Windows web sunucusu kontrol listesi

12

Yeni bir web sunucusu kutusu dağıtırken, üzerine yüklediğiniz ve kurmak için standart şeyler nelerdir?

Kutunun kilitli olduğundan ve tehlikeye girmeyeceğinden emin olmak için ne yapıyorsunuz?

Şimdiye kadar:

Genel

IIS

İlgili Makaleler

windows  iis 
Luke Quinane
kaynak
1
Bu Internet'e bakan bir sunucu mu değil mi?
K. Brian Kelley
Evet, Internet'e bakan bir sunucu düşünüyordum.
Luke Quinane

Yanıtlar:

6

Neler Yapıyoruz:

  • Web sunucusunu DMZ'ye koy
  • Web sunucusunu bir çalışma grubuna yerleştirin (etki alanında olmasına izin verilmez)
  • Tüm güvenlik yamalarının uygulandığından emin olun
  • Çalışan hizmetleri en aza indirin
  • URLScan kullanın . Sunucu parmak izini kaldırın (RemoveServerHeader = 1).
  • Sertleştirilmiş TCP / IP yığını
  • Yalnızca istediğimiz trafiğe izin vermek için IPSEC ilkesini uygulayın (beyaz liste)
  • Varsayılan hesapları, tipik komut dosyaları / araçlar tarafından hedeflenebilecek şekilde yeniden adlandırın.
  • Varsayılan dizinleri taşıma (InetPub, WWWRoot vb.)
  • Yerel kullanıcı hesaplarını en aza indirin.
  • Tüm NetBIOS kaldırıldı veya devre dışı bırakıldı.
Brian Kelley
kaynak
Güzel bir liste, ancak web sunucularını bir etki alanına koymamanın ardındaki mantığa işaret edebilir misiniz? Bu 'en iyi uygulama' mı yoksa sadece iç politika mu?
David Christiansen
Bir web sunucusu etki alanındaysa, LDAP, Genel Katalog, bağlantı noktaları vb. En az bir DC'ye açılmış olmalıdır. Bu nedenle, web sunucusunun güvenliğini aşabilirseniz, doğrudan DC'ye saldırabilirsiniz. Bunu birkaç dakika boyunca mırıldanırsanız ve neden buna karşı önerildiğini anlarsınız. Etki alanı rotasını yapmanız gerekiyorsa, aşağıdaki gibi öneriler kullanılır (1 yönlü güven ile ayrı bir orman kullanın): searchsecurity.techtarget.com/expert/KnowledgebaseAnswer/…
K. Brian Kelley 13
3
  • Bilgisayarı yönetecek her kişi için kullanıcı hesapları ekleyin
  • Terminal hizmetlerini her kullanıcının yalnızca bir eşzamanlı oturum açmasına izin verecek şekilde yapılandırın
  • Yalnızca runas belirli bir kullanıcının amacına hizmet etmiyorsa kullanılan alternatif yönetim hesapları ekleyin

-Adam

Adam Davis
kaynak
2

Siz isteyebilirsiniz;

  • SSL 2'yi devre dışı bırak (amortismana tabi SSL protokolü kullanımını düzeltin)
  • Ağ güvenlik açığı değerlendirmesi yapma

Eğer öyleyse, IIS6'da Nasıl Yapılır: SSL2 ve Zayıf Şifreleri Devre Dışı Bırakma hakkında ayrıntılı bir makale yazdım .

Bu makale, Ödeme Kartı Endüstrisi tarafından belirlenen güvenlik gereksinimlerini karşılama açısından bakmaktadır, ancak yine de genel sunucu sağlamlaştırma ile ilgilidir.

