ComputerBase Menü
Aktuelles

Sicherheitsbedenken: Systemhaus öffnet Port dauerhaft für Fernwartung via RDP

Noch mal bzgl. der RDP-Portweiterleitung, um vielleicht ein wenig Wind aus den Segeln zu nehmen: Hat die Weiterleitung in einer Firewall (vorgeschaltete FW; Windows-GW) eine Kondition, dass die Weiterleitung nur für bestimmte Quell-IPs (statische IP(s) des Systemhaus) gelten soll?

edit: Ach nee, hattest du schon geschrieben.

1) Backuptool auf unserem Server sichert auf eine SMB Freigabe der internen Platten des QNAPS (X: )
2) Backuptool auf unserem Server sichert Inhalt der SMB Freigabe des QNAPS (X: ) auf eine externe am QNAP angeschlossene Platte, für die auch eine SMB-Freigabe auf den Server gemappt ist. (Y: ) Also (X: -> Y: ). Die externen Platten werden täglich durchgewechselt und vom Chef daheim gelagert, 5 sind vorhanden.
Zum Vergrößern anklicken....

Sicherungen auf eingebundene Netzlaufwerke sind spätestens seit dem Aufkommen von Kryptotrojanern absolutes Bubu. Das impliziert nämlich dass der am Server angemeldete Benutzer Schreibrechte ins Backup-Ziel hat.
Folgendes Szenario ist bereits heute ein moderner Klassiker: Da wird mangels Disziplin auf dem Server rumgesurft, Kryptrojaner wird eingefangen, und der überschreibt die Backups. Denn der Krypto arbeitet ja in der Berechtigungsebene des angemeldeten Users, und der hat halt Schreibrechte.

Keine halbwegs ernstzunehmende Backup-Software benötigt überhaupt einen Laufwerksbuchstaben zum Schreiben auf Shares. Das können die alle (!) auf FQDN\NETBIOS.

Jetzt könnte es natürlich auch sein (auf den ersten Blick nicht zu erkennen) dass X: nicht mit Schreibberechtigungen, sondern nur mit Lese-Berechtigung eingebunden ist und das Backup-Tool im Hintergrund mit einem nur ihm bekannten dedizierten Backup-User auf das Backup-Share vom Qnap sichert, in das auch nur der Backup-User Schreibberechtigungen hat - sonst niemand. Auch nicht der Qnap-Admin.
Dass X: mit Leseberechtigungen eingebunden ist lässt sich vielleicht dadurch erklären dass dadurch recht schnell festgestellt werden kann ob die Backups laufen und dass damit eine ggf. nötige Wiederherstellung schneller vonstatten gehen kann - wenn auch nicht viel schneller. Vielleicht macht das Backup-Tool auch darüber die Backup-Kopie auf die externe Festplatte, daher die Leserechte.
Das Szenario halte ich aber für unwahrscheinlich. Sagt mir Ockham.

Dass die Backup-Kopie anschließend vom zu sichernden System aus wieder aus dem Repository gezogen und dann auf die ext. HDD geschrieben wird die am Repository hängt ist bei eurer Struktur (ohne dedizierten Backup-Server) aber komplette Banane. Da ist der Server nach dem eigentlichen Backup noch mal damit beschäftigt Daten von hier nach da zu kopieren; ggf. reicht der Copy-Job noch in den Arbeitstag rein, wenn der Server eigentlich schon wieder produktiv genutzt werden soll.
Besser: Das QNAP synct das Backup-Verzeichnis selber auf die ext. HDD(s). Und schickt eine E-Mail wenn fertig. Die Timings der beiden Backup-Sync-Jobs müssen aber natürlich mal durchgetestet werden, damit die sich nicht kreuzen. Das QNAP kann ja gerne werktagsüber den Sync auf die HDD machen.

