Назад | Перейти на главную страницу

Рекомендации по настройке безопасного веб-сайта

Когда прошлой осенью Джефф и команда StackOverflow проходили интервью на Hanselminutes, Скотт критически относился к некоторым решениям, которые были приняты в отношении защиты серверов StackOverflow.

Мой вопрос: каков рекомендуемый подход к защите веб-сайта? Предполагая, что я разрабатываю приложение ASP.Net с базой данных SQL Server на отдельной физической машине, какие шаги мне нужно предпринять, чтобы защитить свою среду от атак?

Некоторые вещи, которые приходят в голову:

  • Веб-сервер в DMZ за аппаратным межсетевым экраном
  • SQL Server в отдельной DMZ / частной сети, отделенной от веб-сервера аппаратным брандмауэром
  • Удалите / отключите все ненужные службы на веб-сервере.
  • Веб-сервер не в домене.
  • Сверните локальные учетные записи на веб-сервере.
  • использовать URLScan (даже если на IIS 6.0) из-за отпечатков пальцев веб-сервера
  • Используйте политику IPSEC на веб-сервере, чтобы заблокировать весь входящий / связанный с SQL Server трафик только на необходимые порты.
  • Используйте непривилегированную учетную запись SQL Server с минимальными правами (независимо от того, что ей нужно для доступа к базе данных для приложения) в качестве имени входа для обратного подключения к SQL Server.
  • Отключите учетные записи пользователей по умолчанию. Создавайте новые учетные записи с нестандартными именами. Используйте их для запуска служб и т. Д.