Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Server für Internet sperren

Frage Microsoft Windows Server

Mitglied: Pertin

Pertin (Level 1) - Jetzt verbinden

29.12.2013 um 09:52 Uhr, 2206 Aufrufe, 12 Kommentare, 2 Danke

Hallo,

aus Sicherheitsgründen möchte ich auf einen Windows 2008 R2 zwar Update installieren, aber das Internet sollte für den klassischen Zugriff gesperrt sein.
Mit dem simplen Versuch einer Firewall Rule zB den Port 80 zuzumachen, kamen auch keine Updates bzw. funktionierte der Prozess nicht mehr. Also nutzt dies wohl auch Port 80.

Meine Frage(n) nun
- kann ich den Port für die Updates umbiegen?
- kann man den Internetzugriff nur über das Auswählen der einzelnen Anwendungen sperren?
- Gibts eine Regel "Alles aus, außer X, und/oder Y usw. ?

Oder - stelle ich mir das zu einfach vor?

Danke im Voraus
Mitglied: Lochkartenstanzer
29.12.2013 um 09:56 Uhr
Zitat von Pertin:

Oder - stelle ich mir das zu einfach vor?

nein, zu kompliziert.

das ist ein klasischer Fall für Apllication -level-proxies (squid & co.).

Im Proxy kannst Du ganz einfach per white oder backlist, ggf über Userauthetifizierung, regeln, wo die Kisten hindürfen und wo nicht. Da kann man auch einstellen, daß Admins, die sich gegenüber dem Proxy authentifiziert haben, auch andere Seiten als windows-Update aufrufen dürfen, um z.B. irgendwelche Tools direkt aus dem internet zu laden.

lks
Bitte warten ..
Mitglied: certifiedit.net
29.12.2013 um 10:40 Uhr
Hallo Pertin,

nein. Port umbiegen ist nicht, außer du setzt einen dedizierten WSUS auf, welcher dann aber auch wieder FullAccess über Port 80 braucht.

Du kannst, vorausgesetzt deine UTM/FW Hardware/Software kann das, die Ziele erlauben und blockieren. Sprich: MS-Server OK, Alles andere nicht.

Ob es einfach ist oder nicht kommt auf deine Gegebenheiten an.
Bitte warten ..
Mitglied: jsysde
29.12.2013 um 12:29 Uhr
Mahlzeit.

Man möge mir das Herumnörgeln verzeihen, aber mit ist unklar, welche "Gefahr" für einen Server besteht, wenn er "Internetzugriff" hat?
Sofern der Server hinter einem Router hängt und dort keine Portforwardings eingetragen sind, die auf eben diesen Server zeigen, ist der Server genauso sicher bzw. unsicher wie alle anderen Rechner im Netz auch, sprich: Ein Zugriff von extern direkt auf diesen Server ist nicht möglich.

Dass man sich als Admin nicht auf einen Server verbindet, um dann dort fröhlich loszusurfen, sollte eigentlich jedem klar sein, das gehört zur absoluten Grundsicherung jedes Servers/Netzwerks.

Was die Update-Versorgung angeht, hier wurde ja schon ein WSUS-Server erwähnt, also ein Server, der zentral alle (benötigten) Updates von MS herunterlädt und dann allen Maschinen im internen Netz bereitstellen kann - verhindert, dass die internen Maschinen direkt von MS laden und beschleunigt natürlich die Installation von Updates proportional zur Anzahl der vorhandenen Maschinen. Dass dieser WSUS-Server dann Zugriff aufs Internet braucht, dürfte klar sein, die Updates müssen ja irgendwie heruntergeladen werden. Zum "Verbiegen" der Update-Ports ist ein hausinterner WSUS die zwingende Vorraussetzung.

Cheers,
jsysde
Bitte warten ..
Mitglied: Lochkartenstanzer
29.12.2013, aktualisiert um 12:38 Uhr
Zitat von jsysde:

Man möge mir das Herumnörgeln verzeihen, aber mit ist unklar, welche "Gefahr" für einen Server besteht,
wenn er "Internetzugriff" hat?

Wie die Erfahrung zeigt, werden Drittanbieter-Programme auf Servern normalerweise seltener aktuell gehalten als auf Desktops.

Wenn man nun auf dem Server als Admin unterwegs ist, um z.B. schnell bei administrator.de oder woanders was nachzuschauen, kann es dort einfacher sein, sich auf dem Server einen drive-by-download einzufangen, als auf dem Desktop.

lks

PS: Ich meine damit nciht, das administrator.de drive-by-downloads verteilt, sondern daß die gefahr generell dort besteht, wo werbung verteilt wird.
Bitte warten ..
Mitglied: jsysde
29.12.2013 um 12:42 Uhr
Mahlzeit.

Zitat von Lochkartenstanzer:
Wenn man nun auf dem Server als Admin unterwegs ist, um z.B. schnell bei administrator.de oder woanders was nachzuschauen, kann es
dort einfacher sein, sich auf dem Server einen drive-by-download einzufangen, als auf dem Desktop.
Da hast du sicherlich nicht unrecht, aber als (verantwortungsvoller) Admin surfe ich auf einem Server nicht, ganz egal, wohin. Eigentlich ein "OSI-Layer-8-Problem", kein Windows-Problem.

