Daftar periksa server web Windows

12

Ketika Anda menggunakan kotak server web baru apa saja hal standar yang Anda instal dan lakukan untuk mengaturnya?

Apa yang Anda lakukan untuk memastikan kotak terkunci dan tidak akan dikompromikan?

Sejauh ini:

Umum

Jaringan

IIS

Artikel terkait

windows iis Luke Quinane
sumber
1
Apakah ini server yang menghadap Internet atau tidak?
K. Brian Kelley
Ya, saya sedang memikirkan server yang menghadap Internet.
Luke Quinane

Jawaban:

6

Apa yang kita lakukan:

  • Masukkan server web dalam DMZ
  • Masukkan server web dalam kelompok kerja (tidak diizinkan berada di domain)
  • Pastikan semua tambalan keamanan diterapkan
  • Minimalkan layanan yang sedang berjalan
  • Gunakan URLScan . Hapus sidik jari server (RemoveServerHeader = 1).
  • Mengeras tumpukan TCP / IP
  • Terapkan kebijakan IPSEC untuk hanya mengizinkan lalu lintas yang kita inginkan (daftar putih)
  • Ganti nama akun default agar dapat ditargetkan oleh skrip / alat khusus.
  • Pindahkan direktori default (InetPub, WWWRoot, dll.)
  • Minimalkan akun pengguna lokal.
  • Semua NetBIOS dihapus atau dinonaktifkan.
K. Brian Kelley
sumber
Daftar yang bagus, tetapi dapatkah Anda memberikan petunjuk tentang alasan di balik tidak menempatkan server web pada domain? Apakah ini 'praktik terbaik' atau hanya kebijakan internal.
David Christiansen
Jika server web ada di domain, ia harus memiliki LDAP, Katalog Global, port, dll. Semua dibuka hingga setidaknya satu DC. Oleh karena itu, jika Anda dapat membahayakan server web, Anda dapat langsung menyerang DC. Pikirkan hal itu selama beberapa menit dan Anda akan mengerti mengapa hal itu umumnya tidak disarankan. Jika Anda harus melakukan rute domain, saran seperti berikut umum digunakan (gunakan hutan terpisah dengan kepercayaan 1 arah): searchsecurity.techtarget.com/expert/KnowledgebaseAnswer/…
K. Brian Kelley
3
  • Tambahkan akun pengguna untuk setiap orang yang akan mengelola komputer
  • Konfigurasikan layanan terminal untuk memungkinkan setiap pengguna hanya satu masuk secara bersamaan
  • Tambahkan akun administrasi alternatif yang hanya digunakan jika runa tidak melayani tujuan untuk pengguna tertentu

-Adam

Adam Davis
sumber
2

Anda mungkin ingin;

  • Nonaktifkan SSL 2 (perbaiki penggunaan protokol SSL yang didepresiasi)
  • Lakukan penilaian kerentanan jaringan

Jika demikian, saya menulis artikel terperinci tentang Howto: Nonaktifkan SSL2 dan Weak Ciphers di IIS6 yang mungkin layak untuk dilihat.

Artikel ini mengambil hal-hal dari sudut pandang memenuhi persyaratan keamanan yang ditetapkan oleh Industri Kartu Pembayaran tetapi masih relevan dengan pengerasan server umum.

Jadi sekarang untuk memperbaiki penggunaan protokol SSL yang disusutkan Anda harus membaca kata Howto: Nonaktifkan SSL2 dan Weak Ciphers artikel untuk instruksi langkah-demi-langkah ATAU baca Artikel Dukungan MS # 187498 dan Anda dapat menggunakan ServerSniff untuk mengonfirmasi modifikasi Anda telah berlaku.

ps Memang Anda juga bisa menggunakan ServerSniff untuk mengkonfirmasi modifikasi yang disebutkan dalam balasan Scott.

David Christiansen
sumber
+1 Artikel bermanfaat dan ServerSniff juga terlihat sangat rapi!
Luke Quinane
1

Selain hal-hal yang telah disebutkan, saya menonaktifkan cipher SSL lemah.

EDIT: Saya menemukan petunjuk langkah demi langkah yang saya tulis beberapa tahun yang lalu.

  1. Klik Mulai, klik Jalankan, ketik regedt32 atau ketik regedit, lalu klik OK.
  2. Di Penyunting Registri, temukan kunci registri berikut: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
  3. Lakukan langkah 4 hingga 8 untuk tombol-tombol berikut: a. Cipher \ DES 56/56 b. Ciphers \ RC2 40/128 c. Ciphers \ RC4 40/128 d. Ciphers \ RC4 56/128 e. Protokol \ SSL 2.0 \ Klien f. Protokol \ SSL 2.0 \ Server
  4. Pada menu Edit, klik Tambah Nilai.
  5. Di daftar Tipe Data, klik DWORD.
  6. Di kotak Nama Nilai, ketik Diaktifkan, lalu klik OK.
  7. Ketik 00000000 di Binary Editor untuk menetapkan nilai kunci baru sama dengan "0".
  8. Klik OK.
  9. Setelah selesai memodifikasi registri, mulai ulang komputer.
Scott
sumber
Cipher mana yang khususnya?
Luke Quinane
Saya tidak dapat menemukan daftar yang tepat sekarang, tetapi SSL 2.0 dan yang lebih lemah dari 128-bit.
Scott
Saya menggali arsip saya dan menemukan petunjuk langkah demi langkah. Saya mengedit jawaban saya untuk memasukkannya.
Scott
-3

Jika mungkin mulai dengan Windows 2003 SP1 Server dan pastikan firewall internal diaktifkan kecuali Anda memiliki firewall jaringan untuk melindunginya.

Pastikan port berikut terbuka jika Anda memasang firewall: - 3389: Remote Desktop (RDP) - 80: HTTP

Opsional: - 443: HTTPS (opsional) - 25: SMTP - 110: Pop3

Keperluan:

  • Notepad ++ (seluruh editor hebat) - gratis
  • 7-Zip (menangani zip, arc, dan file terkompresi lainnya) - gratis
  • Beyond Compare v3 (perbandingan file dan FTP) - $ tetapi tidak banyak
  • Manajemen basis data
Brian Boatright
sumber
1
Maksud Anda Windows 2003 SP2, bukan? Juga, jika itu adalah server web yang ingin Anda kunci, Anda tidak ingin SMTP dan POP3 terbuka di atasnya. Anda juga tidak ingin RDP. Paling tidak, bukan pada port default.
K. Brian Kelley
1
Saya akan menghindari memuat server dengan terlalu banyak dev. sampah Anda tidak ingin mengoptimalkan untuk menghabiskan banyak waktu menggunakan server sebagai workstation, itu resep untuk kegagalan.
Wedge
masing-masing ke miliknya sendiri. jika Anda hanya memiliki satu server yang menjalankan situs web Anda memiliki beberapa alat dev adalah suatu keharusan. memiliki email dan hosting web di satu server juga. tidak semua orang membutuhkan atau mampu membeli server terpisah untuk setiap layanan.
Brian Boatright