나는 다음과 같은 상황에 처해 있습니다. 인터넷에 연결된 새로운 서버를 갖게 될 것입니다(필요한 경우 네트워크 사이에 방화벽이 있고 내 응용 프로그램이 수신 대기 중인 포트가 아닌 다른 포트의 모든 패킷을 삭제하기만 하면 됩니다).
어떤 서비스/기능도 필요하지 않으며, 내 프로그램에서 실행되는 것(http 요청에 직접 응답하는 콘솔 응용 프로그램)을 제외하고는 타사 설치가 없습니다.
노출된 부위를 줄이기 위해 특별히 해야 할 일이 있나요? 이는 독립 실행형 서버용이며, 내부 네트워크도 없고, 도메인도 없고, 콘솔 앱과 원격 데스크톱을 실행할 수만 있으면 됩니다(관리 목적으로 나만 사용).
방화벽 수준에서 내 앱 및 RDP에서 사용하는 포트를 제외한 모든 포트를 차단하는 것 외에도 내가 생각하지 못했던 변경/비활성화해야 할 항목이 있습니까? 아니면 새로 설치하면 이미 최소한으로 노출됩니까?
이 서버의 보안은 중요하므로 애플리케이션이 특정 포트에서 http 트래픽을 수신하고 응답하는 것을 허용하지 않는 한 "편집증 수준" 제안을 자유롭게 추가하세요.
답변1
Server Core를 실행하도록 서버를 변환하여 대부분의 GUI를 제거할 수 있습니다. 공격 표면이 낮아지고 추가 보너스로 보안을 유지하기 위해 패치가 덜 필요합니다. 그러나 모든 응용 프로그램이 이를 지원하는 것은 아닙니다.
Windows 방화벽은 수년에 걸쳐 정말 좋아졌으며 고급 방화벽 설정을 사용하면 매우 엄격한 규칙을 만들 수 있습니다. 그래요~ 아니다RDP를 공개적으로 열어 두는 것은 VPN을 공개적으로 공개하는 것보다 덜 안전하다고 생각합니다. 둘 다 암호화된 연결이므로 무차별 대입 공격으로 쉽게 우회할 수 있습니다.
대부분의 RDP 무차별 대입 공격을 피하는 한 가지 방법은 레지스트리에서 RDP 수신 대기 포트를 변경하는 것입니다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
변경 사항을 적용하기 전에 사용자 지정 포트에서 RDP 트래픽을 허용하도록 방화벽 규칙을 추가했는지 확인하세요!
또한 임의의 사용자 이름을 사용하여 새 관리자 계정을 만드는 것이 좋습니다(아직 만들지 않은 경우).매우강력한 비밀번호를 사용하고 내장된 "관리자" 계정을 비활성화하십시오.