Windows Server 2008 R2 Strato - WinServer 2008 R2 WebEdition absichern

[xcite]

Hallo,

ich habe mir bei Strato einen WinServer 2008 R2 WebEdition gemietet.

Auf diesem Server wird Joomla (über php + mysql + iis 7.5) installiert und eine oder 2 Websites nach außen erstellt.
Soweit bekomm ich das alles hin.

Aber ich bin kein Security Experte könnt ihr mir einige Tipps geben was ich unbedingt beachten muss um den Server nach außen "abzuschotten"?
- Soll ich eine Firewall + AntiVirus installieren? - ist das überhaupt notwendig bei einem Server? (wenn ja welche könnt ihr im Server Umfeld empfehlen?)
- Muss ich was spezielles beachten bzw. konfigurieren?
- Sind zusätzliche Sicherheitsmaßnahmen erforderlich wenn ich "no Microsoft" Anwendungen/Dienste installiere? (php, mysql)

Zugriff auf den Server erfolgt mittels RDP (Den Administrator User habe ich bereits umbenannt) - sonst nichts... ich vermute das ist aber nicht ausreichend...

Wäre über hilfreiche tipps und tricks eventuelle auch links sehr dankbar.

 

[Masamune2]

Im Grunde gibt es da nicht viel zu beachten:

- Das Umbenenen des Administrators ist nicht unbedingt nötig, wichtiger ist hier ein sicheres Kennwort zu verwenden. Sicher muss nicht hyper-komplex heißen, hier kommt es eher auf die Länge an

- Alle Dienste die von außen erreichbar sind oder von Diensten genutzt werden die von außen erreichbar sind sollten nicht als Administrator ausgeführt werden. Der IIS richtet dafür schon einen entsprechenden Nutzer ein wenn ich mich richtig erinnere. Über die NTFS Berechtigungen sollte dieser Benutzer dann nur auf die Ordner zugreifen dürfen die er wirklich braucht, also da wo die Webseite drin liegt.

- Windows Updates sollten konfiguriert sind und auch regelmäßig eingespielt werden.

- Eine extra Firewall brauchst du nicht, Windows hat schon eine. Blocke von außen alles außer die Ports für die Webseite (80 und 443) und den RDP Port (3389). Zusätzlich sollten aber Dienste die auf Ports lauschen und gar nicht benötigt werden abgeschaltet werden. Wenn du also keinen FTP Server brauchst, beende den Dienst statt ihn mit der Firewall zu blocken.
In den Eigenschaften der Netzwerkkarte kannst du außerdem den Client für Microsoft Netzwerke entfernen, dann sind die üblichen Verdächtigen auch nicht mehr von außen zu sehen (mal außen vor gelassen das man sie durch die Firewall ohnehin nicht sehen würde)

- Als Virenscanner kannst du die Microsoft Security Essentials installieren.

- Ich würde zusätzlich noch Secunia Personal Inspector drauf packen. Der zeigt dir an wenn eine der Komponenten auf deinem Server veraltet ist und Sicherheitslücken aufweist.

 

[Pupp3tm4st3r]

Hi und herzlich Willkommen.

Also zum Thema Firewall, im Normalfall ist doch die Windows Firewall mit drauf. Solltest eben darauf achten, dass nur die wirklich benötigten Ports frei sind, sonst alles so dicht wie möglich halten.

 

[Masamune2]

Noch als Anmerkung: Da die Windows Firewall per default von außen erst mal alles blockt und nur wenn du ne Regel definierst Pakete durchlässt bist du so lange geschützt solange du nicht selbst etwas verkonfigurierst.