我需要在专用服务器上运行Windows Vista实例(Ultimate),并使用专用公用IP和远程桌面协议1启用。 Vista将作为一个“小窗口”服务器来运行一个程序,通过RemoteDesktop只为经过authentication的用户。
我需要做些什么来保护Vista安装(在服务器上安装之后)。 是Windows(在更新和启用autoupdates之后)或多或less默认安全? 我需要调整什么才能保证安全?
如果您可以列出我需要执行的步骤(例如:禁用此服务和该服务,启用XYZ下的防火墙…)
非常感谢你! 蒂姆
防火墙默认启用。 检查它是否正确configuration。
考虑将RDP移动到非默认端口,以尽量减less不经意的攻击。
考虑自动帐户访问locking,如果尝试失败太多。
select强大的密码,只允许必要的用户远程访问。
如果您确定所有潜在客户端都支持RDP会话,则需要networking级别authentication。
我在这种情况下运行一台XP机器,并且在没有妥协的情况下存活了好几年,所以不要过分担心。
你可以做的另一件事情是让它更安全的是实际上通过SSH隧道RDP。
如果你有一个有sshd的路由器,或者如果这个盒子本身可以安装类似cygwin的东西,你可以将RDP端口连接到你连接的机器上,并完全禁止开放的互联网访问terminal服务。
例如: http : //theillustratednetwork.mvps.org/Ssh/RemoteDesktopSSH.html
一些观点:
将机器放在不同的安全区域(DMZ)中,并进行适当的过滤
只转发给机器了
严格的必要港口
保持机器操作系统和软件的最新状态。
使用最强的authentication
机械化,你可以。
审核configuration文件更改和login失败。
这可能不是一个详尽的答案。 无论如何,希望这有助于。
添加到其他优秀的答案:
据我所知,自动locking不会阻止使用像TSGrinder这样的工具强制任何pipe理员帐户,因为在交互式使用(远程桌面计数)时不能locking它们。 因此,请确保通过从允许的远程login列表中删除pipe理员帐户明确拒绝访问。 看到这个整洁的旧的XP文章关于保护远程桌面的XP为一些例子如何做到这一点和其他有用的东西。
要求最高的encryption级别(FIPS级别)是单调乏味的,但是非常值得,而Vista的SKU似乎也支持这个相当详细的文章: 安全地连接到Windows Vista远程桌面 。
我想你应该在微软的一些build议下加强IP堆栈。
您应该在MSDN网站上看到更多关于硬化IP堆栈的信息。