Checkliste der gesicherten Windows Server:
- Installieren Sie regelmäßig Updates für das Betriebssystem und die installierte Software.
- Verwenden Sie Software aus vertrauenswürdigen Quellen
- Richtig konfigurieren firewall
- Benennen Sie das Administratorkonto um
- Verwenden Sie mehrere Administratorkonten
- Verwenden Sie ein Benutzerkonto mit eingeschränkten Rechten
- Beschränken Sie die Datei- und Ordnerfreigabe und aktivieren Sie den Passwortschutz
- Aktivieren Sie die Aufforderung zur Eingabe eines Kennworts für die Anmeldung beim Verlassen des Ruhemodus sowie das Trennen von Sitzungen im Ruhezustand
- Verwenden Sie den Sicherheitskonfigurationsassistenten
- Sicherheitsrichtlinien richtig konfigurieren
- Verwenden Sie lokale Sicherheitsrichtlinien
- Remotedesktopdienst schützen (RDP)
- Konfigurieren Sie das Terminaldienste-Gateway
- Installieren Sie den TS-Gateway-Dienst
- Installieren eines SSL-Zertifikats
- Es müssen nur noch Gruppenrichtlinien konfiguriert werden
- Isolieren Sie Serverrollen. Deaktivieren Sie nicht verwendete Dienste
Das Thema Serversicherheit war und ist relevant. Betrachten wir die Grundregeln zur Gewährleistung der Sicherheit von Servern, auf denen Betriebssysteme der Windows Server-Familie ausgeführt werden.
Installieren Sie regelmäßig Updates für das Betriebssystem und die installierte Software.
Im Alltag gibt es eine Meinung, dass Windows benötigt keine Updates und es ist im Allgemeinen besser, sie auszuschalten, angeblich „damit das System nicht abstürzt“. Das ist einer der größten Fehler. Es ist wichtig, Updates, insbesondere kritische, rechtzeitig zu installieren. Diese Aufgabe wird durch ein spezielles Dienstprogramm vereinfacht, das auf der offiziellen Website von zu finden ist Windows Aktualisierung.
Es ist auch wichtig, die installierte zugehörige Software auf dem neuesten Stand zu halten, einschließlich DBMS, verschiedene zrameworks und so weiter.
Verwenden Sie Software aus vertrauenswürdigen Quellen.
Wir empfehlen Ihnen, sicherzustellen, dass die Quelle zuverlässig ist, bevor Sie das Installationspaket der Software, einschließlich Open Source, herunterladen. Es kommt häufig vor, dass eine Ressource, die optisch der offiziellen Website ähnelt, bereits kompromittierte Software verbreitet (Fishing). Möglicherweise wird dem Installationspaket eine Datei mit Schadcode hinzugefügt.
Richtig konfigurieren firewall.
Es ist wichtig zu verstehen, dass der Server über das Internet erreichbar ist. Aus diesem Grund muss das Betriebssystem durch jedes Gerät geschützt werden, das als agiert firewall. Wenn es keine solchen Geräte gibt, dann die Windows Firewall wird die letzte Hoffnung auf Schutz vor unbefugten Verbindungen zum Server sein.
Je weniger TCP/UDP-Ports von außen zur Verfügung stehen, desto geringer ist die Wahrscheinlichkeit eines Angriffs auf den Server. In dieser Angelegenheit ist es wichtig zu verstehen, was Sie blockieren müssen. Wenn es sich um einen Webserver handelt, müssen die TCP-Ports 80 und 443 verfügbar bleiben (der Dienst lauscht standardmäßig auf diesen Ports).
Dabei handelte es sich um öffentliche Häfen, aber vergessen Sie nicht, dass es Häfen gibt, zu denen der Zugang nach dem Prinzip der „weißen“ Liste, also nur einem bestimmten Personenkreis, gewährt werden muss. Beispiel für Ports:
- 3389 - RDP (Remotedesktopprotokoll);
- 135-139 – NetBIOS;
- 445 - Samba (Teilen von Dateien und Ordnern);
- 5000 - 5050 - FTP im passiven Modus;
- 1433 - 1434 - SQL-Ports;
- 3306 – Standardport für MySQL;
- 53 - DNS
Es ist nicht schwer, eine Regel zu erstellen. Offen Startmenü→ Systemsteuerung → System und Sicherheit → Verwaltung → Windows Firewall mit erweiterter Sicherheit.