Aus persönlicher Erfahrung kann ich nur hinzufügen, dass solche Kleinstprojekte selten mit dem Kunden richtig abgesprochen werden. Dazu fehlt den meisten Kunden jegliche Kompetenz und Verständnis. Wäre sie beim Kunden vorhanden, könnte er die Aufgabe in vielen Fällen selbst übernehmen. Deshalb basiert so eine Einrichtung auch auf einem gewissen Vertrauen und man definiert grob die Punkte die erreicht werden sollen.
Zum Vergrößern anklicken....

Ack. Ich würde aber erwarten dass das Systemhaus nicht mit Verfahren arbeitet die entweder seit mehreren Jahren nicht mehr Best Practice sind oder noch nie Best Practice waren.
Der TE fragt ja gerade nach einer zweiten Meinung.

Wenn in deinem Beispiel der TE sieht dass die Maler einen leeren Eimer mit "Bleifarbe"-Beschriftung haben rumstehen lassen, ist es dann gerechtfertigt den TE anzugehen weil der den Maler nicht vorher gefragt hat ob dieser Bleifarbe verwendet?

-Das "Backup-Tool" riecht förmlich nach einem robocopy-Hack, oder einem simplen Sync-Tool, wenn es mit eingebundenen Netzlaufwerken arbeitet
-Schreibberechtigungen ins Backup-Repository scheinen nicht sauber begrenzt
-Möglicherweise läuft das Backup gar nicht wenn kein User angemeldet ist (bitte mal prüfen)
-RDP-Zugang nicht beschränkt; ein ausgewürfelter Port ist keine Sicherheit; erst recht nicht in dem niedrigen Bereich (gerne mal in die Ereignisanzeige -> Sicherheit schauen ob da schon Anmeldeversuche zu sehen sind...)
-VPN - anscheinend ein Ding der Unmöglichkeit (wtf!)
-Potential der Hardware nicht ausgenutzt (Qnap)

+multiple externe HDDs, wenn auch umständlich (wäre mglw. zielführender die Platten direkt am Server mit USB3 anzustöpseln statt sich den potentiellen Gigabit-Flaschenhals reinzuholen)

Ein paar Dinge die mich noch persönlich interessieren würden:
-was ist das für ein Server 2016? also welche Edition (Essentials, Standard, Datacenter)?
-habt Ihr eine Windows-Domäne?
-wenn Domäne, welche Benutzer sind in der Gruppe "Domänen-Admins" eingetragen?
-ist der Begriff "Logon-Script" in Zusammenhang mit Netzlaufwerken gefallen?
-haben die Alltags-Accounts der User auf den PCs Admin-Rechte ( sprich muss ein Passwort eingegeben werden wenn ein Programm installiert wird)?
-was "macht" der Server generell, also was sind seine Aufgaben?
-ist IPv6 in den Eigenschaften des Netzwerkadapters am Server abgehakt?
-beziehen die PCs bei euch IP per DHCP? Wer macht DHCP?
-Thema RDP: Systemsteuerung -> System -> Remoteeinstellungen - ist das Häkchen bei "Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (empfohlen)" angehakt?
-sind E-Mail-Benachrichtigungen am Qnap eingerichtet?
-was ist das für ein "Backup-Tool"?
-bekommt Ihr in irgendeiner Form Benachrichtigungen vom Backup-Tool, oder muss händisch nachgeschaut werden ob Backups gelaufen sind?


Ob du dann einen RDP Port offen lässt oder TeamViewer dauerhaft auf Server installieren lässt ist genauso sicher/unsicher.
Zum Vergrößern anklicken....
Nicht wirklich.
 
Zuletzt bearbeitet:
Besten Dank für die ausführliche Antwort.


