Web'e bakan Windows sunucusunu koruma konusunda “yapılacaklar” nelerdir?

Şu anda web'e bakan Windows sunucuları dağıtmaya başladım.

Ve sunucularınızı korumanın ne olduğunu bilmek istiyorum. Hangi yazılımları kullanıyorsunuz?

Linux'ta, sunucularımda neler olduğu hakkında günlük raporlar almak için bruteforce ve Logwatch'ı önlemek için Fail2ban kullanıyorum. Windows'ta bu yazılımların eşdeğeri var mı? Değilse, sunucuyu korumak için ne kullanmanızı önerirsiniz?

Her şeyden önce ağ tasarımınızı düşünmeniz gerekir. Dahili ağı korumak için en az bir DMZ kullanmak iyi olur. Yeni 2012 Sunucusunu satın almak istemiyorsanız, halka açık olmak için iyi bir Windows sistemi Windows Server 2008 R2 olacaktır. Tamamı 2008 R2 tabanlı, web sunucusu olarak mükemmel çalışan en az dört pencere tabanlı web sunucumuz var. Sadece aşağıdakileri yaptığınızdan emin olun:

• DMZ'yi kullanın (1 veya 2)
• Kullanılmayan sunucu rollerini yükleme
• İhtiyacınız olmayacak hizmetleri durdurduğunuzdan emin olun
• RDP bağlantı noktasını (gerekirse) yalnızca dahili ağa açtığınızdan emin olun
• Kullanılmayan tüm bağlantı noktalarını kapalı tuttuğunuzdan emin olun
• Sunucunun önünde Cisco, Juniper veya Checkpoint gibi uygun bir Güvenlik Duvarı çözümü kullanın
• Sunucunuzu güncel tutun (en az aylık güncellemeler)
• Gereksiz hale getirin (biri yedekleme için olmak üzere en az iki sunucu kullanın)
• İyi izleme: Nagios (Sevdim ;-))

(isteğe bağlı) Web sunucunuz ve yedekleme sistemi için Hyper-V kullanın. Güncellemek ve güncellemelerinizin web servisine herhangi bir şekilde müdahale edip etmediğini kontrol etmek çok daha kolay. Bu durumda, bir donanım hatası durumunda yedekli olmak için iki özdeş donanım makinesine ihtiyacınız olacaktır. Ama belki de oldukça pahalı.

Umarım size yardımcı olur!

Bu halka açık Windows kutusunda hangi hizmeti vermek istediğinizi bize bildirirseniz size daha ayrıntılı bir cevap verebiliriz. örneğin IIS, OWA, DNS, vb.

Kutunun kendisini kilitlemek için, kutudaki gerekli olmayan tüm ek hizmetleri / rolleri kaldırarak (veya başlamak için kurmadan) vlad cevabıyla başlayın. Bu, sunucuda kullanılmaması gereken herhangi bir 3. taraf yazılımı (acrobat okuyucu, flash vb. Yok) içerir. Herhangi bir şey elbette yamalı tutmak.

Güvenlik duvarı politikalarınızı, yalnızca çalıştırmakta olduğunuz hizmetler için uygun bağlantı noktalarına giden trafiğe izin verecek şekilde yapılandırın

Çalıştırdığınız hizmetlerle ilişkili kurallarla bir IDS / IPS yapılandırın.

Varlığın riskine / değerine bağlı olarak çevre IPS'nize ek olarak tercihen başka bir satıcıdan ana bilgisayar tabanlı bir IPS kurmayı düşünün.

