我处于以下情况,我将有一个新的服务器连接到互联网(如果需要,网络之间有防火墙,它只会丢弃我的应用程序正在监听的端口以外的所有数据包)。
它不需要任何服务/功能,除了在其上运行的我的程序(直接响应 http 请求的控制台应用程序)之外没有第三方安装。
我应该具体做些什么来减少暴露区域?这是针对独立服务器的,没有内部网络,没有域,什么都没有,只需要能够启动控制台应用程序和远程桌面(只有我,出于管理目的)。
除了在防火墙级别阻止除我的应用程序和 RDP 使用的端口之外的所有端口之外,还有什么我应该更改/禁用的吗?我可能没有想到,或者全新安装已经暴露得很少了?
该服务器的安全性至关重要,因此请随意添加“偏执级别”建议,只要它们不禁止应用程序侦听和响应给定端口上的 http 流量即可
答案1
您可以尝试将服务器转换为运行 Server Core,从而删除大部分 GUI。这将降低攻击面,并且作为额外的好处,您需要更少的修补程序来保持安全。但是并非所有应用程序都支持这一点。
多年来,Windows 防火墙已经变得非常好用,您可以使用高级防火墙设置创建极其严格的规则。我不是我相信,让 RDP 暴露在外并不比让 VPN 暴露在外更不安全。它们都是加密连接,并且都很容易被暴力攻击绕过。
逃避大多数 RDP 暴力攻击的一种方法是更改注册表中的 RDP 监听端口:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
在应用更改之前,请确保添加防火墙规则以允许自定义端口上的 RDP 流量!
我还建议您创建一个新的管理员帐户(如果还没有),并使用一个随机的用户名,使用非常强密码并禁用内置的“管理员”帐户。