Назад |
Перейти на главную страницу
Контрольный список для веб-сервера Windows
Когда вы развертываете новый ящик веб-сервера, какие стандартные вещи вы устанавливаете на него и делаете для его настройки?
Что вы делаете, чтобы ящик был заблокирован и не был взломан?
До сих пор:
Общее
Сеть
IIS
Статьи по Теме
Что мы делаем:
- Поместите веб-сервер в DMZ
- Поместите веб-сервер в рабочую группу (не разрешено находиться в домене)
- Убедитесь, что установлены все исправления безопасности
- Сведите к минимуму запущенные службы
- Использовать URLScan. Удалить отпечаток сервера (RemoveServerHeader = 1).
- Укрепление стека TCP / IP
- Применить политику IPSEC разрешать только тот трафик, который нам нужен (белый список)
- Переименуйте учетные записи по умолчанию, чтобы они могли использоваться типичными скриптами / инструментами.
- Переместить каталоги по умолчанию (InetPub, WWWRoot и т. Д.)
- Сверните учетные записи локальных пользователей.
- Весь NetBIOS удален или отключен.
- Добавьте учетные записи пользователей для каждого человека, который будет администрировать компьютер.
- Настройте службы терминалов, чтобы разрешить каждому пользователю только один одновременный вход в систему
- Добавить альтернативные административные учетные записи, которые используются только в том случае, если runas не служит целям данного пользователя.
-Адам
Вы можете пожелать;
- Отключить SSL 2 (исправить устаревшее использование протокола SSL)
- Выполните оценку уязвимости сети
Если так, я написал подробную статью о Как: отключить SSL2 и слабые шифры в IIS6 на которые, возможно, стоит взглянуть.
В этой статье все рассматривается с точки зрения удовлетворения требований безопасности, установленных индустрией платежных карт, но все же актуально для повышения уровня защиты серверов.
Итак, теперь, чтобы исправить устаревшее использование протокола SSL, вы должны либо прочитать сказанное Как: отключить SSL2 и слабые шифры статью с пошаговыми инструкциями ИЛИ прочтите Статья в службе поддержки MS № 187498 и вы можете использовать ServerSniff чтобы подтвердить, что ваши изменения вступили в силу.
p.s. В самом деле, вы также можете использовать ServerSniff для подтверждения изменений, упомянутых в ответе Скотта.
В дополнение к уже упомянутому, я отключаю слабые шифры SSL.
EDIT: я нашел пошаговые инструкции, которые написал несколько лет назад.
- Нажмите кнопку Пуск, выберите команду Выполнить, введите regedt32 или введите regedit, а затем нажмите кнопку ОК.
- В редакторе реестра найдите следующий раздел реестра: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
- Выполните шаги с 4 по 8 для следующих клавиш: a. Шифры \ DES 56/56 б. Шифры \ RC2 40/128 c. Шифры \ RC4 40/128 d. Шифры \ RC4 56/128 e. Протоколы \ SSL 2.0 \ Клиент f. Протоколы \ SSL 2.0 \ Сервер
- В меню Правка щелкните Добавить значение.
- В списке Тип данных щелкните DWORD.
- В поле «Имя значения» введите «Включено» и нажмите кнопку «ОК».
- Введите 00000000 в двоичном редакторе, чтобы установить значение нового ключа равным «0».
- Щелкните ОК.
- Когда вы закончите изменять реестр, перезагрузите компьютер.
Если возможно, начните с Windows 2003 SP1 Server и убедитесь, что встроенный брандмауэр включен, если у вас нет сетевого брандмауэра для его защиты.
Убедитесь, что следующие порты открыты, если вы настраиваете брандмауэр: - 3389: удаленный рабочий стол (RDP) - 80: HTTP
Необязательно: - 443: HTTPS (необязательно) - 25: SMTP - 110: Pop3
Утилиты:
- Notepad ++ (отличный редактор) - бесплатно
- 7-Zip (обрабатывает zip, arc и другие сжатые файлы) - бесплатно
- Beyond Compare v3 (сравнение файлов и FTP) - $, но не много
- Управление базами данных