我處於以下情況,我將有一台連接到互聯網的新伺服器(如果需要在網路之間設置防火牆,它只會丟棄除我的應用程式正在偵聽的連接埠之外的連接埠上的所有資料包)。
它不需要任何服務/功能,除了我在其上運行的程式(控制台應用程式直接回應http請求)之外,沒有第三方安裝。
我該做些什麼來減少暴露面積?這是針對獨立伺服器的,沒有內部網絡,沒有網域,什麼都沒有,只需要能夠啟動控制台應用程式和遠端桌面到其中(只有我,出於管理目的)。
除了在防火牆級別阻止除我的應用程式和 RDP 使用的端口之外的所有端口之外,我還應該更改/禁用我可能沒有想到的任何端口,或者全新安裝已經相當少地暴露?
該伺服器的安全性至關重要,因此請隨意添加「偏執等級」建議,只要它們不禁止應用程式偵聽和回應給定連接埠上的 http 流量即可
答案1
您可以嘗試將伺服器轉換為運行伺服器核心,從而剝離大部分 GUI。它將降低攻擊面,並且作為額外的好處,您將需要更少的修補程式來保持安全。然而,並非所有應用程式都支援這一點。
Windows 防火牆多年來已經變得非常好,您可以使用進階防火牆設定建立極其嚴格的規則。我願意不是相信讓 RDP 對外開放比讓 VPN 對外開放更不安全。它們都是加密連接,並且都可以透過暴力攻擊輕鬆繞過。
逃避大多數 RDP 暴力攻擊的一種方法是更改註冊表中的 RDP 偵聽連接埠:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
在應用變更之前,請確保新增防火牆規則以允許自訂連接埠上的 RDP 流量!
我還建議您使用隨機的用戶名建立新的管理員帳戶(如果您還沒有),使用非常強密碼並停用內建「管理員」帳戶。