Sicherheit für Workstations in einem Artikel zur Server-Sicherheit? Ja, denn eine Workstation ist nichts anderes, als eine Tür zum Server. Wenn Sie die Workstation-Sicherheit erhöhen, erhöhen Sie gleichzeitig die Gesamtsicherheit. Installieren Sie zuerst Windows 2000 auf allen Workstations. Windows 2000 ist ein sehr sicheres Betriebssystem. Wenn Ihnen die Mittel für diesen Schritt fehlen, sollten Sie mindestens Windows NT einsetzen. Sie können dann Workstations sperren, so dass es schwierig bis unmöglich für jemanden wird, Informationen zur Netzwerkkonfiguration abzufragen, ohne entsprechende Berechtigungen zu besitzen.
Sie können auch festlegen, wer sich an welcher Workstation anmelden darf. Wenn einer der Angestellten, nennen wir ihn Björn, oft Probleme bereitet, möchten Sie sicher nicht, dass er während der Mittagspause den PC eines Kollegen oder seinen eigenen Laptop zum Hacken verwendet. Also ändern Sie Björns‘ Konto mit dem Benutzer-Manager für Domänen einfach so, dass er sich nur von seinem PC anmelden kann, und auch das nur, während der von Ihnen festgelegten Zeiten. Björn wird eher nicht den Versuch machen, von seinem Arbeitsplatz aus zu hacken, zumal dort die Wahrscheinlichkeit viel größer ist, ihn aufzuspüren.
Sie können die Workstation auch in ein reines Terminal mit einer gewissen Intelligenz umwandeln. Das würde bedeuten, dass keine Daten oder Programme auf der Workstation gespeichert sind. Wenn der PC ein Terminal ist, führt der Server die Windows NT Terminal Services aus und alle Anwendungen laufen physikalisch auf dem Server. Lediglich die Monitordaten werden an die Workstation geschickt. Somit ist auf dem PC nur eine minimale Windows-Installation und eine Kopie des Microsofts Terminal Server Client vorhanden. Dieser Weg ist wahrscheinlich das sicherste Netzwerkdesign.
Ein reines Terminal mit einer gewissen Intelligenz führt Programme und Daten, die auf dem Server liegen, auf der Workstation aus. Auf der Workstation befindet sich lediglich eine Kopie von Windows und einige Symbole, die mit Anwendungen auf dem Server verknüpft sind. Wenn Sie ein Programm per Symbol aufrufen, wird es mit den lokalen Ressourcen ausgeführt und zweigt keine Server-Ressourcen ab. Der Server hat dabei deutlich weniger Arbeit, als in einer echten Terminal Server-Sitzung.
- Sieben Tipps für mehr Server-Sicherheit
- Tipp 1: Seien Sie sich über die Grundlagen im Klaren
- Tipp 2: Schützen Sie Ihre Backups
- Tipp 3: Verwenden Sie Callback mit RAS
- Tipp 4: Denken Sie an die Workstation-Sicherheit
- Tipp 5: Spielen Sie Hot Fixes ein
- Tipp 6: Legen Sie strenge Sicherheitsrichtlinien fest
- Tipp 7: Prüfen Sie Ihre Firewall doppelt
- Fazit
Neueste Kommentare
1 Kommentar zu Sieben Tipps für mehr Server-Sicherheit
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Kennen Server nur Windows als Betriebssystem???
Es ist schon erschreckend wie einseitig die Diskussionen verlaufen.
Hat jemand von den Fachleuten schon einmal gehört, daß Hacker auf einem Netware Server der Versionen 5.1 – 6.5 eingebrochen sind, bei dem die Anmeldung ordnungsgemäß über den Netware-Client 4.91SP2 abgewickelt wird???
Welcher der momentan aktiven Hacker hat denn noch Ahnung vom NetWare Betriebssystem??
Bei mir und meinen Kunden holen sich die Hacker alle rote Nasen, da auf dem Server kein "system32"-Verzeichnis existiert oder ein "messenger" oder sonstiger Schrott installiert ist, da ist ein Server eben noch ein Server und kein der Allgemeinheit zugängliches Bastelobjekt.
Und wenn dann noch eine seriöse Firewall zwischen dem Server und dem InterNet liegt, kann ich ziemlich ruhig schlafen.
Wie werden den im Windows-Umfeld in Klein- und Mittelstands-Unternehmen Administratoren ausgebildet ???
GARNICHT, wer am besten mit Maus und Explorer umgehend kann wird mehr oder weniger automatisch zum "Herrn des Netzes" ernannt, und damit die Eindringlinge es noch einfacher haben werden die IP-Adressen völlig unstrukturiert vom Internet-Router und parallel von den Printservern und parallel von den Servern etc. willkürlich verteilt, NetBIOS bleibt eh eingeschaltet.
Und wenn es dann zum Daten-Gau durch subversive Eindringlinge kommt, kann sich das niemand erklären, oder??