21
Best Practices um Windows Server 2012 sicherheitstechnisch up-to-date zu halten
Guten Tag,
wir haben einen Rootserver bei Hetzner mit Windows Server 2012 RC Standard. Wir möchten diesen natürlich sicherheitstechnisch auf dem neuesten Stand halten um uns etwa gegen Hackerangriffe zu schützen. Wir greifen per Remote-Desktop darauf zu. Ich würde dabei folgendermaßen vorgehen:
Diese Vorgehensweise ist von einem "Administrator" zu verstehen, der in einem kleinen Unternehmen arbeitet und noch keine Fortbildung genießen durfte - sondern "nur" ein Informatikstudium abgeschlossen hat - allerdings ohne Schwerpunkte auf adminstrative Belange.
Wie würdet also ihr vorgehen?
Funktioniert das so wie ich es mir denke? Fehlt was in der Liste oder würdet ihr einen ganz anderen Weg einschlagen? Gibt es irgendwelche Best Practices?
MfG
Hans Müller
wir haben einen Rootserver bei Hetzner mit Windows Server 2012 RC Standard. Wir möchten diesen natürlich sicherheitstechnisch auf dem neuesten Stand halten um uns etwa gegen Hackerangriffe zu schützen. Wir greifen per Remote-Desktop darauf zu. Ich würde dabei folgendermaßen vorgehen:
- Einstellen, dass nur Sicherheitsupdates installiert werden wie z.B. Windows Defender oder gewisse Antivirus und/oder Firawall-Programme - wenn das überhaupt wie gedacht möglich ist.
- Updates automatisch installieren in der Nacht von Sonntag auf Montag
- Alle anderen Updates manuell installieren falls gewollt - um sicherzustellen dass unsere Serveranwendungen nicht beeinträchtigt werden (z.B. ein neues .Net - erst nach intensiver Prüfung auf einem Testrechner)
- natürlich desöfteren das Remote-Desktop-Passwort ändern
Diese Vorgehensweise ist von einem "Administrator" zu verstehen, der in einem kleinen Unternehmen arbeitet und noch keine Fortbildung genießen durfte - sondern "nur" ein Informatikstudium abgeschlossen hat - allerdings ohne Schwerpunkte auf adminstrative Belange.
Wie würdet also ihr vorgehen?
Funktioniert das so wie ich es mir denke? Fehlt was in der Liste oder würdet ihr einen ganz anderen Weg einschlagen? Gibt es irgendwelche Best Practices?
MfG
Hans Müller
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 309109
Url: https://administrator.de/contentid/309109
Printed on: April 26, 2024 at 13:04 o'clock
21 Comments
Latest comment
Wir greifen per Remote-Desktop darauf zu
Hallo, ich hoffe per VPN und nicht direkt und standardport.
RDP ohne VPN ist wie Rechner mit Tastatur und Maus auf die Straße stellen.
Gruß
Chonta
Es ist RDP - aber nicht über den Standardport. Ist das in zusammenhang mit einem sicheren Passwort, welches oft geändert wird, in Ordnung? Wenn nicht: was ist mit TeamViewer? Oder ist VPN wirklich mit Abstand das Beste?
VPN ist das beste, RDP verschlüsselt nämlich nicht.
Und deinen Port findet man mit einem einfachen Portscann raus, das bringt garnix...
Und deinen Port findet man mit einem einfachen Portscann raus, das bringt garnix...
Okay, soweit mal vielen Dank. Ich werde mich um eine anständige Absicherung des Remotedesktop-Zugriffs kümmern! Bleibt noch die Frage der automatisierten Updates.
Automatisch lasse ich nix einspielen, (wir haben nen WSUS) und sonst Option 3 "Herunterladen und nach Installation Fragen". Denn falls dann noch Bugs auftauchen die alles kaputt machen kann man dem so entgegenwirken und einfach ne Woche warten...
