Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SBS remote Webarbeitsplatz - SICHER???

Frage Microsoft Windows Server

Mitglied: keine-ahnung

keine-ahnung (Level 5) - Jetzt verbinden

03.04.2013 um 20:39 Uhr, 7405 Aufrufe, 29 Kommentare, 1 Danke

Hi,

mal wieder keine-Ahnung

Heute habe ich mal auf den "remote Webarbeitsplatz" des SBS geschaut - schick! Alles da!! Zugriff auf alle Freigaben (u.a. auch alle medizinischen Datenbanken), RDP zu allen Stationen möglich, und - besonders lustig: Kennwortwechsel im Web-GUI möglich. Über die AD-Verwaltung brauche ich deutlich länger

Jetzt überlege ich mir, wie sicher ist das Ganze eigentlich? Wenn ein halbwegs begabtes Script-Kid da einen robot gegenlaufen lässt und meinen account weghackt, habe ich nicht nur keine Daten mehr, ich kann mich dann nicht mal mehr im Netz anmelden ...

Aktuell habe ich keinen anderen Weg gefunden, als die Website zu deaktivieren, da ich den SSL-Port schlecht in der Firewall sperren kann ... habe ich Paranoia?

Gibt es da keine Sicherheitsmechanismen - der SBS hängt ja mit dem komplett nackten im Internet??

LG, Thomas
29 Antworten
Mitglied: Lochkartenstanzer
03.04.2013 um 20:51 Uhr
Zitat von keine-ahnung:
... habe ich Paranoia?

nein, sie verfolgen dich tatsächlich.


Gibt es da keine Sicherheitsmechanismen - der SBS hängt ja mit dem komplett nackten im Internet??

Ich habe den neuen SBS noch nciht in den fingern gehabt, aber ich würde sowas prinzipiell hinter eine Firewall stellen und nur per VPN den Zugriff drauf zulassen.

Vielleicht gibt es ja noch eine Möglichkeit beim SSL auf dem SBS noch die Client-Zertifikate prüfen zu lassen, so daß nur zusätzlich zu dem Paßwort noch ein Zertifikat notwendig ist. Das würde zumindest das gröbste rausfiltern und zugleich verhindern, daß Mitarbeiter schnell mal aus dem Internetcafe die Patientendaten durchschauen.

lks
Bitte warten ..
Mitglied: transocean
03.04.2013, aktualisiert um 20:55 Uhr
Moin,

wenn Du am 443er Port das Schott dicht machst, sollte das doch was bringen.

Ansonsten wie oben geschrieben. Stell das Ding hinter eine vernünftige FW und richte VPN ein.

Gruß

Uwe
Bitte warten ..
Mitglied: keine-ahnung
03.04.2013 um 21:00 Uhr
Moinsens miteinander,

wozu brauche ich dann den Strusel, wenn ich eh über VPN in die Praxis gehe?? Da sehe ich keinen wirklichen Sinn drin - ausser das das GUI schön bunt ist .

Wenn ich via RDP auf irgendeine Büchse gehe, habe ich das, was der Arbeitsplatz anbietet, ja auch alles. Nur schneller und grösser und halt nicht webbasiert ...

LG, Thomas
Bitte warten ..
Mitglied: Lochkartenstanzer
03.04.2013 um 22:00 Uhr
Zitat von keine-ahnung:
Moinsens miteinander,

wozu brauche ich dann den Strusel, wenn ich eh über VPN in die Praxis gehe?? Da sehe ich keinen wirklichen Sinn drin - ausser
das das GUI schön bunt ist .

Man kann halt damit mit (fast) jedem Browser (der IE heißt) draufschauen. Die Sicherheit hängt aber im wesentlichen von der Überprüfung des Serverzertifikats und der Stärke der Paßwörter ab (sofern man davon ausgeht, daß da keine Implementierungsfehler drin sind).


Wenn ich via RDP auf irgendeine Büchse gehe, habe ich das, was der Arbeitsplatz anbietet, ja auch alles. Nur schneller und
grösser und halt nicht webbasiert ...

Da brauchst Du aber einen RDP-Client, den man ggf installieren muß. Einen Brwoser hat heutzutage (fast) jedes Gerät.

