Lista kontrolna serwera Windows

12

Kiedy wdrażasz nową skrzynkę serwera WWW, jakie są standardowe rzeczy, które instalujesz na niej i robisz, aby ją skonfigurować?

Co robisz, aby upewnić się, że pudełko jest zamknięte i nie zostanie narażone na szwank?

Jak dotąd:

Generał

Sieć

IIS

Powiązane artykuły

windows iis Luke Quinane
źródło
1
Czy to serwer internetowy, czy nie?
K. Brian Kelley
Tak, myślałem o serwerze z dostępem do Internetu.
Luke Quinane

Odpowiedzi:

6

Co robimy:

  • Umieść serwer WWW w DMZ
  • Umieść serwer WWW w grupie roboczej (niedozwolony w domenie)
  • Upewnij się, że zastosowano wszystkie poprawki bezpieczeństwa
  • Minimalizuj uruchomione usługi
  • Użyj URLScan . Usuń odcisk palca serwera (RemoveServerHeader = 1).
  • Utwardzić stos TCP / IP
  • Zastosuj zasady IPSEC, aby zezwolić tylko na ruch, który chcemy (biała lista)
  • Zmień nazwy kont domyślnych, aby mogły być celem typowych skryptów / narzędzi.
  • Przenieś domyślne katalogi (InetPub, WWWRoot itp.)
  • Zminimalizuj lokalne konta użytkowników.
  • Wszystkie NetBIOS jest usunięte lub wyłączone.
K. Brian Kelley
źródło
Ładna lista, ale czy możesz podać wskazówki do uzasadnienia nie umieszczania serwerów internetowych w domenie? Czy to „najlepsza praktyka” czy po prostu polityka wewnętrzna.
David Christiansen
Jeśli serwer WWW znajduje się w domenie, musi mieć LDAP, katalog globalny, porty itp. Otwarte dla co najmniej jednego kontrolera domeny. Dlatego jeśli możesz narazić serwer WWW na atak, możesz bezpośrednio zaatakować kontroler domeny. Zastanów się nad tym przez kilka minut, a zrozumiesz, dlaczego jest to ogólnie zalecane przeciwko. Jeśli musisz wykonać domenę, skorzystaj z poniższych wskazówek (skorzystaj z osobnego lasu z jednokierunkowym zaufaniem): searchsecurity.techtarget.com/expert/KnowledgebaseAnswer/…
K. Brian Kelley
3
  • Dodaj konta użytkowników dla każdej osoby, która będzie administrować komputerem
  • Skonfiguruj usługi terminalowe, aby umożliwić każdemu użytkownikowi tylko jedno jednoczesne logowanie
  • Dodaj alternatywne konta administracyjne, które są używane tylko wtedy, gdy runy nie spełniają tego zadania dla danego użytkownika

-Adam

Adam Davis
źródło
2

Możesz chcieć;

  • Wyłącz SSL 2 (popraw nieaktualne użycie protokołu SSL)
  • Wykonaj ocenę podatności sieci

Jeśli tak, napisałem szczegółowy artykuł na temat Howto: Disable SSL2 and Weak Ciphers na IIS6, który może być wart uwagi.

Ten artykuł bierze pod uwagę spełnienie wymagań bezpieczeństwa ustanowionych przez branżę kart płatniczych, ale nadal jest istotny dla ogólnego hartowania serwerów.

Więc teraz, aby naprawić zaniżone użycie protokołu SSL, powinieneś przeczytać artykuł Howto: Wyłącz SSL2 i słabe szyfry, aby uzyskać instrukcje krok po kroku LUB przeczytać artykuł MS Support nr 187498 i możesz użyć ServerSniff, aby potwierdzić, że wprowadzone zmiany zostały wprowadzone.

ps Rzeczywiście można również użyć ServerSniff do potwierdzenia modyfikacji wymienionych w odpowiedzi Scotta.

David Christiansen
źródło
Przydatny artykuł +1 i ServerSniff też wygląda całkiem fajnie!
Luke Quinane
1

Oprócz rzeczy już wymienionych, wyłączam słabe szyfry SSL.

EDYCJA: Znalazłem instrukcje krok po kroku, które napisałem kilka lat temu.

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz regedt32 lub wpisz regedit, a następnie kliknij przycisk OK.
  2. W Edytorze rejestru zlokalizuj następujący klucz rejestru: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
  3. Wykonaj kroki od 4 do 8 dla następujących kluczy: a. Szyfry \ DES 56/56 b. Szyfry \ RC2 40/128 c. Szyfry \ RC4 40/128 d. Szyfry \ RC4 56/128 e. Protokoły \ SSL 2.0 \ Klient f. Protokoły \ SSL 2.0 \ Serwer
  4. W menu Edycja kliknij polecenie Dodaj wartość.
  5. Na liście Typ danych kliknij pozycję DWORD.
  6. W polu Nazwa wartości wpisz Włączone, a następnie kliknij przycisk OK.
  7. Wpisz 00000000 w Edytorze binarnym, aby ustawić wartość nowego klucza na „0”.
  8. Kliknij OK.
  9. Po zakończeniu modyfikowania rejestru uruchom ponownie komputer.
Scott
źródło
Które szyfry w szczególności?
Luke Quinane
Nie mogę teraz znaleźć dokładnej listy, ale SSL 2.0 i cokolwiek słabszego niż 128-bit.
Scott
Przekopałem się w swoich archiwach i znalazłem instrukcje krok po kroku. Zredagowałem swoją odpowiedź, aby je uwzględnić.
Scott
-3

Jeśli to możliwe, uruchom system Windows 2003 SP1 Server i upewnij się, że wbudowana zapora sieciowa jest włączona, chyba że masz zaporę sieciową do jej ochrony.

Upewnij się, że następujące porty są otwarte, jeśli konfigurujesz zaporę: - 3389: Pulpit zdalny (RDP) - 80: HTTP

Opcjonalnie: - 443: HTTPS (opcjonalnie) - 25: SMTP - 110: Pop3

Narzędzia:

  • Notepad ++ (świetny edytor) - darmowy
  • 7-Zip (obsługuje pliki zip, arc i inne skompresowane pliki) - bezpłatnie
  • Beyond Compare v3 (porównanie plików i FTP) - $, ale niewiele
  • Zarządzania bazami danych
Brian Boatright
źródło
1
Masz na myśli Windows 2003 SP2, prawda? Ponadto, jeśli jest to serwer sieciowy, który chcesz zablokować, nie chcesz, aby SMTP i POP3 były na nim otwarte. Nie chcesz także RDP. Przynajmniej nie na domyślnym porcie.
K. Brian Kelley
1
Unikałbym ładowania serwera zbyt dużą ilością programistów. dżonka. Nie chcesz optymalizować spędzania dużo czasu przy użyciu serwera jako stacji roboczej, to przepis na awarię.
Wedge
każdy do siebie. jeśli masz tylko jeden serwer z witryną, musisz mieć kilka narzędzi programistycznych. Twój e-mail i hosting na jednym serwerze również jest. nie każdy potrzebuje lub nie może sobie pozwolić na osobne serwery dla każdej usługi.
Brian Boatright