[wertyg]

вопрос твой не очень понятен. возможно ты имел ввиду следующие:
есть сервер который смотрит в инет. на нём крутиться некоторое ПО. порты его известны. кроме того админить его надо удалённо т.е. удалённымРабочимСтолом. хватит ли для обеспечения безопасности, только сервера, виндового брандмауэра? и нужен ли там антивирус?
если я правильно понял тогда ответ:
1 - если ты правильно настроеш брандмауэр винды,тогда сетевая безопасность твоего сервера будет зависить только от уязвимости некоторогоПО которое крутиться на нём. также не лишним будет настройка защищённых соединений. если твоё некотороеПО не поддерживает таковые тогда хотябы для удаленногоРабочегоСтола.
2 - у меня на сервере стоит keriowinroute. работает нормально. но учти что он не станет работать с виндовой маршрутизацией\днс\впн помоему так, из за использования одноименных портов. почитай документ к нему. или ктонить прокоментируйте.
3 - антивирусная безопасность зависит от того что ты будеш делать через удалённыйРабочийСтол. если ты будеш с сервера лазить по инету,качать всячену,получать почту, вообщем не только админской деятельностью заниматься, тогда стоит поставить антивирь. иначе смотри спецификацию твоего некоторогоПО. возможно ли проникновение вирей или вредоносного ПО через него? если ты уверен что это невозможно тогда антивирь не нужен. опять таки правильно настроенный брандмауэр не последнюю роль сыргает и в антивирусной защите. также учти что антивирь замедляеть работу системы резедентной защитой если такая есть. рекомендуеться отключать резедентную защиту на серверах а проверку ставить в расписание. опять таки такой подход зависит от решаемых сервером задач и мощности последнего. смотри сам.
4 - у меня на сервере стоит NOD32 2.7 и прекрасно работает. глюков не наблюдалось. резедент отключен. проверка в расписании каждые сутки в 2:00.

з.ы. всё зависит от твоих знаний\действий. если ты не очень силён в этой области рекомендую ставь антивирь и ставь дополнительно брандмауэр.
з.з.ы. что за ISO Server 2006. ни яндекс ни гугле о нём не слыхали.) может ты имел ввиду ISA Server2006? в нём непросто разобраться. он мощный, но с этим и сложность в настройке. я думаю тебе он никчему. 2004 по легче будет. да и все его возможности по видемому ты использовать не станеш. ставь outpost\keriowinroute\usergate. последнии два не только фаерволы. но они также помогут тебе в борьбе за безопасность. покажут кто,откуда,куда.

[Yaroslav82]

Спасибо.Да, наверное встроенного фаервола должно хватить,чтоб перестраховаться поставлю nod 32.Антивирус мной проверенный,правда на хр,но и на 2003 сервере думаю будет работать нехуже.Што касается встроенного фаервола то у меня возник еще вопрос,как его настроить,чтоб он не в коем случае не рубанул терминальный доступ?,в том числе к рабочему столу.Чтоб потом несвязываться с тех поддержкой.Заходить буду с разных ип адрессов разных сетей,так что в доверенные ип адресса поместить неполучиться,как то по портам разграничить?,чтоб при этом дыру в безопасности не создать!как это делается?

[wertyg]

1 - терминальный доступ и доступ к рабочему столу это одно и тоже, это я так к слову.) открой в брендмауэре доступ к уРС для всех, а именно галку ЛюбойКомпьютер. т.к. толькоЛокалка и особыйСписок тебе не подходит. вот и всё. если ты закроеш все порты кроме удРабСтола и тех которые нужны для твоего ПО то в принципе твой сервак практически не будет видно. на пинги он отвечать небудет. для того чтоб просканить порты нужно точно знать что он существует. сетевая безопасноть уРС будет зависить от стойкости пароля на вход. если он будет недостаточно сложный его возможно набрутить. сделай его по возможности сложным. напоминаю терминал открыт для инета - пароль должен быть сложный! 12 символов думаю будет достаточно. не в коем случае не цифры только.
2 - также(опционально) запрети учётке администратора заходить через УРС. а себе создай пользователя с пользовательскими правами. заходи через него и запускай от имени. итого имеем сложный пароль на вход через УРС для пользователя. сложный пароль административной записи.
3 - также(опционально) включи аудит входа в систему и аудит событий входа в систему на параметры успех\отказ. после чего в журнале безопасность будет видно кто пытался к тебе зайти у кого получилось у кого нет.) наведывайся, смотри.