Im Program Fenster, rechts-click auf "Regeln für eingehende Verbindungen". Wählen Sie im sich öffnenden Kontextmenü „Regel erstellen...".
Benennen Sie das Administratorkonto um.
Verwenden Sie mehrere Administratorkonten.
Wenn mehrere Personen den Server administrieren, sollten Sie für jeden ein eigenes Konto erstellen. Mit einer solchen Maßnahme können Sie den Schuldigen ausfindig machen.
Verwenden Sie ein Benutzerkonto mit eingeschränkten Rechten.
Es ist nicht immer notwendig, ein Konto mit Administratorrechten zu verwenden, um alltägliche Aufgaben auszuführen. Wir empfehlen Ihnen, ein Konto mit eingeschränkten Rechten zu erstellen. Wenn das Konto kompromittiert wird, muss der Angreifer versuchen, sich Administratorrechte zu verschaffen und einige schlimme Dinge zu tun, die für ihn sehr komplex sein werden. Außerdem kann eine solche Maßnahme dazu beitragen, den Server vor seinen eigenen Aktionen zu bewahren.
Im Falle eines unbefugten Zugriffs unter dem Administratorkonto hat der Angreifer vollen Zugriff auf das System.
Beschränken Sie die Datei- und Ordnerfreigabe, aktivieren Sie den Passwortschutz.
Wir empfehlen Ihnen dringend, Verbindungen nicht an anonyme Benutzer oder Benutzer ohne Passwort weiterzugeben. Selbst wenn die in Ordnern gespeicherten Dateien wertlos sind, hindert nichts einen Angreifer daran, Ihre Datei durch eine Datei mit schädlichem Inhalt zu ersetzen. Die Folgen einer solchen Veränderung können sehr unterschiedlich sein.
Zusätzlich zum Passwortschutz empfehlen wir, verschiedene Benutzer in der Zugriffsebene sowohl auf Dateien als auch auf Ordner (Lesen, Schreiben, Ändern) einzuschränken.
Aktivieren Sie die Aufforderung zur Eingabe eines Kennworts für die Anmeldung beim Beenden des Leerlaufmodus sowie das Trennen von Sitzungen im Leerlauf.
Wenn Sie einen physischen Server (nicht remote oder virtuell) verwenden, wird empfohlen, die Benutzerkennwortabfrage beim Aufwecken zu aktivieren. Diese Einstellung wird im Bedienfeld konfiguriert: Systemsteuerung → Alle Elemente der Systemsteuerung → Energieoptionen.
Es ist auch wichtig, Grenzwerte für die Inaktivität der Benutzer festzulegen und „bei der Rückkehr“ ein Passwort anzufordern. Dadurch wird die Möglichkeit ausgeschlossen, dass sich eine andere Person im Namen des Benutzers anmeldet, wenn dieser die Seite verlassen oder vergessen hat, sie zu schließen RDP Sitzung. Um dieses Element zu konfigurieren, verwenden Sie die secpol.msc lokale Richtlinieneinstellung.
Verwenden Sie den Sicherheitskonfigurations-Assistenten.
(SCW – Sicherheitskonfigurationsassistent) ermöglicht Ihnen die Erstellung von XML-Dateien mit Sicherheitsrichtlinien, die später auf andere Server übertragen werden können. Diese Richtlinien umfassen nicht nur Dienstnutzungsregeln, sondern auch allgemeine Systemeinstellungen und Firewall Regeln.
Sicherheitsrichtlinien richtig konfigurieren.
Zusätzlich zur Erstkonfiguration der Active Directory-Gruppenrichtlinien sollten diese regelmäßig überprüft und neu konfiguriert werden. Dies ist eine der wichtigsten Möglichkeiten, die Sicherheit zu gewährleisten Windows Infrastruktur.
Zur Vereinfachung der Verwaltung von Gruppenrichtlinien können Sie nicht nur das integrierte Dienstprogramm gpmc.msc verwenden Windows Server, aber auch die (SCM-Security Compliance Manager).
, Dienstprogramm von Microsoft.
