Host Europe Windows VPS absichern

Generell sind die Windows VPS von Host Europe bereits mit einer gewissen Grundsicherheit konfiguriert. Allerdings sollten hier dennoch weitere Schritte erfolgen um die erste Absicherung zu vollenden.

Ändern des Remotedesktop-Ports

Es existieren diverse Schadprogramme, die komplette IP Bereiche nach dem Port 3389 scannen. Sobald dort ein Server antwortet, wird geprüft, ob die Anmeldeinformationen zu erraten sind.

Das Problem hierbei ist, auch wenn das Passwort und der Benutzer nicht erraten werden können, dass die Verbindung zum Server stark eingeschränkt oder sogar blockiert wird.

Indem der Port 3389 auf einen nicht standardmäßigen Port geändert wird, können diese Programme die Verbindung zum Server nicht mehr blockieren.

  1. Den Port kann man über die Registry ändern:
  2.  Danach muss natürlich noch eine Firewallregel hinterlegt werden:
  3. Der Dienst muss neu gestartet werden
  4. Die vordefinierte RDP Zugriffsregel kann deaktiviert werden

Ändern des Administrator Benutzerkontos

Je unvorhersehbarer das System für einen Angreifer arbeitet, desto sicherer ist es. Da Windows immer einen Administrator mit dem Benutzernamen „Administrator“ anlegt, geht ein Angreifer auch erst einmal von diesem Namen aus. Zudem lässt sich dieses Konto nicht durch zu häufige Anmeldefehlversuche sperren.

Wenn daraufhin ein neuer Benutzer mit dem Namen Administrator angelegt wird, biete man dem Angreifer ein vermeintlich wichtiges Ziel, womit er sich nur aufhält.

  1. Umbenennen des Administrator Benutzerkontos
  2. Erstellen eines Benutzerkontos ohne Rechte mit dem Namen Administrator und dieses deaktivieren

Der Benutzer Administrator kann auch per GPO umbenannt werden:

 Nicht alles als Administrator ausführen

Sollte man nicht nur administrative Tätigkeiten ausführen wollen, sondern auch generelle Arbeiten durchführen, ist es ratsam ein separates Konto für diese Arbeiten anzulegen. Dies verhindert beispielsweise das versehentliche Verändern von Einstellungen oder bei einem Virusbefall den übergriff auf Windows Systemdateien. Sobald man administrativen Zugriff benötigt, kann dieser über die Option „als Administrator ausführen“ erfolgen.

Ereignisanzeige konfigurieren

Oft benötigt man Zugriff auf Windows Protokolle die bereits Tage oder Monate zurückliegen. Damit diese noch vorgehalten werden, sollten die Einstellungen der Protokolle umgestellt werden. Wichtig ist, dass die Protokolle nicht überschrieben werden.

Volles Protokoll archivieren und nicht überschrieben:

Firewall Protokoll aktivieren

In den Firewalleinstellungen sollte die Protokollierung aktiviert werden. Diese ist standardmäßig deaktiviert. Auch die Größe des Protokolls sollte etwas angehoben werden. Um das Protokoll nicht zu unübersichtlich werden zu lassen, sollte es allerdings auch nicht mehr als 100 MB überschreiten.

Mit dem folgenden Script legt man den Speicherort für das Protokoll fest, setzt die Größe auf 40 MB, aktiviert die Protokollierung für verworfene Pakete und aktiviert die Protokollierung für erfolgreiche Verbindungen: