Obecnie zaczynam wdrażać serwery Windows z dostępem do Internetu.
I chciałbym wiedzieć, w jaki sposób chronisz swoje serwery? Z jakiego oprogramowania korzystasz?
W systemie Linux używam Fail2ban, aby zapobiec brutalności i Logwatch, aby otrzymywać codzienne raporty o tym, co dzieje się na moich serwerach. Czy są jakieś odpowiedniki tego oprogramowania w systemie Windows? Jeśli nie, to co zalecasz do ochrony serwera?
windows
security
web-server
iis-7.5
Kedare
źródło
źródło
Odpowiedzi:
Przede wszystkim musisz pomyśleć o swoim projekcie sieci. Dobrze byłoby użyć przynajmniej jednej strefy DMZ w celu ochrony sieci wewnętrznej. Dobrym systemem Windows do upublicznienia byłby Windows Server 2008 R2, jeśli nie chcesz kupować nowego serwera 2012. Mamy co najmniej cztery serwery oparte na systemie Windows, które działają doskonale jako serwery, wszystkie oparte na 2008 R2. Po prostu wykonaj następujące czynności:
(opcjonalnie) Użyj Hyper-V na swoim serwerze internetowym i jego systemie kopii zapasowych. Znacznie łatwiej jest zaktualizować i sprawdzić, czy twoje aktualizacje w jakiś sposób nie zakłócają usługi internetowej. W takim przypadku potrzebne będą dwie identyczne maszyny sprzętowe, aby uzyskać redundancję w przypadku awarii sprzętu. Ale to może dość drogie.
Mam nadzieję, że to ci pomoże!
źródło
Możemy udzielić bardziej szczegółowej odpowiedzi, jeśli powiesz nam, jaką usługę chcesz świadczyć w tym publicznym oknie systemu Windows. np. IIS, OWA, DNS itp.?
Aby zablokować samo pudełko, zacznij od odpowiedzi Vlada, usuwając (lub nie instalując na początku) wszelkie dodatkowe usługi / role w pudełku, które nie będą potrzebne. Obejmuje to wszelkie oprogramowanie innych firm (bez czytnika acrobat, flash itp.), Które nie powinno być używane na serwerze. Oczywiście wszystko załatwione.
Skonfiguruj zasady zapory, aby zezwalać na ruch tylko do odpowiednich portów dla uruchomionych usług
Skonfiguruj IDS / IPS z regułami powiązanymi z uruchomionymi usługami.
W zależności od ryzyka / wartości zasobu, rozważ zainstalowanie IPS opartego na hoście oprócz IPS obwodowego, najlepiej od innego dostawcy.
Zakładając, że głównym celem jest hosting strony internetowej, zablokowanie IIS jest znacznie mniej kłopotliwe w przypadku wersji 7.5 (2008 R2), ale nadal powinieneś upewnić się, że wykonujesz kilka rzeczy, takich jak:
\InetPub\AdminScripts
Nie chcę tego robić zbyt długo, więc jeśli potrzebujesz / chcesz uzyskać więcej informacji o konkretnej kuli, zostaw komentarz.
źródło
Istniejące odpowiedzi tutaj są dobre, ale brakuje im jednego kluczowego aspektu. Co się dzieje, gdy serwer ma się zagrożona?
Odpowiedź tutaj na ServerFault, gdy ludzie pytają, że prawie zawsze zamyka to pytanie, ponieważ duplikat Mojego serwera został zhakowany AWARYJNY! Instrukcje w górnej odpowiedzi tam opisują, jak znaleźć przyczynę / metodę kompromisu i jak przywrócić z kopii zapasowej.
Aby postępować zgodnie z tymi instrukcjami, musisz mieć obszerne rejestrowanie i regularne kopie zapasowe. Musisz mieć wystarczającą ilość rejestrowania, aby móc go użyć, aby określić, co zrobił napastnik i kiedy. W tym celu potrzebujesz sposobu korelowania plików dziennika z różnych komputerów, a to wymaga NTP. Prawdopodobnie będziesz także potrzebować pewnego rodzaju silnika korelacji dziennika.
Zarówno rejestrowanie, jak i tworzenie kopii zapasowych powinny być ogólnie niedostępne na zaatakowanym komputerze.
Gdy dowiesz się, że Twój serwer został przejęty, przełącz go w tryb offline i rozpocznij badanie. Gdy dowiesz się, kiedy i jak atakujący go zdobył, możesz załatać lukę na zapasowej maszynie i uruchomić ją w trybie online. Jeśli komputer zapasowy również skompromitował dane (ponieważ jest synchronizowany z maszyną na żywo), musisz przywrócić dane z kopii zapasowej starszej niż kompromis, zanim przełączysz je w tryb online.
Zapoznaj się z powyższą połączoną odpowiedzią i sprawdź, czy rzeczywiście możesz wykonać te czynności, a następnie dodawaj / zmieniaj rzeczy, dopóki nie możesz.
źródło
Uruchom SCW (Security Configuration Wizard) po zainstalowaniu, skonfigurowaniu i przetestowaniu ról / aplikacji dla tego serwera.
źródło
Po wykonaniu wszystkich powyższych zaleceń, postępuj zgodnie z „Poradnikiem wdrażania zabezpieczeń technicznych” (STIG) opublikowanym przez DoD dla: 1- Windows Server (znajdź swoją wersję) 2- dla IIS (znajdź swoją wersję) 3- dla witryny internetowej (znajdź swoją wersję)
Oto pełna lista STIG:
http://iase.disa.mil/stigs/az.html
Pozdrowienia.
źródło