Windows Server 2016 VServer Zugriffe und Traffic überwachen

[goblingift]

Hallo zusammen,

ich habe bereits schlechte Erfahrungen mit Windows Server auf einem VServer gemacht (Unbefugter Zugriff) - darum wollte ich mal fragen ob ihr Tipps habt, wie man das ganze System möglichst transparent monitoren kann?
Sprich, gibt es günstige/kostenlose Software, welche die Logins auf dem Windows Server mitloggen oder auch den Netzwerk-Traffic (Falls dieser auf einmal hochgeht) und mir das z.B. via Push-Benachrichtigung / Mail darüber informiert?

Ich weiß nicht ob Plesk sowas kann? Wird aber wohl oversized sein für 1 Vserver?

 

[burglar225]

In der Ereignisanzeige werden alle Logins mitgeloggt.

 

[holdes]

Du kannst im Zweifel einfach Paessler PRTG installieren, das ist bis 100 Sensoren kostenlos und kann dich bei Verhalten welches nicht regelmäßig aufkommt per Mail warnen.

Logins kannst du in der Ereignisanzeige sehen wie schon geschrieben wurde.

 

[Masamune2]

Du brauchst eher keine Tipps zum Monitoring als zum Absichern von Windows Servern. Welche Dienste sollen denn darauf laufen? Was genau tust du um fremden Zugriff zu erschweren/unterbinden?

 

[Scirca]

Neues Konto anlegen, Admin Gruppe zuordnen, Standard Administrator Konto deaktieren, ordentliches Kennwort.

Bzgl. Monitoring wurden einige Beispiele genannt.

 

[Digitalzombie]

Auf RDP verzichten ist auch empfehlenswert.

 

[Muffknutscher]

Ich würde mal icinga2 bzgl. Monitoring in den Raum werfen. Kostet nichts und kann auch noch den ESX, falls es einer ist, überwachen.

 

[nosti]

Da es sich um einen vServer handelt, wird es wohl eher kein ESX sein und die Zugangsdaten für den drunterliegenden Server bekommt man für gewöhnlich nicht vom Hoster.

Dein Problem ist, wie schon gesagt, die korrekte Absicherung deines Servers. Windows Server direkt ins Internet stellen über RDP ist alles andere als eine gute Idee. Der Zugriff sollte im besten Fall über VPN erfolgen. Zusätzlich solltest du ordentliche Kennwörter verwenden, damit du dir die nicht merken musst, schau dir mal KeyPass an.

Wenn der Traffic hoch geht, könnte es schon zu spät sein, da dann bereits Daten abfließen könnten. Außerdem ist das eine denkbar ungünstige Art der Überwachung, da auch reguläre Windows Updates die Auslastung erhöhen.

Grüße

 

[PHuV]

Ich würde mal icinga2 bzgl. Monitoring in den Raum werfen.

Check_MK, Nagios...

 

[snaxilian]

Sprich, gibt es günstige/kostenlose Software, welche die Logins auf dem Windows Server mitloggen oder auch den Netzwerk-Traffic (Falls dieser auf einmal hochgeht) und mir das z.B. via Push-Benachrichtigung / Mail darüber informiert?

Vielleicht solltest du nicht an den Symptomen herum pfuschen und lieber damit anfangen die Ursachen zu bekämpfen.
Sorry aber du brauchst kein Monitoring sondern Empfehlungen und Kenntnisse wie man Server sicher betreibt und absichert.
Logins werden wie gesagt im Eventlog ersichtlich, die kannst du mit diversen Monitoring- oder Loggingtools auswerten aber wenn du das mit bekommst ist es bereits zu spät weil dann das System ja bereits offensichtlich kompromittiert worden ist.

Zum Einstieg:
https://docs.microsoft.com/de-de/windows/security/threat-protection/windows-security-baselines
Weitere gute Einstiegspunkte wären die DISA STIGs oder CIS Benchmarks: https://techcommunity.microsoft.com...nderstanding-third-party-security/ba-p/315001

Ansonsten gehören öffentlich erreichbare Logins per 2FA/MFA abgesichert und Dienste egal welcher Art nicht ohne Verschlüsselung, Authentisierung und Autorisierung.

 

[goblingift]

Danke für eure hilfreichen Antworten- ich werde mir die Sicherheits-Guidelines intensiv durchlesen und mehr in Richtung Absicherung machen- danach erst das Monitoring angehen.