Jakie są „rzeczy do zrobienia” w zakresie ochrony serwera Windows skierowanego do Internetu?

Obecnie zaczynam wdrażać serwery Windows z dostępem do Internetu.

I chciałbym wiedzieć, w jaki sposób chronisz swoje serwery? Z jakiego oprogramowania korzystasz?

W systemie Linux używam Fail2ban, aby zapobiec brutalności i Logwatch, aby otrzymywać codzienne raporty o tym, co dzieje się na moich serwerach. Czy są jakieś odpowiedniki tego oprogramowania w systemie Windows? Jeśli nie, to co zalecasz do ochrony serwera?

Przede wszystkim musisz pomyśleć o swoim projekcie sieci. Dobrze byłoby użyć przynajmniej jednej strefy DMZ w celu ochrony sieci wewnętrznej. Dobrym systemem Windows do upublicznienia byłby Windows Server 2008 R2, jeśli nie chcesz kupować nowego serwera 2012. Mamy co najmniej cztery serwery oparte na systemie Windows, które działają doskonale jako serwery, wszystkie oparte na 2008 R2. Po prostu wykonaj następujące czynności:

• Użyj DMZ (1 lub 2)
• Nie instaluj nieużywanych ról serwera
• Pamiętaj, aby zatrzymać usługi, których nie będziesz potrzebować
• Pamiętaj, aby otworzyć port RDP (w razie potrzeby) tylko w sieci wewnętrznej
• Upewnij się, że wszystkie nieużywane porty są zamknięte
• Użyj odpowiedniego rozwiązania zapory ogniowej, takiego jak Cisco, Juniper lub Checkpoint przed serwerem
• Aktualizuj swój serwer (co najmniej miesięczne aktualizacje)
• Uczyń go redundantnym (użyj co najmniej dwóch serwerów, jednego do tworzenia kopii zapasowych)
• Dobry monitoring: Nagios (podoba mi się ;-))

(opcjonalnie) Użyj Hyper-V na swoim serwerze internetowym i jego systemie kopii zapasowych. Znacznie łatwiej jest zaktualizować i sprawdzić, czy twoje aktualizacje w jakiś sposób nie zakłócają usługi internetowej. W takim przypadku potrzebne będą dwie identyczne maszyny sprzętowe, aby uzyskać redundancję w przypadku awarii sprzętu. Ale to może dość drogie.

Mam nadzieję, że to ci pomoże!

Możemy udzielić bardziej szczegółowej odpowiedzi, jeśli powiesz nam, jaką usługę chcesz świadczyć w tym publicznym oknie systemu Windows. np. IIS, OWA, DNS itp.?

Aby zablokować samo pudełko, zacznij od odpowiedzi Vlada, usuwając (lub nie instalując na początku) wszelkie dodatkowe usługi / role w pudełku, które nie będą potrzebne. Obejmuje to wszelkie oprogramowanie innych firm (bez czytnika acrobat, flash itp.), Które nie powinno być używane na serwerze. Oczywiście wszystko załatwione.

Skonfiguruj zasady zapory, aby zezwalać na ruch tylko do odpowiednich portów dla uruchomionych usług

Skonfiguruj IDS / IPS z regułami powiązanymi z uruchomionymi usługami.

W zależności od ryzyka / wartości zasobu, rozważ zainstalowanie IPS opartego na hoście oprócz IPS obwodowego, najlepiej od innego dostawcy.

