Windows-Server-2003
在沒有硬體防火牆的情況下保護直接連接到 Internet 上的 Windows 伺服器的過程
我想知道其他人會使用什麼清單來保護直接連接到網際網路的 Windows 伺服器。
除此之外,任何人對此的意見也將不勝感激。
謝謝
我的伺服器前面有防火牆,但我仍然執行以下所有操作:
- 如果您不使用 IIS,請禁用它
- 如果不需要,請刪除 FTP(如果是,則僅限制對您授權 IP 地址的訪問)
- 應用最新的服務包和修補程序
- 禁用不需要的傳入埠
- 禁用不必要的服務,例如伺服器(如果它不用作文件和列印伺服器)和 RRAS
如果使用 IIS
- 移動 inetpub\wwwroot 文件夾
- 更改用於匿名訪問的使用者帳戶並設置適當的權限
- 刪除任何範例文件夾,例如 IIS Admin、基於 Web 的列印等。
- 刪除您不使用的 ISAPI 過濾器
- 為 FTP 傳輸創建一個專用帳戶 - 只給該帳戶足夠的權限來執行 ftp(即讀/寫它放置的文件,僅此而已)
登錄
- 重命名管理員帳戶
- 創建一個名為 Administrator 的新帳戶,刪除其所有訪問權限和權限並禁用該帳戶(雖然黑客會努力找出管理員帳戶的名稱,但許多腳本並不那麼複雜)
- 如果您對伺服器具有物理訪問權限,則在管理員帳戶上設置“拒絕從網路訪問此電腦”
- 檢查訪客帳戶是否已禁用(並檢查所有其他帳戶)
就個人而言,我不會這樣做。如果您曾經使用 ZoneAlarm 執行過 PC(我回想 2002 年在帶有 ADSL 調製解調器的 Windows 2000 機器上)並在所有和雜亂無章的敲擊您 PC 的門時看到警報,那麼您就會明白為什麼。Cisco 和 Juniper 防火牆的新品起價約為 300 英鎊 / 500 美元,或者您可以購買低規格的盒子並安裝Smoothwall或類似產品。如果您將伺服器放在一個託管位置,您應該能夠為防火牆(和一個電源插座)獲得另一個 1U 機架空間,而這只是 1st U 機架空間的一小部分。