我需要设置 Windows2008 Server R2,包括 SQL Server 和 IIS。据我所知,该服务器直接连接到互联网。
我的问题是,Windows 2008 R2 Server 是否足够安全?是否存在任何已知的安全风险?
Windows 防火墙足以保护服务器安全吗?我必须采取哪些预防措施?
提前致谢
干杯
答案1
请记住,您可以过滤传入端口,以便它们仅响应特定的 IP - 因此您可以过滤入站 RDP,以便它仅响应您办公室的 IP。
这不是理想的情况,我不会放置任何真正敏感的东西 - 路由器 + 防火墙 + 服务器防火墙更好。但是,我不得不管理这样的系统,并没有看到任何真正的问题。奇怪的是,我看到对这些系统的攻击尝试比对具有住宅级 DSL 线路的客户端的攻击尝试要少。
答案2
您可以使用 Microsoft 的新安全配置向导,它将创建可在服务器上应用的安全策略。
安全配置向导 (SCW) 可引导您完成创建、编辑、应用或回滚安全策略的过程。它提供了一种基于服务器角色创建或修改安全策略的简便方法。然后,您可以使用组策略将安全策略应用于执行相同角色的多个目标服务器。您还可以使用 SCW 将策略回滚到其先前的配置以进行恢复。使用 SCW,您可以将服务器的安全设置与所需的安全策略进行比较,以检查系统中是否存在易受攻击的配置。
更多信息请见此处: http://technet.microsoft.com/en-us/library/cc771492(WS.10).aspx
答案3
总体而言 - 是的。SQL Server 比较棘手,因为它是一个经过验证的攻击媒介,因此您会遇到大量登录失败的情况。要么完全保护它,要么移动端口。
我会:
- 使用防火墙锁定尽可能多的传入端口,只保留工作所需的端口 - IIS、RDP 和 PPTP
- PPTP 进入服务器正常进行维护工作
- 紧急情况下的 RDP
答案4
不。我永远不会将 W2K 服务器直接放到互联网上。IIS 存在许多安全问题,Windows 也总是存在一些安全问题。
大多数 Linux 系统也是如此。从安全漏洞来看,只有 (Open)BSD 更胜一筹。
在工作中,我们在 Web 服务器前端使用大型 WAF(Web 应用程序防火墙)。此 WAF 分析传入流量并禁止异常或恶意传入请求。在 CERT 公开之前几天,WAF 就知道安全漏洞。