Administração do Windows Server - quais serviços são seguros para serem executados na Internet?

tag-icon tag-icon windows-server-2008 active-directory security sql-server windows-server-2012
Administração do Windows Server - quais serviços são seguros para serem executados na Internet?

Vindo de experiência em Linux e agora tendo que gerenciar alguns servidores Windows (2008R2 e 2012R2), estou me perguntando quais serviços são seguros para serem executados diretamente pela Internet. Os servidores são todos voltados para a Internet, sem firewall de hardware adicional ou rede de gerenciamento VPN interna.

Os serviços em dúvida são:

  1. RDP (na configuração padrão)?
  2. SQL (2012)?
  3. Diretório Ativo?
  4. WSUS (sem domínio se 3. não for seguro)?

Depois de algumas pesquisas, sei que pelo menos o RDP não era seguro nas versões anteriores do Windows (2003) e o AD geralmente parece ser considerado inseguro. Ainda é uma boa ideia encapsular o RDP sobre SSH (todos os servidores executam o cygwin)?

Obrigada pelo Conselho!

Responder1

Minha opinião nesses casos é bloquear todas as portas, exceto aquelas que são necessárias para o servidor executar sua finalidade principal (http/s, ftp, sql server) e, mesmo assim, restringir essas portas a apenas determinados blocos de IP, quando possível . Não configure nenhuma conectividade remota para esses servidores, exceto para os serviços necessários.

Em seguida, implante umhospedeiro bastião. Este é um host extremamente robusto que possui conectividade remota habilitada (ssh, rdp, vpn) e permitirá que você faça um salto duplo para seus outros hosts. Eu sei que muitas pessoas consideram isso desnecessário e um exagero, mas honestamente, é a maneira mais segura de rolar.

Responder2

O RPD deve ser usado somente via VPN.

O SQL pode se conectar a uma porta específica, portanto deve ser seguro.

Por que alguém executaria o AD no lado da Internet? Se precisar executá-lo no mesmo servidor conectado à Internet, verifique cuidadosamente as políticas de segurança antes de fazê-lo.

O WSUS está bugado e inseguro. O WSUS pode até informar que tudo está atualizado, embora os patches criados há muito tempo não sejam aplicados. Isso torna o sistema vulnerável e pode afetar as políticas de segurança. É melhor economizar algum tempo de inatividade para correção quando necessário e deixar o WSUS desabilitado.

informação relacionada