Набор рекомендаций для защиты сервера, который открыто смотрит в интернет. Материалы надёргивать буду с разных источников и группировать в список рекомендаций для самого себя.
1. Настройте lockout policy. По умолчанию Windows-сервер не защищен от брут-форса — атаки через подбор пароля. Хакер может создать, например, тысячу RDP-соединений (ака «Удаленный Рабочий Стол»), пробуя разные логины/пароли. Или терзать ваш FTP-сервер бесконечными подключениям. Именно поэтому стоит настроить «lockout» — временную блокировку пользователя после нескольких неудачных попыток.
Идем в «Start — Run — secpol.msc — Security Settings — Account Policies — Account Lockout Policy». И ставим, например, «5 попыток» и «5 минут» — это заблокирует пользователя на 5 минут после 5 неудачных авторизаций.
Также, стоит попробовать и такой вариант: http://infostart.ru/public/238981/
2. Не используйте стандартные порты. Если кроме веб-сервера вам все-таки нужно что-то выставить «наружу» — например, терминальный сервер (для того же RDP) или SQL-сервер — используйте нестандартные порты. Какие-нибудь идиотские значения, вроде 15089.
Порт терминального сервиса (тот самый «Удаленный рабочий стол») меняется в реестре вот тут: «HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber» (не забудьте открыть этот порт на файрволле и перезапустить RDP-сервис).
Порты SQL Server’а меняются в утилите «SQL Server Configuration Manager» — «Network Configuraion» — «Protocols for [имя сервера]» — «TCP-IP» — right-click — «Properties».
3. Не использовать стандартные имена учётных записей. С рабочих серверов долой всяких «Администратор», переименовываем в Повелитель например 🙂
Источники: http://habrahabr.ru/post/116769/
Изображение с сайта: http://www.dome9.com/
One Comment
Pingback: » Новый сервер, настройки применяемые сразу же