Ich befinde mich in der folgenden Situation: Ich werde einen neuen Server mit dem Internet verbinden (ggf. mit einer Firewall zwischen dem Netz und ihm, die einfach alle Pakete auf anderen Ports als dem, auf dem meine Anwendung lauscht, verwirft).
Es sind keine Dienste/Funktionen erforderlich und es ist keine Installation von Drittanbietern erforderlich, außer meinem darauf laufenden Programm (Konsolenanwendung, die direkt auf HTTP-Anfragen antwortet).
Gibt es etwas Besonderes, was ich tun sollte, um den freiliegenden Bereich zu reduzieren? Dies ist für einen eigenständigen Server, kein internes Netzwerk, keine Domäne, nichts, ich muss nur in der Lage sein, eine Konsolenanwendung und einen Remotedesktop darauf zu starten (nur ich, zu Verwaltungszwecken).
Gibt es außer der Blockierung aller Ports außer denen, die von meiner App und RDP auf Firewall-Ebene verwendet werden, irgendetwas, das ich ändern/deaktivieren sollte, woran ich vielleicht nicht gedacht habe, oder ist die Gefährdung durch eine Neuinstallation bereits ziemlich gering?
Die Sicherheit dieses Servers ist kritisch, daher können Sie gerne Vorschläge auf "paranoider Ebene" hinzufügen, solange sie einer Anwendung nicht verbieten, auf einem bestimmten Port auf HTTP-Verkehr zu hören und zu reagieren.
Antwort1
Sie können versuchen, den Server so umzuwandeln, dass er Server Core ausführt, und dabei den Großteil der GUI entfernen. Dadurch wird die Angriffsfläche verringert und als zusätzlicher Bonus benötigen Sie weniger Patches, um sicher zu bleiben. Allerdings unterstützen nicht alle Anwendungen dies.
Die Windows-Firewall ist im Laufe der Jahre wirklich gut geworden, und Sie können mit den erweiterten Firewall-Einstellungen extrem strenge Regeln erstellen. Ichnichtglauben, dass es weniger sicher ist, RDP offen zu lassen, als VPN offen zu lassen. Beides sind verschlüsselte Verbindungen und beide können durch Brute-Force-Angriffe leicht umgangen werden.
Eine Möglichkeit, die meisten Brute-Force-Angriffe auf RDP zu umgehen, besteht darin, den RDP-Abhörport in der Registrierung zu ändern:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
Stellen Sie sicher, dass Sie Firewall-Regeln hinzufügen, um den RDP-Verkehr auf dem benutzerdefinierten Port zuzulassen, bevor Sie die Änderungen anwenden!
Ich schlage auch vor, dass Sie ein neues Administratorkonto erstellen (falls Sie dies nicht bereits getan haben) mit einem eher zufälligen Benutzernamen, verwenden Sie einensehrsicheres Passwort und deaktivieren Sie das integrierte „Administrator“-Konto.