新しい2012R2での攻撃対象領域の最小化
私は次の状況にあります。インターネットに接続された新しいサーバーがあります(ネット間にファイアウォールが必要な場合、アプリケーションがリッスンしているポート以外のポートですべてのパケットをドロップするだけです)。
それはサービス/機能を必要としません、それで実行されている私のプログラム(http要求に直接応答するコンソールアプリケーション)を除いてサードパーティのインストールはありません。
露出面積を減らすために特にすべきことはありますか?これはスタンドアロンサーバー用であり、内部ネットワーク、ドメイン、何もありません。コンソールアプリとリモートデスクトップを起動できる必要があります(管理目的で私だけです)。
アプリとRDPがファイアウォールレベルで使用するポートを除くすべてのポートをブロックする以外に、変更/無効化する必要があるもので、考えもしなかったものや、新規インストールがすでに最小限に公開されているものはありますか?
このサーバーのセキュリティは非常に重要であるため、アプリケーションが特定のポートでhttpトラフィックをリッスンして応答することを許可しない限り、「パラノイドレベル」の提案を自由に追加してください。
サーバーを変換してServerCoreを実行し、GUIのほとんどを取り除くことができます。攻撃対象領域が低くなり、追加のボーナスとして、安全を維持するために必要なパッチが少なくなります。ただし、すべてのアプリケーションがこれをサポートしているわけではありません。
Windowsファイアウォールは何年にもわたって非常に優れており、高度なファイアウォール設定を使用して非常に厳しいルールを作成できます。私はそうしますnot RDPを公開したままにしておくことは、VPNを公開したままにするよりも安全性が低いと信じています。これらは両方とも暗号化された接続であり、ブルートフォース攻撃によって両方とも簡単にバイパスできます。
RDPブルートフォース攻撃のほとんどを回避する1つの方法は、レジストリのRDPリスニングポートを変更することです。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
変更を適用する前に、カスタムポートでRDPトラフィックを許可するファイアウォールルールを追加してください。
また、ややランダムなユーザー名で新しい管理者アカウントを作成することをお勧めします(まだ作成していない場合)。非常に強力なパスワードを使用して、組み込みの「管理者」アカウント。