Quali sono le "cose ​​da fare" per proteggere il server Windows sul Web?

17

Attualmente comincio a distribuire server Windows sul Web.

E vorrei sapere come stai proteggendo i tuoi server? Quali software stai usando?

Su Linux, sto usando Fail2ban per prevenire bruteforce e Logwatch per ottenere rapporti giornalieri su ciò che sta succedendo sui miei server. Esistono equivalenti di questi software su Windows? In caso contrario, cosa mi consiglia di utilizzare per proteggere il server?

windows  security  web-server  iis-7.5 
Kedare
fonte
4
La risposta di Vlad sotto è un buon punto di partenza. Prendi anche nota della tua azienda e dei servizi che stai mettendo sul web. Norme / leggi a parte, se sei una piccola officina meccanica con un'app web Dinko puoi scappare con pochissima sicurezza. Non è vero se sei un grande negozio di sviluppo con persone cinesi che vogliono ottenere il tuo codice
TheCleaner

Risposte:

19

Prima di tutto devi pensare al design della tua rete. Sarebbe utile utilizzare almeno una DMZ per proteggere la rete interna. Un buon sistema Windows per essere pubblico sarebbe Windows Server 2008 R2 se non si desidera acquistare il nuovo server 2012. Abbiamo almeno quattro server Web basati su Windows che funzionano perfettamente come server Web, tutti basati su 2008 R2. Assicurati di fare quanto segue:

  • Usa la DMZ (1 o 2)
  • Non installare ruoli server inutilizzati
  • Assicurati di interrompere i servizi che non ti serviranno
  • Assicurati di aprire la porta RDP (se necessario) solo nella rete interna
  • Assicurati di tenere chiuse tutte le porte non utilizzate
  • Utilizzare una soluzione firewall adeguata come Cisco, Juniper o Checkpoint davanti al server
  • Mantieni il tuo server aggiornato (almeno aggiornamenti mensili)
  • Renderlo ridondante (utilizzare almeno due server, uno per il backup)
  • Buon monitoraggio: Nagios (mi piace ;-))

(opzionale) Usa Hyper-V per il tuo server web e il suo sistema di backup. Molto più facile da aggiornare e verificare se i tuoi aggiornamenti non interferiscono in qualche modo con il servizio web. In tal caso, avrai bisogno di due macchine hardware identiche per avere ridondanza in caso di guasto hardware. Ma è piuttosto costoso forse.

Spero che ti aiuti!

Andre
fonte
7

Potremmo darti una risposta più dettagliata se ci dici quale servizio vuoi fornire su questo Windows box pubblico. ad es. IIS, OWA, DNS, ecc.?

Per bloccare la scatola stessa, inizia con la risposta di Vlad rimuovendo (o non installando per cominciare) eventuali servizi / ruoli aggiuntivi sulla scatola che non saranno necessari. Ciò include qualsiasi software di terze parti (nessun lettore acrobat, flash, ecc.) Che non deve essere utilizzato su un server. Qualcuno ovviamente mantiene le cose rattoppate.

Configurare i criteri del firewall in modo da consentire il traffico solo verso le porte appropriate per i servizi in esecuzione

Configura un IDS / IPS con le regole associate ai servizi in esecuzione.

A seconda del rischio / valore dell'asset, prendere in considerazione l'installazione di un IPS basato su host in aggiunta al proprio IPS perimetrale preferibilmente da un altro fornitore.

Supponendo che lo scopo principale sia quello di ospitare un sito Web, bloccare IIS è significativamente meno problematico con 7.5 (2008 R2), anche se è necessario assicurarsi di fare alcune cose come:

  • Archivia i file del sito Web su un volume diverso dai file del sistema operativo
  • Prendi un modello di sicurezza XML da Microsoft, NSA, ecc. Come base
  • Rimuovere o bloccare tramite NTFS tutti gli script in \InetPub\AdminScripts
  • Blocca gli exe pericolosi come appcmd, cmd.exe, ecc
  • Utilizzare IPSec per controllare il traffico tra la DMZ e gli host interni autorizzati
  • Se hai bisogno di AD, usa una foresta separata nella tua DMZ rispetto alla tua rete interna
  • Assicurati che tutti i siti richiedano valori di intestazione host (aiuta a prevenire la scansione automatica)
  • Abilita il controllo di Windows di tutti gli eventi non riusciti e riusciti tranne i seguenti eventi riusciti: Accesso al servizio Director, Tracking dei processi ed Eventi di sistema.
  • Utilizzare il controllo NTFS sul filesystem per registrare le azioni non riuscite da parte del gruppo Everyone e assicurarsi di aumentare le dimensioni del registro di sicurezza a una dimensione appropriata in base ai backup (circa 500 Mb)
  • Abilita la registrazione HTTP per la cartella principale
  • Non concedere diritti non necessari agli account utente che eseguono pool di app.
  • Sbarazzati dei moduli ISAPI e CGI se non ne hai bisogno.

Non voglio prenderlo troppo a lungo, quindi se hai bisogno / desideri maggiori informazioni su un particolare punto elenco, lascia un commento.

Paul Ackerman
fonte
Per ora questo server fornirà solo l'accesso IIS
Kedare il
5

Le risposte esistenti qui sono buone ma mancano un aspetto cruciale. Cosa succede quando il server non ottiene compromesso?

La risposta qui su ServerFault quando le persone chiedono che è quasi sempre quella di chiudere la domanda come duplicato di EMERGENCY, il mio server è stato violato! Le istruzioni nella risposta in alto descrivono come trovare la causa / metodo del compromesso e come ripristinare da un backup.

Per seguire queste istruzioni, è necessario disporre di una registrazione estesa e backup regolari. È necessario disporre di una registrazione sufficiente per poterlo utilizzare per determinare cosa ha fatto l'attaccante e quando. Per questo, è necessario un modo per correlare i file di registro da macchine diverse e questo richiede NTP. Probabilmente vorrai anche una sorta di motore di correlazione dei log.

Sia la registrazione che i backup dovrebbero essere generalmente non disponibili dal computer che è stato compromesso.

Una volta che sai che il tuo server è stato compromesso, lo porti offline e inizi a indagare. Una volta che sai quando e come l'ha preso l'attaccante, puoi riparare il difetto sulla macchina di scorta e portarlo online. Se anche la macchina di riserva ha compromesso i dati (poiché è sincronizzata dalla macchina attiva), è necessario ripristinare i dati da un backup più vecchio del compromesso prima di renderli online.

Procedi attraverso la risposta collegata sopra e vedi se riesci effettivamente a eseguire i passaggi, quindi aggiungi / modifica le cose fino a quando non puoi.

Ladadadada
fonte
2

Eseguire SCW (Security Configuration Wizard) dopo aver installato, configurato e testato i ruoli / le applicazioni per questo server.

joeqwerty
fonte
2

Dopo aver seguito tutte le raccomandazioni sopra riportate, seguire la "Guida all'implementazione tecnica della sicurezza" (STIG) pubblicata da DoD per: 1- Windows Server (trova la tua versione) 2- Per IIS (trova la tua versione) 3- Per il sito Web (trova la tua versione)

Ecco l'elenco completo degli STIG:

http://iase.disa.mil/stigs/az.html

Saluti.

hassan.monfared
fonte
C'è una lunga lista di regole di sicurezza da fare !. devi essere paziente ..
hassan.monfared il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.