Aber wie gesagt. Wenn man das Clientzertifikat nicht üebrprüfen kann, würde ich das hinter eine Firewall mit vPn setzen. Dann kann man natürlich auch gleich RDP nehmen.

lks
Bitte warten ..
Mitglied: exchange
03.04.2013 um 22:30 Uhr
Hallo,
ich gehe davon aus, dass Du das Active Sync für mobile Endgeräte benötigst und ggf. noch das OWA? Firewall her, DMZ einrichten und Reverse Proxy reinhängen.
Wenn jedoch in deinen medizinischen Datenbanken Patienteninformationen liegen, solltest Du Dir ein anderes Netzkonzept überlegen ;)

Gruß
Heiko
Bitte warten ..
Mitglied: Dani
03.04.2013 um 23:19 Uhr
Moin,
wozu brauche ich dann den Strusel, wenn ich eh über VPN in die Praxis gehe??
Es Programmelösungen die auf dem Server installiert werden und somit den Zugang via OTP und PIN sichern. Hab ich bei SBS einmal gesehen. Somit kannst du ruhig schlafen.


Grüße,
Dani
Bitte warten ..
Mitglied: Dobby
04.04.2013 um 00:12 Uhr
Hallo Thomas,

... habe ich Paranoia?
Lieber so als das man alle Deine Kundendaten auf Pastbin wieder findet.
Denn im Endeffeckt bist Du es dann ja auch derjenige der dem Landesbeauftragten für Datenschutz ein paar Fragen beantworten darf, wenn es einmal zu einem Zwischenfall gekommen ist!
Von Deinen Patienten einmal ganz zu schweigen.

Kannst Du Dich nicht mit einem VPN Klienten an der Firewall oder dem Router anmelden und dann einfach in ruhe Deine Arbeit verrichten? Ich meine das diese "Funktion" oder Möglichkeit via Web und SSL sich auch wohl eher an Leute oder unternehmen richtet die mit weniger kritische Unternehmensdaten umgehen.

Allerdings weiß ich auch nicht was Du für eine Firewall oder Routerlösung einsetzt und da schreibt sich das eben auch immer einmal schnell hin, das man mit VPN und IPSec schön sicher ist. Allerdings sind dann
auch die Ports vorne alle "dicht" und man hat, so empfinde ich es halt, ein besseres Gefühl bei der
ganzen Sache.

Gruß
Dobby
Bitte warten ..
Mitglied: keine-ahnung
04.04.2013, aktualisiert um 09:17 Uhr
Moinsens miteinander,

SRY, gestern keinen Bock mehr auf IT&Gedöhns mehr gehabt ...

Gehen wir mal davon aus, dass bei mir eine Standardinstallation des SBS läuft (+ Firlefanz). Heisst Installation --> Bill möchte jetzt zwingend, dass vom Router 25/80/443 auf den SBS zeigen, weil die Kiste sonst gar nicht läuft. Macht IMHO bis dahin auch noch Sinn (über OWA hat wohl noch keiner ein Netz penetriert). Wenn man einen lustigen Router mit aktivem UPnP hat, bohrt sich der SBS während der Installation die Löcher selbst, sonst musst Du sie halt mit Hand freimachen. Aber Du musst!
Nach der Standardinstallation ist der Webarbeitsplatz aktiv, dass muss man ja zunächst ersteinmal gar nicht wissen. Auch wenn man es weiss, nimmt man dass zumindest erst einmal nicht ernst, da man die erweiterten Fähigkeiten im Vgl. zum Vorgänger nicht kennt (also zumindest ich nicht, da ich nicht jeden Tag zwei SBS-Netze aufsetze oder migriere ). Du wurschtelst nach der Migration wie gewohnt weiter (VPN-fähiger Router mit vernünftiger Firewall LANCOM 1780, Einwahl von draussen ausschliesslich über das VPN per RDP auf die Büchsen, über den Browser auf die Geräte mit Webserver).
Also ein setup, wie es zigtausendfach installiert sein sollte, nur dass vernünftige Firewall meistens durch Fritzbox ersetzt ist und VPN, wenn überhaupt, via Fritz-Fernzugang realisiert werden sollte.

