我在下面的情况,我将有一个新的服务器连接到互联网(如果需要与networking之间的防火墙,它只是把所有的数据包放在除了我的应用程序正在监听的端口上)。
它不需要任何服务/function,没有第三方安装,除了我的程序运行(控制台应用程序直接响应http请求)。
有什么具体的我应该做的,以减less暴露面积? 这是一个独立的服务器,没有内部networking,没有域,没有什么,只需要能够启动一个控制台应用程序和远程桌面(只是我,为了pipe理的目的)。
除了阻止除了我的应用程序和RDP在防火墙级别使用的所有端口之外,还有什么我应该更改/禁用,我可能没有想到或者是一个全新的安装已经很less暴露?
此服务器的安全性至关重要,因此只要不禁止应用程序监听和响应给定端口上的httpstream量,随意添加“偏执级别”build议
您可以尝试将服务器转换为运行Server Core,剥离大部分GUI。 它会降低攻击面,作为额外的奖励,你将需要更less的补丁来保持安全。 不是所有的应用程序都支持这个
多年来,Windows防火墙已经变得非常好,您可以使用高级防火墙设置创build非常严格的规则。 我不相信把RDP放在开放的地方比把VPN放在外面还要安全。 他们都是encryption的连接,他们都可以很容易地被蛮力攻击绕过。
避免大部分RDP暴力攻击的一种方法是更改registry中的RDP侦听端口:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber 确保在应用更改之前添加防火墙规则以允许自定义端口上的RDP通信!
我还build议你创build一个新的pipe理员帐户(如果你还没有),用一个随机的用户名,使用一个非常强大的密码,并禁用内置的“pipe理员”帐户。