来自 Linux 背景,现在必须管理一些 Windows 服务器(2008R2 和 2012R2),我想知道哪些服务可以安全地直接在 Internet 上运行。这些服务器都面向 Internet,无需额外的硬件防火墙或内部 VPN 管理网络。
有疑问的服务是:
- RDP(标准配置)?
- MSSQL(2012)?
- 活动目录?
- WSUS(如果 3. 不安全,则没有域)?
经过一些研究,我知道 RDP 至少在早期的 Windows 版本(2003)中是不安全的,而 AD 似乎通常被认为是不安全的。通过 SSH 隧道 RDP 仍然是一个明智的主意(服务器都运行 cygwin)吗?
谢谢你的建议!
在这些情况下,我的意见是端口阻止每个端口,除了服务器执行其主要目的所需的端口(http/s、ftp、sql server),即便如此,尽可能将这些端口限制为仅某些 IP 块. 除了那些必要的服务外,不要为这些服务器配置任何远程连接。
然后部署堡垒主机。这是一个非常坚固的主机,它确实启用了远程连接(ssh、rdp、vpn),并且允许您双跳到其他主机。我知道很多人认为这是不必要的和矫枉过正的,但老实说,这是最安全的滚动方式。
RPD 只能通过 VPN 使用。
SQL 可以连接特定的端口,所以它应该是安全的。
为什么要在互联网端运行广告?如果您必须在连接到 Internet 的同一台服务器上运行它,您应该在这样做之前彻底检查安全策略。
WSUS 存在漏洞且不安全。WSUS 甚至可以报告所有内容都是最新的,而没有应用很久以前创建的补丁。它使系统易受攻击并可能影响安全策略。最好在必要时节省一些停机时间进行修补,并禁用 WSUS。