Вопрос в целях безопасности:
1. Можно ли вводить данный сервер в домен предприятия?
2. Стоит ли настраивать ограничения в Firewall или хватит ограничения на оборудовании для запрета?
Когда возникает вопрос в целях безопасности, то первое, что нужно выяснить, хотя бы для себя - каковы эти цели. То есть - от каких угроз вы хотите защититься (это у безопасников "модель угроз" называется).
В вашем случае я полагаю, что вы хотите защититься от угроз внутренней инфраструктуре в результате взлома веб-сервера извне (с получением атакующим максимально возможного уровня локального доступа). В таком
случае ответы очевидны:
1. Сервер в домен лучше не вводить - чтобы не давать в руки атакующему учетную запись, действующую на других компьютерах домена (как минимум - это учетная запись сервера). Если по каким-то соображениям
вам сервер в домен ввести все же желательно, а возникающую из-за этого возможность доступа атакующего к непривилегированной учетной записи можно считать допустимой, то необходимо предусмотреть такую политику использования
сервера, которая предотвращает попадание в руки атакующего более привилегированных учетных данных (например, запретить на нем групповой политикой локальный вход под учетными записями с повышенными привилегиями - администраторов
домена и т.п.).
2. Встроенный брандмауэр в плане защиты от угрозы внешнего взлома в данном случае (сервер находится за NAT и доступен только по порту HTTPS) не помогает никак. Поэтому политика его настройки определяется соображениями
защиты от угроз, возникающих внутри сети - т.е. настраивать его нужно точно так же, как и на остальных серверах. Если же вам необходимо защититься от угрозы атаки со взломанного компьютера на внутреннюю сеть, то необходимо изолировать
этот компьютер от остальной сети внешним брандмауэром - т.е., разместить его в DMZ - т.к. встроенный брандмауэр от такой угрозы сколь-нибудь надежной защитой не является.
Слава России!
Детальная настройка IIS
