Internetexplorer entfernen, auf Windows 2000 Server - File & Print

[cros69 10]

Ich hab mal eine grundsätzliche Frage richtung Security:

 

Soll man von einem klassischen Server (File & Print) den Internetexplorer aus Sicherheitsgründen, z.B.: um Sicherheitslücken gar nicht erst zu "aktivieren", deinstallieren?

 

Ich denke man sollte von einem Server aus sowieso nicht Internetsurfen, eben wiederum aus Sicherheitsgründen.

 

 

Was spricht dafür - was dagegen?

[Damian 1.526]

Hi cros69.

 

Der IE ist bei W2k nicht nur ein Browser, sondern eine Systemschnittstelle. Ihn zu entfernen könnte ziemlich unerwünschte Nebeneffekte nach sich ziehen.

 

Eine Entfernung muss auch nicht sein, wenn beim Server folgende zwei Grundregeln eingehalten werden:

1) Nur der Admin bekommt ein lokales Anmelderecht, alle anderen User nur kontrollierten Netzzugriff auf ihre Ressourcen

2) Stets darauf achten, die aktuellen Patches und Updates einzuspielen

 

Je nach Umgebung kommt es darauf an, ob und wie der Server mit dem Internet in Kontakt steht. Auch ein möglicher Angriff aus dem internen LAN sollte bedacht werden. Daraufhin können dann gezielte Schutzmassnahmen (Firewall, AV-Scanner und dergl.) eingerichtet werden.

 

Damian

[die kriese 10]

moin moin,

 

ich werkele beim hosting, unsere securityabteilung hat eine sicherheitsrichtlinie rausgebracht für eben file, print etc. server. mit dem erfolg, das sich auf den applikationsservern nur noch die domain admins anmelden konnten - sicher. mann kann es auch übertreiben.

 

den ie lassen wir drauf. die ms patche werden per sus eingespielt. jetzt teilen wir uns die server u. a. mit den kollegen vom usermgm. damit die nicht z. b. an einem printserver von einer herstellerseite direkt am printserver die ie nutzen, haben die einen low cost its server, wo z.b. die druckertreiber hinterlegt sind, web jet admin und mit dem die auch in's internet gehen.

 

das system (stimme da damian zu) sollte nicht so verbogen werden, das es dann an einer anderen ecke überhaupt nicht mehr funktioniert.

 

gruss

d.k.

[kernel_panic 10]

Also meinen IE hab ich temporär unbrauchbar gemacht. Einfach als Proxy 1.2.3.4 eintragen. Hält zwar nicht wirklich vom Surfen ab (wenn man weiß, was man ändern muß), sollte jedoch gut genug vor unbeabsichtigtem verwenden schützen.

 

Gr³³tz,

Lk.

[DaniFilth 10]

Original geschrieben von cros69

Ich hab mal eine grundsätzliche Frage richtung Security:

 

Soll man von einem klassischen Server (File & Print) den Internetexplorer aus Sicherheitsgründen, z.B.: um Sicherheitslücken gar nicht erst zu "aktivieren", deinstallieren?

 

Ich denke man sollte von einem Server aus sowieso nicht Internetsurfen, eben wiederum aus Sicherheitsgründen.

 

 

Was spricht dafür - was dagegen?

 

Dafür spricht mehr Sicherheit. Dagegen spricht, wie Damian schon erwähnt hat, dass der Internet Explorer eine Systemschnittstellt ist. Ich hab es irgendwie mal geschafft, mein Windows 2000 Professional so zu installieren, dass kein Internet Explorer dabei war. Danach ging z.B. in der Systemsteuerung der Software-Dialog nicht mehr und einige andere Systemsachen, die ja halb auf Internetsprachen laufen.

 

Jedoch müsstest du doch die Funktion einschränken können. Mir fällt jetzt nur ZoneAlarm ein, aber damit kannst du kontrollieren, welche Programme ins Internet dürfen, und welche nicht. Und somit kannst du auch der iexplore.exe verbieten, ins Internet zu gehen. Die Frage ist, ob der Server über die explorer.exe irgendwie ins Internet muss. Wenn nicht, kannst du nämlich dieser auch noch verbieten, ins Internet zu gehen, denn über den Windows-Explorer kommt man genauso ins Internet, der nutzt ja die Funktionen des Internet Explorers. Somit müsstest du den Rechner ziemlich sicher kriegen, was den Internet Explorer betrifft. Ist wahrscheinlich besser als Deinstallieren.

 

Gruß

[cros69 10]

Danke an alle für die zahlreichen Stellungnahmen!

Macht für mich auch Sinn, danke.

 

Zusatzfrage: Wenn ich jetzt den IE so abgesichert habe daß keine Internetverbindung unabsichtlich zusammenkommen kann, macht es dann Sinn den IE am neuesten Stand zu halten.

 

Damit meine ich daß nach der Installation von Windows 2000 Server, der IE 5.0 drauf ist und ich mich nun frage ob ich den auf 6.0SP1 updaten soll wenn ich ihn sowieso nicht benutze und mit dem Update wieder etliche Systemänderungen durchgeführt werden.

[Damian 1.526]

Hi.

 

Das Update solltest du auf jeden Fall einspielen. Es geht dabei primär nicht um neue Funktionen, sondern um das stopfen von Sicherheitslöchern. Ist also ganz in deinem Sinne. :wink2:

 

Damian

[Mortary 10]

Na logo macht das Sinn.

Diese Updates haben ja nichts mit Komfort sondern mit Sicherheit zu tun.

Denk mal an die Sicherheitslücken die im IE so vorhanden sind (bzw. durch Updates geschlossen und dadurch aber wieder neue geöffnet worden sind). Je älter die IE-Version, umso schneller sind Hacker oder diverse Viren auf deinem System.

 

Die Patches und Sicherheitsupdates solltest du trotzdem machen, egal ob der IE verwendet wird oder nicht.

 

Wie schon von Damian erwähnt, der IE ist eine Systemschnittstelle, und wie der alte Spruch schon sagt:

 

"Eine Kette ist nur so stark wie ihr schwächstes Glied"

 

Sprich:

Is der IE unsicher, is Windows unsicher ;)

 

Lg

[Mortary 10]

ich sollt nicht soviel quatschen *gg* dann kommen meine Postings früher an... *zuDamiangrins* ;)

[Damian 1.526]

;) :D