Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Server für Internet sperren

Frage Microsoft Windows Server

Mitglied: Pertin

Pertin (Level 1) - Jetzt verbinden

29.12.2013 um 09:52 Uhr, 2220 Aufrufe, 12 Kommentare, 2 Danke

Hallo,

aus Sicherheitsgründen möchte ich auf einen Windows 2008 R2 zwar Update installieren, aber das Internet sollte für den klassischen Zugriff gesperrt sein.
Mit dem simplen Versuch einer Firewall Rule zB den Port 80 zuzumachen, kamen auch keine Updates bzw. funktionierte der Prozess nicht mehr. Also nutzt dies wohl auch Port 80.

Meine Frage(n) nun
- kann ich den Port für die Updates umbiegen?
- kann man den Internetzugriff nur über das Auswählen der einzelnen Anwendungen sperren?
- Gibts eine Regel "Alles aus, außer X, und/oder Y usw. ?

Oder - stelle ich mir das zu einfach vor?

Danke im Voraus
Mitglied: Lochkartenstanzer
29.12.2013 um 09:56 Uhr
Zitat von Pertin:

Oder - stelle ich mir das zu einfach vor?

nein, zu kompliziert.

das ist ein klasischer Fall für Apllication -level-proxies (squid & co.).

Im Proxy kannst Du ganz einfach per white oder backlist, ggf über Userauthetifizierung, regeln, wo die Kisten hindürfen und wo nicht. Da kann man auch einstellen, daß Admins, die sich gegenüber dem Proxy authentifiziert haben, auch andere Seiten als windows-Update aufrufen dürfen, um z.B. irgendwelche Tools direkt aus dem internet zu laden.

lks
Bitte warten ..
Mitglied: certifiedit.net
29.12.2013 um 10:40 Uhr
Hallo Pertin,

nein. Port umbiegen ist nicht, außer du setzt einen dedizierten WSUS auf, welcher dann aber auch wieder FullAccess über Port 80 braucht.

Du kannst, vorausgesetzt deine UTM/FW Hardware/Software kann das, die Ziele erlauben und blockieren. Sprich: MS-Server OK, Alles andere nicht.

Ob es einfach ist oder nicht kommt auf deine Gegebenheiten an.
Bitte warten ..
Mitglied: jsysde
29.12.2013 um 12:29 Uhr
Mahlzeit.

Man möge mir das Herumnörgeln verzeihen, aber mit ist unklar, welche "Gefahr" für einen Server besteht, wenn er "Internetzugriff" hat?
Sofern der Server hinter einem Router hängt und dort keine Portforwardings eingetragen sind, die auf eben diesen Server zeigen, ist der Server genauso sicher bzw. unsicher wie alle anderen Rechner im Netz auch, sprich: Ein Zugriff von extern direkt auf diesen Server ist nicht möglich.

Dass man sich als Admin nicht auf einen Server verbindet, um dann dort fröhlich loszusurfen, sollte eigentlich jedem klar sein, das gehört zur absoluten Grundsicherung jedes Servers/Netzwerks.

Was die Update-Versorgung angeht, hier wurde ja schon ein WSUS-Server erwähnt, also ein Server, der zentral alle (benötigten) Updates von MS herunterlädt und dann allen Maschinen im internen Netz bereitstellen kann - verhindert, dass die internen Maschinen direkt von MS laden und beschleunigt natürlich die Installation von Updates proportional zur Anzahl der vorhandenen Maschinen. Dass dieser WSUS-Server dann Zugriff aufs Internet braucht, dürfte klar sein, die Updates müssen ja irgendwie heruntergeladen werden. Zum "Verbiegen" der Update-Ports ist ein hausinterner WSUS die zwingende Vorraussetzung.

Cheers,
jsysde
Bitte warten ..
Mitglied: Lochkartenstanzer
29.12.2013, aktualisiert um 12:38 Uhr
Zitat von jsysde:

Man möge mir das Herumnörgeln verzeihen, aber mit ist unklar, welche "Gefahr" für einen Server besteht,
wenn er "Internetzugriff" hat?

Wie die Erfahrung zeigt, werden Drittanbieter-Programme auf Servern normalerweise seltener aktuell gehalten als auf Desktops.

Wenn man nun auf dem Server als Admin unterwegs ist, um z.B. schnell bei administrator.de oder woanders was nachzuschauen, kann es dort einfacher sein, sich auf dem Server einen drive-by-download einzufangen, als auf dem Desktop.

lks

PS: Ich meine damit nciht, das administrator.de drive-by-downloads verteilt, sondern daß die gefahr generell dort besteht, wo werbung verteilt wird.
Bitte warten ..
Mitglied: jsysde
29.12.2013 um 12:42 Uhr
Mahlzeit.

Zitat von Lochkartenstanzer:
Wenn man nun auf dem Server als Admin unterwegs ist, um z.B. schnell bei administrator.de oder woanders was nachzuschauen, kann es
dort einfacher sein, sich auf dem Server einen drive-by-download einzufangen, als auf dem Desktop.
Da hast du sicherlich nicht unrecht, aber als (verantwortungsvoller) Admin surfe ich auf einem Server nicht, ganz egal, wohin. Eigentlich ein "OSI-Layer-8-Problem", kein Windows-Problem.

