Lista de verificação do servidor web Windows

12

Quando você está implantando uma nova caixa de servidor da Web, quais são as coisas padrão que você instala e faz para configurá-lo?

O que você faz para garantir que a caixa esteja trancada e não fique comprometida?

Tão longe:

Geral

Rede

IIS

Artigos relacionados

windows iis Luke Quinane
fonte
1
Este é um servidor voltado para a Internet ou não?
K. Brian Kelley
Sim, eu estava pensando em um servidor voltado para a Internet.
Luke Quinane 01/05/09

Respostas:

6

O que nós fazemos:

  • Colocar servidor da Web na DMZ
  • Colocar servidor da Web em um grupo de trabalho (não é permitido estar em um domínio)
  • Garantir que todos os patches de segurança sejam aplicados
  • Minimize os serviços em execução
  • Use o URLScan . Remova a impressão digital do servidor (RemoveServerHeader = 1).
  • Endurecer a pilha TCP / IP
  • Aplique a política IPSEC para permitir apenas o tráfego que queremos (lista de permissões)
  • Renomeie as contas padrão para que possam ser segmentadas por scripts / ferramentas típicas.
  • Mover diretórios padrão (InetPub, WWWRoot, etc.)
  • Minimize as contas de usuário local.
  • Todo o NetBIOS é removido ou desativado.
K. Brian Kelley
fonte
Boa lista, mas você pode fornecer dicas sobre o motivo por não colocar servidores da web em um domínio? Esta é uma 'melhor prática' ou simplesmente uma política interna.
10269 David Christiansen
Se um servidor da Web estiver no domínio, ele deverá ter LDAP, Catálogo Global, portas, etc. abertos a pelo menos um controlador de domínio. Portanto, se você puder comprometer o servidor da Web, poderá atacar diretamente o controlador de domínio. Reflita sobre isso por alguns minutos e você entenderá por que geralmente não é recomendável. Se você deve fazer o caminho de domínio, o conselho como o seguinte é usada generall (usar uma floresta separada com um caminho de confiança): searchsecurity.techtarget.com/expert/KnowledgebaseAnswer/...
K. Brian Kelley
3
  • Adicione contas de usuário para cada pessoa que administrará o computador
  • Configure os serviços de terminal para permitir a cada usuário apenas um logon simultâneo
  • Adicione contas de administração alternativas que serão usadas apenas se as runas não servirem ao objetivo de um determinado usuário

-Adão

Adam Davis
fonte
2

Você pode desejar;

  • Desativar SSL 2 (corrigir uso de protocolo SSL depreciado)
  • Executar uma avaliação de vulnerabilidade da rede

Em caso afirmativo, escrevi um artigo detalhado sobre Como Desativar o SSL2 e Cifras Fracas no IIS6, que vale a pena dar uma olhada.

Este artigo considera o ponto de vista de satisfazer os requisitos de segurança definidos pelo setor de cartões de pagamento, mas ainda é relevante para o fortalecimento geral do servidor.

Portanto, agora para corrigir o uso depreciado do protocolo SSL, leia o artigo Howto: Disable SSL2 and Weak Ciphers para obter instruções passo a passo OU leia o Artigo de suporte da Microsoft # 187498 e use o ServerSniff para confirmar se suas modificações foram efetivadas.

ps Na verdade, você também pode usar o ServerSniff para confirmar as modificações mencionadas na resposta de Scott.

David Christiansen
fonte
Um artigo útil e o ServerSniff também parecem muito legais!
Luke Quinane
1

Além das coisas já mencionadas, desabilito as cifras SSL fracas.

EDIT: Encontrei as instruções passo a passo que escrevi alguns anos atrás.

  1. Clique em Iniciar, clique em Executar, digite regedt32 ou digite regedit e, em seguida, clique em OK.
  2. No Editor do Registro, localize a seguinte chave do Registro: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
  3. Execute as etapas 4 a 8 para as seguintes teclas: a. Cifras \ DES 56/56 b. Cifras \ RC2 40/128 c. Cifras \ RC4 40/128 d. Cifras \ RC4 56/128 e. Protocolos \ SSL 2.0 \ Cliente f. Protocolos \ SSL 2.0 \ Server
  4. No menu Editar, clique em Adicionar valor.
  5. Na lista Tipo de dados, clique em DWORD.
  6. Na caixa Nome do valor, digite Habilitado e clique em OK.
  7. Digite 00000000 no Editor binário para definir o valor da nova chave igual a "0".
  8. Clique OK.
  9. Quando você terminar de modificar o registro, reinicie o computador.
Scott
fonte
Quais cifras em particular?
6114 Luke Quinane
Não consigo encontrar a lista exata no momento, mas o SSL 2.0 e qualquer coisa mais fraca que 128 bits.
1515 Scott
Eu procurei nos meus arquivos e encontrei as instruções passo a passo. Eu editei minha resposta para incluí-los.
2828 Scott
-3

Se possível, inicie com o Windows 2003 SP1 Server e verifique se o firewall interno está ativado, a menos que você tenha um firewall de rede para protegê-lo.

Verifique se as seguintes portas estão abertas se você configurar o firewall: - 3389: Área de trabalho remota (RDP) - 80: HTTP

Opcional: - 443: HTTPS (opcional) - 25: SMTP - 110: Pop3

Serviços de utilidade pública:

  • Notepad ++ (excelente editor) - grátis
  • 7-Zip (lida com arquivos zip, arco e outros arquivos compactados) - grátis
  • Beyond Compare v3 (comparação de arquivos e FTP) - $ mas não muito
  • Gerenciamento de banco de dados
Brian Boatright
fonte
1
Você quer dizer o Windows 2003 SP2, certo? Além disso, se você deseja bloquear um servidor Web, não deseja que o SMTP e o POP3 sejam abertos. Você também não quer o RDP. Pelo menos, não na porta padrão.
K. Brian Kelley
1
Eu evitaria carregar o servidor com muitos desenvolvedores. lixo. Você não deseja otimizar gastando muito tempo usando o servidor como estação de trabalho, isso é uma receita para a falha.
Wedge
cada um na sua. se você possui apenas um servidor executando o site, com algumas ferramentas de desenvolvimento é obrigatório. ter seu email e hospedagem em um servidor também é. nem todos precisam ou podem pagar servidores separados para cada serviço.
Brian Boatright