У меня следующая ситуация: у меня будет новый сервер, подключенный к Интернету (при необходимости с брандмауэром между сетью, и он просто отбрасывает все пакеты на порты, отличные от того, которое мое приложение прослушивает).
Он не требует каких-либо услуг / функций, сторонней установки нет, кроме моей программы, работающей на нем (консольное приложение, напрямую отвечающее на HTTP-запросы).
Что я должен сделать специально, чтобы уменьшить открытую площадь? Это для автономного сервера, без внутренней сети, без домена, ничего, просто нужно иметь возможность запускать на нем консольное приложение и удаленный рабочий стол (только я, для целей администрирования).
Помимо блокировки всех портов, кроме тех, которые используются моим приложением и RDP на уровне брандмауэра, есть ли что-нибудь, что я должен изменить / отключить, о чем я, возможно, не подумал, или новая установка уже довольно минимально доступна?
Безопасность этого сервера имеет решающее значение, поэтому не стесняйтесь добавлять предложения «параноидального уровня», если они не запрещают приложению прослушивать и отвечать на HTTP-трафик на заданном порту.
Вы можете попытаться преобразовать сервер для запуска Server Core, удалив большую часть графического интерфейса. Это снизит поверхность атаки, и в качестве дополнительного бонуса вам понадобится меньше исправлений, чтобы оставаться в безопасности. Однако не все приложения поддерживают это.
Брандмауэр Windows с годами стал действительно хорошим, и вы можете создавать чрезвычайно строгие правила с помощью расширенных настроек брандмауэра. я делаю не считают, что оставить RDP открытым для дикой природы менее безопасно, чем оставить VPN открытым для дикой природы. Оба они представляют собой зашифрованные соединения, и их можно легко обойти с помощью атак грубой силы.
Один из способов избежать большинства атак методом перебора RDP - изменить порт прослушивания RDP в реестре:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
Перед применением изменений убедитесь, что вы добавили правила брандмауэра, разрешающие трафик RDP на настраиваемый порт!
Я также предлагаю вам создать новую учетную запись администратора (если вы еще этого не сделали) с несколько случайным именем пользователя, используйте очень надежный пароль и отключите встроенную учетную запись «Администратор».