來自 Linux 背景,現在必須管理一些 Windows 伺服器(2008R2 和 2012R2),我想知道哪些服務可以安全地直接在互聯網上運行。伺服器全部面向互聯網,無需額外的硬體防火牆或內部 VPN 管理網路。
有疑問的服務是:
- RDP(標準配備)?
- MSSQL(2012)?
- 活動目錄?
- WSUS(如果 3. 不安全,則沒有網域)?
經過一些研究,我知道 RDP 至少在早期的 Windows 版本(2003)中是不安全的,而 AD 似乎通常被認為是不安全的。透過 SSH 建立 RDP 隧道(伺服器都運行 cygwin)仍然是一個明智的想法嗎?
謝謝你的建議!
答案1
在這些情況下,我的觀點是端口阻止每個端口,除了伺服器執行其主要目的所需的端口(http/s、ftp、sql server),即使如此,在可能的情況下將這些端口限制為僅某些IP 塊。除了那些必要的服務之外,不要為這些伺服器配置任何遠端連線。
然後部署一個堡壘主機。這是一個極其堅固的主機,它啟用了遠端連線(ssh、rdp、vpn),並且允許您雙跳到其他主機。我知道很多人認為這是不必要的和過分的,但說實話,這是最安全的滾動方式。
答案2
RPD 只能透過 VPN 使用。
SQL可以連接特定的端口,所以應該是安全的。
為什麼要在互聯網端運行AD?如果您必須在連接到網際網路的同一台伺服器上執行它,則應在執行此操作之前徹底檢查安全性原則。
WSUS 存在竊聽且不安全。 WSUS 甚至可以報告一切都是最新的,而很久以前創建的補丁尚未應用。它使系統容易受到攻擊並可能影響安全策略。最好在必要時節省一些用於修補的停機時間並停用 WSUS。