4 Sicherheitstipps für Windows-Server
Windows-Server werden immer beliebter. Seitdem Hoster die zusätzlichen Kosten für Betriebssystem-Lizenzen nicht mehr an Kunden weiterzugeben, ist die Zahl der eingesetzten Windows-Server nochmals deutlich gestiegen. Die gestiegene Attraktivität macht diese gleichzeitig aber auch zu einem immer beliebteren Angriffsziel für Hacker und DDOS-Attacken. Deshalb möchte ich Ihnen hier einige Sicherheitstipps für Windows-Server vorstellen, mit denen Sie Ihr System und Ihre Anwendungen schützen können.
1. Verdächtige IP-Adressen aussperren
Hinter jedem Angriff auf Ihren Server steckt „im weitesten Sinne“ ein anderer Server mit einer bestimmten IP-Adresse, auch wenn sich dieser hinter einem Proxy oder einem Wald von Proxys verbirgt. Deshalb sollten Sie Ihren Server über das Microsoft IIS Modul „Dynamic IP Restrictions“ schützen.
Dieses Tool ist eine komfortable Möglichkeit, um Ihren Server automatisch gegen gezielte DDOS-Angriffe und versuchtes Passwort-Cracking durch Brute-Force-Attacken abzusichern.
Über die Einstellungsmöglichkeiten von Dynamic IP Restrictions können Sie präzise definieren:
- wie viele Anfragen von einer IP-Adresse gleichzeitig an Ihren Server gestellt werden können.
- wie viele Anfragen maximal von einer IP-Adresse bzw. maximal in einem bestimmten Zeitraum eingehen dürfen.
Bei der Überschreitung eines voreingestellten Grenzwertes, wird die entsprechende IP-Adresse automatisch geblockt.
Legen Sie darüber hinaus fest, welche Fehlermeldung bei einer geblockten IP-Adresse angezeigt werden soll sowie in welcher Logfile-Datei die Zugriffsversuche protokolliert werden sollen.
Dynamic IP Restrictions können Sie kostenlos über den Download-Bereich von IIS.net downloaden.
2. Verschleiern Sie Dienste oder Betriebssysteme, mit denen Sie arbeiten
Geben Sie potentiellen Angreifern so wenige Ansatzpunkte wie möglich. Dazu gehört auch das Verwischen von sogenannten „Fingerprints“, durch die Unbefugte Informationen über die Version der von Ihnen eingesetzten Diensten und Betriebssystemen erhalten, um so deren Schwachstellen unter Umständen gezielt auszunutzen.
Eine wichtige Sicherheitsmaßnahme ist z.B. die Deaktivierung der DNS-Version für öffentliche Zugriffe. Geben Sie dazu über die Windows-Kommandozeile folgenden Befehl ein:
1
2
3
|
dnscmd /config /EnableVersionQuery 0
|
Warum ist die Deaktivierung der DNS-Version für öffentliche Zugriffe so wichtig?
Insbesondere älteren DNS-Servern kann man sehr einfach die Versionsnummer entlocken.
Checken Sie zu Ihrer Sicherheit einfach einmal, ob das auch bei Ihrem DNS-Server der Fall ist.
Geben Sie dazu folgenden Befehl über die Kommandozeile ein:
1
2
3
|
nslookup –type=txt –class=chaos version.bind <IP>
|
Erhalten Sie daraufhin die Versionsnummer Ihres DNS-Servers angezeigt, sollten diesen möglichst umgehend (wie oben beschrieben) für öffentliche Zugriffe deaktivieren.
3. Legen Sie einen neuen Administrator-Benutzernamen an
Standardmäßig ist auf Ihrem Windows-Server der Benutzer „Administrator“ angelegt. Auch das kann – vor allem in Verbindung mit einem „schwachen Passwort“ – zu einem Einstiegstor für Hacker werden. Daher sollten Sie aus Sicherheitsgründen das Administrator-Konto deaktivieren bzw. umbenennen.
Der Standardbenutzernamen lässt sich schnell und einfach mit folgendem Befehl über die Windows-Kommandozeile ändern.
