インターネットに接続する前にWindows2008Serverをロックダウンする方法
私たちは非常に小さな会社で、コロケーション会社に新しいサーバーをインストールしようとしています。計画では、OS、SQL、およびIISをインストールしてテストし、ホスティング会社に宅配します。その後、おそらくオンラインで表示され、さらにセットアップする準備が整います。 RDPで管理する予定です。
前回このプロセスを実行したときは、Server 2003を使用しており、IPSEC管理者は一種のグラインドでした。
Server 2008と何か違いはありますか?いくつかのIPアドレスから発信されたものを除いて、すべてのアクセスを制限する簡単な方法はありますか?
専門家でない人のためにServer2008を保護するための指針、または優れたばかガイドをいただければ幸いです。
基本:更新、ファイアウォール、保護された管理者アカウント(名前が変更され、非常に優れたパスワード)。次に、 [〜#〜] sql [〜#〜] 、 [〜#〜] iis [〜#〜] 、および のベストプラクティスアナライザーを取得します。サーバー ;それらを実行し、それらの推奨事項を確認してください。
セキュリティ構成Wizard(SCW)を実行し、インストールされている役割とリモート管理のニーズに応じて構成することをお勧めします。
インターネットからのバッファを提供するために、ハードウェアファイアウォールに投資することを強くお勧めします。これにより、オフィスとコロ施設(Windows Serverではなくファイアウォールで終了)の間にIPSecトンネルを設定し、リモートデスクトップ(tcp 3389)への「ローカル」(つまり、本社のLAN)アクセスのみを許可できます。
Windowsファイアウォールは以前よりもはるかに優れていますが、インターネットに直接接続されたWindowsServerは私の意見ではちょっと恐ろしいものです。
Windows OS自体に関しては:2008(特に、IIS 7.x)は、多くの役割と機能がデフォルトで有効になっていないため、Windows2003よりもはるかに安全です。