在沒有硬體防火牆的情況下保護直接連接到 Internet 上的 Windows 伺服器的過程

我想知道其他人會使用什麼清單來保護直接連接到網際網路的 Windows 伺服器。

除此之外，任何人對此的意見也將不勝感激。

謝謝

我的伺服器前面有防火牆，但我仍然執行以下所有操作：

• 如果您不使用 IIS，請禁用它
• 如果不需要，請刪除 FTP（如果是，則僅限制對您授權 IP 地址的訪問）
• 應用最新的服務包和修補程序
• 禁用不需要的傳入埠
• 禁用不必要的服務，例如伺服器（如果它不用作文件和列印伺服器）和 RRAS

如果使用 IIS

• 移動 inetpub\wwwroot 文件夾
• 更改用於匿名訪問的使用者帳戶並設置適當的權限
• 刪除任何範例文件夾，例如 IIS Admin、基於 Web 的列印等。
• 刪除您不使用的 ISAPI 過濾器
• 為 FTP 傳輸創建一個專用帳戶 - 只給該帳戶足夠的權限來執行 ftp（即讀/寫它放置的文件，僅此而已）

登錄

• 重命名管理員帳戶
• 創建一個名為 Administrator 的新帳戶，刪除其所有訪問權限和權限並禁用該帳戶（雖然黑客會努力找出管理員帳戶的名稱，但許多腳本並不那麼複雜）
• 如果您對伺服器具有物理訪問權限，則在管理員帳戶上設置“拒絕從網路訪問此電腦”
• 檢查訪客帳戶是否已禁用（並檢查所有其他帳戶）

就個人而言，我不會這樣做。如果您曾經使用 ZoneAlarm 執行過 PC（我回想 2002 年在帶有 ADSL 調製解調器的 Windows 2000 機器上）並在所有和雜亂無章的敲擊您 PC 的門時看到警報，那麼您就會明白為什麼。Cisco 和 Juniper 防火牆的新品起價約為 300 英鎊 / 500 美元，或者您可以購買低規格的盒子並安裝Smoothwall或類似產品。如果您將伺服器放在一個託管位置，您應該能夠為防火牆（和一個電源插座）獲得另一個 1U 機架空間，而這只是 1st U 機架空間的一小部分。

引用自：https://serverfault.com/questions/42064