Cheers,
jsysde
Bitte warten ..
Mitglied: Lochkartenstanzer
29.12.2013 um 13:04 Uhr
Zitat von jsysde:

> Zitat von Lochkartenstanzer:
> Wenn man nun auf dem Server als Admin unterwegs ist, um z.B. schnell bei administrator.de oder woanders was nachzuschauen,
kann es
> dort einfacher sein, sich auf dem Server einen drive-by-download einzufangen, als auf dem Desktop.
Da hast du sicherlich nicht unrecht, aber als (verantwortungsvoller) Admin surfe ich auf einem Server nicht, ganz egal, wohin.
Eigentlich ein "OSI-Layer-8-Problem", kein Windows-Problem.

Auch nicht, wenn Du mal schnell einen patch brauchst, weil der Server gerade Mucken macht?

Egal wie sorgfältig man ist, man kommt immer in Situationen, wo man kurz nicht aufpaßt und schon ist es passiert.

lks
Bitte warten ..
Mitglied: 108012
29.12.2013 um 18:38 Uhr
Hallo,

stell die Server die Kontakt zum Internet haben sollen in eine DMZ hinter einen HTTP/Web Proxy
und die anderen Server eben ins LAN und dann versorge diese über WSUS mit Updates.

Gruß
Dobby
Bitte warten ..
Mitglied: exchange
29.12.2013 um 20:20 Uhr
Zitat von Lochkartenstanzer:
Auch nicht, wenn Du mal schnell einen patch brauchst, weil der Server gerade Mucken macht?

Egal wie sorgfältig man ist, man kommt immer in Situationen, wo man kurz nicht aufpaßt und schon ist es passiert.

lks
RDP - copy & paste?

Du kannst in der Windows Firewall eine Regel für den IE machen und diesem nichts erlauben. Das setzt aber voraus, dass der Benutzer keine Anwendung installieren darf und auch keine fremde .exe starten kann (portable Browser), sonst macht das keinen Sinn.
Bitte warten ..
Mitglied: 13634
30.12.2013, aktualisiert um 06:51 Uhr
Moin,
versteh ich das jetzt richtig nur kein Surfen? Versuch doch mal einen nicht vorhandenen Proxy in den Internetverbindungseinstellungen einzutragen.
Sollte dann ggf. kein Surfen per IE möglich sein.
HG
Strangedos
P.S. Alternativ könnte man es auch mit DNS Einstellungen probieren. Ist aber mehr Bastelarbeit da der WSUS ja weiterhin laufen soll.
Bitte warten ..
Mitglied: maretz
30.12.2013 um 08:50 Uhr
Moin,

ich vermute mal das du damit aus Sicherheitsgründen die Updates auch nur manuell installieren möchtest? (Ob dies jetzt gut oder schlecht ist will ich mal nicht diskutieren). Hierfür gibt es ja div. Update-Tools (ich glaub z.B. eines von Heise), das lädt die Updates "offline" runter, du packst das auf nen USB-Stick und installierst das dann am Server.

Jedoch: Was machst du z.B. mit nem Virenscanner? Der sollte ja auch seine Updates bekommen.

Ansonsten würde ich mich aber auch den anderen hier anschließen - wenn ich am Server nicht arbeite (und schon gar nicht als Admin irgendwelche SW da öffne / ausprobiere und/oder surfe!) stellt sich die Frage welches Problem du da siehst? Ne gute Firewall sollte ja alle Ports zumachen die nicht benötigt sind (und bei nem Server weiss ich recht genau was der nach aussen braucht!). Ich würde höchstens den Port 80 direkt sperren und nen Proxy zwangsweise dazwischen packen um Programme wie TeamViewer zu sperren (oder eben die illegalen Versionen davon) - und am Proxy eben für den Server nur die Update-Seiten freigeben. Aber je nach Umfeld kenne ich auch einige Umgebungen in denen der Server eben kein Internet haben darf weils ne Betriebsvorgabe so vorsieht...
Bitte warten ..
Mitglied: jsysde
30.12.2013 um 10:44 Uhr
Moin.

Zitat von maretz:
Ne gute Firewall sollte ja alle Ports zumachen die nicht benötigt sind
Ähhm, nein. "Ne gute Firewall" hat alle Ports dicht, bis auf die, die ich als Admin öffne.

Cheers,
jsysde
Bitte warten ..
Mitglied: 13634
01.01.2014, aktualisiert um 05:58 Uhr
Moin,
dazu muss der jeweilige Admin auch die betreffende Übersicht haben.
HG
Strangedos
P.S. Die Grundlegende Frage wie ist die Ausgangsituation und wie löse ich diese, tritt etwas in den Hintergrund.
Bitte warten ..
Ähnliche Inhalte
Windows 7
Internet sperren als Lehrer
Frage von gmossinWindows 716 Kommentare

Guten Tag Wir haben eine neue Schulumgebung bei uns im Unternehmen. Unsere Lehrer und Schüler arbeiten mit einer VDI ...

Internet
Sperre Internet auf Benutzerebene
gelöst Frage von sabinesInternet4 Kommentare

Guten Morgen, normalerweise sperre ich PC von der Internetnutzung über deren feste IP und einer FW Regel, jetzt habe ...

Webbrowser
Internet für gewisse User sperren
gelöst Frage von BadgerWebbrowser11 Kommentare

Hallo Leute, mir ist klar, dass dieses Thema bereits tausende Male im Inet behandelt wurde. Allerdings möchte ich hier ...

Windows Userverwaltung
Userzugang Internet Sperren Freigeben
Frage von aromothWindows Userverwaltung9 Kommentare

Moin, ich suche eine Möglichkeit mit einem Windows Server 2008R2 oder evtl. 2012R2 (ab August) einzelnen User den Internetzugang ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 17 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 21 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...