WSUS ist - wie ich es verstanden habe - ja dazu da, Updates für ein LAN nur einmal herunterzuladen und dann von einem zentralen Admin-Rechner aus die Updates auf allen gewollten Clients zu installieren - wobei man da festlegen kann, was überhaupt installiert werden soll. WSUS wollen wir demnächst hier im LAN auch verwenden weil unsere Leitung noch so gut ist.
Soll ich dann diesen Mechanismus auf unserem Server "da draußen" quasi missbrauchen um die eigene Servermaschine - auf dem WSUS läuft - damit upzudaten oder wie meinst du? Kann man dort dann einstellen was genau bzw. welche Art von Updates automatisiert installiert werden soll oder wie läuft das?
Soll ich dann diesen Mechanismus auf unserem Server "da draußen" quasi missbrauchen um die eigene Servermaschine - auf dem WSUS läuft - damit upzudaten oder wie meinst du? Kann man dort dann einstellen was genau bzw. welche Art von Updates automatisiert installiert werden soll oder wie läuft das?
Zitat von @hMueller:
WSUS ist - wie ich es verstanden habe - ja dazu da, Updates für ein LAN nur einmal herunterzuladen und dann von einem zentralen Admin-Rechner aus die Updates auf allen gewollten Clients zu installieren - wobei man da festlegen kann, was überhaupt installiert werden soll. WSUS wollen wir demnächst hier im LAN auch verwenden weil unsere Leitung noch so gut ist.
Soll ich dann diesen Mechanismus auf unserem Server "da draußen" quasi missbrauchen um die eigene Servermaschine - auf dem WSUS läuft - damit upzudaten oder wie meinst du? Kann man dort dann einstellen was genau bzw. welche Art von Updates automatisiert installiert werden soll oder wie läuft das?
WSUS ist - wie ich es verstanden habe - ja dazu da, Updates für ein LAN nur einmal herunterzuladen und dann von einem zentralen Admin-Rechner aus die Updates auf allen gewollten Clients zu installieren - wobei man da festlegen kann, was überhaupt installiert werden soll. WSUS wollen wir demnächst hier im LAN auch verwenden weil unsere Leitung noch so gut ist.
Soll ich dann diesen Mechanismus auf unserem Server "da draußen" quasi missbrauchen um die eigene Servermaschine - auf dem WSUS läuft - damit upzudaten oder wie meinst du? Kann man dort dann einstellen was genau bzw. welche Art von Updates automatisiert installiert werden soll oder wie läuft das?
Ne, ich meine dass wir mit WSUS unsere Clients und Server versorgen, einen einzelnen Server würde ich nur herunterladen lassen und dann bei Bedarf installieren (wenn keine Fehler bekannt werden).
Also ich habe mir zu WSUS ein Youtube-Video angesehen um mal verstehen wie man WSUS installiert, wie es aussieht und konfiguriert:
Setting up Windows Server Update Services (WSUS) on 2012 R2
Ich würde dort halt nur die kritischen Updates und/oder die Sicherheitsupdates auswählen und würde die Synchronisierung automatisch machen lassen - eben in der Nacht.
Aber ihr empfehlt, Updates komplett von Hand zu machen?!?
Nur damit wir nicht aneinander vorbei diskutieren: wir haben nur einen Server mit Windows Server 2012 R2 und den wollen wir regelmäßig so sicherheitstechnisch updaten - mal abgesehen von unseren unsicheren Verbindungsmethoden (RDP, TeamViewer oder whatever).
Also mit WSUS oder manuell (in der Art dass ich mir quasi monatlich oder wöchentlich einen "Wecker" stelle)?
Setting up Windows Server Update Services (WSUS) on 2012 R2
Ich würde dort halt nur die kritischen Updates und/oder die Sicherheitsupdates auswählen und würde die Synchronisierung automatisch machen lassen - eben in der Nacht.
Aber ihr empfehlt, Updates komplett von Hand zu machen?!?