Şimdi, amortismanlı SSL protokolü kullanımını düzeltmek için, adım adım talimatlar için ya " SSL2 ve Zayıf Şifreleri Devre Dışı Bırak" makalelerini okumanız ya da MS Destek Makalesi # 187498'i okumalısınız ve değişikliklerinizin geçerli olduğunu onaylamak için ServerSniff'i kullanabilirsiniz .

ps Gerçekten de Scott'ın cevabında belirtilen değişiklikleri onaylamak için ServerSniff kullanabilirsiniz.

David Christiansen
kaynak
+1 Kullanışlı makale ve ServerSniff de oldukça düzgün görünüyor!
Luke Quinane
1

Bahsedilenlere ek olarak, zayıf SSL şifrelerini devre dışı bırakıyorum.

EDIT: Birkaç yıl önce yazdığım adım adım talimatları buldum.

  1. Başlat'ı tıklatın, Çalıştır'ı tıklatın, regedt32 yazın veya regedit yazın ve Tamam'ı tıklatın.
  2. Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri anahtarını bulun: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
  3. Aşağıdaki tuşlar için 4 - 8 arasındaki adımları uygulayın: a. Şifreler \ DES 56/56 b. Şifreler \ RC2 40/128 c. Şifreler \ RC4 40/128 d. Şifreler \ RC4 56/128 e. Protokoller \ SSL 2.0 \ İstemci f. Protokoller \ SSL 2.0 \ Sunucu
  4. Düzen menüsünde Değer Ekle'yi tıklatın.
  5. Veri türü listesinde DWORD'ı tıklatın.
  6. Değer adı </a0> kutusunda, Etkin yazın ve Tamam 'ı tıklatın.
  7. Yeni anahtarın değerini “0” a eşitlemek için Binary Editor'a 00000000 yazın.
  8. Tamam'ı tıklayın.
  9. Kayıt defterini değiştirmeyi tamamladığınızda, bilgisayarı yeniden başlatın.
Scott
kaynak
Özellikle hangi şifreler?
Luke Quinane
Tam listeyi şu anda bulamıyorum, ancak SSL 2.0 ve 128 bit'ten daha zayıf bir şey.
Scott
Arşivlerimi araştırdım ve adım adım talimatları buldum. Cevabımı onları da içerecek şekilde düzenledim.
Scott
-3

Mümkünse, Windows 2003 SP1 Server ile başlayın ve korumak için bir ağ güvenlik duvarınız yoksa yerleşik güvenlik duvarının açık olduğundan emin olun.

Güvenlik duvarını kurarsanız aşağıdaki bağlantı noktalarının açık olduğundan emin olun: - 3389: Uzak Masaüstü (RDP) - 80: HTTP

İsteğe bağlı: - 443: HTTPS (isteğe bağlı) - 25: SMTP - 110: Pop3

Araçlar:

  • Notepad ++ (her yerde harika editör) - ücretsiz
  • 7-Zip (zip, arc ve diğer sıkıştırılmış dosyaları işler) - ücretsiz
  • Beyond Compare v3 (dosya karşılaştırma ve FTP) - $ ama fazla değil
  • Veritabanı Yönetimi
Brian Boatright
kaynak
1
Windows 2003 SP2'yi mi demek istediniz? Ayrıca, kilitlemek istediğiniz bir web sunucusu ise, SMTP ve POP3'ün açık olmasını istemezsiniz. Ayrıca RDP istemezsiniz. En azından varsayılan bağlantı noktasında değil.
K. Brian Kelley
1
Sunucuyu çok fazla dev ile yüklemekten kaçınırım. Önemsiz. Sunucuyu iş istasyonu olarak kullanmak için çok fazla zaman harcamak için optimize etmek istemezsiniz, bu başarısızlık için bir reçetedir.
Kama
her biri kendi başına. web sitenizi çalıştıran tek bir sunucunuz varsa birkaç dev araca sahip olmak şarttır. e-posta ve web bir sunucuda barındırma da var. herkesin her hizmet için ayrı sunuculara ihtiyacı yoktur veya bunları karşılayamaz.
Brian Boatright
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.