Мне нужно установить Windows2008 Server R2, вкл. SQL Server и IIS. Насколько мне известно, сервер напрямую подключен к Интернету.
У меня вопрос: достаточно ли безопасен Windows 2008 R2 Server для такого использования? Есть ли известные риски безопасности?
Достаточно ли брандмауэра Windows для защиты сервера? Какие меры предосторожности мне нужно предпринять?
заранее спасибо
ура
В общем - да. SQL Server сложнее, так как это проверенный вектор атаки, поэтому вы получаете массу неудачных попыток входа в систему. Либо полностью защитите его, либо переместите порт.
Я буду:
Вы можете использовать новый мастер настройки безопасности Microsoft, который создаст политику безопасности, которую вы можете применить на сервере.
Мастер настройки безопасности (SCW) проведет вас через процесс создания, редактирования, применения или отката политики безопасности. Он предоставляет простой способ создать или изменить политику безопасности для вашего сервера в зависимости от его роли. Затем вы можете использовать групповую политику для применения политики безопасности к нескольким целевым серверам, выполняющим одну и ту же роль. Вы также можете использовать SCW для отката политики к ее предыдущей конфигурации в целях восстановления. С помощью SCW вы можете сравнить параметры безопасности сервера с желаемой политикой безопасности, чтобы проверить наличие уязвимых конфигураций в системе.
См. Дополнительную информацию здесь: http://technet.microsoft.com/en-us/library/cc771492(WS.10).aspx
Помните, что вы можете фильтровать входящие порты, чтобы они отвечали только на определенный IP-адрес - так что вы можете фильтровать, скажем, входящий RDP, чтобы он отвечал только на IP-адрес вашего офиса.
Это не идеальная ситуация, и я бы не стал использовать что-то действительно чувствительное - лучше маршрутизатор + межсетевой экран + межсетевой экран сервера. Однако мне приходилось управлять такими системами, и я не видел реальных проблем. Как ни странно, я видел меньше попыток атак на них, чем на клиентов с линиями DSL жилого уровня.
Нет. Я бы никогда не поставил W2K-сервер прямо в Интернет. У IIS много проблем с безопасностью, и у Windows они всегда есть.
Это также верно для большинства систем Linux. Только (Open) BSD лучше, когда речь идет о хорошей ОС в отношении дыр в безопасности.
На работе мы используем большой WAF (межсетевой экран веб-приложений) перед нашими веб-серверами. Этот WAF анализирует входящий трафик и запрещает необычные или злонамеренные входящие запросы. WAF знает о дырах в безопасности за несколько дней до того, как CERT станет общедоступным.