Zakładając, że głównym celem jest hosting strony internetowej, zablokowanie IIS jest znacznie mniej kłopotliwe w przypadku wersji 7.5 (2008 R2), ale nadal powinieneś upewnić się, że wykonujesz kilka rzeczy, takich jak:

• Przechowuj pliki stron internetowych na innym wolumenie niż pliki systemu operacyjnego
• Pobierz szablon zabezpieczeń XML od Microsoft, NSA itp. Jako linię bazową
• Usuń lub zablokuj przez NTFS wszystkie skrypty w \InetPub\AdminScripts
• Zablokuj niebezpieczne pliki exe, takie jak appcmd, cmd.exe itp
• Użyj IPSec do kontrolowania ruchu między DMZ a autoryzowanymi hostami wewnętrznymi
• Jeśli potrzebujesz AD, użyj osobnego lasu w strefie DMZ niż w sieci wewnętrznej
• Upewnij się, że wszystkie witryny wymagają wartości nagłówka hosta (pomaga zapobiec automatycznemu skanowaniu)
• Włącz inspekcję w systemie Windows wszystkich zdarzeń zakończonych niepowodzeniem i zakończonych powodzeniem, z wyjątkiem następujących udanych zdarzeń: dostęp do usługi dyrektora, śledzenie procesów i zdarzenia systemowe.
• Użyj inspekcji NTFS w systemie plików, aby zarejestrować nieudane działania grupy Wszyscy i pamiętaj o zwiększeniu rozmiaru dziennika bezpieczeństwa do odpowiedniego rozmiaru na podstawie kopii zapasowych (około 500 Mb)
• Włącz rejestrowanie HTTP dla folderu głównego
• Nie przyznawaj niepotrzebnych praw kontom użytkowników, na których działają pule aplikacji.
• Pozbądź się modułów ISAPI i CGI, jeśli ich nie potrzebujesz.

Nie chcę tego robić zbyt długo, więc jeśli potrzebujesz / chcesz uzyskać więcej informacji o konkretnej kuli, zostaw komentarz.

Istniejące odpowiedzi tutaj są dobre, ale brakuje im jednego kluczowego aspektu. Co się dzieje, gdy serwer ma się zagrożona?

Odpowiedź tutaj na ServerFault, gdy ludzie pytają, że prawie zawsze zamyka to pytanie, ponieważ duplikat Mojego serwera został zhakowany AWARYJNY! Instrukcje w górnej odpowiedzi tam opisują, jak znaleźć przyczynę / metodę kompromisu i jak przywrócić z kopii zapasowej.

Aby postępować zgodnie z tymi instrukcjami, musisz mieć obszerne rejestrowanie i regularne kopie zapasowe. Musisz mieć wystarczającą ilość rejestrowania, aby móc go użyć, aby określić, co zrobił napastnik i kiedy. W tym celu potrzebujesz sposobu korelowania plików dziennika z różnych komputerów, a to wymaga NTP. Prawdopodobnie będziesz także potrzebować pewnego rodzaju silnika korelacji dziennika.

Zarówno rejestrowanie, jak i tworzenie kopii zapasowych powinny być ogólnie niedostępne na zaatakowanym komputerze.

Gdy dowiesz się, że Twój serwer został przejęty, przełącz go w tryb offline i rozpocznij badanie. Gdy dowiesz się, kiedy i jak atakujący go zdobył, możesz załatać lukę na zapasowej maszynie i uruchomić ją w trybie online. Jeśli komputer zapasowy również skompromitował dane (ponieważ jest synchronizowany z maszyną na żywo), musisz przywrócić dane z kopii zapasowej starszej niż kompromis, zanim przełączysz je w tryb online.

Zapoznaj się z powyższą połączoną odpowiedzią i sprawdź, czy rzeczywiście możesz wykonać te czynności, a następnie dodawaj / zmieniaj rzeczy, dopóki nie możesz.

Uruchom SCW (Security Configuration Wizard) po zainstalowaniu, skonfigurowaniu i przetestowaniu ról / aplikacji dla tego serwera.

Po wykonaniu wszystkich powyższych zaleceń, postępuj zgodnie z „Poradnikiem wdrażania zabezpieczeń technicznych” (STIG) opublikowanym przez DoD dla: 1- Windows Server (znajdź swoją wersję) 2- dla IIS (znajdź swoją wersję) 3- dla witryny internetowej (znajdź swoją wersję)

Oto pełna lista STIG:

http://iase.disa.mil/stigs/az.html

Pozdrowienia.