-was ist das für ein Server 2016? also welche Edition (Essentials, Standard, Datacenter)?
Standard
-habt Ihr eine Windows-Domäne?
Ja
-wenn Domäne, welche Benutzer sind in der Gruppe "Domänen-Admins" eingetragen?
Nur der Adminaccount selbst, welcher nur für Installationen, Updates usw. genutzt wird
-ist der Begriff "Logon-Script" in Zusammenhang mit Netzlaufwerken gefallen?
Logon Scripts sind keine bei den Usern angelegt. Die User sind mit drei verschiedenen Netzlaufwerken dauerhaft verbunden. Die Backupfreigabe des NAS ist nicht dabei.
-haben die Alltags-Accounts der User auf den PCs Admin-Rechte ( sprich muss ein Passwort eingegeben werden wenn ein Programm installiert wird)?
Keine Adminrechte
-was "macht" der Server generell, also was sind seine Aufgaben?
SQL-Server, normaler Fileserver, DHCP-Server
-ist IPv6 in den Eigenschaften des Netzwerkadapters am Server abgehakt?
Ja
-beziehen die PCs bei euch IP per DHCP? Wer macht DHCP?
DHCP ist bei den Clients aktiviert, der Server verteilt die IPs
-Thema RDP: Systemsteuerung -> System -> Remoteeinstellungen - ist das Häkchen bei "Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (empfohlen)" angehakt?
Nein
-sind E-Mail-Benachrichtigungen am Qnap eingerichtet?
Nein, alles was konfiguriert wurde sind soweit ich das sagen kann die beiden SMB-Freigaben für das Backup
-was ist das für ein "Backup-Tool"?
Second Copy 7.1 Klein aber fein, für uns völlig ausreichend. Ein Script schaltet vor dem Backup des SQL aus und danach wieder ein. Läuft seit Jahren ohne Probleme. Der Chef hat sich letzten Mai als wir noch den alten Server nen Crypto eingefangen und wir konnten alles wunderbar wiederherstellen.
-bekommt Ihr in irgendeiner Form Benachrichtigungen vom Backup-Tool, oder muss händisch nachgeschaut werden ob Backups gelaufen sind?
Nach einem fehlerhaften Backup wird eine Mail an mich geschickt
 
Zuletzt bearbeitet:
Dann noch ein paar Anschlussfragen:

-was ist das für ein Server 2016? also welche Edition (Essentials, Standard, Datacenter)?
Standard
Zum Vergrößern anklicken....
Habt Ihr CALs?

-ist IPv6 in den Eigenschaften des Netzwerkadapters am Server abgehakt?
Ja
Zum Vergrößern anklicken....
Muss ich glaub ich noch mal konkretisieren:
Ist das Häkchen bei IPv6 drin (also aktiviert), oder ist das Häkchen nicht drin (deaktiviert)?
Wenn deaktiviert -> mal nachfragen warum. Ein "braucht man (tm) nicht" reicht nicht.

-Thema RDP: Systemsteuerung -> System -> Remoteeinstellungen - ist das Häkchen bei "Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (empfohlen)" angehakt?
Nein
Zum Vergrößern anklicken....
Dito, noch mal zur Klärung: Ist das Häkchen drin (aktiviert) oder draußen (deaktiviert)?

Wenn deaktiviert --> Aktivieren. Wenn euer Systemhaus anschließend fragt warum sie nicht mehr per RDP draufkommen, gegenfragen warum zur Hölle noch mit WinXP gearbeitet wird.

Logon Scripts sind keine bei den Usern angelegt. Die User sind mit drei verschiedenen Netzlaufwerken dauerhaft verbunden. Die Backupfreigabe des NAS ist nicht dabei.
Zum Vergrößern anklicken....
Noch ein zwei Sachen:
Werden die Netzlaufwerke per Gruppenrichtlinie bereitgestellt? Oder ist da jetzt tatsächlich jemand hingegangen und hat an 10 PCs 3 Netzlaufwerke händisch hinzugeklickt? (oder noch mehr wenn der PC von mehreren Leuten genutzt wird)

Gibt es Freigaben auf die nur eine bestimmte Benutzergruppe Zugriff haben darf?
Wenn ja - nur nach Rücksprache mit eurem Chef! - , kannst du mal den Zugriff auf diese Freigabe von jemanden aus testen der eigentlich nicht darauf Zugriff haben sollte?
Zu beachten: Nur weil ein Netzlaufwerk nicht eingebunden ist, bedeutet das nicht, dass der User keinen Zugriff auf die Freigabe hätte.

