Quais são as "tarefas a fazer" na proteção do servidor Windows voltado para a web?

17

Atualmente, começo a implantar servidores Windows voltados para a web.

E eu gostaria de saber como você está protegendo seus servidores? Quais softwares você está usando?

No Linux, estou usando o Fail2ban para impedir que o bruteforce e o Logwatch obtenham relatórios diários sobre o que está acontecendo nos meus servidores. Existem equivalentes desses softwares no Windows? Caso contrário, o que você recomenda usar para proteger o servidor?

windows security web-server iis-7.5 Kedare
fonte
4
A resposta de Vlad abaixo é um bom ponto de partida. Anote também sua empresa e quais serviços você está colocando na web. Regulamentos / leis à parte, se você é uma pequena oficina mecânica com um aplicativo da web dinko, pode se safar com muito pouca segurança. Não é verdade se você é uma grande loja de desenvolvimento com pessoas da China que desejam obter seu código #
TheCleaner

Respostas:

19

Antes de tudo, você precisa pensar no seu design de rede. Seria bom usar pelo menos uma DMZ para proteger a rede interna. Um bom sistema Windows para ser público seria o Windows Server 2008 R2 se você não desejar comprar o novo 2012 Server. Temos pelo menos quatro servidores da Web baseados em janelas que funcionam perfeitamente como servidores da Web, todos baseados no 2008 R2. Apenas certifique-se de fazer o seguinte:

  • Use a DMZ (1 ou 2)
  • Não instale funções de servidor não utilizadas
  • Certifique-se de interromper os serviços que você não precisará
  • Certifique-se de abrir a porta RDP (se necessário) apenas na rede interna
  • Certifique-se de manter todas as portas não utilizadas fechadas
  • Use uma solução de firewall adequada, como Cisco, Juniper ou Checkpoint, na frente do servidor
  • Mantenha seu servidor atualizado (pelo menos atualizações mensais)
  • Torne-o redundante (use pelo menos dois servidores, um para backup)
  • Bom monitoramento: Nagios (eu gosto ;-))

(opcional) Use o Hyper-V para seu servidor da web e seu sistema de backup. Muito mais fácil atualizar e verificar se suas atualizações não interferem no serviço da Web de alguma forma. Nesse caso, você precisará de duas máquinas de hardware idênticas para ter redundância no caso de uma falha de hardware. Mas isso é bem caro, talvez.

Espero que ajude você!

Andre
fonte
7

Poderíamos fornecer uma resposta mais detalhada se você nos informar qual serviço deseja fornecer nesta caixa do Windows voltada para o público. por exemplo, IIS, OWA, DNS, etc?

Para bloquear a própria caixa, comece com a resposta de vlad removendo (ou não instalando para começar) quaisquer serviços / funções adicionais na caixa que não serão necessários. Isso inclui qualquer software de terceiros (sem acrobat reader, flash, etc) que não deva ser usado em um servidor. Qualquer um, é claro, mantém as coisas corrigidas.

Configure suas políticas de firewall para permitir apenas o tráfego nas portas apropriadas para os serviços que você está executando

Configure um IDS / IPS com regras associadas aos serviços que você está executando.

Dependendo do risco / valor do ativo, considere instalar um IPS baseado em host, além do seu IPS de perímetro, de preferência de outro fornecedor.

Supondo que o objetivo principal seja hospedar um site, bloquear o IIS é significativamente menos problemático com o 7.5 (2008 R2), embora você ainda deva garantir algumas ações, como:

  • Armazene os arquivos do site em um volume diferente dos arquivos do SO
  • Pegue um modelo de segurança XML da Microsoft, NSA, etc. como linha de base
  • Remova ou bloqueie via NTFS todos os scripts em \InetPub\AdminScripts
  • Bloqueie exe perigosos como appcmd, cmd.exe, etc.
  • Use o IPSec para controlar o tráfego entre a DMZ e os hosts internos autorizados
  • Se você precisar do AD, use uma floresta separada na sua DMZ do que na sua rede interna
  • Verifique se todos os sites exigem valores de cabeçalho de host (ajuda a impedir a verificação automatizada)
  • Habilite a auditoria do Windows de todos os eventos com falha e com êxito, exceto os seguintes eventos com êxito: Acesso ao Serviço de Diretor, Rastreamento de Processo e Eventos do Sistema.
  • Use a auditoria NTFS no sistema de arquivos para registrar ações com falha do grupo Todos e certifique-se de aumentar o tamanho do seu log de segurança para um tamanho apropriado com base em backups (500 MB ou mais)
  • Habilitar o log HTTP para a pasta raiz
  • Não conceda direitos desnecessários a contas de usuários que estão executando pools de aplicativos.
  • Livre-se dos módulos ISAPI e CGI, se você não precisar deles.

Eu não quero demorar muito, então se você precisar / quiser mais informações sobre uma determinada bala, deixe um comentário.

Paul Ackerman
fonte
Por enquanto este servidor só irá fornece IIS acesso
Kedare
5

As respostas existentes aqui são boas, mas elas perdem um aspecto crucial. O que acontece quando seu servidor é comprometido?

A resposta aqui no ServerFault, quando as pessoas perguntam, é quase sempre para fechar a pergunta, pois uma duplicata do meu servidor foi invadida por EMERGENCY! As instruções na resposta superior descrevem como encontrar a causa / método do comprometimento e como restaurar a partir de um backup.

Para seguir essas instruções, você deve ter registros extensos e backups regulares. Você deve ter um registro suficiente para poder usá-lo para determinar o que o invasor fez e quando. Para isso, você precisa de uma maneira de correlacionar os arquivos de log de diferentes máquinas, e isso requer NTP. Você provavelmente também desejará algum tipo de mecanismo de correlação de log.

O registro e os backups geralmente não devem estar disponíveis na máquina que foi comprometida.

Depois que você souber que seu servidor foi comprometido, coloque-o offline e comece a investigar. Depois de saber quando e como o invasor conseguiu, você pode corrigir a falha na máquina sobressalente e colocá-la online. Se a máquina sobressalente também comprometer os dados (porque está sendo sincronizada a partir da máquina ativa), será necessário restaurar os dados de um backup mais antigo que o comprometimento antes de colocá-los online.

Percorra a resposta vinculada acima e veja se você pode realmente executar as etapas e adicione / mude as coisas até conseguir.

Ladadadada
fonte
2

Execute o SCW (Assistente de configuração de segurança) depois de instalar, configurar e testar as funções / aplicativos para este servidor.

joeqwerty
fonte
2

Depois de fazer todas as recomendações acima, siga o "Guia Técnico de Implementação de Segurança" (STIG) publicado pelo DoD para: 1- Windows Server (localize sua versão) 2- Para IIS (localize sua versão) 3- Para Website (localize sua versão)

Aqui está a lista completa de ISTs:

http://iase.disa.mil/stigs/az.html

Saudações.

hassan.monfared
fonte
Há uma longa lista de regras de segurança a serem feitas! você deve ser paciente ..
hassan.monfared 6/12/12