Windows Server 2008 - Como bloquear o Firewall Advanced?

1

Estou tendo problemas com tentativas simultâneas de força bruta no meu Windows Server 2008 R2 e no MS-SQL Server que está nele.

  • renomei a conta de administrador do Windows (Administrador)
  • renomei e desativei a conta do SQL Server (sa)
  • Eu instalei o Windows Security Essentials para servir como Antivírus

Fui aconselhado a bloquear o firewall para TODAS as conexões de entrada e saída, EXCETO para aquelas que são realmente necessárias. Mas eu não sei exatamente como fazê-lo e quais portas são realmente necessárias.

Também fui aconselhado a bloquear totalmente a conexão com o servidor SQL por meio da autenticação do SQL e fazer isso apenas com a autenticação do Windows. Mas o meu aplicativo ASP Classic ainda pode usar o servidor SQL?

O servidor está sendo usado para webhosting, hospedagem de banco de dados SQL e servidor de email (POP3, SMTP e IMAP). O servidor também tem o Parallels PLESK instalado, incluindo o HORDE Webmail.

Eu tirei uma captura de tela das configurações do firewall do servidor ( link ) e exportei as regras de entrada do firewall ( link ) e regras de saída (ww.oltm.dk/x/outbound.txt)

Eu sou novo no Windows Server 2008 R2, então me perdoe, se estiver faltando algo completamente óbvio:)

Obrigado!

    
por Behrens 09.11.2011 / 18:22

1 resposta

1

Eu geralmente concordo com o bloqueio de tudo que não é necessário. Agora parece que você tem tudo em aberto.

O ASP classic ainda deve conseguir acessar o SQL diretamente, mas você precisará entrar no IIS e alterar a conta de usuário que está representando e conceder a essa conta acesso a qualquer informação necessária no SQL. Eu recomendaria criar uma nova conta apenas para isso e apenas dar acesso a essa conta para os arquivos e componentes necessários para fazer o seu trabalho. Eu concordaria que o acesso externo ao SQL geralmente não é um bom caminho a percorrer. Eu provavelmente também faria um pouco de script SQL e certifique-se de que a nova conta de usuário não possa fazer coisas como excluir ou modificar o esquema. Basicamente reduza sua exposição tanto quanto possível.

Parece que você provavelmente só precisa de 25.110.143,80,443, qualquer porta em que seu webmail esteja sendo executado se não for IIS integrado e qualquer porta de acesso remoto que você possa precisar (3389 se você precisar de RDP). Tenha em mente que você pode permitir portas internamente e restringir portas externamente (daí as três seções no firewall do Windows).

Você tem um firewall de hardware na frente dessa caixa? Você pode considerar isso também. Na minha opinião, eu prefiro ter outro dispositivo dedicado lidando com a carga de tráfego do que atrapalhando uma caixa SQL / IIS com tentativas de acesso falsas.

    
por 09.11.2011 / 23:25