Windows Server 管理 - 哪些服務可以安全地面向 Internet 執行？

來自 Linux 背景，現在必須管理一些 Windows 伺服器（2008R2 和 2012R2），我想知道哪些服務可以安全地直接在 Internet 上執行。這些伺服器都面向 Internet，無需額外的硬體防火牆或內部 VPN 管理網路。

有疑問的服務是：

1. RDP（標準配置）？
2. MSSQL（2012）？
3. 活動目錄？
4. WSUS（如果 3. 不安全，則沒有域）？

經過一些研究，我知道 RDP 至少在早期的 Windows 版本（2003）中是不安全的，而 AD 似乎通常被認為是不安全的。通過 SSH 隧道 RDP 仍然是一個明智的主意（伺服器都執行 cygwin）嗎？

謝謝你的建議！

在這些情況下，我的意見是埠阻止每個埠，除了伺服器執行其主要目的所需的埠（http/s、ftp、sql server），即便如此，盡可能將這些埠限制為僅某些 IP 塊. 除了那些必要的服務外，不要為這些伺服器配置任何遠端連接。

然後部署堡壘主機。這是一個非常堅固的主機，它確實啟用了遠端連接（ssh、rdp、vpn），並且允許您雙跳到其他主機。我知道很多人認為這是不必要的和矯枉過正的，但老實說，這是最安全的滾動方式。

引用自：https://serverfault.com/questions/672927