Verwenden Sie lokale Sicherheitsrichtlinien.
Zusätzlich zur Verwendung von Active Directory-Gruppensicherheitsrichtlinien sollten Sie auch lokale Richtlinien verwenden, die sich auf die Rechte von Remotebenutzern und lokalen Konten auswirken.
Um lokale Richtlinien zu verwalten, können Sie das entsprechende Snap-In „Lokale Sicherheitsrichtlinie“ verwenden, das von aufgerufen wird secpol.msc Befehl von Start -> Ausführen (Windows Taste + R).
Remotedesktopdienst schützen (RDP).
- Blockieren RDP Verbindungen für Benutzer mit leerem Passwort.
Die Anwesenheit von Benutzern ohne Passwörter ist inakzeptabel. Wenn dies jedoch nicht vermieden werden kann, können Sie die Verbindung zu zumindest deaktivieren RDP. Öffnen Sie dazu Start → Verwaltung.
Führen Sie im sich öffnenden Verzeichnis die Datei aus Lokale Sicherheitsrichtlinie.
Wählen Sie im Fenster „Lokale Sicherheitsrichtlinien“ auf der linken Seite aus Lokale Richtlinien → Sicherheitsoptionen. Im Hauptteil des Fensters finden wir „Konten: Beschränken Sie die Verwendung leerer Passwörter für lokale Konten auf die Konsolenanmeldung".
Wählen Sie dieses Element durch Doppelklick aus.clicken und stellen Sie den Schalter auf „Deaktiviert”-Position. Drücken Sie die Taste „OKklicken.
Standard ändern RDP TCP-Port.
Das Ersetzen der TCP-Portnummern von Standarddiensten durch andere Werte kann durchaus die Sicherheit des Servers erhöhen, Hauptsache, die neue Portnummer darf nicht vergessen werden.
So ändern Sie einen Port:
- Öffnen Sie den Microsoft Store auf Ihrem Windows-PC. Windows Registrierungseditor - Windows + R
- Für alle Fälle erstellen wir eine Sicherungskopie der Registrierung (Datei → Exportieren).
- Erweitern Sie den Zweig HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp und suchen Sie im rechten Teil des Fensters nach der PortNumber parametr.
- Öffnen Sie die Option durch Doppelklick.cliKlicken Sie mit der Maus. Wählen Sie im sich öffnenden Fenster das aus Rechensystem: Dezimal, geben Sie einen neuen Portwert an, click das „OKKlicken Sie auf die Schaltfläche und schließen Sie das Fenster des Registrierungseditors.
Um eine Verbindung zum Server herstellen zu können, erstellen wir eine entsprechende Regel für den Windows Firewall. Rechts-click auf "Eingehende Regeln"Und"Neue Regel" aus dem Kontextmenü.
In dem "Wizards” Fenster, wählen Sie “Für Hafen"
Wählen Sie dann "TCP-Protokoll", "Bestimmte lokale Ports” und geben Sie eine neue Portnummer an.
Als nächster Schritt wählen Sie „Verbindung zulassen"
Wir konfigurieren, für welche Netzwerke die Regel gelten soll, wir markieren die notwendigen mit daws.
Geben Sie im letzten Schritt den Namen der Regel und eine Beschreibung dafür an.
Starten Sie den Server neu, um die Änderungen zu übernehmen.
Um eine Verbindung zu einem Remote-Desktop herzustellen, verwenden wir jetzt eine IP-Adresse oder einen Domänennamen und geben den Port durch einen Doppelpunkt an.
Konfigurieren Sie das Terminaldienste-Gateway.
Mit dem Dienst „TS (Remote Desktop Services) Gateway“ können Sie eine Remote-Desktop-Verbindung mithilfe von sichern HTTPS(SSL)-Protokoll, wodurch dem Systemadministrator die Einrichtung eines Protokolls erspart bleibt VPN. Das Tool ist in der Lage, den Zugriff auf Maschinen umfassend zu steuern sowie Berechtigungsregeln und Anforderungen für Remote-Benutzer festzulegen, zum Beispiel:
- Benutzer oder Benutzergruppen, die eine Verbindung zu internen Netzwerkressourcen herstellen dürfen;
- Netzwerkressourcen, zu denen Benutzer eine Verbindung herstellen können;
- Ob client-Computer sollten über eine Active Directory-Mitgliedschaft verfügen;
- Ob cliBenutzer müssen eine Smartcard- oder passwortbasierte Authentifizierung verwenden oder können eine der oben genannten Authentifizierungsmethoden verwenden.