Nur damit wir nicht aneinander vorbei diskutieren: wir haben nur einen Server mit Windows Server 2012 R2 und den wollen wir regelmäßig so sicherheitstechnisch updaten - mal abgesehen von unseren unsicheren Verbindungsmethoden (RDP, TeamViewer oder whatever).
Also mit WSUS oder manuell (in der Art dass ich mir quasi monatlich oder wöchentlich einen "Wecker" stelle)?
Dann brauchst du alles - aber keine Updates, die zwei mal auf der Platte liegen.
Wo siehst du bei einem Server die Vorteile eines WSUS?
Gruß
Wo siehst du bei einem Server die Vorteile eines WSUS?
Gruß
Naja tomolpi hat erwähnt, dass sie WSUS einsetzen. So kam ich überhaupt auf die Idee, das füe eine einzelne Servermaschine zu nehmen. WSUS hier im LAN hatten wir sowieso vor, damit wir bei unserer bescheidenen Bandbreite das Herunterladen dieser frechen, weil ungefragten Windows10-Updates steuern können und auch nur ein einziges mal herunterladen müssen.
Aber ich wäre nicht auf die Idee gekommen, das für unseren einzelnen, externen Server (mit sehr guter Bandbreite) einzusetzen (keine Kritik an tomolpi!). Man kann mit WSUS aber - wie ich es verstanden habe - dennoch nicht nur alle Windows-Updates automatisch zu einem gewissen Zeitpunkt installieren lassen - was ja ohne WSUS auch möglich ist. Sondern man kann die gewünschten Updates auch detailierter kategorisieren, nämlich nicht nur in kritische und optionale Updates.
Oder was ist sonst der Vor- und Nachteil von dieser Vorgehensweise?
Was könnte man sonst tun? Kommen wir um eine manuelle Installation nicht herum? Wir wollen ja wirklich nur Sicherheitsupdates installieren. Keine Treiber, kein .NET... und keine sonstige Software von Drittanbietern - also müsste man doch auch nicht großartig vorher testen ob unsere Software noch funktioniert. Ich denke nicht, dass so ein Update einfach ungefragt unsere Firewalleinstellungen ändert und Ports schließt, die wir bewusst freigegeben haben.
Aber ich wäre nicht auf die Idee gekommen, das für unseren einzelnen, externen Server (mit sehr guter Bandbreite) einzusetzen (keine Kritik an tomolpi!). Man kann mit WSUS aber - wie ich es verstanden habe - dennoch nicht nur alle Windows-Updates automatisch zu einem gewissen Zeitpunkt installieren lassen - was ja ohne WSUS auch möglich ist. Sondern man kann die gewünschten Updates auch detailierter kategorisieren, nämlich nicht nur in kritische und optionale Updates.
Oder was ist sonst der Vor- und Nachteil von dieser Vorgehensweise?
Was könnte man sonst tun? Kommen wir um eine manuelle Installation nicht herum? Wir wollen ja wirklich nur Sicherheitsupdates installieren. Keine Treiber, kein .NET... und keine sonstige Software von Drittanbietern - also müsste man doch auch nicht großartig vorher testen ob unsere Software noch funktioniert. Ich denke nicht, dass so ein Update einfach ungefragt unsere Firewalleinstellungen ändert und Ports schließt, die wir bewusst freigegeben haben.
Einen WSUS braucht man, um zentralisiert gleichartige Geräte verwalten zu können. Wenn du aber nur einen Server hast, dann brauchst du schlicht keinen WSUS. Der WSUS macht nichts anderes wie die Windows-Update-Funktion (gleiche Konfiguration vorausgesetzt).
Gruß Krämer
Gruß Krämer
Also für den Server kein WSUS?!?
Ist es dann möglich, automatisiert(!) z.B. nur Windows Defender-Updates - ohne alle anderen Sicherheitsupdates einzuspielen (Windows Defender nur mal als Beispiel).
Ist es dann möglich, automatisiert(!) z.B. nur Windows Defender-Updates - ohne alle anderen Sicherheitsupdates einzuspielen (Windows Defender nur mal als Beispiel).