Auf den Gig mit dem Webarbeitsplatz bin ich eigentlich nur gestossen, weil ich an einer Rezeptionsarbeitsbüchse durch Zufall dieses nette SBS-Desktop-Gadget aktiviert habe und mir gestern (!) - drei Wochen nach Migration - mir mein SBS eine wunderbunte email geschickt habe, dass meine Praxis SBS 2011 installiert hat, und ich mich fragen soll, wenn ich über alle gimmicks informiert werden möchte . Mit verlinkten, bunten Bilderchen zu den erreichbaren services. U.a. halt auch auf den Webarbeitsplatz.

Klick. NAT loopback funktioniert. Name. Passwort. Drin.

Auf der Startseite meine wichtigsten shares im Netz und das Angebot, wieder per Klick RDP auf alle meine Server, auch auf den SBS, und natürlich die Clients zu aktivieren.

Schick: Klick. Passwort des Domänenadmins ändern? Kein Problem.

Und wie gesagt: trotz Firewall hängt der SBS per default mit dem Nackten frei im Internet. Account gehackt, keine Chance mehr. Die Spieleinstellungen am Webarbeitsplatz habe ich mir angesehen, da kann man viel ausblenden. Ist man ersteinmal auf der Büchse drauf, sind das aber alles Standardpfade. Macht man halt nicht Klick, sondern spricht per Pfad an.

Eine Überprüfung von Clientzertifikaten gibt es per default nicht, da der SBS mit selbst erstellten Zertifikaten zufrieden ist. Würde für die GEschichte auch keinen Sinn machen, Geräte, die ein überprüfbares Zertifikat onboard haben, sind ja eh Deine Geräte. Da kannst Du einen VPN-Client drauf stöpseln.

Dafür haben die MS-Jungens eine extra-Seite für iOS designt !

Ich habe das ganze aus der Ferne mit einem PC ohne installiertes SBS-Zertifikat und mit einem iPhone ohne VPN ausprobiert. Kein Problem. Sobald Du die account-Daten hast, bist Du Chef.

Wenn ich 3389 auf den SBS freigeben würde, hätte ich das gleiche Ergebnis. Nur dass ich dann nur den SBS erreiche. Dank Webarbeitsplatz habe ich Zugriff auf alle Clients .

Entweder habe ich einen gravierenden Denkfehler. Oder das Ganze ist nicht wirklich durchdacht ...
Und ja: meine Passwörter sind komplex. Aber ich kann (und will) keine kryptischen Salatformeln generieren, arbeiten muss man ja letztlich damit auch können.

Resultat: ganz schnell die Webseite deaktiviert. Was ich hiermit wärmstens weiter empfehle .

LG, Thomas
Bitte warten ..
Mitglied: Ausserwoeger
04.04.2013, aktualisiert um 09:32 Uhr
Hi

Das ist hald so man muss am SBS solche geschichten einstellen bzw. absichern.

Wenn du zb. den Remote Webarbeitsplatz nach Extern Freischalten möchtest und man von jedem PC auch aus einem Internet Kaffee seine Mails checken muss, dann würde ich dir empfehlen einen Token zu verwenden wie zb.

http://www.safenet-inc.de/Products/Data_Protection/Multi-Factor_Authent ...

Natürlich auch entsprechende Passwörter.

Somit kann ein Skriptkid auch von Extern deine Accounts nicht sperren. Was übrigens passiert wenn man das passwort zu offt falsch eingibt.
Ausser man deaktiviert es.


PS: Die Token geschichte gibts übrigens auch als App für dein Handy oder das deiner Mitarbeiter somit müssen die nicht immer so einen Stick rumschleppen.

LG Andy
Bitte warten ..
Mitglied: keine-ahnung
04.04.2013 um 09:42 Uhr
Hi Andy,

ich habe kein Problem damit, etwas abzusichern, was ich brauche (den Webarbeitsplatz brauche ich nicht wirklich). Mein Problem ist, dass das Dingens standardisiert aktiv und durch die firewall hindurch erreichbar ist. Das ist der schickste, bunteste und am leichtesten zu bedienende Trojaner, den ich bisher gesehen habe .

