Administração do Windows Server - quais serviços são seguros para executar a Internet?

2

Vindo de um ambiente Linux e agora tendo que gerenciar alguns servidores Windows (2008R2 e 2012R2), gostaria de saber quais serviços são seguros para serem executados diretamente pela Internet. Os servidores estão todos conectados à Internet sem firewall de hardware adicional ou uma rede interna de gerenciamento de VPN.

Os serviços em dúvida são:

  1. RDP (na configuração padrão)?
  2. MSSQL (2012)?
  3. Active Directory?
  4. WSUS (sem domínio se 3. não for seguro)?

Após algumas pesquisas, sei que o RDP, pelo menos, não era seguro nas versões anteriores do Windows (2003), e a AD parece ser considerada insegura. Ainda é uma idéia sensata encapsular o RDP sobre o SSH (todos os servidores executam o cygwin)?

Obrigado pelo seu conselho!

    
por s1lv3r 04.03.2015 / 10:49

2 respostas

7

Minha opinião nestes casos é a porta bloquear todas as portas, exceto aquelas que são necessárias para o servidor executar sua finalidade principal (http / s, ftp, sql server) e, mesmo assim, restringir essas portas a apenas determinados IPs blocos quando possível. Não configure conectividade remota para esses servidores, exceto os serviços necessários.

Em seguida, implante um host de bastiões . Este é um host extremamente avançado que tem conectividade remota habilitada (ssh, rdp, vpn), e permitirá que você dê um duplo salto para seus outros hosts. Eu sei que muitas pessoas consideram isso desnecessário e exagerado, mas honestamente, é a maneira mais segura de rolar.

    
por 04.03.2015 / 15:32
-1
O

RPD deve ser usado somente via VPN.

O SQL pode se conectar a uma porta específica, por isso deve ser seguro.

Por que alguém iria executar o AD no lado da internet? Se você tiver que executá-lo no mesmo servidor conectado à Internet, verifique cuidadosamente as políticas de segurança antes de fazer isso.

O WSUS está com problemas e inseguro. O WSUS pode até relatar que tudo está atualizado enquanto os patches criados há muito tempo não são aplicados. Isso torna o sistema vulnerável e pode afetar as políticas de segurança. É melhor poupar tempo de inatividade para corrigir quando necessário e deixar o WSUS desativado.

    
por 04.03.2015 / 13:51