Hallo,
also WSUS im RZ bringts nicht, außer Du hast da mehrere Server die alle untereinander noch in einem eigenen internen Netz sind und willt die Updates zentral steuern.
Updates auf servern nie automatisch machen.
Sorg dafür, das Du einen funktonierenden KVM Zugang zum Server hast!
Warum? Server nach Updates neu gestartet und der Bootsektor ist Weg
Updates nie am Patchtag einspielen.
Am besten Du hast bei euch im Büro eine gleich aufgesetzten Server und kannst dort die Updates auf verträglichkeit testen.
Auf jedenfall die Updates nach Problemen checken.
Vor dem Update ein Backup machen, damit der Server auf den Urzustand zurückgesetzt werden kann (Voraussetzung dafür ist eine geeignete Backupstrategie)
Gruß
Chonta
also WSUS im RZ bringts nicht, außer Du hast da mehrere Server die alle untereinander noch in einem eigenen internen Netz sind und willt die Updates zentral steuern.
Updates auf servern nie automatisch machen.
Sorg dafür, das Du einen funktonierenden KVM Zugang zum Server hast!
Warum? Server nach Updates neu gestartet und der Bootsektor ist Weg
Updates nie am Patchtag einspielen.
Am besten Du hast bei euch im Büro eine gleich aufgesetzten Server und kannst dort die Updates auf verträglichkeit testen.
Auf jedenfall die Updates nach Problemen checken.
Vor dem Update ein Backup machen, damit der Server auf den Urzustand zurückgesetzt werden kann (Voraussetzung dafür ist eine geeignete Backupstrategie)
Gruß
Chonta
Zitat von @Chonta:
also WSUS im RZ bringts nicht, außer Du hast da mehrere Server die alle untereinander noch in einem eigenen internen Netz sind und willt die
Updates zentral steuern.
also WSUS im RZ bringts nicht, außer Du hast da mehrere Server die alle untereinander noch in einem eigenen internen Netz sind und willt die
Updates zentral steuern.
Gut, also kein WSUS für den Server sondern nur hier fürs Büro-LAN.
Okay, ich denke das war die wichtigste Info.
Zitat von @Chonta:
Sorg dafür, das Du einen funktonierenden KVM Zugang zum Server hast!
Warum? Server nach Updates neu gestartet und der Bootsektor ist Weg
Sorg dafür, das Du einen funktonierenden KVM Zugang zum Server hast!
Warum? Server nach Updates neu gestartet und der Bootsektor ist Weg
Ich weiß zwar noch nicht wie ich das machen soll weil das ist ein Rootserver auf dem direkt Windows Server 2012 R2 Standard installiert ist - also wie ich es verstehe ohne darunterliegendes Linux, welches dann das Windows hostet. Vielleicht ließe sich derzeit laufende Windows auch irgendwie kopieren/backuppen und dann ein Linux installieren, welches dann dieses Windows hostet. Oder mit ESXi. Jedenfalls ohne es neu zu installieren
Zitat von @Chonta:
Updates nie am Patchtag einspielen.
Am besten Du hast bei euch im Büro eine gleich aufgesetzten Server und kannst dort die Updates auf verträglichkeit testen.
Auf jedenfall die Updates nach Problemen checken.
Updates nie am Patchtag einspielen.
Am besten Du hast bei euch im Büro eine gleich aufgesetzten Server und kannst dort die Updates auf verträglichkeit testen.
Auf jedenfall die Updates nach Problemen checken.
Machen wir sowieso.
Zitat von @Chonta:
Vor dem Update ein Backup machen, damit der Server auf den Urzustand zurückgesetzt werden kann (Voraussetzung dafür ist eine geeignete Backupstrategie)
Vor dem Update ein Backup machen, damit der Server auf den Urzustand zurückgesetzt werden kann (Voraussetzung dafür ist eine geeignete Backupstrategie)
Dafür bräuchte ich wohl ebenfalls irgendwas, das Windows in einer VM o.Ä. ausführt (Linus, ESXi) - oder?
