私は次のような状況にあります。インターネットに接続された新しいサーバーを用意します (必要に応じて、ネットとサーバーの間にファイアウォールを設置し、アプリケーションがリッスンしているポート以外のポート上のパケットをすべてドロップします)。
サービスや機能は不要で、私のプログラム (http 要求に直接応答するコンソール アプリケーション) を実行する以外にサードパーティのインストールはありません。
露出領域を減らすために特にすべきことはありますか? これはスタンドアロン サーバー用で、内部ネットワークもドメインも何もなく、コンソール アプリとリモート デスクトップを起動できるだけで十分です (管理目的で私だけが使用)。
ファイアウォール レベルで、アプリと RDP で使用されるポートを除くすべてのポートをブロックする以外に、考えていなかった変更/無効にする必要があるものはありますか。それとも、新規インストールですでに露出が最小限に抑えられているのでしょうか。
このサーバーのセキュリティは重要なので、特定のポートでアプリケーションが HTTP トラフィックをリッスンして応答することを禁止しない限り、「パラノイア レベル」の提案を自由に追加してください。
答え1
GUI のほとんどを削除して、Server Core を実行するようにサーバーを変換することもできます。これにより、攻撃対象領域が減り、さらに、セキュリティを維持するために必要なパッチが少なくなります。ただし、すべてのアプリケーションがこれをサポートしているわけではありません。
Windowsファイアウォールは年々進化しており、高度なファイアウォール設定で非常に厳しいルールを作成できます。ないRDP を無防備なままにしておくことは、VPN を無防備なままにしておくことよりも安全性が低いとは考えられません。どちらも暗号化された接続であり、どちらもブルート フォース攻撃によって簡単に回避できます。
RDP ブルートフォース攻撃のほとんどを回避する方法の 1 つは、レジストリで RDP リスニング ポートを変更することです。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
変更を適用する前に、カスタム ポート上の RDP トラフィックを許可するファイアウォール ルールを必ず追加してください。
また、新しい管理者アカウントを作成することをお勧めします(まだ作成していない場合)。ユーザー名はランダムにし、とても強力なパスワードを設定し、組み込みの「管理者」アカウントを無効にします。