[Windows Server 2012R2] Sicherheit, was beachten ?

Moin,


Ich betreibe schon seit ca. 2 1/2 Jahren einen kleinen Server Zuhause, dank MSDNAA bzw. jetzt Dreamspark vorerst mit Windows Server 2008R2 und nun mit 2012R2, anfangs nur als DHCP, Domaincontroller und Fileserver aber die Neugier was noch so möglich ist hat mich weiter experimentieren lassen, mittlerweile dient der Server als DHCP, Domaincontroller, Fileserver, DNS Server, HTTP Server, FTP Server,TS3 Server, Backupserver, Mediaserver, VM Server, owncloud und VPN Server (PPTP), um das Thema Sicherheit habe ich mir nie all zu große Gedanken gemacht aber das soll sich jetzt ändern, schließlich will ich nicht das mein Server irgendwann Spam schleudert oder gar einem Botnet angehört.

Zu Fernwartung habe ich Teamviewer installiert so wie den RDP Port in der Firewall frei gegeben, warum ?
Manchmal zickt Teamviewer rum und wenn ich dann irgendwo bin wo VPN geblockt ist komme ich per RDP so auf den Server.

Geöffnete Ports sind:

HTTP, FTP, jegliche Ports für TS3, pptp, https und RDP, des weiteren habe ich 2 kostenlose Dyndns Domains von verschiedenen Anbietern

Als Firewall dient eine Fritzbox 7390 (Firmware wird immer aktuell gehalten) sowie die Windows Firewall.
Windows Updates werde auch regelmäßig gemacht.
Als Vireprogramm habe ich nur MS Security Essentials, alles andere ist für den Privaten Gebrauch einfach zu teuer, jegliche Endgeräte in meinem Netzwerk haben Kaspersky oder Avast installiert.

Das Admin Passwort besteht aus 8 Zeichen darunter Groß und Kleinbuchstaben, Zahlen und Sonderzeichen (Sollte reichen oder?)

Die Frage ist jetzt was ich noch machen kann um den Server besser ab zu sichern oder ob das schon reicht.

ein geöffneter RDP-Port nach aussen ist eine ganz schlechte Idee. Ebenso ist FTP unsicher, das sollte komplett deaktiviert werden.

Das mit RDP hab ich mir auch schon gedacht aber Teamviewer ist doch im Prinzip das selbe oder ?
FTP Nutze ich schon häufig, vorallem wenn ich mal unterwegs bin und irgendwelche größeren Daten brauche.
Beim FTP habe ich auch eingestellt, das man z.B. keine .exe Datein uppen kann.

Moin,

was du noch machen könntest wäre z.B. dein Passwort höher ansetzen auf 12 - 16 Zeichen.
Dann wäre da noch Bitlocker über alle Platten, gibt es eine gute Anleitung für im Netz, auch ohne TPM möglich.

Niemals mit dem eigentlichen Adminkonto arbeiten sondern ein neues anlegen und mit diesem arbeiten, am besten das standard Adminkonto deaktivieren oder nicht nutzen.

Firewallports einfach zu öffnen ist fahrlässig. wenn du schon Teamviewer nutzt mach RDP dicht.

Weniger ist mehr in Security Settings.

anstat mit FTP zu arbeiten überlege mal mit verschlüsselten Dropbox, OneDriver oder ähnlichen zu arbeiten. kannst deinen Daten damit immer gleich halten und an alle Geräte abrufen die es entschlüsseln können.

Kannst du dafür nicht auch Owncloud nehmen?
Wenn du das eh auch schon betreibst sollste das ja keinen großen Unterschied machen.

RDP würde ich persönlich auch nicht ins Netz freigeben.
Bei Teamviewer stellt dein Computer eine verschlüsselte Verbindung zum TV-Server her, genauso wie dein Server auch.
Deshalb ist es dort auch nicht nötig einen Port zu öffnen, da die Verbindung von innen nach außen initiiert wird.

Ansonsten bin ich auch kein großer Fan vom IIS.
Oder was benutzt du als HTTP-Server?
Vielleicht kommt das bei mir aber auch nur von den alten Versionen und in der Zwischenzeit taugt der auch etwas.

Im Endeffekt gibt es kein Sicher/Unsicher in unterschiedlichen Gewichtungen. Sobald eine Kiste ein Fuss im Internet hat, ist sie angreifbar.

So ist FTP oder Teamviewer nicht unsicherer als ein offener HTTP Port. Wenn da jmd ran will, schafft er/sie es auch.

Worauf du achten solltest, sind quasi offene Türen auf dem Server selber, also so klassiker wie Flash, Java, etc.

Den RDP Port kannst du aber anpassen, sprich in der Fritze zm. per Forwarding einen anderen Port nehmen, der dann auf den Server leitet. Für FTP ebenfalls. So rennen die ersten Skripte gegen die Wand.

Außerdem wäre es nicht verkehrt, gewisse Dienste auszulagern, damit nicht alles direkt angreifbar ist.

lg
fire

Zumindest kannst du ja auch den Port für FTP ändern. Aus meiner Sicht ist auch alles besser als MS Security Essentials. Wie wäre es mit Qihoo? Qihoo 360 CHIP

Okay also RDP habe ich deaktiviert, owncloud kann ich für größere Datein nicht nutzen, weil es unter Windows einfach beschissen läuft, ich habe ewig dran rum gemacht aber bei größeren Datein so ab ca. 400-500mb bricht es einfach irgendwann ab, ich werde wenn ich Zeit habe auf Seafile umsteigen.
IIS Nutze ich, finde ich persönlich auch nicht schlecht, darauf läuft bei mir owncloud, die Homepage von meinem TS3 server, das TS3 Adminpanel sowie ein paar kleine Testseiten.
Ich guck mal ob ich beim FTP dem User nur Downloadrechte geben kann, das sollte ja erst mal reichen oder ?

