Jochen: Windows 2008 Server & Sicherheit

Hallo,

für ein Projekt eines Kunden müssen wir leider unsere gewohnte Linux Umgebung verlassen und ein Windows Web Server 2008 aufsetzen und den IIS 7 nutzen.

Was mich jetzt natürlich beschäftigt ist das Thema Sicherheit.
Wenn ich z.B. bei Strato solch einen Server miete ist der erst mal blank mit Betriebssystem und IIS, um die Sicherheit müssen wir uns selber kümmern.

Einen managed Server wollen wir aus Kostengründen nicht mieten, also selber machen.

Meine Fragen:
1. Welche Sicherheitspakete (Virenscanner / Firewall ect.) sind angeraten oder sogar kostenlos / OpenSource und für solch eine Umgebung zu empfehlen?

2. Welche Literatur / Artikel zum Thema könnt Ihr empfehlen?

Beste Grüße
Jochen

  1. Meine Fragen:

    1. Welche Sicherheitspakete (Virenscanner / Firewall ect.) sind angeraten oder sogar kostenlos / OpenSource und für solch eine Umgebung zu empfehlen?

    2. Welche Literatur / Artikel zum Thema könnt Ihr empfehlen?

    Beste Grüße
    Jochen

    Sollen wir deine Arbeit machen? Mit einer Recherche, z.B. über google, hätte dir schon mal tausend Möglichkeiten gezeigt wo man wie eine WS2008 Doku herbekommt, oft auch kostenlos [Microsoft?].

    lg

    1. Sollen wir deine Arbeit machen? Mit einer Recherche, z.B. über google, hätte dir schon mal tausend Möglichkeiten gezeigt wo man wie eine WS2008 Doku herbekommt, oft auch kostenlos [Microsoft?].

      Nein, niemand soll meine Arbeit machen, aber Du nennst ja indirekt schon das Problem, ich bekomme natürlich tausend Möglichkeiten über Google, wenn mann durch einen Tipp schon mal ibn einer bestimmten Ecke schaut kann das sehr hilfreich sein.
      Wenn man danach geht brauch ich keine Fragen an das Forum stellen, gibts doch alles schon bei google oder was?

      Jochen

      1. Wenn man danach geht brauch ich keine Fragen an das Forum stellen, gibts doch alles schon bei google oder was?

        Nein, aber es geht schlichtweg darum, dass du hier Informationen verlangst, zu denen man wochenlange Kurse besuchen kann und trotzdem noch nicht alles weiß - du kannst doch nicht ernsthaft erwarten, dass dir hier jemand einen Link vorsetzt, du 5 Seiten text liest und weißt, wie man ein Sicherheitskonzept bei einem Windows-Server aufzieht.

        1. Nein, aber es geht schlichtweg darum, dass du hier Informationen verlangst, zu denen man wochenlange Kurse besuchen kann und trotzdem noch nicht alles weiß - du kannst doch nicht ernsthaft erwarten, dass dir hier jemand einen Link vorsetzt, du 5 Seiten text liest und weißt, wie man ein Sicherheitskonzept bei einem Windows-Server aufzieht.

          Das erwarte ich nicht, was aber Gold wert ist, wenn jemand der schon das gleiche Problem hatte einen Tipp für den Einstieg gibt.
          Ich könnte jetzt natürlich ein 1000-Seiten Buch zu Windows 2008 R2 kaufen und die relevanten Kapitel durcharbeiten, leider sind dan aber 4/5 vom Buch für meinen Zweck völlig unerheblich. Vielleicht gibt es aber einen Artikel oder Buch das genau mein Problem zielgerichtet behandelt.
          So habe ich z.B. vor einiger Zeit ein sehr gutes Buch zum Thema Rootserver unter Linux gekauft und durchgeackert. Für Debian & Co gibts da zahlreiche gute Zusammenfassungen auf 200-300 Seiten, für Windows scheinbar nicht, auch nicht bei Google:(

          J.

  2. Hi!

    Einen managed Server wollen wir aus Kostengründen nicht mieten, also selber machen.

    Ohne Wissen? Das kann teuer werden. Jedenfalls viel Erfolg beim Learning by Doing.

    1. Welche Sicherheitspakete (Virenscanner / Firewall ect.) sind angeraten oder sogar kostenlos / OpenSource und für solch eine Umgebung zu empfehlen?

    Fängt ja schon gut an, wenn dir nicht bekannt ist, dass Windows 2008 bereits eine eingebaute Firewall hat und man trotzdem besser eine externe Firewall verwendet. Nicht weil ich der Windows-Firewall nicht traue, aber wenn erst die im System vorhandene Firewall wirkt, ist man ja bereits bis zum System vorgedrungen und kann Lücken und Fehlkonfigurationen ausnutzen. 1&1 bietet zum Beispiel eine externe Firewall bei (Nicht-V-)Servern an.

