Windows-Server-2008
Windows Server 管理 - 哪些服務可以安全地面向 Internet 執行?
來自 Linux 背景,現在必須管理一些 Windows 伺服器(2008R2 和 2012R2),我想知道哪些服務可以安全地直接在 Internet 上執行。這些伺服器都面向 Internet,無需額外的硬體防火牆或內部 VPN 管理網路。
有疑問的服務是:
- RDP(標準配置)?
- MSSQL(2012)?
- 活動目錄?
- WSUS(如果 3. 不安全,則沒有域)?
經過一些研究,我知道 RDP 至少在早期的 Windows 版本(2003)中是不安全的,而 AD 似乎通常被認為是不安全的。通過 SSH 隧道 RDP 仍然是一個明智的主意(伺服器都執行 cygwin)嗎?
謝謝你的建議!
在這些情況下,我的意見是埠阻止每個埠,除了伺服器執行其主要目的所需的埠(http/s、ftp、sql server),即便如此,盡可能將這些埠限制為僅某些 IP 塊. 除了那些必要的服務外,不要為這些伺服器配置任何遠端連接。
然後部署堡壘主機。這是一個非常堅固的主機,它確實啟用了遠端連接(ssh、rdp、vpn),並且允許您雙跳到其他主機。我知道很多人認為這是不必要的和矯枉過正的,但老實說,這是最安全的滾動方式。