Защита подключений брандмауэра Windows для Windows Server 2012

Question

Защита подключений брандмауэра Windows для Windows Server 2012

У меня Windows Server 2012 на Amazon EC2 в не доменной среде.

Мне нужно подключить к нему удаленный рабочий стол, а также подключиться к запущенному на нем экземпляру сервера Microsoft SQL.

В дополнение к открытию этих портов в брандмауэре Windows я хотел бы сделать это более безопасным. Я не могу ограничить соединение конкретным IP, потому что у меня динамический IP-адрес от моего провайдера.

Я думал о том, чтобы использовать что-то, что существовало бы как на моем клиентском компьютере, так и на сервере, в качестве обязательного условия для соединения. Возможно, какой-то сертификат SSL?

Я нашел это для Windows Server 2003: http://www.alkia.net/index.php/faqs/106-how-to-secure-remote-desktop-connections-using-tls-ssl-based-authentication которая кажется быть похожим на то, что я ищу, но предполагается, что среда Active Domain используется и охватывает только удаленный рабочий стол, а не любое соединение через брандмауэр. Плюс GUI для настройки служб терминалов даже не существует в Windows Server 2012.

Я вижу, что в Windows Server 2012 на вкладке "Общие" любого правила брандмауэра есть параметр "Разрешить соединение, если оно безопасное", который можно включить и настроить дополнительно. В разделе "Брандмауэр Windows в режиме повышенной безопасности" также находится папка "Правила безопасности подключения". Я подозреваю, что то, что я ищу, связано с этими двумя вариантами, но я не уверен, как они работают вместе.

Чего я пытаюсь достичь, возможно ли даже в не доменной среде? Существуют ли пошаговые инструкции по настройке Windows Server 2012?

2

security windows-server-2012 windows-firewall

Источник

Joe Schmoe 01 янв '14 в 20:42

2 ответа

Другие вопросы по тегам security windows-server-2012 windows-firewall

Tim Brigham 02 янв '14 в 18:52 2014-01-02 18:52 · Answer 1 · 2014-01-02 18:52

ИМХО, безусловно, самым быстрым и простым решением было бы использование настройки IPSec с использованием только транспортного режима и аутентификации на основе сертификатов.

Это позволит вам подключаться к общедоступному IP-адресу вашего сервера только с вашего конкретного ноутбука (или везде, где вы устанавливаете свой собственный сертификат).

VPN - это здорово, но это действительно излишне, если все, что вам нужно, это транспортный режим - большинство руководств по VPN предполагают необходимость настройки туннелирования, а в вашем случае это избыточно.

Если бы я собирался сделать это:

Создайте локальный самозаверяющий сертификат на сервере и рабочей станции.
Импортируйте сертификат рабочей станции на сервер и наоборот. Они должны быть в доверенном корневом хранилище.
Создайте правило безопасности подключения, используя параметры "любой удаленный IP-адрес" для конечной точки 1 и "IP-адрес вашего сервера" для конечной точки 2, используя проверку подлинности сертификата. Это позволит серверу дополнительно использовать IPSec. Это же правило также должно быть установлено на вашей рабочей станции.
Создайте правило брандмауэра Windows на сервере, используя параметр "разрешить подключение, если оно защищено". Я бы начал с одного протокола, такого как удаленный рабочий стол. Вы могли бы расширить это позже.

Обратите внимание, что может быть пара шагов, специфичных для AWS, таких как порты, которые необходимо открыть, я не рассмотрел. Возможно, вы захотите ускорить тестовый экземпляр, чтобы попробовать это на.

Gabriel Talavera 01 янв '14 в 21:07 2014-01-01 21:07 · Answer 2 · 2014-01-01 21:07

Указанная вами статья не обязательно относится только к доменным средам. Как отмечено в конце:

Шаги, описанные в этой статье, предполагают, что вы используете терминальные службы в доменной среде Active Directory, а также используете свою собственную PKI на основе Microsoft. Однако следует отметить, что это не является обязательным требованием, если вы сосредоточены на безопасности, когда компьютерам необходимо доверять иерархии ЦС.

Однако, как вы заявили, он будет защищать только ваши RDP-соединения.

Я думаю, что VPN является очевидным решением, но, поскольку вы не упомянули об этом, я предполагаю, что это не то, что вы ищете. Вы можете уменьшить поверхность атаки одним или несколькими из них:

Порт стучит. Вот хороший ресурс.
Спросите у своего интернет-провайдера блок адресов, которыми они владеют, добавив только эти адреса к исходным адресам в правилах брандмауэра, что значительно сократит количество детишек сценариев, пытающихся атаковать ваш сервер. Они могут не предоставить вам эту информацию, в этом случае вам придется самостоятельно определить диапазон.
Измените порты по умолчанию для ваших служб. Это также уменьшает множество автоматических атак.

Несмотря на то, что некоторые из этих вариантов - это просто безопасность через неизвестность, они все же лучше, чем ничего, и хороший уровень защиты, когда используются все вместе.