LG, Thomas
Bitte warten ..
Mitglied: Ausserwoeger
04.04.2013, aktualisiert um 09:55 Uhr
Hi

Ja klar deswegen gibt es uns Admins um den Blödsinn abzustellen den Microsoft so produziert.

Eigendlich sollte auf deiner Firewall nichts Standardmässig von aussen erreichbar sein. Woher sollte den deine Firewall die IP des Servers wissen um den port 443 richtig weiterzuleiten ???

Das muss man schon einstellen also intern ist der Webarbeitsplatz erreichbar von Extern nur wenn man die Firewall richtig einstellt.

Wenn das bei dir so ist würde ich mir die Firewall mal anschauen.

LG Andy
Bitte warten ..
Mitglied: keine-ahnung
04.04.2013 um 10:08 Uhr
Zitat von Ausserwoeger:
Hi
Zurück
Woher sollte den deine Firewall die IP des Servers wissen um den port 443 richtig weiterzuleiten ???
Weil ich ihr das verraten habe? Sonst hätte ich schwerste Probleme, ausserhalb einer VPN-Verbindung via OWA auf den Exchange zu kommen ...

Mal ein Auszug aus dem SBS-Telefonbuch von Joos:

"Haben Sie den neuen Server über einen Router oder eine Firewall mit dem Internet verbunden,
müssen Sie auf dem Router Portweiterleitungen konfigurieren oder ändern. Folgende Ports müssen
Sie dabei zur internen IP-Adresse des SBS 2011 weiterleiten lassen:
 Port 25 (SMTP)
 Port 80 (HTTP)
 Port 443 (HTTPS)
 Port 987 (HTTP für Companyweb)
 Port 1723 (VPN)"

Ich habe mir mangels Bedarf 987 und 1723 verkniffen, aber ohne 443 ist schlecht . Ich will jetzt auch nicht extra im IIS rühren und die Portbindungen ändern, wer weiss, aus welcher Ecke der SBS einem dann entgegenspuckt ...

However: das sind ausschliesslich Standardkonfigurationen - von Microsoft implementiert und empfohlen, von mir offenbar dienstbeflissen exekutiert ... .

LG, Thomas
Bitte warten ..
Mitglied: Ausserwoeger
04.04.2013 um 10:30 Uhr
Zitat von keine-ahnung:
> Zitat von Ausserwoeger:
> ----
> Hi
Weil ich ihr das verraten habe? Sonst hätte ich schwerste Probleme, ausserhalb einer VPN-Verbindung via OWA auf den Exchange

Hi

Naja auch auf OWA kann ein Skriptkid einen angriff starten und dir so die Accouts sperren zb. versuchen zu hacken.
Nur die möglichkeiten sind geringer wenn er einen knackt

Bei OWA gabs schonmal eine nette Sicherheitslücke genau erinnern was das war kann ich mich leider nicht mehr.

Jedenfalls was ich damit sagen will ist auch OWA würde ich absichern. Auch wenn die Chance gering ist das sich ein Hacker genau deine Bude aussucht.

LG Andy
Bitte warten ..
Mitglied: Lochkartenstanzer
04.04.2013 um 10:40 Uhr
Zitat von keine-ahnung:
SRY, gestern keinen Bock mehr auf IT&Gedöhns mehr gehabt ...

Das passiert mir auch manchmal. Das Dumme ist nur: ich habe das (leider?) zu meinem Beruf gemacht.

Resultat: ganz schnell die Webseite deaktiviert. Was ich hiermit wärmstens weiter empfehle .

Das ist der Unterschied in den Philosophien:

MS: Alle sgeht auf Anhieb. Man muß alles wegklicken/wegkonfigurieren, was böse sein könnte.
Andere: Nur das einschalten, was man wirklich braucht.

Allerdings muß man bei neueren Linux-Dsitributionen, insbesondere den Windowslastigen wie Ubuntu, inzwischen auch schon aufpassen, daß man sich kein loch ins Knie schießt, wenn man eine Standardinstallation macht.