Hallo,
ist es ein dedezierter Server oder eine virtueller Server?
Mit KVM meine ich nicht den Linuxvirtualisierer sondern einen speziellen Netzwerkport auf dem Mainoard des Servers über den man über das Netzwerk eine Verbindung zum System herstellen kann als würde man davor sitzen, und kann auch im Bootprozess alles sehen und eingreifen und ggf ISOs an den Server schicken zum einbinden.
Wenn es ein virtueller Server ist, sollte der über den Virtualisierer soeine Verbindung haben per VNC oder was auch immer.
Was Du für eine Backuplösung brauchst hängt davon ab was das für ein Server ist.
Man kann ein backup auch immer innerhalb einer VM machen.
Gruß
Chonta
ist es ein dedezierter Server oder eine virtueller Server?
Mit KVM meine ich nicht den Linuxvirtualisierer sondern einen speziellen Netzwerkport auf dem Mainoard des Servers über den man über das Netzwerk eine Verbindung zum System herstellen kann als würde man davor sitzen, und kann auch im Bootprozess alles sehen und eingreifen und ggf ISOs an den Server schicken zum einbinden.
Wenn es ein virtueller Server ist, sollte der über den Virtualisierer soeine Verbindung haben per VNC oder was auch immer.
Was Du für eine Backuplösung brauchst hängt davon ab was das für ein Server ist.
Man kann ein backup auch immer innerhalb einer VM machen.
Gruß
Chonta
Es handelt sich um einen dedezierten Server.
Bei Hetzner kann man für kurze Zeit ein sog. LARA beantragen. Musste ich auch schon mal machen :-[
Hetzner bietet eine Remote Konsole an, welche an jeden dedizierten Server angeschlossen werden kann. Diese Remote Konsole besitzt KVM-over-IP Funktionen und erlaubt vollen BIOS Zugriff auf den Server
Aber
Die Anzahl an LARAs ist in den RZs begrenzt. Wir empfehlen Kunden im Voraus über den Robot eine LARA zu bestellen. ("Robot" ist das Administrations-Webportal)
Und:
Eine LARA ist für 3 Stunden Nutzung kostenlos. Falls Sie sie für längere Zeit buchen möchten, kostet dies 10,00 € pro zusätzliche 3 Stunden Nutzung.
Also ich denke mal ein Dauerzugriff gibt es da nicht. Aber für so ein Update würde es machbar sein, es zu planen und ein LARA als 3-Stunden-Joker in der Hinterhand zu haben.
Ein Backup innerhalb der VM geht vielleicht irgendwie aber was ist, wenn das Ding einfach nicht mehr hochkommt? Kann man innerhalb eines BIOS ein Update im Sinne von Festplatten-Image machen?
Bei Hetzner kann man für kurze Zeit ein sog. LARA beantragen. Musste ich auch schon mal machen :-[
Hetzner bietet eine Remote Konsole an, welche an jeden dedizierten Server angeschlossen werden kann. Diese Remote Konsole besitzt KVM-over-IP Funktionen und erlaubt vollen BIOS Zugriff auf den Server
Aber
Die Anzahl an LARAs ist in den RZs begrenzt. Wir empfehlen Kunden im Voraus über den Robot eine LARA zu bestellen. ("Robot" ist das Administrations-Webportal)
Und:
Eine LARA ist für 3 Stunden Nutzung kostenlos. Falls Sie sie für längere Zeit buchen möchten, kostet dies 10,00 € pro zusätzliche 3 Stunden Nutzung.
Also ich denke mal ein Dauerzugriff gibt es da nicht. Aber für so ein Update würde es machbar sein, es zu planen und ein LARA als 3-Stunden-Joker in der Hinterhand zu haben.
