Исходя из опыта работы с Linux, и теперь мне приходится управлять некоторыми серверами Windows (2008R2 и 2012R2), мне интересно, какие службы можно безопасно запускать непосредственно через Интернет. Все серверы выходят в Интернет без дополнительного аппаратного брандмауэра или внутренней сети управления VPN.
Сомнительные услуги:
После некоторых исследований я знаю, что RDP, по крайней мере, был небезопасен в более ранних версиях Windows (2003), а AD в целом считается небезопасным. Остается ли разумной идея туннелировать RDP через SSH (на всех серверах работает cygwin)?
Спасибо за ваш совет!
Мое мнение в этих случаях - блокировать каждый порт, кроме тех, которые требуются серверу для выполнения его основной цели (http / s, ftp, sql server), и даже тогда ограничивать эти порты только определенными блоками IP, когда это возможно. . Не настраивайте удаленное подключение для этих серверов, за исключением необходимых служб.
Затем разверните хозяин бастиона. Это чрезвычайно защищенный хост, у которого есть возможность удаленного подключения (ssh, rdp, vpn), и он позволит вам выполнять двойной переход к другим вашим хостам. Я знаю, что многие люди считают это ненужным и излишним, но, честно говоря, это самый безопасный способ кататься.
RPD следует использовать только через VPN.
SQL может подключаться к определенному порту, поэтому это должно быть безопасно.
Зачем запускать AD в Интернете? Если вам нужно запустить его на том же сервере, который подключен к Интернету, вам следует перед этим тщательно проверить политики безопасности.
WSUS содержит ошибки и небезопасен. WSUS может даже сообщить, что все в порядке, в то время как давно созданные исправления не применяются. Это делает систему уязвимой и может повлиять на политики безопасности. Лучше сэкономьте время простоя для исправления, когда это необходимо, и позвольте WSUS отключиться.