服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 过程来保护直接连接在互联网上的Windows服务器,而不需要硬件防火墙
Intereting Posts
如何更改Active Directory中的默认用户组的名称? 如何设置基于名称的Apache虚拟主机? AWS ElasticBeanstalk:容器不断重启 我如何find我的DFS命名空间服务器? OpenLDAP限制匿名访问只能看到条目属性而不能扫描整个数据库 MySQL在启动时死亡 我在virsh看不到正在运行的客人 您能否将SAN直接连接到具有光纤通道的HBA? Jira访问AJP代理 HP ProLiant DL385 G7的磁盘性能令人难以置信 VPN ERROR 500 STATE_MAIN_I1,无法启动阶段2 我想将使用Inotify抓取的事件或日志保存到文件中 如何知道哪个域使用哪个apache实例 如何使用多个斜线将nginx中的proxy_cache_key与proxy_pass中的path相匹配? D-link DAP-2695 VLANconfiguration

过程来保护直接连接在互联网上的Windows服务器,而不需要硬件防火墙

我想知道什么检查列表其他人将用于保护直接连接到互联网的Windows服务器。

除此之外,任何人对此的意见也将受到赞赏。

谢谢

我的服务器前面有防火墙,但我仍然执行以下所有操作:

  • 如果你不使用它,禁用IIS
  • 如果不需要FTP,则删除FTP(如果它只限制访问您的授权IP地址)
  • 应用最新的服务包和修补程序
  • 禁用不需要的传入端口
  • 禁用不必要的服务,例如服务器(如果它不用作文件和打印服务器)和RRAS

如果使用IIS

  • 移动inetpub \ wwwroot文件夹
  • 更改用于匿名访问的用户帐户并设置适当的权限
  • 删除任何示例文件夹,如IIS Admin,基于Web的打印等
  • 删除你不使用的ISAPIfilter
  • 为FTP传输创build一个专门的帐户 – 给这个帐户只有足够的权限做FTP(即读/写它放置的文件,没有别的)

login

  • 重命名pipe理员帐户
  • 创build一个名为Administrator的新帐户,删除其所有的访问权限和权限,并禁用该帐户(虽然黑客将努力找出pipe理员帐户的名称,许多脚本不是那么复杂)
  • 如果您具有对服务器的物理访问权限,请在pipe理员帐户上设置“拒绝从networking访问此计算机”
  • 检查访客帐户是否被禁用(并检查所有其他帐户)

就我个人而言,我不会这样做。 如果你曾经用ZoneAlarm运行过一台电脑(我想回到2002年用ADSL调制解调器的Windows 2000机箱),然后看着你的电脑门上所有的敲击警报,你就会明白为什么。 思科和瞻博networking防火墙的价格大约是300英镑/ 500美元,或者您可以购买低规格的防火墙,并安装光滑的墙壁或类似的防火墙。 如果你把服务器放在一个colo上,你应该可以为防火墙(和一个电源sockets)获得另一个1U的机架空间,用于第一个机架空间的一小部分。

为了解决这个问题,这里是我目前的名单。

  1. 禁用pipe理员帐户和所有非安全帐户

  2. 禁用ftp

  3. 使用安全configuration向导保护服务器阻塞所有不需要的端口和服务,我目前离开端口22,80,443

  4. 安装WinSSHD的文件传输到端口22(可能是更高的随机端口)的服务器,也尝试赢得打开SHH,但它试图安装密钥时有点搞砸了。

其他人有更多的步骤来添加?

首先,我会做,如果可能的话,是拔掉网线,做所有的安全步骤,尤其是应用所有的修补程序/服务器包,打开软件防火墙,然后插回networking电缆。 不安全的箱子在野外只有半个小时左右,特别是窗户箱子。

通过“没有防火墙”,我假设你的意思是“没有外部防火墙” – 服务器上的防火墙应该是非常明确的,并且只设置暴露你需要暴露给Internet的服务 – 你没有提到这些是什么,但从标签,我猜SFTP是涉及。

确保服务器的补丁尽可能完整,并且只要连接到互联网就保持这种状态。

如果你必须拥有(普通的)FTP,你应该考虑进一步保护 – 限制可以连接到你的FTP服务的IP地址,通过SSL来完成,或者使用SFTP来代替。 OpenSSH)作为眼镜商提到)带有一个SFTP服务。

如果你在没有防火墙的情况下直接连接到互联网,你必须假设在某个阶段你会受到攻击,并从那里工作。

除了安全之外,我还build议对其进行一些良好的监控。 至less你应该监视进程活动,CPU和内存使用情况以及networking活动(我相信其他人会增加更多的内容)。