1
2
3
|
wmic useraccount where name=„Administrator“ call rename name=„<IHR NEUER ADMINISTRATOR- NAME>“
|
4. Verschlüsseln Sie IMAPS-Mails über eine SSL gesicherte Verbindung
Standardmäßig sind Windows-Server, die Sie mit der Administrationsoberfläche Plesk betreiben, mit dem kostenlosen Mail-Server MailEnable ausgestattet. Diese bietet Ihnen allerdings keine SSL-Verschlüsselungsoption. Sie können natürlich die kostenpflichtige Professional Mail Server Edition erwerben, die Ihnen unter anderem auch die SSL-Verschlüsselung ermöglicht.
Alternativ lässt sich die SSL-Verschlüsselungsfunktion aber auch ganz einfach und kostenlos nachrüsten. Zum Beispiel mit der SSL-Codiersoftware „STunnel“.
Dieses Open Source-Tool STunnel ermöglicht Ihnen den Aufbau eines verschlüsselten Tunnel auf Basis des IMAP Version 4 Protokolls zum Mail-Server.
So konfigurieren Sie STunnel
Laden Sie STunnel herunter und starten Sie das Setup. Standardmäßig werden nun Firewall-Regeln angelegt, die Sie für die Konfiguration von STunnel deaktivieren sollten. Für die Verbindung mit Ihrem E-Mail-Client müssen Sie das Mailserver-Zertifikat in die stunnel.conf-Datei eintragen. Den entsprechenden Schlüssel und das Zertifikat finden Sie in der .pem Datei, die Ihnen in der Regel von Ihrem Provider zur Verfügung gestellt wird.
Fügen Sie folgende Zeilen in die Installations-Datei von STunnel (stunnel.conf) ein:
1
2
3
4
5
|
; Certificate/key is needed in server mode and optional in client mode
cert = www_beispieldomain_de.pem
;key = stunnel.pem
|
So konfigurieren Sie Ihre E-Mail-Clients
- Stellen Sie für den Posteingangsserver SSL/TSL Port 993 ein.
- Aktivieren Sie die Option Verschlüsseltes Passwort senden.
- Wählen Sie für den Postausgangsserver SMTPS Server Post 465 SSL/TLS.
- Stellen Sie für den Ausgangsserver SSL Port 465 ein.
- Achten Sie darauf, dass das Relaying für lokale Adressen nicht aktiviert ist, damit verhindern Sie, dass Ihr Server für Spamversand missbraucht werden kann.
- Passen Sie die Konfiguration von stunnel Ihren Bedürfnissen an.
Die Anpassungen können Sie in der stunnel.conf_Datei vornehmen, die sich üblicherweise im Verzeichnis: Program Files (x86)\stunnel\config\ befindet. Wichtig: Verweisen Sie in der Sektion „TLS server mode services“ / Parameter „cert“ auf die von Ihnen genutzte Zertifikatsdatei. - Ändern Sie die automatisch von stunnel angelegten Firewallregeln. Definieren Sie für die von Ihnen genutzten Dienste eigene Regeln. Das betrifft vor allem folgende Dienste:
– 465 TCP für SMTPS
– 993 TCP für IMAPS
– 995 TCP für POP3S - Erteilen Sie der stunnel.exe-Datei eine Freigabe. Sie finden diese gewöhnlich im Verzeichnis Program Files(x86)\stunnel\bin\.
- Zum Schluss sollten Sie die Authentifizierung aktivieren, um stunnel nutzen zu können.
Blockieren Sie den Port der Firewall nun für die unverschlüsselte IMAP Kommunikation
STunnel können Sie auf dieser Seite kostenlos downloaden.
Sicherheitstipps für Windows-Server – Fazit
Mit diesen vier Sicherheitstipps für Windows-Server können Sie Ihr System und Ihre Anwendungen bereits wirkungsvoll gegen Hacking-Attacken absichern. Gehen Sie auf Nummer Sicher und schützen Sie Ihren Windows-Server am besten noch heute.