来自Linux背景,现在不得不pipe理一些Windows服务器(2008R2&2012R2),我想知道哪些服务是安全的,直接通过互联网运行。 这些服务器都是面向互联网的,无需额外的硬件防火墙或内部VPNpipe理networking。
有疑问的服务是:
经过一番研究,我知道在早期的Windows版本(2003)中,RDP至less是不安全的,AD似乎一般被认为是不安全的。 通过SSH隧道RDP(服务器都运行cygwin)是一个明智的想法吗?
谢谢你的build议!
我认为在这些情况下,除了那些服务器执行主要目的(http / s,ftp,sql server)所需的端口外,其他端口都是阻塞的,即使这样,尽可能限制这些端口只在某些IP块。 除了那些必要的服务之外,不要为这些服务器configuration任何远程连接。
然后部署一个堡垒主机 。 这是一个非常强化的主机,它启用了远程连接(ssh,rdp,vpn),并允许你双跳到其他主机。 我知道很多人认为这是不必要的和过度的,但说实话,这是最安全的方式滚动。
RPD只能通过VPN使用。
SQL可以连接一个特定的端口,所以它应该是安全的。
为什么会在互联网上运行AD? 如果您必须在连接到互联网的同一台服务器上运行它,则应在执行此操作之前彻底检查安全策略。
WSUS被窃听并且不安全。 WSUS甚至可以报告所有内容都是最新的,同时还有很久以前创build的补丁没有应用。 它使系统易受攻击,并可能影响安全策略。 在需要的时候更好地保存一些停机时间,并禁用WSUS。