Windows Server 2012 Härten

2012. Basisschutzmodul Windows Server 2008 R2. Anweisungen zum Härten von Betriebssystemen.

¿Wie kann ein Server abgesichert werden?

Wenn Sie einen Server betreiben, der der Allgemeinheit zur Verfügung gestellt wird, ist die Sicherung nicht immer einfach. Schon der geringste Irrtum kann dazu fÃ?hren, dass die Anlage kompromittiert und Kundendaten oder eigene Angaben mitgenommen werden. Von Zeit zu Zeit werden diese Server für andere strafrechtliche Verwendungen mißbraucht.

Dies wird allgemein als Server-Härtung oder Server-Härtung bezeichnet. Fettdrucke in der To-Do-Liste werden im Beitrag abgedeckt. Hier ist eine kurze To-Do-Liste, damit Sie das Projekt ohne weiteres in Angriff nehmen können. Dieser spezielle Netzbereich isoliert das firmeninterne Netz vom Intranet. Dabei sind mit dieser Aufstellung keine unmittelbaren Zusammenhänge von Innen nach Aussen möglich.

Mir fallen hier zwei Beispiel ein: Im oberen Schaubild sind die numerierten Pfeilen so zu interpretieren, dass der Zugang vom Kunden, über die Brandmauer 2 bis zum Vollmachtgeber ausreicht. Dann übernimmt der Bevollmächtigte die externen Anforderungen und ruft den gewünschten Inhalt ab. Vor der Weiterleitung der gesendeten Informationen überprüft ein Stellvertreter je nach Fähigkeiten und Einstellmöglichkeiten viele verschiedene Vorgänge:

Ein Nutzer kann dort von außerhalb seine eigenen Informationen speichern. Dort kann ein Kunde die gesammelten Informationen ohne Nutzung eines Dienstes im Netz abrufen. Zugleich kann ein externer Nutzer nicht auf ein anderes Gerät im firmeneigenen Netz ausgeben. Die sogenannten Funktionen und Funktionen sind vor allem von Windows Server-Betriebssystemen bekannt.

¿Wie wird das unter Windows gemacht? Wenn Sie ein Betriebssystem absichern möchten, das apt als Dateiquelle nutzt, können Sie mit den nachfolgenden Befehlen beginnen. Im Janotta & Partners EBS Security Teams bietet ich als Kooperationspartner zusammen mit meinen Mitarbeitern Server-Harvesting an. Lasst die Server im Netz also nicht ungeschützt, sondern sichert sie noch heute!

¿Wie kann ein Server abgesichert werden?

Wenn Sie einen Server betreiben, der der Allgemeinheit zur Verfügung gestellt wird, ist die Sicherung nicht immer einfach. Schon der geringste Irrtum kann dazu fÃ?hren, dass die Anlage kompromittiert und Kundendaten oder eigene Angaben mitgenommen werden. Von Zeit zu Zeit werden diese Server für andere strafrechtliche Verwendungen mißbraucht.

Dies wird allgemein als Server-Härtung oder Server-Härtung bezeichnet. Es ist unter Windows ein leichter, wie das folgende Videofilm zeigt: Da ich nicht jeden Linux-Geschmack hier aufzählen möchte, möchte ich Sie hier umleiten: Wenn Sie einen aktiven Vorgang nur von Hand stoppen wollen, sind die folgenden Befehle sicherlich hilfreich. Es funktioniert unter jedem Linux: Um einen Vorgang zu stoppen, der einen Service ausführt, den Sie nicht wollen, gibt es auch eine elegante Möglichkeit.

Zunächst müssen Sie wissen, welche Prozess-ID Ihr Zielperson ist: Wenn das nicht funktioniert oder helfen soll, ist auch der folgende klassische Fall möglich: Nun kann der Prozess abgeschlossen werden: Hier, in der Tiefgründigkeit und in den Einzelheiten, wird es schwer sein, weil jeder Service anders ist und seine Daten über andere Kanäle weitergibt.

Es gibt unter Windows mehrere Methoden, um zu verhindern, dass RDP-Sitzungen von aussen ablaufen. Man blockiert also lediglich den dafür notwendigen Port 3389. Das bedeutet, dass kein Rechner vor der Brandmauer auf die RDP-Schnittstelle unter Windows Zugriff hat. Ich kann diese Arbeitsschritte jedoch nicht im Einzelnen erläutern, da jede einzelne Brandmauer unterschiedliche Konfigurationspfade hat.

Ein anderes Verfahren wäre, den Service Abhören auf Port 3389 zu deaktiveren. Dies wird in Windows über die Dienstverwaltung gesteuert. Hier müssen Sie den Remote Desktop Services-Dienst suchen und sehen, wie er eingerichtet ist. Das heißt, dass Windows den Service in der Regel nicht beim Booten ausführt.

Um den Service jedoch zu deaktivieren, muss das Eigenschaftsfenster des Service mit einem Klick der rechten Maustaste geöffnet werden: Sie können nun in diesem Dialogfenster wählen, wie der Service ausgeführt werden soll. Es ist am besten, den Service auf Disabled zu setzen. Bei Akzeptieren müssen Sie nur noch bestätigen und der Service ist inaktiv.

Bei Linux haben Sie in der Regel eine Fernsteuerungsoption über den Anschluss 22. Dieser Anschluss wird normalerweise vom SSH-Server verwendet. Wie bei Windows (RDP) kann die Fernbedienung über SSH über die Brandmauer eingestellt werden. Läßt die äußere Brandmauer keine Datenpakete auf Anschluss 22 durch, werden die dahinter liegenden Server schont.

Sie können den Port aber auch direkt vor Ort sperren: Mein ausgewähltes Beispiel besteht aus folgendem: -j DROP: Die letzte Handlung, die ausgeführt wird, wenn alle vorhergehenden Fenster etwas bemerken. Bei uns fallen die Datenpakete weg, damit wir sie nicht weiterleiten. Der private Key wird vom Kunden aufbewahrt, da er zur Entschlüsselung von Dateien verwendet wird.

Der Server kann nun nach erfolgter Konfigurierung die über SSH an den Kunden gesendeten Dateien so chiffrieren, dass nur der entsprechende Kunde die gesendeten Informationen einsehen kann. Im Janotta & Partners EBS Security Teams bietet ich zusammen mit meinen Mitarbeitern Server-Harvesting an. Lasst die Server im Netz also nicht ungeschützt, sondern sichert sie noch heute!