Я нахожусь в следующей ситуации: у меня будет новый сервер, подключенный к Интернету (при необходимости с брандмауэром между сетью, и он просто будет отбрасывать все пакеты на портах, отличных от того, который прослушивает мое приложение).
Ему не требуются никакие службы/функции, не требуется установка сторонних программ, за исключением моей программы, работающей на нем (консольное приложение, напрямую отвечающее на http-запросы).
Есть ли что-то конкретное, что я должен сделать, чтобы уменьшить открытую область? Это для автономного сервера, без внутренней сети, без домена, без ничего, просто нужно иметь возможность запускать консольное приложение и удаленный рабочий стол на нем (только я, для целей администрирования).
Помимо блокировки всех портов, за исключением тех, которые используются моим приложением и RDP на уровне брандмауэра, есть ли что-то, о чем я мог не подумать, что мне следует изменить/отключить, или новая установка уже достаточно минимально уязвима?
Безопасность этого сервера имеет решающее значение, поэтому не стесняйтесь добавлять предложения «параноидального уровня», если они не запрещают приложению прослушивать и отвечать на http-трафик на заданном порту.
решение1
Вы можете попытаться преобразовать сервер для работы Server Core, убрав большую часть GUI. Это уменьшит поверхность атаки, и в качестве дополнительного бонуса вам понадобится меньше исправлений, чтобы оставаться в безопасности. Однако не все приложения поддерживают это.
Брандмауэр Windows стал действительно хорош с годами, и вы можете создавать очень жесткие правила с помощью расширенных настроек брандмауэра. Я делаюнетсчитают, что оставить RDP открытым для дикой природы менее безопасно, чем оставить VPN открытым для дикой природы. Они оба являются зашифрованными соединениями, и их оба можно легко обойти с помощью атак методом подбора.
Одним из способов обойти большинство атак методом подбора паролей RDP является изменение порта прослушивания RDP в реестре:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
Перед применением изменений обязательно добавьте правила брандмауэра, разрешающие трафик RDP через настраиваемый порт!
Я также предлагаю вам создать новую учетную запись администратора (если вы этого еще не сделали) с произвольным именем пользователя, используйтеоченьнадежный пароль и отключите встроенную учетную запись «Администратор».