Назад | Перейти на главную страницу

Процесс защиты сервера Windows, напрямую подключенного к Интернету, без аппаратного брандмауэра

Мне интересно, какой контрольный список будут использовать другие люди для защиты сервера Windows, напрямую подключенного к Интернету.

Помимо этого, мы также будем признательны за любое мнение об этом.

Спасибо

Перед моими серверами установлены брандмауэры, но я по-прежнему выполняю все следующие действия:

  • Отключите IIS, если вы его не используете
  • Удалите FTP, если он не требуется (если это необходимо, ограничьте доступ только к вашим авторизованным IP-адресам)
  • Применить последние пакеты обновлений и исправлений
  • Отключите входящие порты, которые не требуются
  • Отключите ненужные службы, например Сервер (если он не используется как файловый сервер и сервер печати) и RRAS

При использовании IIS

  • Переместите папку inetpub \ wwwroot
  • Измените учетную запись пользователя, используемую для анонимного доступа, и настройте соответствующие разрешения
  • Удалите все примеры папок, такие как IIS Admin, веб-печать и т. Д.
  • Удалите фильтры ISAPI, которые вы не используете
  • Создайте выделенную учетную запись для передачи по FTP - дайте этой учетной записи только права, достаточные для выполнения ftp (т. Е. Чтение / запись файлов, которые она помещает, ничего больше)

Логины

  • Переименуйте учетную запись администратора
  • Создайте новую учетную запись с именем «Администратор», удалите все ее права и права доступа и отключите учетную запись (в то время как хакер будет усердно работать, чтобы узнать имя учетной записи администратора, многие сценарии не такие сложные)
  • Если у вас есть физический доступ к серверу, установите «Запретить доступ к этому компьютеру из сети» в учетной записи администратора.
  • Убедитесь, что гостевая учетная запись отключена (и проверьте все остальные учетные записи)

Лично я бы этого не сделал. Если вы когда-либо запускали ПК с ZoneAlarm (я вспоминаю 2002 год на Windows 2000 с модемом ADSL) и смотрели предупреждения, когда все и вся стучат в дверь вашего ПК, тогда вы поймете, почему. Брандмауэры Cisco и Juniper начинаются с примерно 300 фунтов стерлингов / 500 долларов США нового, или вы можете получить коробку с низкими характеристиками и установить гладкая стена или похожие. Если вы устанавливаете сервер в коло, у вас должно получиться еще одно место в стойке 1U для межсетевого экрана (и розетки) на долю от 1-го U пространства стойки.

Первое, что я сделал бы, если это возможно, - это отсоединить сетевой кабель, выполнить все меры безопасности, особенно применить все пакеты исправлений / серверов, включить программные брандмауэры, а затем снова подключить сетевой кабель. Незащищенные коробки хранятся в дикой природе всего около получаса, особенно оконные коробки.

Для начала вот мой текущий список.

  1. Отключить учетную запись администратора и все незащищенные учетные записи

  2. Отключить ftp

  3. Защитите сервер, заблокировав все ненужные порты и службы, с помощью мастера настройки безопасности, в настоящее время я оставляю порт 22,80,443

  4. Установите WinSSHD для передачи файлов на сервер на порт 22 (может быть более высокий случайный порт), также попытался выиграть open shh, но он немного запутался при попытке установить ключи.

Кому-нибудь еще нужно добавить шаги?

Под «без брандмауэра» я предполагаю, что вы имеете в виду «без внешнего брандмауэра» - брандмауэр на сервере должен быть определенно включен и настроен только для предоставления доступа к службам, которые вам необходимо открыть в Интернете - вы не упомянул, что это такое, но по тегам я предполагаю, что задействован SFTP.

Убедитесь, что сервер исправлен настолько, насколько это возможно, и остается таковым до тех пор, пока он подключен к Интернету.

Если вам абсолютно необходим (обычный) FTP, вам следует также подумать о его защите - ограничить IP-адреса, которые могут подключаться к вашей службе FTP, сделать это через SSL или вместо этого использовать SFTP. OpenSSH), как упоминал оптик) поставляется с сервисом SFTP.

Если вы подключены напрямую к Интернету без брандмауэра, вы должны предположить, что на каком-то этапе вы подвергнетесь атаке, и работать оттуда.

Помимо безопасности, я также рекомендовал бы установить хороший мониторинг. По крайней мере, вы должны отслеживать активность процессов, использование ЦП и памяти, а также сетевую активность (я уверен, что другие добавят в список больше).