我正在为我工作的小公司重新配置和保护服务器。我们使用它通过 Autodesk Vault 存储设计文件和其他数据。它在附近的服务器提供商的 VPS 上运行。
我这样做的原因是我们的服务器提供商已通知我们,他们收到了有关我们的服务器在互联网上行为不端的投诉,这表明它在某种程度上受到了损害。除此之外,我们没有发现任何问题。该服务器最初是我来公司之前设置的,我找不到任何有关其配置的文档。它还运行 Windows Server 2012,所以我决定重新开始使用运行 Windows Server 2019 的新 VPS。这是我第一次使用 Windows 作为服务器操作系统,但我有一些管理 Ubuntu 服务器的经验。
在旧服务器上的事件查看器中,有无数次“4625 审核失败”登录尝试到服务器,但也有不少不是来自我或我们组织的成功登录。4624 审核成功示例:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Impersonation Level: Impersonation
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0x9ABEAB7
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name:
Source Network Address: 117.45.167.129
Source Port: 11949
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 0
所以,为了强化新服务器,我做了以下事情
- 选择比以前更安全的密码
- 安装了 IPBan ( https://github.com/DigitalRuby/IPBan ),它会阻止使用各种服务登录尝试失败的 IP
- 根据 IPBan 安装指南中的建议,禁用 NTLM 登录
我想通过只允许 Autodesk Vault 来阻止所有可能的访问路径,它通过 HTTP(S) 在端口 80/443 进行通信(我可能会对其进行配置,以便只允许 HTTPS)和远程桌面,我需要管理服务器。但是查看 Windows Defender 防火墙默认规则,有大量开放端口作为默认配置。我发现这在服务器操作系统上有点奇怪 - 我希望它阻止我没有明确允许的所有内容。我可以安全地禁用除 RDP 和 HTTPS 之外的所有这些吗?它有帮助吗?我在服务器强化过程中是否遗漏了其他明显的东西? Windows Defender 防火墙中允许的服务的屏幕截图
有一个美好的周末!
首先,重新安装服务器,因为:
你可以看看这个规范的问题:如何处理受损的服务器?
还要检查Windows 安全基线,Microsoft 会定期更新它们。
关于防火墙规则,可以先导出:
如果您不需要 RDP、远程管理、远程 powershell,...禁用或删除默认规则是安全的(确保您可以先访问 VM 控制台,如果您删除所有内容,您将无法使用 RDP 连接) 并创建您需要的规则。
可以禁用默认情况下允许通过防火墙的许多服务,而不会影响托管 Autodesk Vault 服务器的能力。我禁用了我确定不需要的那些 - 通过一些研究和/或反复试验,可能会禁用更多。
参考默认情况下允许通过防火墙的服务列表,在问题的最后,这是我没有禁用的服务列表。原始列表中的所有其他人都被禁用,没有任何明显的副作用。我还禁用了远程桌面,并在我想使用服务器时临时重新启用它。