Контрольный список веб-сервера Windows

12

Когда вы развертываете новый веб-сервер, какие стандартные вещи вы устанавливаете на него и делаете для его настройки?

Что вы делаете, чтобы убедиться, что ящик заблокирован и не будет взломан?

Слишком далеко:

Общая

сеть

IIS

Статьи по Теме

windows iis Люк Куинан
источник
1
Это интернет-сервер или нет?
К. Брайан Келли
Да, я думал о сервере с выходом в Интернет.
Люк Куинэйн

Ответы:

6

Что мы делаем:

  • Поставить веб-сервер в DMZ
  • Поместите веб-сервер в рабочую группу (запрещено находиться в домене)
  • Убедитесь, что все исправления безопасности применены
  • Минимизируйте службы, которые работают
  • Используйте URLScan . Удалить отпечаток сервера (RemoveServerHeader = 1).
  • Harden TCP / IP стек
  • Примените политику IPSEC, чтобы разрешить только трафик, который мы хотим (белый список)
  • Переименуйте учетные записи по умолчанию, чтобы на них можно было ориентироваться с помощью типовых сценариев / инструментов.
  • Переместить каталоги по умолчанию (InetPub, WWWRoot и т. Д.)
  • Минимизируйте локальные учетные записи пользователей.
  • Все NetBIOS удалены или отключены.
К. Брайан Келли
источник
Хороший список, но можете ли вы указать на причины, по которым веб-серверы не размещаются в домене? Это «лучшая практика» или просто внутренняя политика.
Дэвид Кристиансен
Если веб-сервер находится в домене, на нем должны быть открыты LDAP, глобальный каталог, порты и т. Д. Как минимум до одного контроллера домена. Поэтому, если вы можете скомпрометировать веб-сервер, вы можете напрямую атаковать DC. Обдумайте это на несколько минут, и вы поймете, почему это вообще не рекомендуется. Если вы должны выполнить маршрут домена, совет, подобный следующему, используется в целом (используйте отдельный лес с односторонним доверием): searchsecurity.techtarget.com/expert/KnowledgebaseAnswer/…
K. Brian Kelley
3
  • Добавьте учетные записи пользователей для каждого человека, который будет администрировать компьютер
  • Настройте терминальные службы, чтобы разрешить каждому пользователю только один одновременный вход
  • Добавьте альтернативные учетные записи администратора, которые используются только в том случае, если runas не подходит для данного пользователя

-Адам

Адам Дэвис
источник
2

Вы можете пожелать;

  • Отключить SSL 2 (исправить использование устаревшего протокола SSL)
  • Провести оценку уязвимости сети

Если это так, я написал подробную статью о том, как : Отключите SSL2 и слабые шифры на IIS6, на которую, возможно, стоит взглянуть.

В этой статье рассматриваются вопросы соответствия требованиям безопасности, установленным отраслью платежных карт, но она по-прежнему актуальна для общей защиты серверов.

Так что теперь, чтобы исправить использование устаревшего протокола SSL, вы должны либо прочитать сказанное Howto: Отключите статью SSL2 и Weak Ciphers для пошаговых инструкций, либо прочитать статью поддержки MS # 187498, и вы можете использовать ServerSniff, чтобы подтвердить, что ваши изменения вступили в силу.

ps Действительно, вы также можете использовать ServerSniff для подтверждения изменений, упомянутых в ответе Скотта.

Дэвид Кристиансен
источник
+1 Удобная статья и ServerSniff тоже выглядит довольно аккуратно!
Люк Куинэйн
1

В дополнение к уже упомянутым вещам я отключаю слабые шифры SSL.

РЕДАКТИРОВАТЬ: я нашел пошаговые инструкции, которые я написал несколько лет назад.

  1. Нажмите Пуск, нажмите Выполнить, введите regedt32 или введите regedit, а затем нажмите кнопку ОК.
  2. В редакторе реестра найдите следующий раздел реестра: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
  3. Выполните шаги с 4 по 8 для следующих клавиш: a. Шифры \ DES 56/56 б. Шифры \ RC2 40/128 c. Шифры \ RC4 40/128 d. Шифры \ RC4 56/128 e. Протоколы \ SSL 2.0 \ Клиент ф. Протоколы \ SSL 2.0 \ Сервер
  4. В меню «Правка» выберите «Добавить значение».
  5. В списке Тип данных выберите DWORD.
  6. В поле Имя значения введите Включено и нажмите кнопку ОК.
  7. Введите 00000000 в двоичном редакторе, чтобы установить значение нового ключа равным «0».
  8. Нажмите ОК.
  9. Когда вы закончите изменять реестр, перезагрузите компьютер.
Скотт
источник
Какие именно шифры?
Люк Кинейн
Я не могу найти точный список прямо сейчас, но SSL 2.0 и что-нибудь более слабое, чем 128-битный.
Скотт
Я покопался в своих архивах и нашел пошаговые инструкции. Я отредактировал свой ответ, чтобы включить их.
Скотт
-3

Если возможно, начните с Windows 2003 SP1 Server и убедитесь, что встроенный брандмауэр включен, если у вас нет сетевого брандмауэра для его защиты.

Убедитесь, что следующие порты открыты, если вы настроили брандмауэр: - 3389: удаленный рабочий стол (RDP) - 80: HTTP

Необязательно: - 443: HTTPS (необязательно) - 25: SMTP - 110: Pop3

Утилиты:

  • Блокнот ++ (отличный редактор) - бесплатно
  • 7-Zip (обрабатывает zip, arc и другие сжатые файлы) - бесплатно
  • Beyond Compare v3 (сравнение файлов и FTP) - $, но не намного
  • Управление базами данных
Брайан Боатрайт
источник
1
Вы имеете в виду Windows 2003 SP2, верно? Кроме того, если вы хотите заблокировать веб-сервер, вы не хотите, чтобы на нем были открыты SMTP и POP3. Вы также не хотите RDP. По крайней мере, не на порт по умолчанию.
К. Брайан Келли
1
Я бы не стал загружать сервер слишком большим количеством разработчиков. мусор. Вы не хотите оптимизировать тратить много времени, используя сервер в качестве рабочей станции, это рецепт для отказа.
Клин
каждому свое. если у вас есть только один сервер, на котором работает ваш веб-сайт, необходимо иметь несколько инструментов разработки. Наличие вашей электронной почты и веб-хостинга на одном сервере также. Не каждый нуждается или может позволить себе отдельные серверы для каждой услуги.
Брайан Боатрайт