Beispiel: Es existiere eine Freigabe auf dem Server \\server\geschäftsleitung.
Lieschen Müller sei nicht Mitglied der Geschäftsführung; ergo dürfte sie keine Berechtigung haben auf dieses Share zuzugreifen.
Es sei kein Netzlaufwerk namens "Geschäftsleitung" eingebunden.
Testen:
Innerhalb von Lieschen Müllers Anmeldung: Öffne den Windows Explorer, geb in der Adresszeile \\server\geschäftsleitung ein. Kommst du auf die Freigabe -> nachfragen warum das so ist.


-bekommt Ihr in irgendeiner Form Benachrichtigungen vom Backup-Tool, oder muss händisch nachgeschaut werden ob Backups gelaufen sind?
Nach einem fehlerhaften Backup wird eine Mail an mich geschickt
Zum Vergrößern anklicken....
Es empfiehlt sich dringendst auch bei erfolgreichen Backups eine Benachrichtigung anzuschalten. Denn:
Hängt der Dienst sich auf, macht das Programm ebenfalls keine Backups und Ihr bekommt keine Nachricht. Durch das Ausbleiben einer täglichen Mail bekommt Ihr noch am ehesten mit dass etwas nicht läuft.
Das befreit natürlich nicht davor die Backups regelmäßig händisch zu überprüfen. Serieneintrag in den Kalender.

was ist das für ein "Backup-Tool"?
Second Copy 7.1 Klein aber fein, für uns völlig ausreichend. Ein Script schaltet vor dem Backup des SQL aus und danach wieder ein.
Zum Vergrößern anklicken....
Das ist antiquiertes Stück Software bzw. eigentlich das ganze Prinzip dahinter. Es läuft über das Archiv-Bit und anscheinend kennt es auch keine imagebasierte Sicherung/Wiederherstellung. Letzteres ist aber gerade bei Betrieb eines einzelnen Servers dringendst empfohlen, da dadurch bei Ausfall der Hardware der Betriebszustand schnell wiederhergestellt werden kann.
Ist anscheinend alles nur dateibasiert.
Bei Eurer Variante darf nämlich erst mal der Server, die Domäne und alle Programme komplett neu aufgesetzt werden. Da interessiert das Vorhandensein der Rohdaten erst mal nicht.
SQL "ausschalten" passiert durch VSS-Writer. Da muss kein Script mehr laufen.

-sind E-Mail-Benachrichtigungen am Qnap eingerichtet?
Nein, alles was konfiguriert wurde sind soweit ich das sagen kann die beiden SMB-Freigaben für das Backup
Zum Vergrößern anklicken....
Aktivieren. Ansonsten bekommt Ihr nur mit wenn was mit dem NAS nicht stimmt, wenn es bei euch im Büro stehen sollte und Ihr den Info-Signalton hört.

===

Noch ein paar Bonusfragen:

Ist die Windows-Firewall an den PCs und am Server aktiv?

Welche IP-Adresse ist am Server bei den Netzwerkeinstellungen für IPv4 als Bevorzugter DNS-Server eingetragen?

Ihr habt eine Standard-Lizenz von Server 2016. Ist euer eigentlicher Produktiv-Server virtualisiert, oder ist euer Server auf dem Blech direkt installiert?
Wenn virtualisiert (mglw. Hyper-V), gibt es Pläne was mit dem zweiten Virtualisierungsrecht gemacht werden soll?
Wenn NICHT virtualisiert: Warum nicht?

Gab es einen speziellen Grund warum Ihr Server Standard bekommen habt und nicht Essentials?
 
Zuletzt bearbeitet:
Habt Ihr CALs?

2x 5 Device CAL laut Rechnung

Muss ich glaub ich noch mal konkretisieren:
Ist das Häkchen bei IPv6 drin (also aktiviert), oder ist das Häkchen nicht drin (deaktiviert)?
Wenn deaktiviert -> mal nachfragen warum. Ein "braucht man (tm) nicht" reicht nicht.

