启动 Windows Server 2012 实例后,我了解到 google.com 的风险比我想象的要大:
它对 microsoft.com 也是如此。有禁用“增强的安全配置”的说明,但Michael Pietroforte 的这篇文章建议这样做的动机是从 Windows Server 中删除 IE,他的建议是:
Don’t use a web browser on a server.
这是个好建议吗?如果是,我如何遵循它并仍然安装我需要的各种应用程序?
对于上下文:
最好不要将 Web 浏览器用于服务器上的 Internet 流量。
我们的政策(我在一家联邦机构从事网络安全工作)永远不要使用网络浏览器(用于 Internet 或外部网站)进行任何类型的 Internet 流量,即使它是下载将在服务器上使用的文件。正如另一位用户在他们的回答中提到的,最好从另一台计算机下载服务器上所需的任何文件或数据;一个受信任且位于同一网络上的设备。然后,如果您想走那么远,请获取文件并验证哈希,然后通过网络(可能首选,因为您无法轻松物理访问此虚拟机)或使用 USB 将其复制到服务器驱动器或类似的东西。
如果可以的话,我建议的另一件事是使用内置的 Windows 防火墙或受信任的第三方防火墙(当然基于主机)并对其应用不允许的模板或策略来自服务器的网络流量。例如,我们使用的防病毒供应商具有内置的基于主机的防火墙作为防病毒软件的一部分。然后,我们创建一个名为“服务器”的防火墙策略并将其应用于所有服务器,并在该策略上锁定所有传入和传出的网络(通常是端口 80)互联网流量,这样即使我们不小心点击了服务器也无法访问互联网网页浏览器。
至于完全卸载浏览器,我认为这不是一个好主意。很多时候,Web 浏览器会派上用场,例如访问运行 Web 控制台的另一台服务器或您需要使用的类似性质的东西。如果您卸载 Web 浏览器,您将无法访问任何其他控制台。
好吧,实际上浏览器端利用了它今天的一个非常大的问题。您可以做到这一点的最佳方法是在其他计算机上下载您需要的安装程序检查您需要的 .exe 的密码如何在 Windows 上检查 md5 和 sha 密码 并通过 sftp 或其他加密方法将其发送到服务器,具体取决于女巫服务您已经在您的服务器或工作站上运行。