    Für welche Szenarien schwebt dir denn der Einsatz eines Virenscanners vor?

    1. Welche Literatur / Artikel zum Thema könnt Ihr empfehlen?

    Galileo hat ein Openbook zu Windows Server. Ubrigens, dass es mit W2008 und W2008 R2 zwei Versionen gibt, ist dir bekannt?

    Lo!

    1. Nicht weil ich der Windows-Firewall nicht traue [...]

      http://www.youtube.com/watch?v=r8uBTf4Vbzs

      1. Hi!

        Nicht weil ich der Windows-Firewall nicht traue [...]
        http://www.youtube.com/watch?v=r8uBTf4Vbzs

        Wenn da nochwas speziell zu Firewalls auf Windows-Servern erzählt wird, ist mir das entgangen, weil ich nach der Hälfte des Videos aufhörte. Bis dahin wird nur was von Instant Messagern und P2P-Programmen erzählt.

        Äpfel und Birnen sind beides Obst, aber ein Webserver im Rechenzentrum beim Hoster ist üblicherwiese ein Standalone-Gerät und kein ganzes Netzwerk, bei dem der Feind in Form von Usern auch innen sitzt. Der beste Weg für einen einzelnen Server ist natürlich, nur die Dienste (nach außen) lauschen zu lassen, die benötigt werden. Dazu muss man wissen, was Windows außer den gewünschten Diensten noch so startet, wie man das unterbindet, und ob das für das System entbehrlich ist.

        Lo!

        1. Wenn da nochwas speziell zu Firewalls auf Windows-Servern erzählt wird, ist mir das entgangen, weil ich nach der Hälfte des Videos aufhörte. Bis dahin wird nur was von Instant Messagern und P2P-Programmen erzählt.

          In dem Vortrag ging es um die Funktionsweise von Firewalls allgemein und die verschiedenen Arten von Firewalls.

          Äpfel und Birnen sind beides Obst, aber ein Webserver im Rechenzentrum beim Hoster ist üblicherwiese ein Standalone-Gerät und kein ganzes Netzwerk, bei dem der Feind in Form von Usern auch innen sitzt.

          Und du kommst mit der Windows-Firewall obwohl diese eigentlich Snake-Oil darstellt und eigentlich für den Webserver der Windows-Eigene Paket-Filter wesentlich interessanter ist.

          Der beste Weg für einen einzelnen Server ist natürlich, nur die Dienste (nach außen) lauschen zu lassen, die benötigt werden. Dazu muss man wissen, was Windows außer den gewünschten Diensten noch so startet, wie man das unterbindet, und ob das für das System entbehrlich ist.

          Das Problem ist eben aber (wie in dem Video gesagt wurden), dass das nicht reicht - nur einen Dienst freizugeben garantiert nicht, dass dieser Dienst nicht auch "Huckepack" von Schadsoftware genutzt wird - oder anders herum, wenn man schon bestimmten anwendungen Rechte verpasst, ist nicht mehr sichergestellt, dass diese nicht auch Traffic mitbringen, der schädlich ist.

          Annahme HTTP: du kannst nur sehr schwer sicherstellen, dass dir bei einem simplen Fileupload nicht jemand anstatt eine Plaintext-Datei ein PHP-Shell-Script unterjubelt welches er dann ggf. umbenennt und somit zugriff auf den Server erlangt.

          1. Hi!

            Und du kommst mit der Windows-Firewall obwohl diese eigentlich Snake-Oil darstellt und eigentlich für den Webserver der Windows-Eigene Paket-Filter wesentlich interessanter ist.

            Den eingebauten Paket-Filter meine ich doch.

            Das Problem ist eben aber (wie in dem Video gesagt wurden), dass das nicht reicht - nur einen Dienst freizugeben garantiert nicht, dass dieser Dienst nicht auch "Huckepack" von Schadsoftware genutzt wird - oder anders herum, wenn man schon bestimmten anwendungen Rechte verpasst, ist nicht mehr sichergestellt, dass diese nicht auch Traffic mitbringen, der schädlich ist.

            Erübrigt sich ja, wenn man Paketfilter und nicht Anwendungsfilter verwendet.

            Annahme HTTP: du kannst nur sehr schwer sicherstellen, dass dir bei einem simplen Fileupload nicht jemand anstatt eine Plaintext-Datei ein PHP-Shell-Script unterjubelt welches er dann ggf. umbenennt und somit zugriff auf den Server erlangt.

            Wer Uploads in Verzeichnisse zulässst, deren Inhalt vom Webserver ausgeführt wird, braucht auch keine Firewall mehr.

            Lo!