Назад | Перейти на главную страницу

Повышение безопасности экземпляра Windows Server 2019, обслуживающего файлы

Я нахожусь в процессе перенастройки и защиты сервера для небольшой компании, в которой я работаю. Мы используем его для хранения файлов проекта и других данных в Autodesk Vault. Он работает на VPS от ближайшего провайдера серверов.

Причина, по которой я это делаю, заключается в том, что наш поставщик серверов уведомил нас о том, что они получают жалобы на некорректное поведение нашего сервера в Интернете, что указывает на то, что он в какой-то степени скомпрометирован. Других проблем мы не заметили. Первоначально сервер был настроен до того, как я пришел в компанию, и я не смог найти никакой документации о его настройке. Он также работал под управлением Windows Server 2012, поэтому я решил начать заново с нового VPS под управлением Windows Server 2019. Я впервые работаю с Windows в качестве серверной ОС, но у меня есть некоторый опыт управления серверами Ubuntu.

В средстве просмотра событий на старом сервере можно увидеть бесконечные попытки входа на сервер типа «4625 Audit Failure», но также довольно много успешных попыток входа, которые исходят не от меня или нашей организации. Пример успешной проверки 4624:

An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Impersonation Level:        Impersonation

New Logon:
    Security ID:        ANONYMOUS LOGON
    Account Name:       ANONYMOUS LOGON
    Account Domain:     NT AUTHORITY
    Logon ID:       0x9ABEAB7
    Logon GUID:     {00000000-0000-0000-0000-000000000000}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 117.45.167.129
    Source Port:        11949

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   NTLM V1
    Key Length:     0

Итак, чтобы укрепить новый сервер, я сделал следующее

Выбран гораздо более безопасный пароль, чем раньше
Установлен IPBan (https://github.com/DigitalRuby/IPBan), который блокирует IP-адреса, которые не удаляют попытки входа в систему с использованием различных сервисов.
Отключен вход NTLM в соответствии с рекомендациями из руководства по установке IPBan.

Я хотел бы заблокировать все возможные маршруты доступа, разрешив только Autodesk Vault, который обменивается данными через HTTP (S) на порту 80/443 (я, вероятно, настрою его так, чтобы разрешен только HTTPS), и удаленный рабочий стол, который мне нужен управлять сервером. Но если посмотреть на стандартные правила брандмауэра Защитника Windows, то можно увидеть, что в качестве конфигурации по умолчанию есть множество открытых портов. Мне это кажется немного странным для серверной ОС - я хочу, чтобы она блокировала все, что я не разрешаю явно. Могу ли я безопасно отключить все это, кроме RDP и HTTPS? Помогает? Пропустил ли я что-то еще очевидное в моей процедуре усиления защиты сервера? Снимок экрана с разрешенными службами в брандмауэре Защитника Windows

Хороших выходных!

Прежде всего переустановите сервер, потому что:

Этот может быть взломан, и ему больше нельзя доверять.
Windows по умолчанию безопасна, и, возможно, кто-то снизил настройки безопасности вашего сервера, трудно сказать, нет ли документации.

Вы можете взглянуть на этот канонический вопрос: Как мне поступить с взломанным сервером?

Проверить Базовые показатели безопасности Windows также Microsoft регулярно обновляет их.

Что касается правил брандмауэра, вы можете сначала их экспортировать:

Если вам не нужен RDP, удаленное управление, удаленная оболочка PowerShell, ... можно безопасно отключить или удалить правила по умолчанию (сначала убедитесь, что вы можете получить доступ к консоли виртуальной машины, если вы удалите все, что вы не сможете подключиться с помощью RDP ) и создайте те правила, которые вам нужны.

Можно отключить довольно много служб, которые разрешены через брандмауэр по умолчанию, не влияя на возможность размещения сервера Autodesk Vault. Я отключил те, которые, как я был уверен, мне не нужны - вероятно, можно отключить еще немало с помощью некоторых исследований и / или методом проб и ошибок.

Ссылаясь на список служб, разрешенных через брандмауэр по умолчанию, в конце вопроса вот список служб, которые я не сделал отключить. Все остальные из исходного списка отключены без каких-либо заметных побочных эффектов. Я также отключаю удаленный рабочий стол и временно включаю его, когда хочу работать с сервером.