@hellF!RE

Das ist mir auch bewusst, allerdings läuft auf Windows Server nahezu nichts was auch auf Endgeräten läuft und die Professionellen Server Antivirenprogramme kosten einen A**** voll Geld.
In der Kompatibilitätsliste bei Chip von Comodo ist Server auch nicht aufgeführt, sogar für Security Essentials musste ich in die Trickkiste greifen um es auf dem Server lauffähig zu bekommen.

Edit:

Ich sehe gerade, ich habe dem FTP User schon nur Leserechte gegeben.
FTP Port werde ich dann ändern.

@firexs
Was meinst du genau mit Dienste auslagern ?

@TronixS


Bitlocker wollte ich auch installieren, allerdings bringt das doch nur was wenn jetzt jemand Platten aus meinem Server klaut und sie versucht bei sich an zu schließen.
Oder verstehe ich da was falsch ?
Per SMB kann ich dann aber noch ganz normal auf die Netzläufe zu greifen oder ändert sich da was ?

Ich meinte, wenn ich deine Liste oben lese, das du bestimmte Dienste auf einen anderen Server verlagern kannst. Kennst dich ja aus mit Virtualisierung, da kann man doch fix noch eine weitere Maschine erstellen, die zB. für RDP/Teamviewer dient, so das man von aussen nur indirekt auf deinen Server kommt.

lg
fire

Ja das stimmt, Problem an der Sache ist, wenn ich eine VM schon drauf habe ist der Server ganz gut bedient, da die HW auch nicht mehr die aktuellste ist, wenn ich irgendwann aber mal aufrüste, dann werde ich das auf jeden Fall machen.
Dann werde ich auch eine DMZ erstellen für den HTTP Server usw.
Aber das ist momentan leider noch nicht drinnen.

Das wichtigste wäre die einzelnen Dienste nicht als Admin oder System laufen zu lassen sondern Benutzer mit genau den passenden Rechten anzulegen. Dann kommt jemand der eine Lücke in dem Dienst nutzen kann nicht sehr viel weiter außer er hat gleich auch noch ne passende Privilege Escalation Lücke parat.

RDP nach außen stellt erst mal kein Problem dar, der Dienst läuft nicht mit sehr hohen Rechten. Das Passwort könnte aber etwas länger sein.

Was Bitlocker bringen soll weiß ich nicht, das hilft dir nur wenn jemand einbricht und dir die Büchse klaut.

Ansonsten natürlich alles regelmäßig absichern und potentiell unsichere Software komplett meiden (Flash, Java, Acrobat Reader). Damit haben die meisten mit gekauftem Virenbaukasten oder Metaploit Kenntnissen keine Chance mehr.

So ich fasse mal zusammen:

RDP Schließen - Check
Passwort höher ansetzen - Wird gemacht
Bitlocker - Werde ich mich auch dem nächst mit auseinander setzen
Statt FTP Dropbox etc. - FTP Port wurde geändert und User hat nur leserechte, wird erst mal so bleiben und sich evtl. ändern wenn ich ownloud durch Seafile ersetzt habe
IIS - Bleibt auf jeden Fall wie es ist
Virenprogramm - Da ist mir MS Security Essentials lieber als der Chinakram.
Dienste auslagern/user für bestimmte Dienste anlegen - Wenn neue HW vorhanden ist mit mehr Leistung werde ich das in Angriff nehmen.
Admin Konto Deaktivieren - Werde ich dann auch dem nächst machen.

bzgl. Admin Konto deaktivieren, wenn ich einen anderen User mit Adminrechten habe, macht das doch gar keinen Unterschied oder ?

Hi,

ich würde ein zusätzliche Konto mit einem anderen Namen und Administrationsrechten anlegen, da viele Angriffsversuche eben auf die Benutzernamen "Administrator" oder "Admin" verübt werden. Das originale Administratorkonto würde ich dann deaktivieren.

Okay, jetzt verstehe ich denn Sinn wegen Adminkonto deaktivieren.

Ich weiß, dass der Thread etwas älter ist, aber die Diskussion passt gerade zu meiner Frage. Meine Frage ist nämlich: was macht RDP so unsicher?
Nehmen wir mal an, dass für ein System folgende Maßnahmen getroffen wurden:
- RDP Port liegt irgendwo zwischen 20000 und 30000
- das Passwort vom RDP-Benutzer ist 25 Zeichen lang
- die Verwendung von TLS 1.0 und NLA wird erzwungen
- meldet sich ein Account 3 mal falsch an, wird er für einen Tag gesperrt
- Updates werden regelmäßig eingespielt

Nach meinem bisherigen Verständnis ist RDP dann nur über bisher nicht öffentlich belannte Sicherheitslücken angreifbar (https://www.heise.de/security/meldung/Praemie-fuer-Windows-RDP-Exploit-1473191.html).

Oder ist ein Problem bekannt, was bisher nicht gefixxt wurde, wodurch eine Person mit einem überschaubaren Zeitaufwand einen RDP-Zugang knacken kann, auf welchem die oben gelisteten Maßnahmen umgesetzt wurden?

ich habe auch webserver und ftpserver eingerichtet.
Ohne Firewall Software anzuschaffen, reicht mir sftp aus