那些遇到过的问题

强化文件服务 Windows Server 2019 实例

Fel*_*son 5 rdp https ntlm windows-firewall windows-server-2019

我正在为我工​​作的小公司重新配置和保护服务器。我们使用它与 Autodesk Vault 一起存储设计文件和其他数据。它在附近服务器提供商的 VPS 上运行。

我这样做的原因是我们的服务器提供商已经通知我们,他们收到关于我们的服务器在互联网上行为不当的投诉,表明它在某种程度上受到了损害。除此之外,我们没有发现任何问题。服务器最初是在我来公司之前设置的,我找不到有关其配置的任何文档。它还运行 Windows Server 2012,所以我决定重新开始使用运行 Windows Server 2019 的新 VPS。这是我第一次使用 Windows 作为服务器操作系统,但我有一些管理 Ubuntu 服务器的经验。

查看旧服务器上的事件查看器,有无数次“4625 审核失败”登录尝试到服务器,但也有不少成功登录不是来自我或我们的组织。4624 审计成功示例:

An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Impersonation Level:        Impersonation

New Logon:
    Security ID:        ANONYMOUS LOGON
    Account Name:       ANONYMOUS LOGON
    Account Domain:     NT AUTHORITY
    Logon ID:       0x9ABEAB7
    Logon GUID:     {00000000-0000-0000-0000-000000000000}

Process Information:
    Process ID:     0x0
    Process Name:       -

Network Information:
    Workstation Name:   
    Source Network Address: 117.45.167.129
    Source Port:        11949

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   NTLM V1
    Key Length:     0
Run Code Online (Sandbox Code Playgroud)

所以,为了加强新服务器,我做了以下工作

  • 选择了比以前更安全的密码
  • 安装了 IPBan ( https://github.com/DigitalRuby/IPBan ),它会阻止使用各种服务尝试登录失败的 IP
  • 根据 IPBan 安装指南的建议禁用 NTLM 登录

我想通过只允许 Autodesk Vault 来阻止所有可能的访问路径,它在端口 80/443 上通过 HTTP(S) 进行通信(我可能会对其进行配置,以便只允许使用 HTTPS)和我需要的远程桌面来管理服务器。但是查看 Windows Defender 防火墙默认规则,默认配置中有大量开放端口。我发现这在服务器操作系统上有点奇怪 - 我希望它阻止我没有明确允许的所有内容。我可以安全地禁用除 RDP 和 HTTPS 之外的所有这些吗?它有帮助吗?我在服务器强化过程中​​是否遗漏了其他明显的内容? Windows Defender 防火墙中允许的服务的屏幕截图

周末愉快!

Swi*_*one 7

首先,重新安装服务器,因为:

  1. 这个可能会受到损害,不能再被信任了。
  2. Windows 默认是安全的,也许有人降低了您服务器的安全设置,如果没有文档很难判断。

您可以看看这个规范的问题:如何处理受感染的服务器?

也请检查Windows 安全基线,Microsoft 会定期更新它们。

关于防火墙规则,您可以先导出它们:

导出防火墙策略

如果您不需要 RDP、远程管理、远程 powershell,...禁用或删除默认规则是安全的(确保您可以先访问 VM 控制台,如果您删除所有内容,您将无法使用 RDP 进行连接) 并创建您需要的规则。

  • 我必须同意。我在abuseipdb.com上查看了有问题的IP地址,它绝对是一个恶意播放器,**滥用的可信度为92%**水平。此服务器已被入侵。请重新安装并检查所有要迁移/恢复的数据是否存在病毒、恶意软件和其他讨厌的软件。 (3认同)

Fel*_*son 0

可以禁用默认情况下允许通过防火墙的许多服务,而不会影响托管 Autodesk Vault 服务器的功能。我禁用了那些我确定不需要的东西——通过一些研究和/或反复试验,可能可以禁用更多的东西。

参考默认情况下允许通过防火墙的服务列表,在问题的末尾,这里是我没有禁用的服务列表。原始列表中的所有其他内容均被禁用,没有任何明显的副作用。我还禁用远程桌面,并在想要使用服务器时暂时重新启用它。

Autodesk Vault 服务器上允许的服务列表

归档时间:

查看次数:

514 次

最近记录:

5 年,2 月 前
如何处理受感染的服务器? 623
更多相关链接
相关归档
在 Nginx 中,如何在维护子域的同时将所有 http 请求重写为 https? 542
在 nginx 中使用通配符证书的多个 SSL 虚拟主机 14
如何在 Windows 7 中的单个界面上禁用防火墙? 6
为什么 IE 会认为我的证书无效? 6
有什么办法可以配置 Windows 7 RDP 以要求客户端证书登录 5
如何使用命令行诊断 RDP? 3
SPDY 是否改进了从非 SPDY CDN 服务的资产的交付? 3
如何获得更快的 RDP 2
openvpn 作为集成到 AD 的两因素网络入口点 2
在 NAT 后面的多台 Windows 机器上访问远程桌面 2
难疑归档
在 Nginx 中,如何在维护子域的同时将所有 http 请求重写为 https? 542
我应该停止使用 Ifconfig 吗? 185
XYZ0 是有效的 IP 地址吗? 99
为什么我有 uWSGI 还需要 nginx 75
如何使用 rsync 保留完整路径? 73
Puppet 不应该管理什么? 70
你如何等待一个exe在批处理文件中完成? 58
如何删除 EC2 AMI 52
如何增加somaxconn的价值? 52
PDU 接线 - 这是否正常(甚至安全)? 52