Elenco di controllo del server Web Windows

12

Quando si distribuisce una nuova casella del server Web, quali sono gli elementi standard che si installano su di essa e che si eseguono per configurarlo?

Cosa fai per assicurarti che la scatola sia bloccata e non venga compromessa?

Finora:

Generale

Rete

IIS

articoli Correlati

windows  iis 
Luke Quinane
fonte
1
Si tratta di un server con connessione Internet o no?
K. Brian Kelley,
Sì, stavo pensando a un server di fronte a Internet.
Luke Quinane,

Risposte:

6

Cosa facciamo:

  • Inserisci il web server in DMZ
  • Inserisci il web server in un gruppo di lavoro (non è consentito far parte di un dominio)
  • Assicurarsi che siano applicate tutte le patch di sicurezza
  • Ridurre al minimo i servizi in esecuzione
  • Usa URLScan . Rimuovere l'impronta digitale del server (RemoveServerHeader = 1).
  • Indurire lo stack TCP / IP
  • Applica la politica IPSEC per consentire solo il traffico che vogliamo (whitelisting)
  • Rinomina gli account predefiniti in modo che possano essere scelti come target da script / strumenti tipici.
  • Spostare le directory predefinite (InetPub, WWWRoot, ecc.)
  • Ridurre al minimo gli account utente locali.
  • Tutto NetBIOS viene rimosso o disabilitato.
K. Brian Kelley
fonte
Bel elenco, ma puoi fornire indicazioni sul ragionamento alla base del non mettere i server web su un dominio? Questa "best practice" o semplicemente una politica interna?
David Christiansen,
Se un server Web si trova nel dominio, deve avere LDAP, Catalogo globale, porte, ecc. Tutti aperti ad almeno un controller di dominio. Pertanto, se è possibile compromettere il server Web, è possibile attaccare direttamente il controller di dominio. Rimugina su questo per alcuni minuti e capirai perché è generalmente sconsigliato. Se è necessario eseguire il percorso del dominio, vengono generalmente utilizzati consigli come i seguenti (utilizzare una foresta separata con attendibilità a 1 via): searchsecurity.techtarget.com/expert/KnowledgebaseAnswer/…
K. Brian Kelley,
3
  • Aggiungi account utente per ogni persona che amministra il computer
  • Configurare i servizi terminal per consentire a ciascun utente un solo accesso simultaneo
  • Aggiungi account di amministrazione alternativi che vengono utilizzati solo se runas non serve allo scopo per un determinato utente

-Adamo

Adam Davis
fonte
2

Potresti desiderare di farlo;

  • Disabilita SSL 2 (correggi l'utilizzo del protocollo SSL deprezzato)
  • Eseguire una valutazione della vulnerabilità della rete

In tal caso, ho scritto un articolo dettagliato su Howto: disabilita SSL2 e Weak Ciphers su IIS6, che potrebbe valere la pena dare un'occhiata.

Questo articolo prende le cose dal punto di vista del soddisfacimento dei requisiti di sicurezza stabiliti dal settore delle carte di pagamento, ma è ancora rilevante per la protezione generale del server.

Quindi ora per correggere l'utilizzo del protocollo SSL deprezzato dovresti leggere Howto: Disabilita l'articolo SSL2 e Weak Ciphers per istruzioni dettagliate O leggi l' articolo di supporto MS # 187498 e puoi usare ServerSniff per confermare che le tue modifiche sono state applicate.

ps In effetti potresti anche usare ServerSniff per confermare le modifiche menzionate nella risposta di Scott.

David Christiansen
fonte
+1 Articolo pratico e ServerSniff sembra anche abbastanza pulito!
Luke Quinane,
1

Oltre alle cose già menzionate, disabilito le cifrature SSL deboli.

EDIT: ho trovato le istruzioni passo-passo che ho scritto alcuni anni fa.

  1. Fare clic su Start, scegliere Esegui, digitare regedt32 o digitare regedit e quindi fare clic su OK.
  2. Nell'editor del Registro di sistema, individuare la seguente chiave di registro: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
  3. Eseguire i passaggi da 4 a 8 per i seguenti tasti: a. Ciphers \ DES 56/56 b. Cifre \ RC2 40/128 c. Cifre \ RC4 40/128 d. Ciphers \ RC4 56/128 e. Protocolli \ SSL 2.0 \ Client f. Protocolli \ SSL 2.0 \ Server
  4. Nel menu Modifica, fare clic su Aggiungi valore.
  5. Nell'elenco Tipo di dati, fare clic su DWORD.
  6. Nella casella Nome valore, digitare Abilitato, quindi fare clic su OK.
  7. Digitare 00000000 nell'Editor binario per impostare il valore della nuova chiave uguale a "0".
  8. Clicca OK.
  9. Dopo aver modificato il registro, riavviare il computer.
Scott
fonte
Quali cifre in particolare?
Luke Quinane,
Non riesco a trovare l'elenco esatto in questo momento, ma SSL 2.0 e qualcosa di più debole di 128 bit.
Scott,
Ho cercato nei miei archivi e ho trovato le istruzioni dettagliate. Ho modificato la mia risposta per includerli.
Scott,
-3

Se possibile, iniziare con Windows 2003 SP1 Server e assicurarsi che il firewall integrato sia attivato a meno che non si disponga di un firewall di rete per proteggerlo.

Accertarsi che le seguenti porte siano aperte se si imposta il firewall: - 3389: Desktop remoto (RDP) - 80: HTTP

Opzionale: - 443: HTTPS (opzionale) - 25: SMTP - 110: Pop3

Utilità:

  • Notepad ++ (tutto intorno a un ottimo editor) - gratuito
  • 7-Zip (gestisce zip, arco e altri file compressi) - gratis
  • Beyond Compare v3 (confronto file e FTP) - $ ma non molto
  • Gestione del database
Brian Boatright
fonte
1
Intendi Windows 2003 SP2, giusto? Inoltre, se si tratta di un server Web che si desidera bloccare, non si desidera aprire SMTP e POP3. Inoltre non vuoi RDP. Almeno, non sulla porta predefinita.
K. Brian Kelley,
1
Eviterei di caricare il server con troppi sviluppatori. Rifiuto. Non si desidera ottimizzare per passare molto tempo utilizzando il server come workstation, questa è una ricetta per il fallimento.
Wedge
ciascuno per il suo. se hai solo un server che esegue il tuo sito Web con alcuni strumenti di sviluppo è un must. avere anche la tua e-mail e web hosting su un server. non tutti hanno bisogno o possono permettersi server separati per ogni servizio.
Brian Boatright,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.