Die Betriebslogik des Remote Desktop Gateway erfordert die Verwendung eines separaten Computers. Es verbietet jedoch nicht die Verwendung einer eigenständigen virtuellen Maschine.
Installieren Sie den TS-Gatewaydienst.
Öffnen Sie den Server-Manager.
Wählen "Fügen Sie Rollen und Funktionen hinzu"
Bei der "Installationstyp” Stufe, wählen Sie „Installieren Sie Rollen und Features".
Im nächsten Schritt wählen Sie den aktuellen Server aus.
Serverrolle - Remotedesktopdienst.
Kommen wir zum Rollendienst. Wählen "Remotedesktop-Gateway".
Wir gehen zur Bestätigungsphase über, click das "Installierenklicken.
Installieren eines SSL-Zertifikats.
Wählen Sie nach der Installation der Rolle im Server-Manager-Fenster aus Extras → Remotedesktopdienste → Remotedesktop-Gateway-Manager.
Im linken Teil des sich öffnenden Fensters cliKlicken Sie auf das Serversymbol. Wählen Sie im Hauptteil des Fensters „Anzeigen und Ändern von Zertifikatseigenschaften".
In dem "Ferienhäuser”-Fenster, das sich öffnet, gehen Sie zu „ein SSL Zertifikat” Registerkarte. Wählen Sie den Artikel „Erstellen Sie ein selbstsigniertes Zertifikat", cliKlicken Sie auf die Schaltfläche „Erstellen und importieren Sie ein Zertifikat".
Wenn Sie ein zuvor erstelltes Zertifikat haben, können Sie eine der folgenden Optionen verwenden, je nachdem, wer es ausgestellt hat.
Überprüfen Sie im neuen Fenster die Einstellungen. Wenn alles in Ordnung ist, click“OK".
In einem neuen Fenster werden Sie vom System über die erfolgreiche Erstellung des Zertifikats informiert und erhalten den Pfad zur Datei.
Gehen Sie zum Fenster mit den Servereigenschaften. Click"Jetzt bewerben".
Es bleibt nur noch, Gruppenrichtlinien zu konfigurieren.
In dem "Remotedesktop-Gateway-ManagerErweitern Sie im Fenster „Server“ in der linken Spalte den Zweig „Server“ und wählen Sie „Richtlinien", dann "Verbindungsautorisierungsrichtlinien“. Wählen Sie in der rechten Spalte desselben Fensters „Erstellen Sie eine neue Richtlinie" → "Wizard".
Wählen Sie im neuen Fenster "Erstellen Sie nur eine Autorisierungsrichtlinie für Remote-Desktop-Verbindungen", click"Weiter".
Geben Sie den gewünschten Namen für die Richtlinie an. Wir empfehlen Ihnen, den Namen in lateinischer Sprache einzugeben.
Der nächste Schritt besteht darin, eine bequeme Authentifizierungsmethode zu wählen – ein Passwort oder ein Chipkarte. Nur verlassen "Passwort" geprüft. Click das "Gruppe hinzufügen..."
Im Gruppenauswahlfenster click auf dem "Fortgeschrittenerklicken.
Die Fenstergröße ändert sich. Click auf „Suche" Taste. Wählen Sie in den gefundenen Ergebnissen „Domänenadministratoren"Und click das "OKklicken.
Überprüfen Sie im Gruppenauswahlfenster die ausgewählten Objektnamen und click“OK".
Die Gruppe wurde hinzugefügt. Um mit dem nächsten Schritt fortzufahren, click das "Weiterklicken.
Wählen Sie im nächsten Schritt den Punkt „Aktivieren Sie die Geräteumleitung für alle cliHNO-Geräte" und click“Weiter".
Richten Sie Sitzungs-Timeouts ein. Und Aktionen nach deren Ablauf. Wir empfehlen, die Sitzung zu trennen, damit Benutzerprozesse im Hintergrund nicht in Anspruch genommen werden CPU Zeit. Click"Weiter".
