Virenschutz Server 2003......

[ExigeS2]

Hallo Zusammen,

ich habe ein Sorgenkind in meinem Netzwerk und mein Systemhaus hat keinen akzeptablen Lösungsvorschlag.

Es geht um einen FileServer mit Windows 2003 .....
wir sind ein produzierendes Unternehmen mit Maschinen die auf dem Serverlaufwerk Shares haben und teilweise ähnlich alte Systeme besitzen. DOS...XP... ect. (die Laufwerksdaten sind aber irgendwo im Code in irgend einem der Konfig-Files eingetragen und nicht in einem tollen Menü oder ähnlichem in der Oberfläche konfigurierbar) Die Anbieter der Steuerungen teilweise nicht mehr am Markt.

Da niemand mehr aktiv im Betrieb oder bei den Dienstleistern ist der diese Zugriffe einmal eingerichtet hat geschweige denn eine Doku existiert habe ich nun ein Problem das ich den Server nicht ablösen kann ohne Gefahr zu laufen das die Produktion auf unbestimmte Zeit steht.

aktuell setzen wir Trendmicro Scan ein aber müssen nun einen Releasewechsel machen welcher dann kein Server 2003 mehr supportet.

Ich habe vor 2 Jahren den alten Server zumindest schon einmal von der Hardware wegbekommen und er läuft nun auf einem Hyper-V Host.

Im nächsten Schritt würde ich parallel einen weiteren Fileserver einrichten auf den ich sowohl die normalen Gruppenlaufwerke des Standortes; die Home sowie die Profil Ordner der User verschieben möchte.

Dann wären wirklich nur noch die heiklen Ordner der betroffenen Anlagen auf diesem alten Schätzchen mit all den bekannten Schwachstellen SMB1.0 ect. pp.

Die Frage ist nun wie kann ich diese Daten bestmöglich schützen?
Oder sollte ich es einfach so laufen lassen und einfach auf die täglich Sicherung bauen?
Oder kann ich den Server so im Netzwerk einschränken das das Risiko zumindest minimiert wird?

All unsere anderen Virtuellen-Server sind weitestgehend auf dem Stand 2016 und 2019.

 

[leipziger1979]

Oder kann ich den Server so im Netzwerk einschränken das das Risiko zumindest minimiert wird?

Mit Firewall den Server so einschränken das er nur noch im lokalen Netzwerk erreichbar ist bzw. kommuniziert.
Hängt ja wohl nicht mehr im/am Internet?

 

[AlanK]

Ganz ehrlich wenn ihr ein KMU seid, dann würde ich da nur ein (anderes / kompetentes) Systemhaus dran lassen.
Ist der Server noch online am www? Wenn ja dringend ändern, da hilft auch ein Virenscanner nicht.
Da kann richtig viel schief gehen, normalerweise gehört das sofort auch umgestellt oder virtualisiert.

Und bevor du das Systemhaus dran lässt machst du selbst ein Backup auf mind. einem Datenträger.

 

[Rickmer]

An erster Stelle natürlich von allem eine tägliche Datensicherung haben...
Die alten Maschinen vom 'Normal-Netz' so gut wie möglich trennen, vlans, auf keinen Fall Internetzugriff, usw.

Wenn da nur spezifische Dateien zwischen den Maschinen und der Hauptumgebung getauscht werden müssen evtl. die komplett voneinander abschotten und in die Mitte eine DMZ (o.Ä.) mit einem Server (der nicht Teil der Domäne ist) der mit einem Tool wie Syncback den Dateiabgleich machen lassen

das ist was mir spontan einfällt
ein Antivirus wird da nichts mehr reißen und der würde dann auch wieder Internetzugang brauchen um sich aktuell zu halten

 

[ghecko]

Ich würde den alten Server, ob in Hardware oder Virtualisiert in ein getrenntes Netz ausgliedern, ohne Internetzugang und Kontakt nach außen. Dateiaustausch in das Netz dann über einen aktuellen Server mit zwei Netzwerkports, der aus beiden Richtungen erreichbar ist und als Schleusen-PC fungiert. Der ist dan jeweils mit der Insel und dem Firmennetz gekoppelt.

 

[Looniversity]

Doofe Off-topic Frage:
Was würde Virtualisierung hier nutzen? Dann hat man einen virtuellen unsicheren Server - der muss dann doch genauso geschützt werden wie die Installation direkt auf der Hardware, dachte ich immer.

 

[madmax2010]

Ein Virenschutz reißt die im zweifelsfall nur noch mehr sicherheitslücken auf. je nachdem welchen du wie nutzen willst.
Was macht der server den? hängt der im Internet?

Die Frage ist nun wie kann ich diese Daten bestmöglich schützen?

Ein Betriebssystem nutzen, dass noch supportet wird

 

[t-6]

Virtualisierung hat hier den Vorteil, dass der Server von der Hardware entkoppelt ist. Falls dir nämlich die Hardware des Blech-installierten 2003 abrauchen sollte, stehst du erst mal so richtig doof da wenn du bspw. nicht mal mehr kompatible Mainboards bekommst. Vom Aufwand den Bockmist neu zu konfigurieren (sofern du überhaupt noch kompatible HW bekommst) eh mal ganz abgesehen.

