Hur kopplar man upp en opatchad Windows server säkrast?

Hej

Har en storageserver med Windows Server 2008.

Denna ska man helst inte installera något på såsom uppdateringar eller antivirus.

Dock skulle jag vilja kunna använda en notifieringsservice så att man kan få mail skickat när något fel
inträffar. Hur gör jag detta på bästa sätt förutom att bara plugga i en nätverkskabel o köra?

Antar att en opatchad server skulle vid otur kunna bli smittad av t ex en infekterad klient på samma nätverk?

Hej,

Varför patchar du inte din maskin? Det är bland det dummaste du kan göra och för en hackare bland det mest tacksamma.
Du kommer inte att kunna plugga in den på nätverket utan att riskera att den blir hackad.

Personligen så ser jag alltid till att alla mina servrar är patchade och är det Windows så finns det självklart antivirus installerat.
//A

Att man inte ska installera något på den är struntprat. Alla produktionsservrar ska ha viktiga säkerhetsuppdateringar och skydd mot skadlig programvara, vem är det som påstår något annat? Möjligtvis kan du undanta eventuella delade filytor från malwareskyddet.

nu är det en väldigt speciell mjukvara på denna server som ej tillåter uppdateringar (ja kanske om man uppdaterar även denna då). Det är en väldigt produktionskritisk verksamhet på denna, och det går inte att pausa detta nu.

Så om nån har någon fynding ide här så tar jag emot denna tacksamt!

Enklaste är någon form av hårdvarubrandvägg före.

Det bästa vore om du kunde lägga upp ett nytt VLAN (Förväxla inte med WLAN/WIFI!!) som du lägger upp separat i din befintliga brandvägg.

Därefter lägger du upp regler så att bara godkända portar är tillåtna. Eventuellt även en reverse-proxy så att man inte kan exploita de tjänster du vill ha åtkomliga på windows-servern.
Lägg även regler utgående så att windows-servern bara får prata med internet på vissa bestämda portar.

Om du inte har några VLAN, eller om din befintliga brandvägg bara har WAN och LAN, så kan du ändå lösa problemet:

Då köper du en extra brandvägg. Antingen kan du köpa en vanlig router, men det ger dig rätt begränsade möjligheter samt att du också löper risk att routern innehåller säkerhetshål.
Det optimalaste är att köpa en riktig brandvägg, t.ex. denna:
https://netgate.com/products/sg-1000.html
(Som du ser är brandväggen inte mycket större än 2 nätverkskontakter)

Och sedan ställa in den vettigt så att bara tillåten trafik får passera.

Fördelen med denna metod, är att du inte behöver göra några som helst modifieringar av servern eller dess mjukvara, utan allt sker utanför.
Fördelen med den lilla brandväggen är att du kan skydda just anslutningen till servern även om du inte har åtkomst till företagets "riktiga" brandvägg.

Då finns ingen risk att klienterna smittar ner servern, eftersom alla angrepp kommer att blockeras av brandväggen som ligger precis före servern.

stort tack för detta tips!

Tillåter den inte ens säkerhetsuppdateringar för det underliggande operativsystemet skulle jag inte släppa den innanför väggarna.

Hur som helst, ditt enda alternativ då är att minimera angreppsytan genom segmentering.

Vad är det för typ av applikation som inte tillåter Windows-updates?
Vad är den skriven i? C# eller något liknande?
//A

Tyvärr köper många företag in skitprogram från outsourcade rövprogrammerare, bara att finna sig i det

Handlar inte om "tillåta uppdateringar" egentligen, utan oftast gamla program som det programmerande företaget lämnat åt sitt öde. Kan tillochmed vara så att det företaget som skapat programmet gått i konkurs eller gått under jorden. (bytt namn eller liknande)
Och sedan är då programmet inkompatibelt med en viss windowsuppdatering.

Och då vill oftast det företaget som köpt programmet för en tid sedan, inte lägga ut pengar på att fixa en nyare variant av samma program, och ibland kanske det inte ens finns en ersättning.


Jag skulle inte säga att angreppytan enbart minimeras genom segmentering. Gör man en korrekt segmentering så elimineras angreppsytan helt.

Tänk dig att program X lyssnar på port Y.
Du placerar en hw-brandvägg mellan servern och serverns uppkoppling, alternativt segmenterar i befintlig brandvägg. Då öppnar du bara port Y.
Då spelar det ju ingen roll om hela burken är fylld med sårbara windows-tjänster och andra sårbarheter, det går ändå inte komma åt.
Och för att förhindra RFI så brukar man också begränsa utgående trafik från servern så att den bara kan kommunicera med det som den behöver kommunicera.
Då spelar det heller ingen roll om program X har en RFI-sårbarhet, för servern kan ändå inte hämta något ont från en obskyr server någonstans.

Isoleringen kan inte vara total, då ingen isf kan använda någon tjänst alls på maskinen. Det kommer alltid finnas minst en kommunikationsväg öppen, och en angripare som finns i ena änden av denna kommer kunna nå den andra änden av den. Då brister i Windows ofta har effekter på tredjepartsapplikationer är det ibland möjligt att ta över denna. Förhoppningsvis är servern inte domänansluten, då du isf kommer ha såväl domänanvändarinformation som öppningar till domänkontrollanten på en server full med kända sårbarheter.

Segmentering är inte IT-säkerhetens heliga graal, utan i de flesta fall bara något som sänker hastigheten. Då detta tydligen är en server som används som lagringsyta finns det garanterat minst en, och troligtvis många, nödvändiga öppningar.

Jo, men detta hanterar man genom en uppdateringsprocess utformad för detta. En testserver används för att lägga på säkerhetsuppdateringar för att se vilka som fungerar (troligtvis samtliga, då de inte ändrar interface eller effekt), och sedan väljer man specifikt ut dessa för applicering på produktionsservern.

Man kan inte finna sig i att inte kunna lägga på säkerhetsuppdateringar, man får finna sig i att lägga extra arbete på det.