Aber was ich mir nicht vorstellen kann ist, warum der SBS unbedingt die Portweiterleitungen zum funktionieren braucht. Was macht dann einer, der dann in einem Dorf ohne Internetanschluß sitzt? Muß er sich dann ein 300Baud-Modem anschaffen?

Ich würde ihm die 80 und 443 auf jeden Fall abdrehen und falls man kein eingehendes smtp braucht auch die 25. ggf Muß man noch am DNS drehen, damit irgendwelche dienste nicht versuchen über die öffentliche IP-Adresse Verbindung aufzunehmen, sondern nur über die dem Ding verpaßten RFC1918-Adressen.

lks
Bitte warten ..
Mitglied: keine-ahnung
04.04.2013 um 11:29 Uhr
Zitat von Lochkartenstanzer:
Hi Ihr,
Das passiert mir auch manchmal. Das Dumme ist nur: ich habe das (leider?) zu meinem Beruf gemacht.
Das kann man so und so sehen. Ich sehe das unbedingt so

@andy: Mit OWA ist ein Kompromiss zwischen Sicherheit und Bequemlichkeit, den ich aktiv gemacht habe. Zumindest im SBS 2008. Ich denke, dass das im Zuge der Migration mit rüber gewandert ist. Allerdings ... weiss der Geier, was auf einem nackt installierten SBS alles per default offen ist. Andererseits: wie soll ich auf dem SBS OWA absichern? Ich kann ja jetzt schlecht das ganze SBS-Gerassel in eine DMZ parken, auch wenn das meiner eher pazifistisch geprägten Grundeinstellung entgegen kommen würde
Aber was ich mir nicht vorstellen kann ist, warum der SBS unbedingt die Portweiterleitungen zum funktionieren braucht. Was macht dann einer, der dann in einem Dorf ohne Internetanschluß sitzt? Muß er sich dann ein 300Baud-Modem anschaffen?
In keinem Fall. Aber einen Umzugswagen sollte er schon bestellen
Ich würde ihm die 80 und 443 auf jeden Fall abdrehen
Hier wird es selbst mit :80 schon schwierig, ich denke mal, dass der WSUS den braucht. Apropos WSUS, da fällt mir doch gerade wieder der Umzugswagenbesteller ein ... :443 ist für mich essential - ich bekomme ohne active sync / OWA Entzugserscheinungen. IMHO auch nicht anders lösbar, ohne an Schrauben zu drehen, die in einem SBS keiner gerne dreht.
und falls man kein eingehendes smtp braucht auch die 25
Das Teil wird doch aber gerade durch den "eingebauten" Exchange interessant ...

Insgesamt wird der SBS immer ein Kompromiss sein. Das ist auch o.k. so. Er ist durch absolute beginners wie mich aufsetz- und konfigurierbar, kostet nicht die Welle und bietet relativ viel. Ob man das braucht, ist ein anderer Schuh, aber das Angebot schafft sich die Nachfrage .

Ich habe auch kein Problem, diesen eigenartigen Webarbeitsplatz abzuschalten, ich brauche ihn ja nicht wirklich. Aber warum muss ich diesen Pseudo-Trojaner abschalten? Besser wäre es gewesen, ich hätte ihn b.B. aktivieren müssen.

Was mir gerade einfällt: eventuell ist das Teil ja auch migrationsbedingt aktiv?? Mea culpa? Mea maxima culpa??

keine-ahnung! Müsste man mal bei einem neu installierten SBS schauen ...

