Что нужно сделать для защиты сервера Windows от Интернета?

В настоящее время я начинаю развертывать серверы Windows, обращенные к сети.

И я хотел бы знать, как вы защищаете свои серверы? Какие программы вы используете?

В Linux я использую Fail2ban для предотвращения брутфорса и Logwatch для получения ежедневных отчетов о том, что происходит на моих серверах. Есть ли эквиваленты этих программ в Windows? Если нет, что вы рекомендуете использовать для защиты сервера?

Прежде всего вам нужно подумать о дизайне вашей сети. Было бы хорошо использовать хотя бы одну DMZ для защиты внутренней сети. Хорошей системой Windows для публичной работы будет Windows Server 2008 R2, если вы не хотите покупать новый 2012 Server. У нас есть как минимум четыре веб-сервера на базе Windows, которые отлично работают как веб-серверы, все на основе 2008 R2. Просто убедитесь, что сделали следующее:

• Используйте DMZ (1 или 2)
• Не устанавливайте неиспользуемые роли сервера
• Обязательно остановите сервисы, которые вам не понадобятся
• Обязательно откройте порт RDP (при необходимости) только во внутренней сети
• Убедитесь, что все неиспользуемые порты закрыты
• Используйте подходящее брандмауэрное решение, такое как Cisco, Juniper или Checkpoint, перед сервером.
• Поддерживайте свой сервер в актуальном состоянии (хотя бы ежемесячные обновления)
• Сделайте его избыточным (используйте как минимум два сервера, один для резервного копирования)
• Хороший мониторинг: Nagios (мне нравится ;-))

(необязательно) Используйте Hyper-V для своего веб-сервера и его системы резервного копирования. Гораздо проще обновлять и проверять, не влияют ли ваши обновления на веб-сервис каким-либо образом. В этом случае вам понадобятся два одинаковых аппаратных компьютера, чтобы иметь избыточность в случае аппаратного сбоя. Но это довольно дорого, может быть.

Надеюсь, это поможет вам!

Мы могли бы дать вам более подробный ответ, если вы сообщите нам, какую услугу вы хотите предоставить в этой общедоступной коробке Windows. например IIS, OWA, DNS и т. д.?

Чтобы заблокировать саму коробку, начните с ответа vlad, удалив (или не устанавливая для начала) любые дополнительные службы / роли на коробке, которые не понадобятся. Это включает в себя любое стороннее программное обеспечение (без Acrobat Reader, Flash и т. Д.), Которое не должно использоваться на сервере. Любое, конечно, держать вещи в исправлении.

Настройте политики брандмауэра, чтобы разрешить трафик только на соответствующие порты для работающих служб.

Настройте IDS / IPS с правилами, связанными с сервисами, которые вы используете.

В зависимости от риска / стоимости актива рассмотрите возможность установки IPS на основе хоста в дополнение к IPS по периметру, предпочтительно от другого поставщика.

Предполагая, что основной целью является размещение веб-сайта, блокировка IIS значительно меньше проблем с 7.5 (2008 R2), хотя вы все равно должны убедиться, что вы делаете несколько вещей, таких как:

• Храните файлы сайта на том же диске, что и файлы ОС
• Получите шаблон безопасности XML от Microsoft, NSA и т. Д. В качестве основы
• Удалить или заблокировать через NTFS все скрипты в \InetPub\AdminScripts
• Блокировка опасных exe-файлов, таких как appcmd, cmd.exe и т. Д.
• Используйте IPSec для управления трафиком между DMZ и авторизованными внутренними хостами.
• Если вам нужен AD, используйте отдельный лес в вашей DMZ, чем ваша внутренняя сеть
• Убедитесь, что все сайты требуют значения заголовка узла (помогает предотвратить автоматическое сканирование)
• Включите аудит окон всех неудачных и успешных событий, кроме следующих успешных: доступ к службе Director, отслеживание процессов и системные события.
• Используйте аудит NTFS в файловой системе для регистрации неудачных действий группы «Все» и обязательно увеличьте размер журнала безопасности до подходящего размера на основе резервных копий (500 МБ или около того).
• Включить ведение журнала HTTP для корневой папки
• Не давайте ненужных прав учетным записям пользователей, на которых запущены пулы приложений.
• Избавьтесь от модулей ISAPI и CGI, если они вам не нужны.

Я не хочу делать это слишком долго, поэтому, если вам нужно / нужно больше информации о конкретной пуле, пожалуйста, оставьте комментарий.

Существующие ответы здесь хороши, но они упускают один важный аспект. Что происходит , когда ваш сервер имеет компрометации?

Ответ здесь на ServerFault, когда люди спрашивают, что это почти всегда, чтобы закрыть вопрос, поскольку дубликат моего сервера был взломан АВАРИЙНО! Инструкции в верхнем ответе там описывают, как найти причину / метод компрометации и как восстановить из резервной копии.

Чтобы следовать этим инструкциям, вы должны иметь обширное ведение журнала и регулярное резервное копирование. У вас должно быть достаточно логов, чтобы вы могли использовать его, чтобы определить, что и когда сделал злоумышленник. Для этого вам нужен способ корреляции файлов журналов с разных машин, а для этого необходим NTP. Возможно, вам также понадобится какой-нибудь механизм корреляции журналов.

Как регистрация, так и резервные копии должны быть вообще недоступны с компьютера, который был взломан.

Как только вы узнаете, что ваш сервер был взломан, вы отключаете его и начинаете расследование. Как только вы узнаете, когда и как злоумышленник получил его, вы можете исправить ошибку на запасной машине и подключить ее к сети. Если запасная машина также скомпрометировала данные (потому что она синхронизируется с работающей машиной), то вам необходимо восстановить данные из резервной копии, которая была старше компрометации, прежде чем перевести ее в оперативный режим.

Пройдите через приведенный выше связанный ответ и посмотрите, сможете ли вы на самом деле выполнить эти шаги, а затем добавляйте / меняйте вещи, пока не сможете.

Запустите мастер настройки безопасности (SCW) после установки, настройки и тестирования ролей / приложений для этого сервера.

Выполнив все рекомендации, приведенные выше, следуйте «Руководству по технической реализации безопасности» (STIG), опубликованному DoD для: 1- Windows Server (найдите вашу версию) 2- Для IIS (найдите вашу версию) 3- Для веб-сайта (найдите вашу версию)

Вот полный список STIG:

http://iase.disa.mil/stigs/az.html

С уважением.