з.ы запретить администратору заходить через урс - делается тут пуск-администрирование-локальнаяПолитикаБезопасности-локальныеПолитики-назначениеПравПользователей:ЗапретитьВходВсистемуЧерезСлужбуТерминалов и добавь туда учётку Администратор.
аутит тамже.

з.з.ы. мот кто нить что добавит?

[Yaroslav82]

Из последнего я понял что фаерволл вообще можно отключить,все равнобудет стоять все,по другому нельзя чтоб незаблочело.вместо него поставить nod 32 и этого достаточно будет.насчет сложности пароля это само сабой-,длинный, строчные и прописные пуквы ,плюс цифры.Про аудит безопасности это да нужно включить,полезно знать кто стучится в систему.А вот как контролировать без фаервола забивается ли большими пингами адресс например,и как от этого можно защититься?или в nod 32 это предусмотренно? Спасибо участникам форума в помощи по решению вопроса безопасности системы!!

[wertyg]

нет! нельзя отключить! нужно просто для удалённогоРабочегоСтола выбрать ЛюбойКомпьютер! ты что не читал что я написал?

Цитата wertyg:

если ты закроеш все порты кроме удРабСтола и тех которые нужны для твоего ПО то в принципе твой сервак практически не будет видно. на пинги он отвечать небудет. »

под этим я понимаю включить фаервол но в исключения:дистанционноеУправлениеРабочимСтолом изменить область на любойКомпьютер.

нод32 и фаервол это разные взаимонезаменяемые вещи которые могут\должны работать вместе. они обеспечиваю защиту от разных угроз.

про пинги.)

Цитата wertyg:

если ты закроеш все порты кроме удРабСтола и тех которые нужны для твоего ПО то в принципе твой сервак практически не будет видно. на пинги он отвечать небудет »

з.ы. ты явно не читал.)

[Yaroslav82]

Да нет я все понял,Мне надо чтоб компьютер пинговался обязательно.А про фаервол просто чтоб он не заблакировал доступ сразу после запуска до его настройки,как здесь перестраховаться?

[wertyg]

я только что попробовал.
1 - удалённо заходиш на машину.
2 - панельУправления-брандмауэр. он выдаёт что служба не включена и спрашивает запустить или не. жмём да.
3 - после запуска брандмауэр отключен по умолчанию.
4 - сразу идём на вкладку исключения. ставим галку удалённоеУправлениеРабочимСтолом(если этого не сделать и нажать ОК сесия отваливаеться) жмём ОК.
всё брандмауэр включён. УРС работает.
для того чтоб сервер пинговался идем на вкладку дополнительно там протокол ICMP кнопка параметры. ставим самую верхнюю галочку разрешитьЗапросВходящегоЭха.
всё теперь сервак и пингуеться.

з.ы. перестраховаться. если брандмауэр включить без исключений. то ничто тебя не перестрахует. заведи пользователя с админскими правами. если такое случиться попросиш кого либо кто может получить физический доступ к серваку помоч тебе отключить брэндмауэр. и попробуеш ещё.) учётку после этого можно грохнуть или пароль заменить вдруг пригодиться когда нить.

[Yaroslav82]

Спасибо,ценный совет насчет настройки брадмауэра.А пользователь с правами админа как может помочь?другой пофиль можно сделать у пользователя с отключенным брадмауэром?так ? или пользователь войдет под другой сессией которую брадмауер пропустит? Я извеняюсь за назойливые вопросы,просто мне еще работать и работать с серверами и я просто хочу уяснить раз и навсегда вопрос касающийся доступа и безопасности.

[wertyg]

второй пользователь с правами админа(ну или сама учётка админа) может помоч следующим образом. если что то случиться с сервером. и ты удалённо не сможеш на него попасть тогда, если конечно такая возможность есть, ты просиш коголибо зайти локально на сервак и передаёш ему имя учётки и пароль. после чего под твоим руководством или самостоятельно этот чел. отключает\настраевает\перенастраевает то что ты натворил. ты заходиш удалённо и меняеш пароль. или отключаеш учётку.
брандмауэр настраеваеться пользователем с правами админа для всей системы. профиль не имеет значения.

з.ы. ну не знаю в принципе это тоже самое что дать доступ к админской учётке. решай сам.)