LG, Thomas

(habe heute wenig Zeit, die Waschmaschinenmonteure von HP kommen nachher dass Mutterbrett im Gen8-ProLiant wechseln. Zeitfenster: 120 Minuten. Bin ja mal gespannt)
Bitte warten ..
Mitglied: Lochkartenstanzer
04.04.2013 um 11:46 Uhr
Zitat von keine-ahnung:
> Zitat von Lochkartenstanzer:
> ----
> Aber was ich mir nicht vorstellen kann ist, warum der SBS unbedingt die Portweiterleitungen zum funktionieren braucht. Was
macht dann einer, der dann in einem Dorf ohne Internetanschluß sitzt? Muß er sich dann ein 300Baud-Modem anschaffen?
In keinem Fall. Aber einen Umzugswagen sollte er schon bestellen
> Ich würde ihm die 80 und 443 auf jeden Fall abdrehen
Hier wird es selbst mit :80 schon schwierig, ich denke mal, dass der WSUS den braucht. Apropos WSUS, da fällt mir doch gerade
wieder der Umzugswagenbesteller ein ... :443 ist für mich essential - ich bekomme ohne active sync / OWA
Entzugserscheinungen. IMHO auch nicht anders lösbar, ohne an Schrauben zu drehen, die in einem SBS keiner gerne dreht.
> und falls man kein eingehendes smtp braucht auch die 25
Das Teil wird doch aber gerade durch den "eingebauten" Exchange interessant ...


Ich meinte ja, auch die Portweiterleitungen, nicht die Dienste auf dem SBS selbst, zumindest wenn man sie nciht wirklich braucht. smtp laß ich ja noch durchgehen, aber alles andere sollte nciht essentiell sein.

lks
Bitte warten ..
Mitglied: Dobby
04.04.2013 um 13:04 Uhr
Hallo nochmal,

Resultat: ganz schnell die Webseite deaktiviert.
Konsequent, aber wenn Du das nicht wirklich brauchst hat sich das ja nun erledigt.

Was ich hiermit wärmstens weiter empfehle.
Ist ein netter Zug, Danke.

Ich würde heute zu Tage eh nur noch via IPSec VPN von außerhalb auf ein Firmennetzwerk
zugreifen wollen und die meisten Leute die ich kenne haben auch noch einen oder zwei Radius Server
(DMZ/LAN oder Geschäftliches WLAN & Privates WLAN) und wenn es nur der in den MikroTik Routern integrierte Usermanager ist installiert. Also paranoid bist Du auf jeden Fall nicht.

Gruß
Dobby
Bitte warten ..
Mitglied: keine-ahnung
04.04.2013, aktualisiert um 13:37 Uhr
Zitat von Dobby:
Also paranoid bist Du auf jeden Fall nicht.
Gott sei Dank! Ich habe schon befürchtet, zum Arzt gehen zu müssen

Ich mach den Fred mal zu - irgendwann setze ich den SBS mal nackt auf und schau, was da alles aktiv ist. Ich befürchte allerdings ...

Als Laie würde ich trotzdem empfehlen, den Webarbeitsplatz still zu legen (wir arbeiten eh viel zu viel), ein user-account ist schneller geknackt als man denkt, aber dem SBS die Standard-Portweiterleitungen wegzunehmen ... ich möchte gar nicht wissen, wie der Kumpel drauf reagiert. Zumal einige wirklich bequeme gimmicks dann nicht mehr nutzbar sind ...

Wenn jemand eine Idee hat, wie man den SBS mit vertretbaren Mitteln sicher ins Netz stellen kann - gerne her damit.

LG, Thomas
Bitte warten ..
Mitglied: Ausserwoeger
04.04.2013 um 14:03 Uhr
Zitat von keine-ahnung:
> Zitat von Dobby:
> ----
Portweiterleitungen wegzunehmen ... ich möchte gar nicht
wissen, wie der Kumpel drauf reagiert. Zumal einige wirklich bequeme gimmicks dann nicht mehr nutzbar sind ...

Genau das geht nicht mehr ansonsten funktioniert er wie gehabt weiter.


Wenn jemand eine Idee hat, wie man den SBS mit vertretbaren Mitteln sicher ins Netz stellen kann - gerne her damit.

"vertretbaren Mitteln" Was ist das ??? Vertretbar = Gratis ????

LG Andy
Bitte warten ..
Mitglied: keine-ahnung
04.04.2013, aktualisiert um 15:53 Uhr
Zitat von Ausserwoeger:
"vertretbaren Mitteln" Was ist das ??? Vertretbar = Gratis ????
Mensch Andy, gratis? Ich doch nicht. Bis 98 Cent kann das schon kosten .