Sollte einem der Hyper-V abrauchen, kann man - sofern man die virtuellen Datenträger mit bspw. Veeam o.Ä. sichert - das relativ einfach auf anderer Hardware wiederherstellen. Und selbst so Lizenz-Stunts wie die Bindung von Softwarelizenzen an die MAC-Adresse der Netzwerkkarte sind einfacher zu umgehen.

 

[ghecko]

Was würde Virtualisierung hier nutzen?

Er ist performanter, die Hardware ist nicht steinalt (geringere Ausfallwahrscheinlichkeit), es ist einfacher Snapshots anzulegen...

 

[Rickmer]

Was würde Virtualisierung hier nutzen?

Virtuelle Server kannst du von anderen Servern auf demselben Host komplett trennen, Stichwort vlans

Sonst hat es die Vorteile von Hardware-Unabhängigkeit (nicht, dass an einem steinalten physischen Server das Mainboard ausfällt und sich kein Ersatz mehr beschaffen lässt oder falls doch die Treiber nicht mehr passen...) und, dass man im Zweifelsfall eine VM im Minuten aus dem Backup zurückholen kann. Plus, dass die Hardware die hinter einem Hypervisor steht deutlich performanter sein dürfte als die Hardware von einer Uralt-Klamotte.

 

[Sebbo]

Und falls doch noch ein Virenkiller gewünscht ist, kann das bspw. Panda Adaptive Defense 360 momentan immer noch.

https://www.pandasecurity.com/en/support/card?id=50000

Wir setzen das tatsächlich auch noch bei Windows Server 2003 Möhren ein, die aus Archiv-Gründen laufen müssen.

Und ansonsten noch der hilfreiche Tipp, ENDLICH mal Tests auf einem neueren System mit der alten Software fahren und nicht weiter darauf warten, dass das alte Ding hops geht.

 

[ExigeS2]

Hi Zusammen und Dank für eure vielzähligen antworten.

Wie im Eingangspost geschrieben ist die alte Hardware bereits entsorgt und der Server läuft bereits im Hyper-V wobei das Systemhaus das auch erst für "nicht möglich" erklärt hatte und nur auf mein Drängen hin probiert hat.

Der Server wird jeden Tag zusammen mit allen anderen per Veam auf ein NAS gesichert. Von da laufen jede Woche Sicherungen auf Externe Platten. Inkl. jeweils einer gesonderten Monats & halbjahres Sicherung.

Die Datenträger werden physisch zwischen 2 Standorten jeweils vom anderen Standort gelagert und nur für die Sicherung transportiert. So das die Sicherungen von den Servern von Standort A an Standort B liegen und anders herum.

Von der Seite her sehe ich unseren Backup Plan als relativ save.


Welches Szenario mich etwas verunsichert ist wenn wir im Netzwerk irgendwelche Schadsoftware haben die nach alten Systemen mit z.B. SMB1 Nutzung scannt und diese gezielt z.b. verschlüsselt wenn es keinen Virenschutz auf dem Gerät mehr gibt.

Will ich den Server vom Netz nehmen oder in ein eigenes VLAN verschieben, so habe ich das Problem, das ich die alten Maschinen nicht in die neue Umgebung bekomme (sonst könnte ich den Datenzugriff ja auch einfach um konfigurieren auf einen modernen Fileserver)

Ich müsste also den Ansatz nehmen, das ich die alte Hardware im bestehenden System isoliere und alle modernen Netzwerkgeräte in ein neues VLan nehme. Aber auch das ist mit einem gröberen Aufwand verbunden. den ich eigentlich vermeiden möchte.

Am betroffenen Standort habe ich ca. 20 Maschinen von denen 5 das Problem mit den veralteten Steuerungen haben. ein Ersatz der Steuerungen ist bei einem Stückpreis von 20'000.- aufwärts ausgeschlossen, vor allem bei unbekannter Rest-Nutzungsdauer der Anlagen.

Weiter haben wir gut 40 Mitarbeiter PC's diverse Drucker; Cameras und andere Netzwerkgeräte die in dem Netz laufen verteilt auf knapp 20'000m² Fläche. Deshalb möchte ich die Netzwerke möglichst nicht anfassen. Da kann man mehr Baustellen aufmachen als einem Lieb ist.

Also für mich ist eigentlich die schlüsselfrage:

Gibt es noch eine Virensoftware (welche?) oder lasse ich den Server mit dem bekannten Risiko weiterlaufen und vertraue alleinig auf die Sicherung mit der ich maximal einen Tag Arbeit verliere. - Bei den Anlagen bin ich jetzt mal so gewagt zu sagen das sie so alt und individuell sind das diese kein interessantes Angriffsziel für ein Schadsoftware sind.

 

[konkretor]

https://success.trendmicro.com/solu...-windows-2003-platform-support-update-q2-2019

Ist nicht ganz billig

Oder schau hier mal vorbei

https://0patch.com/

 

[M-X]

Versteh ich das richtig das die Kiste im gleichen Netz wie all die anderen ist und Potenteil auch noch mit dem Internet verbunden? Ich würde sagen das ein Virenscanner hier deine kleinste Sorge ist. Wenn du den Server 2003 schon nicht ersetzen kannst, muss er zumindest komplett isoliert werden.