我想知道其他人会使用什么检查清单来保护直接连接到互联网的 Windows 服务器。
除此之外,任何人对此提出的意见都将受到赞赏。
谢谢
答案1
我的服务器前面有防火墙,但我仍然执行以下所有操作:
- 如果不使用 IIS,请将其禁用
- 如果不需要,请删除 FTP(如果需要,则仅限制对您授权的 IP 地址的访问)
- 应用最新的服务包和修补程序
- 禁用不需要的传入端口
- 禁用不必要的服务,例如服务器(如果它不用作文件和打印服务器)和 RRAS
如果使用 IIS
- 移动 inetpub\wwwroot 文件夹
- 更改用于匿名访问的用户帐户并设置适当的权限
- 删除任何示例文件夹,例如 IIS Admin、基于 Web 的打印等。
- 删除不使用的 ISAPI 过滤器
- 为 FTP 传输创建一个专用帐户 - 仅授予该帐户执行 FTP 的足够权限(即读取/写入其上传的文件,没有其他权限)
登录
- 重命名管理员帐户
- 创建一个名为管理员的新帐户,删除其所有访问权限和特权并禁用该帐户(虽然黑客会努力找出管理员帐户的名称,但许多脚本并不那么复杂)
- 如果您具有对服务器的物理访问权限,则在管理员帐户上设置“拒绝从网络访问此计算机”
- 检查来宾帐户是否已禁用(并检查所有其他帐户)
就我个人而言,我不会这么做。如果你曾经在 PC 上运行过 ZoneAlarm(我想起了 2002 年在一台装有 ADSL 调制解调器的 Windows 2000 机器上),并且看到各种各样的警报敲响了你的 PC 的门,那么你就会明白为什么。Cisco 和 Juniper 防火墙的起价约为 300 英镑/500 美元,或者你可以买一个低规格的盒子并安装光滑壁或类似。如果您将服务器放在 colo 上,您应该能够获得另一个 1U 机架空间,用于防火墙(和电源插座),而这仅占机架空间第一 U 的一小部分。
答案2
首先,这是我当前的列表。
禁用管理员帐户和所有非安全帐户
禁用 ftp
使用安全配置向导阻止所有不需要的端口和服务来保护服务器,我目前保留端口 22,80,443
安装 WinSSHD 以便通过端口 22(可能是更高的随机端口)将文件传输到服务器,也尝试了 win open shh,但是在尝试安装密钥时有点混乱。
还有谁有更多步骤要添加吗?
答案3
如果可能的话,我要做的第一件事就是拔掉网线,执行所有安全步骤,特别是应用所有修补程序/服务器包,打开软件防火墙,然后重新插入网线。不安全的盒子在野外只能持续大约半个小时,尤其是 Windows 盒子。
答案4
如果您在没有防火墙的情况下直接连接到互联网,那么您必须假设在某个阶段您会受到攻击,并从那里开始行动。
除了安全性之外,我还建议实施一些良好的监控措施。至少,您应该监控进程活动、CPU 和内存使用情况以及网络活动(我相信其他人会将更多内容添加到列表中)。