Cheers,
jsysde
Bitte warten ..
Mitglied: Lochkartenstanzer
29.12.2013 um 13:04 Uhr
Zitat von jsysde:

> Zitat von Lochkartenstanzer:
> Wenn man nun auf dem Server als Admin unterwegs ist, um z.B. schnell bei administrator.de oder woanders was nachzuschauen,
kann es
> dort einfacher sein, sich auf dem Server einen drive-by-download einzufangen, als auf dem Desktop.
Da hast du sicherlich nicht unrecht, aber als (verantwortungsvoller) Admin surfe ich auf einem Server nicht, ganz egal, wohin.
Eigentlich ein "OSI-Layer-8-Problem", kein Windows-Problem.

Auch nicht, wenn Du mal schnell einen patch brauchst, weil der Server gerade Mucken macht?

Egal wie sorgfältig man ist, man kommt immer in Situationen, wo man kurz nicht aufpaßt und schon ist es passiert.

lks
Bitte warten ..
Mitglied: Dobby
29.12.2013 um 18:38 Uhr
Hallo,

stell die Server die Kontakt zum Internet haben sollen in eine DMZ hinter einen HTTP/Web Proxy
und die anderen Server eben ins LAN und dann versorge diese über WSUS mit Updates.

Gruß
Dobby
Bitte warten ..
Mitglied: exchange
29.12.2013 um 20:20 Uhr
Zitat von Lochkartenstanzer:
Auch nicht, wenn Du mal schnell einen patch brauchst, weil der Server gerade Mucken macht?

Egal wie sorgfältig man ist, man kommt immer in Situationen, wo man kurz nicht aufpaßt und schon ist es passiert.

lks
RDP - copy & paste?

Du kannst in der Windows Firewall eine Regel für den IE machen und diesem nichts erlauben. Das setzt aber voraus, dass der Benutzer keine Anwendung installieren darf und auch keine fremde .exe starten kann (portable Browser), sonst macht das keinen Sinn.
Bitte warten ..
Mitglied: 13634
30.12.2013, aktualisiert um 06:51 Uhr
Moin,
versteh ich das jetzt richtig nur kein Surfen? Versuch doch mal einen nicht vorhandenen Proxy in den Internetverbindungseinstellungen einzutragen.
Sollte dann ggf. kein Surfen per IE möglich sein.
HG
Strangedos
P.S. Alternativ könnte man es auch mit DNS Einstellungen probieren. Ist aber mehr Bastelarbeit da der WSUS ja weiterhin laufen soll.
Bitte warten ..
Mitglied: maretz
30.12.2013 um 08:50 Uhr
Moin,

ich vermute mal das du damit aus Sicherheitsgründen die Updates auch nur manuell installieren möchtest? (Ob dies jetzt gut oder schlecht ist will ich mal nicht diskutieren). Hierfür gibt es ja div. Update-Tools (ich glaub z.B. eines von Heise), das lädt die Updates "offline" runter, du packst das auf nen USB-Stick und installierst das dann am Server.

Jedoch: Was machst du z.B. mit nem Virenscanner? Der sollte ja auch seine Updates bekommen.

Ansonsten würde ich mich aber auch den anderen hier anschließen - wenn ich am Server nicht arbeite (und schon gar nicht als Admin irgendwelche SW da öffne / ausprobiere und/oder surfe!) stellt sich die Frage welches Problem du da siehst? Ne gute Firewall sollte ja alle Ports zumachen die nicht benötigt sind (und bei nem Server weiss ich recht genau was der nach aussen braucht!). Ich würde höchstens den Port 80 direkt sperren und nen Proxy zwangsweise dazwischen packen um Programme wie TeamViewer zu sperren (oder eben die illegalen Versionen davon) - und am Proxy eben für den Server nur die Update-Seiten freigeben. Aber je nach Umfeld kenne ich auch einige Umgebungen in denen der Server eben kein Internet haben darf weils ne Betriebsvorgabe so vorsieht...
Bitte warten ..
Mitglied: jsysde
30.12.2013 um 10:44 Uhr
Moin.

Zitat von maretz:
Ne gute Firewall sollte ja alle Ports zumachen die nicht benötigt sind
Ähhm, nein. "Ne gute Firewall" hat alle Ports dicht, bis auf die, die ich als Admin öffne.

Cheers,
jsysde
Bitte warten ..
Mitglied: 13634
01.01.2014, aktualisiert um 05:58 Uhr
Moin,
dazu muss der jeweilige Admin auch die betreffende Übersicht haben.
HG
Strangedos
P.S. Die Grundlegende Frage wie ist die Ausgangsituation und wie löse ich diese, tritt etwas in den Hintergrund.
Bitte warten ..
Ähnliche Inhalte
Internet
gelöst Sperre Internet auf Benutzerebene (4)

Frage von sabines zum Thema Internet ...

Windows 10
IP sperren? (29)

Frage von knowon zum Thema Windows 10 ...

Windows Server
Windows Server 2k16 Druckserver Formulare sperren oder Löschen (1)

Frage von Phill93 zum Thema Windows Server ...

Windows Installation
gelöst Portabel Apps erkennen oder sperren (5)

Frage von joehuaba zum Thema Windows Installation ...

Neue Wissensbeiträge
Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Windows 10
Seekrank bei Windows 10 (18)

Frage von zauberer123 zum Thema Windows 10 ...

Windows 10
Windows 10 Fall Creators Update Fehler (14)

Frage von ZeroCool23 zum Thema Windows 10 ...

Windows Installation
Windows 10 neu installieren (9)

Frage von imebro zum Thema Windows Installation ...