%20%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB%E3%81%AA%E3%81%97%E3%81%A7%E3%82%82%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%8D%E3%83%83%E3%83%88%E3%81%AB%E5%8D%81%E5%88%86%E5%AE%89%E5%85%A8%E3%81%A7%E3%81%99%E3%80%82.png)
SQL Server と IIS を含む Windows2008 Server R2 をセットアップする必要があります。私の知る限り、サーバーはインターネットに直接接続されています。
私の質問は、Windows 2008 R2 Server はこのような用途に十分安全であるかどうかです。既知のセキュリティ リスクはありますか?
Windows ファイアウォールだけでサーバーを保護できますか? どのような予防策を講じる必要がありますか?
前もって感謝します
乾杯
答え1
着信ポートをフィルタリングして、特定の IP にのみ応答するようにできることを覚えておいてください。つまり、たとえば、着信 RDP をフィルタリングして、オフィスの IP にのみ応答するようにすることができます。
これは理想的な状況ではありませんし、このような非常に機密性の高いものを設置することはしません。ルーター + ファイアウォール + サーバー ファイアウォールの方が適しています。ただし、私はこのようなシステムを管理する必要がありましたが、特に問題は発生しませんでした。奇妙なことに、住宅レベルの DSL 回線を持つクライアントよりも、これらのシステムに対する攻撃の試みは少なかったです。
答え2
Microsoft の新しいセキュリティ構成ウィザードを使用すると、サーバーに適用できるセキュリティ ポリシーを作成できます。
セキュリティ構成ウィザード (SCW) は、セキュリティ ポリシーの作成、編集、適用、またはロールバックのプロセスをガイドします。これにより、サーバーの役割に基づいて、サーバーのセキュリティ ポリシーを簡単に作成または変更できます。その後、グループ ポリシーを使用して、同じ役割を実行する複数のターゲット サーバーにセキュリティ ポリシーを適用できます。また、SCW を使用して、回復のためにポリシーを以前の構成にロールバックすることもできます。SCW を使用すると、サーバーのセキュリティ設定を目的のセキュリティ ポリシーと比較して、システム内の脆弱な構成をチェックできます。
詳細はこちらをご覧ください: http://technet.microsoft.com/en-us/library/cc771492(WS.10).aspx
答え3
一般的には、はい。SQL Server は試行された攻撃ベクトルであるため、ログイン失敗が大量に発生するため、より複雑です。完全に保護するか、ポートを移動してください。
私は...するだろう:
- ファイアウォールを使用して、できるだけ多くの受信ポートをロックし、作業に必要なもの(IIS、RDP、PPTP)のみを開いたままにします。
- メンテナンス作業のため、通常通りサーバーにPPTP接続する
- 緊急時のRDP
答え4
いいえ。W2K サーバーをインターネットに直接接続することは絶対にありません。IIS には多くのセキュリティ上の問題があり、Windows にも常にいくつかの問題があります。
これはほとんどの Linux システムにも当てはまります。セキュリティ ホールに関して優れた OS といえば、(Open)BSD だけが優れています。
職場では、Web サーバーの前面に大きな WAF (Web アプリケーション ファイアウォール) を使用しています。この WAF は受信トラフィックを分析し、異常なまたは悪意のある受信リクエストを拒否します。WAF は、CERT が公表する数日前にセキュリティ ホールを認識します。