Administración de Windows Server: ¿qué servicios es seguro ejecutar en Internet?

tag-icon tag-icon windows-server-2008 active-directory security sql-server windows-server-2012
Administración de Windows Server: ¿qué servicios es seguro ejecutar en Internet?

Como tengo experiencia en Linux y ahora tengo que administrar algunos servidores de Windows (2008R2 y 2012R2), me pregunto qué servicios son seguros para ejecutar directamente a través de Internet. Todos los servidores están orientados a Internet sin firewall de hardware adicional ni una red de administración de VPN interna.

Los servicios en duda son:

  1. ¿RDP (en configuración estándar)?
  2. ¿MSSQL (2012)?
  3. ¿Directorio Activo?
  4. ¿WSUS (sin dominio si 3. no es seguro)?

Después de investigar un poco, sé que al menos RDP no era seguro en versiones anteriores de Windows (2003) y AD parece generalmente considerarse inseguro. ¿Sigue siendo una buena idea hacer un túnel RDP a través de SSH (todos los servidores ejecutan cygwin)?

¡Gracias por su consejo!

Respuesta1

Mi opinión en estos casos es bloquear todos los puertos, excepto aquellos que son necesarios para que el servidor realice su propósito principal (http/s, ftp, servidor sql), e incluso entonces, restringir esos puertos solo a ciertos bloques de IP cuando sea posible. . No configure ninguna conectividad remota para estos servidores, excepto para los servicios necesarios.

Luego implemente unanfitrión bastión. Este es un host extremadamente reforzado que tiene habilitada la conectividad remota (ssh, rdp, vpn) y le permitirá realizar un doble salto a sus otros hosts. Sé que mucha gente considera esto innecesario y excesivo, pero, sinceramente, es la forma más segura de hacerlo.

Respuesta2

RPD debe usarse únicamente a través de VPN.

SQL puede conectarse con un puerto específico, por lo que debería ser seguro.

¿Por qué se ejecutaría AD en Internet? Si tienes que ejecutarlo en el mismo servidor conectado a Internet, debes verificar minuciosamente las políticas de seguridad antes de hacerlo.

WSUS tiene errores y es inseguro. WSUS puede incluso informar que todo está actualizado aunque no se hayan aplicado parches creados hace mucho tiempo. Hace que el sistema sea vulnerable y puede afectar las políticas de seguridad. Es mejor ahorrar algo de tiempo de inactividad para aplicar parches cuando sea necesario y dejar que WSUS esté deshabilitado.

información relacionada