Apa "yang harus dilakukan" pada melindungi server Windows yang menghadap web?

Saat ini saya mulai menggunakan server Windows yang menghadap web.

Dan saya ingin tahu apa cara Anda melindungi server Anda? Software apa yang Anda gunakan?

Di Linux, saya menggunakan Fail2ban untuk mencegah bruteforce dan Logwatch mendapatkan laporan harian tentang apa yang terjadi di server saya. Apakah ada setara dengan perangkat lunak pada Windows? Jika tidak, apa yang Anda rekomendasikan untuk digunakan untuk melindungi server?

Pertama-tama, Anda perlu memikirkan desain jaringan Anda. Akan lebih baik menggunakan setidaknya satu DMZ di server untuk melindungi jaringan internal. Sistem Windows yang baik untuk publik adalah Windows Server 2008 R2 jika Anda tidak ingin membeli Server 2012 yang baru. Kami memiliki setidaknya empat webservers berbasis windows yang berfungsi sempurna sebagai webservers, semuanya berdasarkan 2008 R2. Pastikan untuk melakukan hal berikut:

• Gunakan DMZ (1 atau 2)
• Jangan menginstal peran server yang tidak digunakan
• Pastikan untuk menghentikan layanan yang tidak Anda perlukan
• Pastikan untuk membuka port RDP (jika perlu) hanya ke jaringan internal
• Pastikan untuk menutup semua port yang tidak digunakan
• Gunakan solusi Firewall yang tepat seperti Cisco, Juniper atau Checkpoint di depan server
• Perbarui server Anda (setidaknya pembaruan bulanan)
• Jadikan redundan (gunakan setidaknya dua server, satu untuk cadangan)
• Pemantauan yang baik: Nagios (Saya suka ;-))

(opsional) Gunakan Hyper-V untuk server web Anda dan sistem cadangannya. Jauh lebih mudah untuk memperbarui dan memeriksa apakah pembaruan Anda tidak mengganggu layanan web. Dalam hal ini Anda akan membutuhkan dua mesin perangkat keras yang sama untuk memiliki redundansi jika terjadi kesalahan perangkat keras. Tapi itu mungkin cukup mahal.

Semoga ini bisa membantu Anda!

Kami dapat memberi Anda jawaban yang lebih terperinci jika Anda memberi tahu kami layanan apa yang ingin Anda berikan pada kotak Windows yang menghadap publik ini. misalnya IIS, OWA, DNS, dll?

Untuk mengunci kotak itu sendiri, mulailah dengan jawaban vlad dengan menghapus (atau tidak memasang untuk memulai) layanan / peran tambahan apa pun pada kotak yang tidak diperlukan. Ini termasuk perangkat lunak pihak ke-3 (tidak ada pembaca acrobat, flash, dll) yang tidak boleh digunakan di server. Tentu saja semuanya tetap ditambal.

Konfigurasikan kebijakan firewall Anda untuk hanya mengizinkan lalu lintas ke port yang sesuai untuk layanan yang Anda jalankan

Konfigurasikan IDS / IPS dengan aturan yang terkait dengan layanan yang Anda jalankan.

Bergantung pada risiko / nilai aset, pertimbangkan untuk memasang IPS berbasis host selain IPS perimeter Anda, lebih disukai dari vendor lain.

Dengan asumsi tujuan utama adalah untuk meng-host situs web, mengunci IIS secara signifikan lebih sedikit masalah dengan 7.5 (2008 R2) meskipun Anda harus tetap memastikan bahwa Anda melakukan beberapa hal seperti:

• Simpan file situs web pada volume yang berbeda dari file OS
• Ambil templat keamanan XML dari Microsoft, NSA, dll sebagai baseline
• Hapus atau kunci melalui NTFS semua skrip di \InetPub\AdminScripts
• Mengunci exe berbahaya seperti appcmd, cmd.exe, dll
• Gunakan IPSec untuk mengontrol lalu lintas antara DMZ dan host internal resmi
• Jika Anda membutuhkan AD, gunakan hutan terpisah di DMZ Anda dari jaringan internal Anda
• Pastikan semua situs memerlukan nilai tajuk host (membantu mencegah pemindaian otomatis)
• Aktifkan audit windows untuk semua acara yang gagal dan berhasil kecuali acara sukses berikut: Akses Layanan Direktur, Pelacakan Proses, dan Acara Sistem.
• Gunakan audit NTFS pada sistem file untuk mencatat tindakan yang gagal oleh grup Semua orang dan pastikan untuk meningkatkan ukuran log keamanan Anda ke ukuran yang sesuai berdasarkan cadangan (500MB atau lebih)
• Aktifkan HTTP logging untuk folder root
• Jangan memberikan hak yang tidak perlu ke akun pengguna yang menjalankan kumpulan aplikasi.
• Singkirkan modul ISAPI dan CGI jika Anda tidak membutuhkannya.

Saya tidak ingin membuat ini terlalu lama jadi jika Anda perlu / ingin info lebih lanjut tentang peluru tertentu, silakan tinggalkan komentar.

Jawaban yang ada di sini baik tetapi mereka kehilangan satu aspek penting. Apa yang terjadi ketika server Anda dikompromikan?

Jawabannya di sini di ServerFault ketika orang bertanya yang hampir selalu menutup pertanyaan sebagai duplikat server saya telah diretas DARURAT! Petunjuk dalam jawaban teratas di sana menjelaskan cara menemukan penyebab / metode kompromi dan cara memulihkan dari cadangan.

Untuk mengikuti instruksi tersebut, Anda harus memiliki pencatatan ekstensif dan pencadangan reguler. Anda harus memiliki cukup pencatatan yang dapat Anda gunakan untuk menentukan apa yang dilakukan penyerang dan kapan. Untuk ini, Anda memerlukan cara menghubungkan file log dari mesin yang berbeda, dan ini mengharuskan NTP. Anda mungkin juga menginginkan semacam mesin korelasi log.

Baik pencatatan dan cadangan umumnya tidak tersedia dari mesin yang dikompromikan.

Setelah Anda tahu server Anda telah dikompromikan, Anda membuatnya offline dan mulai menyelidiki. Setelah Anda tahu kapan dan bagaimana penyerang mendapatkannya, Anda dapat menambal cacat pada mesin cadangan dan membawanya online. Jika mesin cadangan juga telah mengkompromikan data (karena sedang disinkronkan dari mesin langsung) maka Anda perlu mengembalikan data dari cadangan yang lebih lama dari kompromi sebelum membawanya online.

Kerjakan cara Anda melalui jawaban yang ditautkan di atas dan lihat apakah Anda benar-benar dapat melakukan langkah-langkah, dan kemudian tambahkan / ubah hal-hal sampai Anda bisa.

Jalankan SCW (Security Configuration Wizard) setelah Anda menginstal, mengkonfigurasi dan menguji peran / aplikasi untuk server ini.

Setelah melakukan semua rekomendasi di atas, ikuti "Panduan Implementasi Teknis Keamanan" (STIG) yang diterbitkan oleh DoD untuk: 1- Windows Server (temukan versi Anda) 2- Untuk IIS (temukan versi Anda) 3- Untuk Situs Web (temukan versi Anda)

Berikut daftar lengkap STIG:

http://iase.disa.mil/stigs/az.html

Salam.