Anlaufstelle für solche Themen

 

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html

[Dukel 436]

Seit Srv 2003 gibt es unter Windows den SCW (Security Configuration Wizard). Damit kann man (abhängig von den installierten Diensten und Programmen) diverse Einstellungen anpassen.

 

Das Ding hat aber seine Grenzen und Probleme und man kann das meiste, was dort konfiguriert wird, per GPO Konfigurieren -> auf Testmaschine ausführen, Ergebnis anschauen und dieses per GPO umsetzen.

[RHaneberg 10]

Was mir noch einfallen würde wäre der Security Compliance Manager 2.5

 

dort lassen sich für Win7 und Server 2008/R2 die Security Baselines von Microsoft runterladen und bearbeiten. Dort kriegt man auch nochmal nen sehr guten Eindruck und Überblick über die von MS empfohlenen Sicherheitseinstellungen:

 

Download: Security Compliance Manager - Microsoft Download Center - Download Details

 

Sicherlich werden auch massiv Überschneidungen mit SCW und dem Security Guide sein. Aber man kann ja nie zuviel Informationsquellen haben ;)

[Slavefighter 10]

Schonmal Vorab Dankeschön

 

Sind sehr gute Sachen dabei die in Diverse Test einfließen werden.

 

Dickes Dankeschön an alle Poster

 

 

Regards

 

Slave

[lizenzdoc 198]

Hi,

ich sehe das ja immer „flankierend“ mit der Lizenz-Brille. Alle Select-, Select-Plus- und EA-vertrags-Kunden haben hier vs. den OPEN-Kunden einen großen Vorteil:

 

Select-Vertrag (Agreement) Seite-7: (abgetippt)

b. Kopien für Schulung, Bewertung und Sicherung. Das registrierte Verbundene Unternehmen ist berechtigt,

(1) bis zu 20 zusätzliche Kopien eines Produktes in einer Schulungseinrichtung auf seinem Betriebsgelände zu nutzen,

(2) bis zu 10 zusätzliche Kopien eines Produktes für einen 60-tägigen bewertungszeitraum zu nutzen und

(3) für jede seiner geografisch eigenständigen Geschäftsstellen eine zusätzliche Kopie eines jeden lizenzierten Produktes für Sicherungs- oder Archivierungszwecke zu nutzen.

 

Anm.:

Bewertung = Test

 

Produkt: Office-STD u. Office-Pro sind 2 unterschiedliche Produkte und zählen jeweils für sich selbst!

So auch WIN-SVR-STD /EE/DC oder auch SQL-STD/BI/EE/DC …

Sollte also jedem reichen, oder?

 

Wenn man nach dem 60-tägigen Test noch nicht genug vom Testen hat … deklariert man diesen dann als Admin-Schulungs-Szenario … smile* (Bis dato noch bei keinem Audit durchgefallen!)

 

Microsoft verbietet nicht, dass die Test-/Schulungs-Szenarien innerhalb des produktiven Netzwerkes befinden … aber man sollte sich das immer vorher gut überlegen, was da passieren könnte.

 

VG, Franz

[ChristianZ 10]

@lizenzdoc: falscher Thread, oder?

[lizenzdoc 198]

hi,

@ChristianZ: nicht wirklich!

Ich wollte denen, die das ganze testen, schulen, nutzen müssen/wollen nur aufzeigen,

dass man vertraglich u. lizenzrechtlich dieses auch sauber/complient lösen kann/darf.

Und da sehe ich es als hilfreich/sinnvoll an dies an den direkten relevanten Beitrag zu heften,

anstatt einen eigenständigen Beitrag irgendwo(im Lizenzforum) zu setzen.

(innerer Zusammenhang und so ...)

 

Manche EA-Select-Kunden kaufen sich "Testlizenzen" oder arbeiten mit Trailversionen

und das muss ja nicht sein, oder?

 

VG, Franz

bearbeitet 4. September 2012 von lizenzdoc

[Slavefighter 10]

Huhu Lizenzdoc,

 

ich steh grad auf dem Bahnhof,würdest du mich da abholen :D.

Ich versteh grad nich so ganz den zusammenhang, gehst du jetzt von den versionen aus oder geht es Lizentechnisch um verschiedene Aspekte.

 

Nur versteh ich da nich den causalen zusammenhang zwischen Sicherheit und dem Post von dir.

 

 

Regards

 

Slave

[dmetzger 10]

Was könnte oder müsste noch speziell beachten?

 

Kein Internetzugang im administrativen Kontext, weder von Verwaltungsstationen (RSAT) noch von den Server direkt.

[Stefan W 14]

Eventuell noch, dass du per Firewall so einschränkst, dass nur gewisse Computer bzw Subnetze den Server verwalten können.

 

Generell kannst du die FW des Servers auch so einstellen, dass er alles blockt, und nur das was du wirklich benötigst öffnest.

lg