Im letzten Schritt sehen wir uns die Zusammenfassung an, click“Endziel".
Um die Erstellung der Richtlinie zu bestätigen, click"Menu".
Richten Sie eine Ressourcenautorisierungsrichtlinie ein.
Der Prozess wird ähnlich wie der vorherige durchgeführt.
Erweitern Sie im Fenster „Remotedesktop-Gateway-Manager“ das Richtlinien → Verbindungsautorisierungsrichtlinien Zweig. Wählen Sie im rechten Teil des Fensters aus „Eine neue Richtlinie erstellen“ → „Assistent“.
Wählen Sie im sich öffnenden Fenster „Erstellen Sie nur eine Remotedesktop-Ressourcenautorisierungsrichtlinie", click das "Weiterklicken.
Der erste Schritt besteht darin, den gewünschten Namen für die Autorisierungsrichtlinie anzugeben. Wir empfehlen dringend, den Namen in lateinischer Sprache anzugeben. Wir drücken die „Weiter".
Im Gruppenauswahlfenster click auf dem "Fortgeschrittenerklicken.
Die Größe des Fensters wird geändert. Drücken Sie die Taste „Suche„Schaltfläche. Suchen Sie in den Suchergebnissen nach „Domänenadministratoren"Und click das "OKklicken.
Überprüfen Sie im Gruppenauswahlfenster die ausgewählten Objektnamen und click“OK".
Die Gruppe wurde hinzugefügt. Um mit dem nächsten Schritt fortzufahren, click das "Weiterklicken.
Im nächsten Schritt ermöglichen wir Benutzern die Verbindung zu jeder Netzwerkressource. Wählen Sie dazu die entsprechende Option aus und click das „Weiter".
Richten Sie zulässige Ports ein. Wenn der Port des RDP Server nicht geändert wurde, dann belassen Sie 3389. Click“Weiter".
Der letzte Schritt besteht darin, die Einstellungen zu überprüfen und click das „Endziel".
Im aktualisierten Fenster click"Menu".
Isolieren Sie Serverrollen. Deaktivieren Sie nicht verwendete Dienste.
In der Phase der Vorplanung der Netzwerkarchitektur besteht eine der Hauptaufgaben darin, die Risiken im Falle eines Ausfalls eines Netzwerkelements zu planen. Dafür kann es viele Gründe geben – vom Geräteausfall bis zum „Hacking“ von außen. Je mehr Rollen dem Server zugewiesen sind, desto schwerwiegender sind die Folgen, wenn der Server ausfällt. Um Risiken und Schäden zu minimieren, sollten Sie Serverrollen nach Möglichkeit bereits in der Entwurfsphase festlegen. Auch die Deaktivierung benötigter Dienste und Serverrollen wirkt sich positiv auf den Betrieb aus.
Im Idealfall führt ein Server eine bestimmte Funktion aus, beispielsweise ein Domänencontroller, ein Dateiserver oder ein Terminalserver. In der Praxis ist eine solche Rollentrennung nur schwer zu erreichen.
Die Rollenisolation kann auch von virtuellen Servern übernommen werden. Moderne Virtualisierungstechnologien bieten ein hohes Maß an Leistung und Stabilität, wobei weder der Administrator noch der Benutzer Einschränkungen erfahren. Richtig ausgewählte Hardware und konfigurierte Softwareteile können ein vollwertiger Ersatz für eine ganze Geräteflotte sein.
Überblick über Windows Nano-Server.
Nano-Server wurde eine Weiterentwicklung von Windows Server Kernbereich. Diese Version des Distributionskits schließt die Verwendung einer grafischen Benutzeroberfläche aus. Das gesamte Management konzentriert sich auf WMI – Windows Managementinstrumentierung sowie Windows Power Shell. Das Windows Server Die Verteilung enthält 92 % weniger kritische Sicherheitsempfehlungen. Nano Server ist nur für Kunden von Microsoft Software Assurance und Cloud-Computing-Plattformen wie Microsoft Azure und Amazon Web Services verfügbar. Beginnen mit Windows Server Build 1709, Nano Server kann nur innerhalb eines Container-Hosts installiert werden.