Habe deine Frage richtig verstanden, aber falsch geantwortet. Der Haken ist drin.

Dito, noch mal zur Klärung: Ist das Häkchen drin (aktiviert) oder draußen (deaktiviert)?

Der Haken ist nicht drin. Haben hier noch einen alten XP-Rechner, der nicht mehr in Benutzung ist und mit dem komme ich auch drauf

Noch ein zwei Sachen:
Werden die Netzlaufwerke per Gruppenrichtlinie bereitgestellt? Oder ist da jetzt tatsächlich jemand hingegangen und hat an 10 PCs 3 Netzlaufwerke händisch hinzugeklickt? (oder noch mehr wenn der PC von mehreren Leuten genutzt wird)

Die ITler haben Logonscripts bei den Usern gesetzt (Netzlaufwerke des alten Servers löschen, neue hinzufügen), die haben aber, obwohl sie richtig geschrieben waren, auch nach einem Reboot der Clients nicht funktioniert. Habe das Script dann händisch auf den Clients ausgeführt und die Logonscripts entfernt. Die beiden hatten es am zweiten Tag gegen Ende relativ eilig, weshalb an den Clients nicht geprüft wurde, ob alles läuft. Musste auch die Drucker neu hinzufügen an allen Clients weil noch die Freigaben des alten Servers verbunden waren.

Gibt es Freigaben auf die nur eine bestimmte Benutzergruppe Zugriff haben darf?

nein

Es empfiehlt sich dringendst auch bei erfolgreichen Backups eine Benachrichtigung anzuschalten. Denn:
Hängt der Dienst sich auf, macht das Programm ebenfalls keine Backups und Ihr bekommt keine Nachricht. Durch das Ausbleiben einer täglichen Mail bekommt Ihr noch am ehesten mit dass etwas nicht läuft.

Guter Einwand, habe ich geändert.

Das ist antiquiertes Stück Software bzw. eigentlich das ganze Prinzip dahinter. Es läuft über das Archiv-Bit und anscheinend kennt es auch keine imagebasierte Sicherung/Wiederherstellung. Letzteres ist aber gerade bei Betrieb eines einzelnen Servers dringendst empfohlen, da dadurch bei Ausfall der Hardware der Betriebszustand schnell wiederhergestellt werden kann.
Ist anscheinend alles nur dateibasiert.

Ist in der Tat ein altbackenes Programm aber die Chance, dass im Server Hardware abraucht und das Raid 1 mit Hotswap (3x600GB SAS) in Mitleidenschaft zieht, schätze ich doch als äußerst gering ein. USV ist natürlich vorhanden und wenn das Büro abfackelt, ist die Neukonfiguration von WS 2k16 das kleinste Problem. Unsere wichtigen Daten nimmt der Chef ja jeden Abend mit.

Ist die Windows-Firewall an den PCs und am Server aktiv?

Ja

Welche IP-Adresse ist am Server bei den Netzwerkeinstellungen für IPv4 als Bevorzugter DNS-Server eingetragen?

Der Server selbst (192.168.0.10)

Ihr habt eine Standard-Lizenz von Server 2016. Ist euer eigentlicher Produktiv-Server virtualisiert, oder ist euer Server auf dem Blech direkt installiert?

Es ist nichts virtualisiert, der SQL Server und die Files befinden sich direkt auf dem Server-OS.

Wenn NICHT virtualisiert: Warum nicht?

Wurde uns nicht vorgeschlagen und ich kenne mich mit dem ganzen Kram nicht so gut aus, dass es mir beim Vorgespräch in den Sinn gekommen wäre. Die haben sich das alte System halt angeschaut und dieses relativ einfache Setup mehr oder weniger als Grundlage genommen.

Gab es einen speziellen Grund warum Ihr Server Standard bekommen habt und nicht Essentials?

War so im Angebot drin und ich habe mich nicht näher damit beschäftigt, weil ich es nicht bezahlen muss und mich mit den verschiedenen Editionen auch nicht auskenne ¯\_(ツ)_/¯
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz