Назад | Перейти на главную страницу

Что нужно сделать для защиты сервера Windows, выходящего в Интернет?

В настоящее время я начинаю развертывать серверы Windows с выходом в Интернет.

И я хотел бы знать, как вы защищаете свои серверы? Какое программное обеспечение вы используете?

В Linux я использую Fail2ban для предотвращения брутфорса и Logwatch для получения ежедневных отчетов о том, что происходит на моих серверах. Есть ли эквиваленты этого программного обеспечения в Windows? Если нет, что вы рекомендуете использовать для защиты сервера?

Прежде всего вам нужно подумать о дизайне вашей сети. Было бы хорошо использовать хотя бы одну DMZ для защиты внутренней сети. Если вы не хотите покупать новый 2012 Server, хорошей системой Windows для публичного использования будет Windows Server 2008 R2. У нас есть как минимум четыре веб-сервера на базе Windows, которые отлично работают как веб-серверы, все на основе 2008 R2. Только обязательно сделайте следующее:

  • Используйте DMZ (1 или 2)
  • Не устанавливайте неиспользуемые серверные роли
  • Обязательно остановите услуги, которые вам не понадобятся
  • Обязательно открывайте порт RDP (при необходимости) только во внутреннюю сеть
  • Обязательно держите все неиспользуемые порты закрытыми
  • Используйте подходящий межсетевой экран, например Cisco, Juniper или Checkpoint, перед сервером.
  • Регулярно обновляйте свой сервер (не реже одного раза в месяц)
  • Сделайте его избыточным (используйте как минимум два сервера, один для резервного копирования)
  • Хороший мониторинг: Nagios (нравится ;-))

(необязательно) Используйте Hyper-V для своего веб-сервера и его системы резервного копирования. Намного проще обновить и проверить, не мешают ли ваши обновления каким-либо образом веб-сервису. В этом случае вам понадобятся две идентичные аппаратные машины для резервирования в случае аппаратного сбоя. Но это может быть довольно дорого.

Надеюсь, это вам поможет!

Мы могли бы дать вам более подробный ответ, если вы сообщите нам, какую услугу вы хотите предоставлять в этом общедоступном окне Windows. например IIS, OWA, DNS и т. Д.?

Чтобы заблокировать сам ящик, начните с ответа Влада, удалив (или не установив для начала) любые дополнительные службы / роли на коробке, которые не понадобятся. Сюда входит любое стороннее программное обеспечение (без программы для чтения акробатов, флеш-памяти и т. Д.), Которое не следует использовать на сервере. Любые, конечно, исправят.

Настройте политики брандмауэра, чтобы разрешить трафик только на соответствующие порты для запущенных вами служб.

Настройте IDS / IPS с правилами, связанными с вашими службами.

В зависимости от риска / стоимости актива рассмотрите возможность установки IPS на основе хоста в дополнение к IPS по периметру, желательно от другого поставщика.

Предполагая, что основной целью является размещение веб-сайта, блокировка IIS значительно меньше проблем с версией 7.5 (2008 R2), хотя вам все равно следует убедиться, что вы делаете несколько вещей, например:

  • Храните файлы веб-сайта на другом томе, чем файлы ОС
  • Возьмите шаблон безопасности XML от Microsoft, NSA и т. Д. В качестве основы
  • Удалите или заблокируйте через NTFS все скрипты в \InetPub\AdminScripts
  • Заблокируйте опасные исполняемые файлы, такие как appcmd, cmd.exe и т. Д.
  • Используйте IPSec для управления трафиком между DMZ и авторизованными внутренними узлами
  • Если вам нужна AD, используйте в DMZ отдельный лес, а не во внутренней сети.
  • Убедитесь, что все сайты требуют значений заголовка хоста (помогает предотвратить автоматическое сканирование)
  • Включите аудит Windows для всех неудачных и успешных событий, кроме следующих успешных событий: доступ к службе директора, отслеживание процессов и системные события.
  • Используйте аудит NTFS в файловой системе для регистрации неудачных действий группы «Все» и не забудьте увеличить размер журнала безопасности до соответствующего размера на основе резервных копий (500 МБ или около того).
  • Включить ведение журнала HTTP для корневой папки
  • Не давайте ненужных прав учетным записям пользователей, в которых запущены пулы приложений.
  • Избавьтесь от модулей ISAPI и CGI, если они вам не нужны.

Я не хочу делать это слишком длинным, поэтому, если вам нужна / нужна дополнительная информация по конкретному пункту, оставьте комментарий.

Существующие здесь ответы хороши, но они упускают один важный аспект. Что происходит, когда ваш сервер делает скомпрометировать?

Ответ здесь, на ServerFault, когда люди спрашивают, почти всегда заключается в том, чтобы закрыть вопрос как дубликат Мой сервер был взломан в АВАРИИ! Инструкции в верхнем ответе описывают, как найти причину / метод взлома и как выполнить восстановление из резервной копии.

Чтобы следовать этим инструкциям, у вас должны быть обширные журналы и регулярные резервные копии. У вас должно быть достаточно журналов, чтобы по ним можно было определить, что и когда сделал злоумышленник. Для этого вам нужен способ сопоставления файлов журналов с разных машин, а для этого требуется NTP. Возможно, вам также понадобится какой-то механизм корреляции журналов.

Как ведение журнала, так и резервные копии, как правило, должны быть недоступны с машины, которая была взломана.

Как только вы узнаете, что ваш сервер был взломан, вы отключаете его и начинаете расследование. Как только вы узнаете, когда и как злоумышленник получил его, вы можете исправить брешь на резервной машине и подключить ее. Если запасная машина также скомпрометировала данные (потому что она синхронизируется с действующей машиной), вам необходимо восстановить данные из резервной копии, более ранней, чем взломанная, прежде чем переводить ее в оперативный режим.

Пройдите свой путь через связанный выше ответ и посмотрите, действительно ли вы можете выполнить шаги, а затем добавляйте / изменяйте вещи, пока не сможете.

Запустите SCW (мастер настройки безопасности) после того, как вы установили, настроили и протестировали роли / приложения для этого сервера.

После выполнения всех вышеперечисленных рекомендаций следуйте «Руководству по технической реализации безопасности» (STIG), опубликованному DoD для: 1- Windows Server (найдите свою версию) 2- Для IIS (найдите свою версию) 3- Для веб-сайта (найдите свою версию)

Вот полный список STIG:

http://iase.disa.mil/stigs/a-z.html

С уважением.