Tenho firewalls na frente dos meus servidores, mas ainda faço o seguinte:
- Desativar o IIS se você não estiver usando
- Remova o FTP se não for necessário (se for restringido o acesso apenas aos seus endereços IP autorizados)
- Aplicar service packs e hotfixes mais recentes
- Desativar portas de entrada que não são necessárias
- Desativar serviços desnecessários, por ex. Servidor (se não for usado como servidor de arquivos e impressão) e RRAS
Se estiver usando o IIS
- Mover a pasta inetpub \ wwwroot
- Alterar a conta de usuário usada para acesso anônimo & configurar com permissões apropriadas
- Remova qualquer pasta de exemplo, como o administrador do IIS, a impressão baseada na Web, etc.
- Remova os filtros ISAPI que você não está usando
- Crie uma conta dedicada para transferências por FTP - dê a essa conta apenas permissão suficiente para fazer ftp (ou seja, leia / escreva os arquivos que coloca, nada mais)
Logins
- Renomeie a conta de administrador
- Crie uma nova conta chamada Administrador, remova todos os seus acessos e privilégios e desabilite a conta (enquanto um hacker trabalhará duro para descobrir o nome de uma conta de administrador, muitos scripts não são tão sofisticados)
- Se você tiver acesso físico ao servidor, defina "Negar acesso a este computador pela rede" na conta de administrador
- Verifique se a conta do convidado está desativada (e verifique todas as outras contas)
Pessoalmente, eu não faria isso. Se você já executou um PC com o ZoneAlarm (estou pensando em 2002 em uma caixa do Windows 2000 com um modem ADSL) e assistiu os alertas como todos e muitos bate na porta do seu PC, então você vai entender o porquê. Os firewalls da Cisco e da Juniper começam com cerca de £ 300 / $ 500, ou você pode obter uma caixa de especificações baixa e instalar smoothwall ou similar. Se você está colocando o servidor em um colo, você deve ser capaz de obter outro espaço de rack de 1U para o firewall (e um soquete de energia) por uma fração do primeiro U de rackspace.