我有 Linux 背景,现在要管理一些 Windows 服务器(2008R2 和 2012R2),我想知道哪些服务可以安全地直接通过互联网运行。这些服务器都面向互联网,无需额外的硬件防火墙或内部 VPN 管理网络。
存在疑问的服务包括:
- RDP(标准配置)?
- MSSQL (2012)?
- 活动目录?
- WSUS(如果 3. 没有域则不安全)?
经过一番研究,我知道 RDP 至少在早期的 Windows 版本(2003)中是不安全的,而 AD 似乎普遍被认为是不安全的。通过 SSH 隧道传输 RDP 仍然是一个明智的想法吗(服务器都运行 cygwin)?
谢谢你的建议!
答案1
在这些情况下,我的意见是,除了服务器执行其主要目的(http/s、ftp、sql server)所需的端口外,对每个端口进行端口封锁,即便如此,也尽可能将这些端口限制在某些 IP 块上。除了那些必要的服务外,不要为这些服务器配置任何远程连接。
然后部署堡垒主机。这是一台极其坚固的主机,它启用了远程连接(ssh、rdp、vpn),并允许您双跳到其他主机。我知道很多人认为这是不必要的和过度的,但老实说,这是最安全的方式。
答案2
RPD 仅应通过 VPN 使用。
SQL 可以连接特定端口,因此应该是安全的。
为什么要在互联网端运行 AD?如果必须在连接到互联网的同一台服务器上运行它,则应在执行此操作之前彻底检查安全策略。
WSUS 存在漏洞且不安全。WSUS 甚至可以报告所有内容都是最新的,但很久以前创建的补丁并未应用。它使系统易受攻击并可能影响安全策略。最好在必要时留出一些停机时间来进行修补,并禁用 WSUS。