• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

PrintNightmare und NSP-Server

mabu

Well-known member
Hallo.

Aktuell ist die Sicherheitslücke PrintNightmare ja in aller Munde. Neben den Notfallpatches ist auch das Deaktivieren des Spooler-Dienstes genannt.

Nun läuft der Dienst auf dem Server mit der NSP-GW-Rolle und auch auf der Intranet-Rolle. Wird der Dienst da in irgendeiner Weise z.B. für das Entschärfen in PDF benötigt?

Gibt es ansonsten eigentlich eine Liste nicht relevanter Dienste zumindest für DMZ-Server mit GW-Rolle?

Danke vorab.
 
Hallo Martin,
also bei mir am System ist die Druckerwarteschlange Deaktiviert.
Die PDF Konvertierung läuft normal und nicht über diesen Dienst.

Bei der anderen Frage wegen List nicht rel. Dienste müssten wir auch einen der NSP Jungs warten.

Grüße
 
Moin zusammen,
die PDF-Konvertierung findet in der Tat komplett im NoSpamProxy-Bauch statt. "Externe" Dienste benötigen wir dafür nicht.
Die Frage nach den Diensten haben wir uns Stand heute noch nicht gestellt. Im Wesentlichen läuft alles im Kontext des .NET Frameworks. Wichtig ist für uns natürlich der SQL-Server Dienst und die DNS-Auflösung.
Gruß Stefan
 
Hallo Stefan.

Danke für die Rückmeldung.

Aus meiner Sicht hatte ich mir da bisher auch noch keine weiteren Gedanken gemacht, was den Windows-Server in der DMZ angeht. Ist für mich auch der erste Server, der hier etwas exponiert Internetzugriffe erhält.

Unser RZ hat noch eine Firewall davor geschaltet und wir mussten angeben, was überhaupt von extern auf den Server zugelassen werden soll. Somit dürfte die Angriffsfläche schon kleiner sein.

Es ist jedoch ein Windows-Server. Und der hat in der Standard-Installation ja schon einiges an aktivierten Diensten und Komponenten, die mit Sicherheit nicht notwendig sind - wie hier die Druckerwarteschlange.

Ich fände es schon sehr gut, wenn Ihr hier eine grundsätzliche Empfehlung aussprechen würdet, welche überflüssigen Dienste und sonstige Komponenten abgeschaltet werden können. Nicht sicher, wie Ihr selbst dies bei den Windows-Servern macht, die Ihr direkt selbst betreut.

Bei mir ist es eine von vielen Aufgaben und man nimmt das immer irgendwie zur Kenntnis mit dem Härten der Server - aber man muss es dann auch machen und es soll ja auch noch alles laufen.

Vielleicht gibt es noch weitere Kunden, für die hier eine entsprechende Hersteller-Info von Vorteil wäre.
 
Hallo Martin,
aus meiner Sicht und Erfahrung sind auch die Windows-Server in der DMZ aus NoSpamProxy-Sicht nur über 25 und 443 (optional) erreichbar. RDP etc. ist ja eigentlich kein Thema, oder sollte es besser nicht sein. Damit sind sie zumindest vor Zugriffen aus dem Internet ausreichend geschützt. AUch die Windows-Firewall ist hier noch ein weiterer Schutz und ich würde eher dahin moderieren, die Ports auch intern smart zu pflegen.
Gruß Stefan
 
Zurück
Oben