Como bloquear todas as portas do Windows Server (2019/2022)?

[falieri]

Há cerca de um mês, expandi os servidores dedicados da minha empresa para suportar o número de clientes que vem aumentando. 95% da rede é composta por servidores virtualizados que rodam sob Arch Linux + libvirt + firewalld. Com essa expansão, adicionei um servidor dedicado exclusivo com Windows Server 2019 e todas as VPS estão sendo executadas no Hyper-V.

Na minha experiência como "sysadmin", quanto maior é o número de portas abertas e serviços rodando, maior é a superfície de ataque. No Arch Linux (sistema base para as VPS), uso um conjunto de regras que bloqueiam qualquer conexão de entrada para o servidor, permitindo apenas a 22 (SSH), 5900 (VNC) e 53 (DNS).

Procurando sobre fazer essa mesma configuração no Windows Server, não achei nenhuma informação útil. Alguns tópicos no Reddit (de alguns anos atrás), recomendam usar um firewall alternativo ao padrão para fazer isso de maneira prática. Não consigo achar isso uma solução viável e muito menos confiável. Alguém com experiência em administração de servidores Windows poderia me ajudar com isso?

[juniorph]

nesse caso é melhor fazer uma configuração do firewall do IP, liberando somente as portas que deseja, não sei qual é o seu fornecedor, mas caso seja OVH, tem a opção de liberar as portas desejadas, e em seguida criar uma regra para bloquear todas conexões em portas TCP/UDP, menos nas portas que você liberou nas regras anteriores 

no firewall do windows, em testes que fiz, se criar uma regra para bloquear todas portas, ele bloqueia até mesmo as portas que estão liberadas em outras regras..

[falieri]

Em 28/10/2022 em 18:56, juniorph disse:

nesse caso é melhor fazer uma configuração do firewall do IP, liberando somente as portas que deseja, não sei qual é o seu fornecedor, mas caso seja OVH, tem a opção de liberar as portas desejadas, e em seguida criar uma regra para bloquear todas conexões em portas TCP/UDP, menos nas portas que você liberou nas regras anteriores 

no firewall do windows, em testes que fiz, se criar uma regra para bloquear todas portas, ele bloqueia até mesmo as portas que estão liberadas em outras regras..

Olá! Muito obrigado pela sua resposta. Após horas e horas tentando resolver este problema e ter passado um bom tempo desde a criação deste tópico, acabei por fazer de maneira inversa - e mais simplificada. Desabilitei o firewall que antes era usado no sistema base (Arch Linux) e criei regras para forçar qualquer conexão de entrada/saída, independente do servidor, a passar por um "servidor firewall" externo. Além do controle mais centralizado, também consigo fornecer uma proteção mais robusta para ambos servidores sem muita complicação.