Situation: ich habe jetzt max. 10 Arbeitsplätze bei maximal 6 Usern am Laufen. Dafür halte ich den SBS und einen Memberserver für Schnulli (Fax, loginventory, BackupExec, intrexx, PRTG etc.) vor. Dass könnte ich per auch auf dem SBS laufen lassen, breit genug aufgestellt ist er m.E.
Vertretbar wäre: kein zusätzlicher Server, überschaubarer Administrationsaufwand. Und wie gesagt, letztlich geht es nur um OWA und active sync.

LG, Thomas
Bitte warten ..
Mitglied: Ausserwoeger
04.04.2013 um 17:28 Uhr
Hi

Na dann würde ich dir MobilePass ans herz legen:
http://www.safenet-inc.de/Products/Data_Protection/Multi-Factor_Authent ...

Das ist eine Software die du vor die OWA Homepage setzt und bei der du dich erst anmelden musst.
Zum anmelden hast du eine App die dir alle 60 Sek ein neues Passwort generiert ( Zahlen )
Dieses Passwort muss man dann beim login mitangeben.
Du kannst die Software einfach auf deinem SBS installieren und die App mit dem Server koppeln.

Zu beachten ist folgendes:

Verwaltungsplattformen: MobilePASS benötigt entweder TMS 5.0 oder SafeWord 2008

Also musst du dazu Safeword 2008 kaufen das ist quasi die Serversoftware und Mobilepass der Android client.

Ich Teste die Software im moment zb. hab die zum testen neben mir liegen wenn ich zeit hab dafür kann ich dir von meinen Erfahrungen berichten.

LG
Bitte warten ..
Mitglied: keine-ahnung
04.04.2013 um 17:38 Uhr
Mmmh,

die Seite von denen sieht nicht so aus, als hätten die in diesem Jahrzehnt schon mal gearbeitet? Und einen [ACHTUNG: JETZT KOMMT MEIN OUTING] client für (ich schäm mich ja so) iOS scheint es da auch nicht zu geben?

LG, Thomas
Bitte warten ..
Mitglied: Ausserwoeger
04.04.2013 um 18:02 Uhr
Zitat von keine-ahnung:
Mmmh,

die Seite von denen sieht nicht so aus, als hätten die in diesem Jahrzehnt schon mal gearbeitet? Und einen [ACHTUNG: JETZT
KOMMT MEIN OUTING
] client für (ich schäm mich ja so) iOS scheint es da auch nicht zu geben?

LG, Thomas

Aua ! BlackBerry, Windows Mobile, Java ME-Geräte, Symbian, SMS*

Da muss ich wohl weiterschauen vieleicht finde ich das richtige für dich ! iOS tauglich.

LG
Bitte warten ..
Mitglied: Ausserwoeger
04.04.2013 um 18:11 Uhr
Hi

So bitte sehr für iOS und IPAD usw.

http://www.scorpionsoft.com/tokens

Sogar Testen kann man die Software
http://content.scorpionsoft.com/start-an-evaluation

Nur was die kostet ????

Viel spass beim testen. Wenn du nach Two Factor Authentication suchst findest du selbst Produkte die das können zb. Token,Apps,schlüsselanhänger usw.

LG Andy
Bitte warten ..
Mitglied: fulltimeservice
07.04.2013 um 11:03 Uhr
Hallo Thomas,

sorry, ich blick jetzt gar nicht mehr was Du eigentlich möchtest.
Es gibt doch eine Reihe von Möglichkeiten, die Du nutzen kannst.

Gruß
Thomas
Bitte warten ..
Mitglied: keine-ahnung
07.04.2013 um 11:16 Uhr
Hi Namensvetter ,

dir Frage war eigentlich nicht, was ich nutzen möchte (den Webarbeitsplatz benötige ich nicht, da ich eh nur per VPN in mein Netz gehe). Die Frage bezog sich auf die Sicherheit des Standard-Setups eines SBS nach der Installation - der remote-Webarbeitsplatz läuft und ist direkt mit dem Internet konnektiert.

Zielt man mal auf eine normale SBS-Umgebung, in welcher der Kontoanmeldename vermutlich häufig identisch zum Kontonamen ist, habe ich mit Erhalt einer email schon mal den FQDN + den Namen eines Kontos. Ergo ist die einzige Barriere das Kontopasswort, welches zwischen mir und dem Zugriff auf das Netzwerk steht.