Ein Backup innerhalb der VM geht vielleicht irgendwie aber was ist, wenn das Ding einfach nicht mehr hochkommt? Kann man innerhalb eines BIOS ein Update im Sinne von Festplatten-Image machen?
Kommt auf den Provider und die Preisklasse des Servers an.
Bei HostEurope und den Dellservern ist bei den richtig Dedezieren Teilen, also nicht VM ein permanenter KVM Zugang (iDRAC) drin.
Aber das kostet dann auch mehr als 50€ im Monat.
Und bei virtuellen Server ist das eigentlich problemlos möglich.
Wenn man ein DesasterBackup macht bedeutet das das man auf derselben oder anderer Hardware ein Image wieder einspielt.
Dafür brauchst Du z.B. einen KVM Zugriff.
Das ein Backup nicht auf dem selben Server leigen darf von dem es stammt sollte klar sein, oder?
Deswegen für Bakcup braucht man eine Strategie, man muss wissen wielange darf ein Server ausfallen und wieviel Geld habe ich.
Und dan baut man sich sein Backup danach zusammen.
Gruß
Chonta
Bei HostEurope und den Dellservern ist bei den richtig Dedezieren Teilen, also nicht VM ein permanenter KVM Zugang (iDRAC) drin.
Aber das kostet dann auch mehr als 50€ im Monat.
Und bei virtuellen Server ist das eigentlich problemlos möglich.
Ein Backup innerhalb der VM geht vielleicht irgendwie aber was ist, wenn das Ding einfach nicht mehr hochkommt?
Ich denke DU hast einen echten Server und keinen virtuellen.Wenn man ein DesasterBackup macht bedeutet das das man auf derselben oder anderer Hardware ein Image wieder einspielt.
Dafür brauchst Du z.B. einen KVM Zugriff.
Das ein Backup nicht auf dem selben Server leigen darf von dem es stammt sollte klar sein, oder?
Deswegen für Bakcup braucht man eine Strategie, man muss wissen wielange darf ein Server ausfallen und wieviel Geld habe ich.
Und dan baut man sich sein Backup danach zusammen.
Gruß
Chonta
Danke, Chonta!
Also etwas von der eigentlichen Frage abgekommen aber mal zusammengefasst:
Richtig? Falsch? Wieder was vergessen?
Also etwas von der eigentlichen Frage abgekommen aber mal zusammengefasst:
- RDP am Besten verschlüsselt und mit IP-Adressenbeschränkung auf unsere hier vom Büro
- Windows Sicherheitsupdates in einer VM testen, die das gleiche OS und sonstigen Einstellungen enthält wie der echte Server (machen wir sowieso vor jedem Produkt-Release)
- DeseasterBackup vom echten Server machen und woanders speichern (klar!)
- dann Windows-Sicherheitsupdates manuell(!) installieren
Richtig? Falsch? Wieder was vergessen?
RDP am Besten verschlüsselt und mit IP-Adressenbeschränkung auf unsere hier vom Büro
RDP nur über VPN immer, außer im lokalen LAN da ist es nicht zwingend nötig.Windows Sicherheitsupdates in einer VM testen, die das gleiche OS und sonstigen Einstellungen enthält wie der echte Server (machen wir sowieso vor jedem Produkt-Release)
RichtigDeseasterBackup vom echten Server machen und woanders speichern (klar!)
Jap.Speicheort kann ja ein Cloudspeicher sein. Wenns schnell gehn muss kann man bei einer C ist nur System Partitionierung und einer D Partition ein backup von C (versteckte laufwerke nicht vergesen) auf D ablegen, da kommt man ja wenn der Server nicht bootet meistens noch ran, wenn er überhaupt bootet. Aber normale Backups nie auf dem selben Server.
dann Windows-Sicherheitsupdates manuell(!) installieren
GenauZusätzlich über die Firewall drüber schauen, aber aufpassen das man sich icht selber sperrt.
Erste Baustelle ist RDP nur über VPN!
Gruß
Chonta
Alles klar, vielen vielen Dank an alle!