5 votos

El endurecimiento de un archivo que sirve de Windows Server 2019 instancia

Estoy en el proceso de re-configurar y proteger un servidor de la pequeña empresa para la que trabajo. Utilizamos para almacenar los archivos de diseño y otros datos con Autodesk Vault. Se ejecuta en un VPS de un proveedor de servidor de cerca.

La razón por la que estoy haciendo esto es que hemos sido notificados por nuestro proveedor de servidor que se reciben quejas acerca de nuestro servidor de mal comportamiento en el internet, lo que indica que está comprometida en cierta medida. No hemos notado ningún problema aparte de eso. El servidor fue creado originalmente antes de que se me vino a la compañía, y no pude encontrar ninguna documentación acerca de su configuración. También se ejecutan Windows Server 2012, así que me decidí a comenzar de nuevo con un nuevo VPS que ejecuta Windows Server 2019. Esta es la primera vez que estoy trabajando con Windows como sistema operativo del servidor, pero tengo algo de experiencia en la gestión de servidores de Ubuntu.

Buscando en el Visor de Sucesos en el servidor antiguo, hay un sinfín de "4625 Error de Auditoría" intentos de inicio de sesión para el servidor, pero también bastantes exitosos inicios de sesión, que no proceden de mí o de nuestra organización. Ejemplo de un 4624 Auditoría de Éxito:

An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Impersonation Level:        Impersonation

New Logon:
    Security ID:        ANONYMOUS LOGON
    Account Name:       ANONYMOUS LOGON
    Account Domain:     NT AUTHORITY
    Logon ID:       0x9ABEAB7
    Logon GUID:     {00000000-0000-0000-0000-000000000000}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 117.45.167.129
    Source Port:        11949

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   NTLM V1
    Key Length:     0

Así, para endurecer el nuevo servidor que me he hecho el siguiente

  • Elegido mucho más seguro que una contraseña que antes
  • Instalado IPBan (https://github.com/DigitalRuby/IPBan) que bloquea las IPs que fallan los intentos de inicio de sesión utilizando diversos servicios
  • Movilidad NTLM de inicio de sesión, como por las recomendaciones de IPBan guía de instalación

Me gustaría bloquear todas las posibles rutas de acceso por la que sólo permite Autodesk Vault, que se comunica a través de HTTP(S) en el puerto 80/443 (yo más probable es que configurarlo para que sólo HTTPS está permitido), y el escritorio remoto, que necesito para administrar el servidor. Pero mirando el Windows Defender y el Firewall de reglas predeterminadas, hay toneladas de abrir los puertos como configuración predeterminada. Esto me parece un poco extraño en un servidor OS quiero a bloquear todo lo que yo no permitir explícitamente. Puedo deshabilitar de forma segura todos estos excepto RDP y HTTPS? ¿Me ayuda? He perdido de algo más obvio en mi servidor de endurecimiento procedimiento? Captura de pantalla permitió que los servicios en Windows Defender Firewall

Buen fin de semana!

7voto

Swisstone Puntos 31

Primero de todo, reinstalar el servidor, porque :

  1. Esto podría estar en peligro y no se puede confiar en nada más.
  2. Windows es seguro por defecto, y tal vez alguien bajó la configuración de seguridad de su servidor, difícil decir si no hay documentación.

Usted puede tomar un vistazo a este canónica pregunta: ¿Cómo lidiar con un servidor vulnerable?

Verificación de la Seguridad de Windows líneas de base también de Microsoft actualiza regularmente.

Acerca de las reglas de firewall, puede exportar primero :

Export firewall policy

Si usted no necesita RDP, gestión remota, powershell remoto,... es seguro deshabilitar o eliminar las reglas predeterminadas (asegúrese de que puede acceder a la máquina virtual de la consola, si se quita todo lo que usted no será capaz de conectarse mediante RDP) y crear las reglas que usted necesita.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: