Які завдання щодо захисту сервера Windows, що стоїть перед Інтернетом?

В даний час я починаю розгортати сервери Windows, звернені до Інтернету.

І мені хотілося б знати, який ви спосіб захисту своїх серверів? Які програмні засоби ви використовуєте?

У Linux я використовую Fail2ban для запобігання грубій силі та Logwatch, щоб отримувати щоденні звіти про те, що відбувається на моїх серверах. Чи є еквіваленти програмного забезпечення в Windows? Якщо ні, що ви рекомендуєте використовувати для захисту сервера?

Перш за все, потрібно подумати про дизайн мережі. Було б добре використовувати принаймні один DMZ в одері для захисту внутрішньої мережі. Гарною системою Windows для громадськості буде Windows Server 2008 R2, якщо ви не хочете придбати новий сервер 2012 року. У нас є щонайменше чотири веб-сервери на базі Windows, які відмінно працюють як веб-сервери, і все це базується на 2008 R2. Просто не забудьте зробити наступне:

• Використовуйте DMZ (1 або 2)
• Не встановлюйте невикористані ролі сервера
• Обов’язково зупиняйте послуги, які вам не знадобляться
• Не забудьте відкрити порт RDP (за потреби) лише у внутрішній мережі
• Не забудьте залишити всі невикористані порти закритими
• Використовуйте належне рішення для брандмауера, наприклад Cisco, Juniper або Checkpoint перед сервером
• Постійно оновлюйте свій сервер (принаймні щомісяця оновлення)
• Зробити це зайвим (використовувати хоча б два сервери, один для резервного копіювання)
• Хороший моніторинг: Nagios (мені це подобається ;-))

(необов’язково) Використовуйте Hyper-V для свого веб-сервера та системи резервного копіювання. Набагато простіше оновити та перевірити, чи не оновлення певним чином не заважають веб-сервісу. У такому випадку вам знадобляться дві однакові апаратні машини для надмірності у разі несправності обладнання. Але це, можливо, досить дорого.

Сподіваюся, це допоможе вам!

Ми можемо дати вам більш детальну відповідь, якщо ви скажете нам, яку послугу ви хочете надати у цій публічній скриньці Windows. наприклад, IIS, OWA, DNS тощо?

Щоб заблокувати сам ящик, почніть з відповіді Влада, видаливши (або не встановлюючи для початку) будь-які додаткові послуги / ролі на полі, які не знадобляться. Сюди входить будь-яке програмне забезпечення сторонніх виробників (без зчитувача акробатів, спалаху тощо), яке не слід використовувати на сервері. Будь-який, звичайно, тримати виправлені речі.

Налаштуйте політику брандмауера так, щоб дозволити трафік лише до відповідних портів для служб, якими ви працюєте

Налаштуйте IDS / IPS з правилами, пов’язаними з послугами, якими ви працюєте.

Залежно від ризику / вартості активу, подумайте про встановлений IPS на базі хостів на додаток до вашого IPS периметра, бажано від іншого постачальника.

Якщо припустити, що головна мета полягає у розміщенні веб-сайту, блокування IIS значно менше проблем із 7.5 (2008 R2), хоча ви все-таки повинні переконатися, що ви робите кілька речей, таких як:

• Зберігайте файли веб-сайтів у різному обсязі від файлів ОС
• Візьміть шаблон базового захисту XML від Microsoft, NSA тощо
• Видаліть або заблокуйте через NTFS всі сценарії в \InetPub\AdminScripts
• Блокуйте небезпечні файли EXE, такі як appcmd, cmd.exe тощо
• Використовуйте IPSec для управління трафіком між DMZ та авторизованими внутрішніми хостами
• Якщо вам потрібна AD, використовуйте окремий ліс у своєму DMZ, ніж у вашій внутрішній мережі
• Переконайтеся, що всі сайти вимагають значень заголовка хоста (запобігає автоматичному скануванню)
• Увімкніть аудит Windows усіх невдалих і успішних подій, за винятком таких успішних подій: Доступ до служби директора, Відстеження процесів та Системні події.
• Використовуйте аудит NTFS у файловій системі, щоб реєструвати невдалі дії групи "Усі" та не забудьте збільшити розмір журналу безпеки до відповідного розміру на основі резервного копіювання (500 Мбіт або більше)
• Увімкнути протокол HTTP для кореневої папки
• Не надайте зайвих прав на облікові записи користувачів, у яких працює пул додатків.
• Позбудьтеся модулів ISAPI та CGI, якщо вони вам не потрібні.

Я не хочу робити це занадто довго, тому якщо вам потрібна / хочете більше інформації про певну кулю, залиште коментар.

Існуючі тут відповіді хороші, але вони пропускають один важливий аспект. Що станеться, коли ваш сервер дійсно скомпрометований?

Відповідь тут на ServerFault, коли люди запитують, що майже завжди закрити питання, оскільки дублікат мого сервера був зламаний ВИПУСКОВО! Інструкції у верхній відповіді описують, як знайти причину / спосіб компромісу та як відновити з резервної копії.

Щоб дотримуватися цих інструкцій, ви повинні мати обширний журнал і регулярні резервні копії. У вас повинно бути достатньо журналу, щоб ви могли використовувати його для визначення того, що робив нападник і коли. Для цього вам потрібен спосіб співвіднесення файлів журналів з різних машин, а для цього необхідний NTP. Напевно, вам також потрібен якийсь механізм кореляції журналу.

Як журнал, так і резервне копіювання, як правило, недоступні на компрометованій машині.

Як тільки ви дізнаєтесь, що ваш сервер був порушений, ви перейдете в автономний режим і починайте розслідувати Коли ви дізнаєтесь, коли і як зловмисник дістав його, ви зможете зафіксувати недолік на запасній машині та перенести його в Інтернет. Якщо запасна машина також має компрометовані дані (тому що вони синхронізуються з живої машини), вам потрібно відновити дані з резервної копії, старшої за компроміс, перш ніж передавати їх в Інтернет.

Проробіть свій шлях через вищезгадану відповідь і побачите, чи дійсно ви можете виконати кроки, а потім додайте / змінюйте речі, поки не зможете.

Запустіть SCW (майстер настройки безпеки) після того, як ви встановили, налаштували та протестували ролі / програми для цього сервера.

Виконуючи всі рекомендації, описані вище, дотримуйтесь "Посібника з технічної реалізації безпеки" (STIG), опублікованого DoD для: 1- Сервер Windows (знайдіть свою версію) 2- Для IIS (знайдіть свою версію) 3- Для веб-сайту (знайдіть свою версію)

Ось повний список STIGs:

http://iase.disa.mil/stigs/az.html

З повагою