Контрольний список веб-сервера Windows

12

Коли ви розгортаєте нове вікно веб-сервера, які стандартні речі ви встановите на ньому та зробите для їх налаштування?

Що ви робите для того, щоб ящик був заблокований і не зірвався?

Так далеко:

Загальні

Мережа

IIS

Пов'язані статті

windows  iis 
Люк-Кінана
джерело
1
Це сервер із інтернетом чи ні?
К. Брайан Келлі
Так, я думав про Інтернет-сервер.
Люк Кінане

Відповіді:

6

Що ми робимо:

  • Покладіть веб-сервер у DMZ
  • Помістіть веб-сервер у робочу групу (не дозволено бути у домені)
  • Переконайтеся, що застосовані всі виправлення безпеки
  • Мінімізуйте запущені послуги
  • Використовуйте URL-скан . Видаліть відбиток сервера (RemoveServerHeader = 1).
  • Затвердити стек TCP / IP
  • Застосовуйте політику IPSEC, щоб дозволити лише потрібний трафік (білий список)
  • Перейменуйте облікові записи за замовчуванням, щоб на них можна було націлити типові сценарії / інструменти.
  • Переміщення каталогів за замовчуванням (InetPub, WWWRoot тощо)
  • Мінімізуйте облікові записи місцевих користувачів.
  • Усі NetBIOS видалено або вимкнено.
К. Брайан Келлі
джерело
Хороший список, але чи можете ви вказати покажчики на те, що не розміщувати веб-сервери домену? Це "найкраща практика" чи просто внутрішня політика.
Девід Крістіансен
Якщо веб-сервер знаходиться в домені, він повинен мати LDAP, глобальний каталог, порти тощо, відкритих щонайменше до одного постійного струму. Тому, якщо ви можете скомпрометувати веб-сервер, ви можете безпосередньо атакувати постійний струм. Прочитайте кілька хвилин і зрозумієте, чому це взагалі рекомендується проти. Якщо вам потрібно виконати маршрут домену, використовуються такі поради, як: генерал
К. Брайан Келлі
3
  • Додайте облікові записи користувачів для кожної особи, яка буде адмініструвати комп'ютер
  • Налаштуйте сервіси терміналів, щоб дозволити кожному користувачеві лише один паралельний знак
  • Додайте альтернативні облікові записи адміністратора, які використовуються лише в тому випадку, якщо руна не відповідає цілі для певного користувача

-Адам

Адам Девіс
джерело
2

Ви можете побажати;

  • Вимкнути SSL 2 (виправити використання амортизованого протоколу SSL)
  • Виконайте оцінку вразливості мережі

Якщо так, я написав докладну статтю про Howto: Відключення SSL2 та слабких шифрів на IIS6, яку, можливо, варто переглянути.

Ця стаття розглядає речі з точки зору задоволення вимог безпеки, встановлених індустрією платіжних карток, але все ще має відношення до загального загартування сервера.

Отже, щоб виправити використання амортизованого протоколу SSL, вам слід прочитати згадану статтю Howto: Відключити SSL2 та слабкі шифри для покрокових інструкцій АБО читати статтю підтримки MS 187498, і ви можете використовувати ServerSniff для підтвердження внесення змін.

ps Дійсно, ви також можете використовувати ServerSniff для підтвердження змін, зазначених у відповіді Скотта.

Девід Крістіансен
джерело
+1 Зручна стаття і ServerSniff теж виглядає досить акуратно!
Люк Кінане
1

Крім речей, про які вже говорилося, я відключаю слабкі шифри SSL.

EDIT: Я знайшов покрокову інструкцію, яку написав кілька років тому.

  1. Натисніть кнопку Пуск, виберіть команду Виконати, введіть regedt32 або введіть regedit, а потім натисніть кнопку ОК.
  2. У Редакторі реєстру знайдіть такий ключ реєстру: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
  3. Виконайте кроки 4 через 8 для наступних клавіш: a. Шифри \ DES 56/56 b. Шифри \ RC2 40/128 c. Шифри \ RC4 40/128 д. Шифри \ RC4 56/128 е. Протоколи \ SSL 2.0 \ Клієнт f. Протоколи \ SSL 2.0 \ Сервер
  4. У меню Правка натисніть Додати значення.
  5. У списку Тип даних натисніть DWORD.
  6. У полі Ім'я значення введіть Увімкнено та натисніть кнопку ОК.
  7. Введіть 00000000 в Binary Editor, щоб встановити значення нового ключа, рівне "0".
  8. Натисніть кнопку ОК.
  9. Після завершення зміни реєстру перезавантажте комп'ютер.
Скотта
джерело
Які шифри зокрема?
Люк Кінане
Зараз я не можу знайти точний список, але SSL 2.0 та щось слабше, ніж 128-розрядне.
Скотт
Я викопав свої архіви і знайшов покрокові інструкції. Я відредагував свою відповідь, щоб включити їх.
Скотт
-3

Якщо можливо, почніть з сервера Windows 2003 SP1 і переконайтесь, що вбудований брандмауер увімкнено, якщо у вас немає мережевого брандмауера для його захисту.

Переконайтеся, що наступні порти відкриті, якщо ви налаштовуєте брандмауер: - 3389: Віддалений робочий стіл (RDP) - 80: HTTP

Додатково: - 443: HTTPS (необов’язково) - 25: SMTP - 110: Pop3

Утиліти:

  • Блокнот ++ (все навколо чудового редактора) - безкоштовно
  • 7-Zip (обробляє zip, дугу та інші стислі файли) - безкоштовно
  • Більше Порівняння v3 (порівняння файлів та FTP) - $, але не дуже
  • Управління базами даних
Брайан Бутрайт
джерело
1
Ви маєте на увазі Windows 2003 SP2, правда? Крім того, якщо ви хочете заблокувати веб-сервер, ви не хочете, щоб SMTP і POP3 були відкриті на ньому. Ви також не хочете RDP. Принаймні, не на порту за замовчуванням.
К. Брайан Келлі
1
Я б не завантажував сервер із занадто великою кількістю розробників. мотлох. Ви не хочете оптимізувати витрати часу на сервер як робочу станцію, це рецепт відмови.
Клин
кожен по-своєму. якщо у вас є лише один сервер, на якому працює ваш веб-сайт, який має кілька інструментів для розробників. наявність електронної пошти та веб-хостингу на одному сервері також є. не кожен потребує або може дозволити собі окремі сервери для кожної послуги.
Брайан Бутрійт
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.