Birincil amacı bir web sitesi barındırmak olduğunu varsayarsak, IIS'yi kilitlemek 7.5 (2008 R2) ile önemli ölçüde daha az sorun olur, ancak aşağıdaki gibi birkaç şey yaptığınızdan emin olmalısınız:

• Web sitesi dosyalarını OS dosyalarından farklı bir birimde depolama
• Temel olarak Microsoft, NSA vb. XML güvenlik şablonunu alın
• Tüm komut dosyalarını NTFS ile kaldır veya kilitle \InetPub\AdminScripts
• Appcmd, cmd.exe gibi tehlikeli exe'leri kilitleyin
• DMZ ile yetkili dahili ana makineler arasındaki trafiği denetlemek için IPSec kullanma
• AD'ye ihtiyacınız varsa, DMZ'nizde dahili ağınızdan ayrı bir orman kullanın
• Tüm sitelerin ana bilgisayar üstbilgisi değerleri gerektirdiğinden emin olun (otomatik taramayı önlemeye yardımcı olur)
• Aşağıdaki başarılı olaylar hariç tüm başarısız ve başarılı olayların Windows denetimini etkinleştirin: Yönetici Hizmeti Erişimi, Süreç İzleme ve Sistem Olayları.
• Everyone grubunun başarısız eylemlerini günlüğe kaydetmek için dosya sisteminde NTFS denetimini kullanın ve güvenlik günlüğünüzün boyutunu yedeklere (500 Mb veya daha fazla) dayalı olarak uygun bir boyuta yükselttiğinizden emin olun.
• Kök klasör için HTTP günlük kaydını etkinleştir
• Uygulama havuzları çalıştıran kullanıcı hesaplarına gereksiz haklar vermeyin.
• İhtiyacınız yoksa ISAPI ve CGI modüllerinden kurtulun.

Bunu çok uzun yapmak istemiyorum, bu yüzden belirli bir mermi hakkında daha fazla bilgiye ihtiyacınız varsa / lütfen bir yorum bırakın.

Buradaki mevcut cevaplar iyi ama önemli bir yönü kaçırıyorlar. Sunucu ne olur mu tehlikeye olsun?

Burada ServerFault insanlar cevap sormak cevap hemen hemen her zaman sunucumun ACİL saldırıya uğramış bir kopyası olarak soruyu kapatmak için ! Bu sorunun üst kısmındaki talimatlarda, uzlaşmanın nedenini / yöntemini nasıl bulacağınız ve bir yedeklemeden nasıl geri yükleneceği açıklanmaktadır.

Bu talimatları uygulamak için kapsamlı günlük kaydı ve düzenli yedeklemelere sahip olmanız gerekir. Saldırganın ne yaptığını ve ne zaman yapacağını belirlemek için kullanabileceğiniz yeterli günlük kaydına sahip olmalısınız. Bunun için, farklı makinelerden günlük dosyalarını ilişkilendirmenin bir yoluna ihtiyacınız vardır ve bu da NTP'yi gerektirir. Muhtemelen bir çeşit log korelasyon motoru da isteyeceksiniz.

Hem günlük kaydı hem de yedeklemeler, güvenliği ihlal edilmiş olan makineden erişilemez olmalıdır.

Sunucunuzun güvenliğinin ihlal edildiğini öğrendikten sonra, çevrimdışı duruma getirin ve araştırmaya başlayın. Saldırganın ne zaman ve nasıl aldığını öğrendikten sonra, yedek makinedeki kusuru yayabilir ve çevrimiçi hale getirebilirsiniz. Yedek makine de tehlikeye atıyorsa (canlı makineden senkronize edildiği için), çevrimiçi duruma getirmeden önce verileri güvenliğin eski bir yedekten geri yüklemeniz gerekir.

Yukarıdaki bağlantılı cevapta ilerleyin ve adımları gerçekten gerçekleştirip gerçekleştiremeyeceğinize bakın ve sonra yapabileceğinize kadar bir şeyler ekleyin / değiştirin.

Bu sunucu için rolleri / uygulamaları yükledikten, yapılandırdıktan ve test ettikten sonra SCW'yi (Güvenlik Yapılandırma Sihirbazı) çalıştırın.

Yukarıdaki tüm önerileri yaptıktan sonra DoD tarafından aşağıdakiler için yayınlanan "Güvenlik Teknik Uygulama Kılavuzu" nu (STIG) takip edin: 1- Windows Server (sürümünüzü bulun) 2- IIS için (sürümünüzü bulun) 3- Web sitesi için (sürümünüzü bulun)

İşte STIG'lerin tam listesi:

http://iase.disa.mil/stigs/az.html

Saygılarımızla.