OK, dann anders. Ich hab einen W2K-Server, der hat auch ne Firewall. Jetzt geht es darum, dass der Server vor unerlaubten Zugriffen von außerhalb (Viren, Trojaner, Würmer usw) sowie innerhalb des lokalen Netz geschützt wird.
Kann man den Server zumindest zu 95% vor Hackerangriffen usw schützen, selbst wenn da noch ne Firewall mit Filter zwischengeschaltet ist?

Gruß, FlashGirl20

P.S. Ich weiß, dass das keine Arbeitsstation ist

[offtopic]
bitte nicht immer einen neuen thread aufmachen, sondern in dem bereits eröffneten weiterposten (sprich in den thread gehen und dann auf klicken!)

damit sich alle anderen auskennen: das obige sollte eine antwort auf diesen thread sein:
http://www.trojaner-board.de/forum/u...;f=19;t=000366
[/offtopic]

zum thema zugriffe/angriffe von innen:

um zugriffe von innen zu schützen bedarf es IMO einer straffen policy-politik, und auch die software muss dementsprechend angelegt sein.

erstmal muss (neben dem win2k server) jeder client auf win2k pro oder xp pro laufen, und dann wird mittels win2k server ein ads (active directory service) angelegt. innerhalb des verzeichnisdienstes kannst du gruppenrichtlinien ausarbeiten, den benutzer so einschränken, sodass er nur programme ausführen darf, die vom admin freigegeben wurden, und ihm die möglichkeit genommen wird, eigene programme zu installieren. win 2k pro (oder xp pro) garantieren dafür, das keiner aus der reihe tanzt (beziehungsweise tanzen kann).

am server selbst sollte sowieso nur das notwendigste laufen (also keine mailabfragen, keine irc-clients, keine messenger-dienste[1] -> dadurch ist die basis, um einen trojan-server zu installieren ausgeschlossen)

zu den angriffen von aussen:

viren und würmer arbeiten von innen nach aussen, scheiden also in dieser kategorie aus. trojaner benötigen einen entsprechenden serverdienst, und wenn man sich an obiges hält, dann wird die möglichkeit, einen trojan-server "untergejubelt" zu bekommen, sehr gering[2]. die beiden angriffspunkte sind serverdienste, die nach aussen fungieren (webserver, mailserver) - daher mein hinweis, immer die neuesten patches einzuspielen (damit ein angreifer nicht durch einen exploit zugriff erlangt). weiteres beliebtes angriffsziel (auch von einem wurm: opaserv) ist, wenn netbios ans öffentliche interface gebunden ist. diese bindung muss man trennen, oder (sofern nur win2000-maschinen - auch xp pro ist möglich - im netz hängen!) das deaktivieren von netbios und das damit verbundene native ads (steuerung nur mit tcp/ip)... geht aber wirklich nur, wenn keine 9x/me oder nt-maschine im lan hängt...

[img]graemlins/teufel3.gif[/img]

[1] diese ganzen tätigkeiten soll der administrator mit einem normalen benutzerkonto "erledigen", und wenn es zu einer infektion kommt, dann ist der schaden geringer, als wenn er als administrator systemweit zugriff hat (denn der virus/wurm/trojaner hat das dann auch!)

Hi,

also ich würde für eine windows-umgebung, den Microsoft Security Baseline Analyzer empfehlen. Der gibt dir einen guten Überblick was du tun kannst, um die Sicherheit deines Windowssystems zu erhöhen. Unter anderem schaut er auf welchen Updatestand der Rechner ist...gibt Empfehlungen und Tips.
Und er ist kostenlos*g*

Wenn es um mehrere Windows(2000 oder XP)-Systeme geht würde ich den MSBA zusammen mit einem Software Update Service(SUS)

Die URL für den MSBA:

www.microsoft.com/TechNet/Security/tools/tools/MBSAHome.ASP

Für den SUS:

microsoft.com/downloads/details.aspx?FamilyId=A7AA96E4-6E41-4F54-972C- AE66A4E4BF6C&displaylang=en

VanTom

Ist dieser SUS nicht Bestandteil des letzten SP?

Kommt darauf an, wie du das siehst*g*

Nein im Ernst...Bei dem letzten Service-Pack war der Client dabei. Um die Funktionen aber in einem lokalen Netz nutzen zu können, brauchst du auf einem Server den SUS. Die Clients verbinden sich dann je nach Einstellungen mit dem Server.
Soweit ich weiß ist nun auch Service Pack1 für den SUS raus, das einige Schwächen behebt.

VanTom

Ah - hört sich interessant an! Geht das über diesen Software Distributionsdienst (MSI Packages usw.)? Ist die Sprachversion des OS von Belang?

Auf ersteres kann ich net genau antworten. Der SUS läd sich die aktuellsten patch-exen runter und zeigt diese an. Wenn man diese nun bestätigt werden sie den Clients zu Verfügung gestellt. Diese laden die sich vom SUS runter, bzw. je nach Einstellung können sie direkt installiert werden oder nur angezeigt.
Die Sprachversion ist insofern irrelevant , dass du einfach die Sachen ziehst, die in den Sprachen sind , die dich interessieren. Du kannst also quasi aus einem Sprachkatalog wählen. In den ausgewählten Sprachen lädt er dann die Patche herunter.

Man muss dabei allerdings noch erwähnen, dass der SUS nur Patche und hotfixe verteilen kann. Servicepacks kann er nicht handeln.

VanTom