Processo para proteger o servidor Windows diretamente conectado na Internet sem um firewall de hardware

Tenho firewalls na frente dos meus servidores, mas ainda faço o seguinte:

• Desativar o IIS se você não estiver usando
• Remova o FTP se não for necessário (se for restringido o acesso apenas aos seus endereços IP autorizados)
• Aplicar service packs e hotfixes mais recentes
• Desativar portas de entrada que não são necessárias
• Desativar serviços desnecessários, por ex. Servidor (se não for usado como servidor de arquivos e impressão) e RRAS

Se estiver usando o IIS

• Mover a pasta inetpub \ wwwroot
• Alterar a conta de usuário usada para acesso anônimo & configurar com permissões apropriadas
• Remova qualquer pasta de exemplo, como o administrador do IIS, a impressão baseada na Web, etc.
• Remova os filtros ISAPI que você não está usando
• Crie uma conta dedicada para transferências por FTP - dê a essa conta apenas permissão suficiente para fazer ftp (ou seja, leia / escreva os arquivos que coloca, nada mais)

Logins

• Renomeie a conta de administrador
• Crie uma nova conta chamada Administrador, remova todos os seus acessos e privilégios e desabilite a conta (enquanto um hacker trabalhará duro para descobrir o nome de uma conta de administrador, muitos scripts não são tão sofisticados)
• Se você tiver acesso físico ao servidor, defina "Negar acesso a este computador pela rede" na conta de administrador
• Verifique se a conta do convidado está desativada (e verifique todas as outras contas)

Pessoalmente, eu não faria isso. Se você já executou um PC com o ZoneAlarm (estou pensando em 2002 em uma caixa do Windows 2000 com um modem ADSL) e assistiu os alertas como todos e muitos bate na porta do seu PC, então você vai entender o porquê. Os firewalls da Cisco e da Juniper começam com cerca de £ 300 / $ 500, ou você pode obter uma caixa de especificações baixa e instalar smoothwall ou similar. Se você está colocando o servidor em um colo, você deve ser capaz de obter outro espaço de rack de 1U para o firewall (e um soquete de energia) por uma fração do primeiro U de rackspace.

Para começar, aqui está minha lista atual.

1. Desativar conta de administrador e todas as contas não seguras

2. Desativar ftp

3. Proteger o servidor bloqueando todas as portas e serviços desnecessários, usando o Assistente de Configuração de Segurança, atualmente deixo a porta 22,80,443

4. Instale o WinSSHD para a transferência de arquivos para o servidor na porta 22 (pode ser uma porta aleatória maior), também tentei abrir o shh, mas ficou um pouco confuso ao tentar instalar as chaves.

Alguém tem mais etapas para adicionar?

O primeiro que eu faria, se possível, é desconectar o cabo de rede, executar todas as etapas seguras, aplicar especialmente todos os pacotes de hotfix / servidor, ativar os firewalls de software e, em seguida, conectar o cabo de rede. caixas não seguras duram apenas cerca de meia hora na natureza, especialmente caixas de janelas.

Por "sem um firewall", estou assumindo que você quer dizer "sem um firewall externo" - o firewall no servidor deve estar definitivamente ativado e configurado apenas para expor os serviços que precisam ser expostos ao firewall. Internet - você não mencionou quais são, mas pelas tags, acredito que o SFTP esteja envolvido.

Certifique-se de que o servidor esteja com o patch totalmente atualizado e permaneça assim enquanto estiver conectado à Internet.

Se você absolutamente precisa ter um FTP (comum), você deve procurar assegurar também que os endereços IP, que podem se conectar ao seu serviço FTP, façam isso por SSL, ou use SFTP. OpenSSH) como oculista mencionado) vem com um serviço SFTP.

Se você está conectado diretamente à internet sem um firewall, você tem que assumir que em algum momento você estará sob ataque e trabalhará a partir daí.

Além da segurança, eu também recomendaria colocar um bom monitoramento no local. No mínimo, você deve monitorar a atividade do processo, o uso da CPU e da memória e a atividade da rede (tenho certeza de que outros adicionarão mais à lista).