Werden jetzt noch schwache Passwörter verwendet ...

Geht man jetzt mal davon aus, dass SBS-Installationen recht häufig von Laien wie mir durchgezogen werden, sehe ich mit diesem default schon ein recht grosses Tor .

LG, Thomas
Bitte warten ..
Mitglied: fulltimeservice
07.04.2013 um 11:31 Uhr
Leider muss ich Dir recht geben.
In 20 Jahren als Admin, habe ich schon viele Installationen gesehen, in der von Laien ein solches System aufgesetzt wurde.
Das wird sich wohl auch nicht ändern.

Anyway, zurück zu Deiner Frage.
Ist es nicht so, dass nur Nutzer der Gruppe "Remotedesktopbenutzer" über die Berechtigung zum Login verfügen?
Zudem wird man doch bei der Installation gefragt, welche Dienste man aktivieren möchte.
Also ist doch das Sicherheitsproblem kein solches, sonder ein von demjenigen der ihn installiert, aktiv ausgewählte Funktion, oder?

Wie löst Du denn nun Dein Problem?

Gruß
Thomas
Bitte warten ..
Mitglied: Lochkartenstanzer
07.04.2013, aktualisiert um 11:44 Uhr
Zitat von keine-ahnung:
Geht man jetzt mal davon aus, dass SBS-Installationen recht häufig von Laien wie mir durchgezogen werden, sehe ich mit diesem
default schon ein recht grosses Tor .

Ja, aber lieber ein große Tor, als hundertausende User supporten müssen, weil die Installation nicht auf Anhieb geht. Sonst könnte man ja das auch nicht damit verkaufen, daß sowas jeder Depp Laie aufsetzen und warten könnte.

lks

PS: Das durchgestrichene Wort richtet sich jetzt nicht gegen den TO, der nachweislich kein solcher ist.
Bitte warten ..
Mitglied: keine-ahnung
07.04.2013 um 13:31 Uhr
Zitat von fulltimeservice:
In 20 Jahren als Admin, habe ich schon viele Installationen gesehen, in der von Laien ein solches System aufgesetzt wurde. Das wird sich wohl auch nicht ändern.
Vermutlich schon - der SBS wird ja eingestellt
Ändert aber nichts an der Tatsache, dass das System ja von MS als quasi "administratorenfreie Zone" beworben wurde..
Anyway, zurück zu Deiner Frage.
Ist es nicht so, dass nur Nutzer der Gruppe "Remotedesktopbenutzer" über die Berechtigung zum Login verfügen?
Kann ich Dir aus dem Hut heraus nicht sagen, da ich den SBS nicht frisch aufgesetzt, sondern migriert habe. Aus dem Bauch heraus würde ich aber sagen eher nein, da die Berechtigung dafür - wie soviel - primär nicht über die AD-Verwaltung sondern über die SBS-Konsole gesetzt werden soll ...
Zudem wird man doch bei der Installation gefragt, welche Dienste man aktivieren möchte.
S.o., ist bei einer frischen Installation eventuell möglich, aber aus meiner Sicht der Dinge heraus auch eher unwahrscheinlich. IMHO läuft die website per default an, wenn ich dass bei Joos richtig herausgelesen habe. Aber - wenn mal wieder ein bisschen Zeit zum spielen ist - werde ich den SBS mal in einer Sandbox frisch installieren ...
Also ist doch das Sicherheitsproblem kein solches, sonder ein von demjenigen der ihn installiert, aktiv ausgewählte Funktion, oder?
Was zu beweisen wäre
Wie löst Du denn nun Dein Problem?
Ganz einfach - durch Abschalten der website im IIS.

@LKS: Yep, dass wird das Problem (gewesen) sein ...

LG, Thomas
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Windows Server
Windows Remote App - Ausgabe in lokales Office (1)

Frage von fluluk zum Thema Windows Server ...

Erkennung und -Abwehr
Port 7547 SOAP Remote Code Execution Attack Against DSL Modems Internet Storm Center (5)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Windows Server
gelöst SBS 2011 - Domäne (7)

Frage von MiSt zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...