Saat ini saya mulai menggunakan server Windows yang menghadap web.
Dan saya ingin tahu apa cara Anda melindungi server Anda? Software apa yang Anda gunakan?
Di Linux, saya menggunakan Fail2ban untuk mencegah bruteforce dan Logwatch mendapatkan laporan harian tentang apa yang terjadi di server saya. Apakah ada setara dengan perangkat lunak pada Windows? Jika tidak, apa yang Anda rekomendasikan untuk digunakan untuk melindungi server?
windows
security
web-server
iis-7.5
Kedare
sumber
sumber
Jawaban:
Pertama-tama, Anda perlu memikirkan desain jaringan Anda. Akan lebih baik menggunakan setidaknya satu DMZ di server untuk melindungi jaringan internal. Sistem Windows yang baik untuk publik adalah Windows Server 2008 R2 jika Anda tidak ingin membeli Server 2012 yang baru. Kami memiliki setidaknya empat webservers berbasis windows yang berfungsi sempurna sebagai webservers, semuanya berdasarkan 2008 R2. Pastikan untuk melakukan hal berikut:
(opsional) Gunakan Hyper-V untuk server web Anda dan sistem cadangannya. Jauh lebih mudah untuk memperbarui dan memeriksa apakah pembaruan Anda tidak mengganggu layanan web. Dalam hal ini Anda akan membutuhkan dua mesin perangkat keras yang sama untuk memiliki redundansi jika terjadi kesalahan perangkat keras. Tapi itu mungkin cukup mahal.
Semoga ini bisa membantu Anda!
sumber
Kami dapat memberi Anda jawaban yang lebih terperinci jika Anda memberi tahu kami layanan apa yang ingin Anda berikan pada kotak Windows yang menghadap publik ini. misalnya IIS, OWA, DNS, dll?
Untuk mengunci kotak itu sendiri, mulailah dengan jawaban vlad dengan menghapus (atau tidak memasang untuk memulai) layanan / peran tambahan apa pun pada kotak yang tidak diperlukan. Ini termasuk perangkat lunak pihak ke-3 (tidak ada pembaca acrobat, flash, dll) yang tidak boleh digunakan di server. Tentu saja semuanya tetap ditambal.
Konfigurasikan kebijakan firewall Anda untuk hanya mengizinkan lalu lintas ke port yang sesuai untuk layanan yang Anda jalankan
Konfigurasikan IDS / IPS dengan aturan yang terkait dengan layanan yang Anda jalankan.
Bergantung pada risiko / nilai aset, pertimbangkan untuk memasang IPS berbasis host selain IPS perimeter Anda, lebih disukai dari vendor lain.
Dengan asumsi tujuan utama adalah untuk meng-host situs web, mengunci IIS secara signifikan lebih sedikit masalah dengan 7.5 (2008 R2) meskipun Anda harus tetap memastikan bahwa Anda melakukan beberapa hal seperti:
\InetPub\AdminScripts
Saya tidak ingin membuat ini terlalu lama jadi jika Anda perlu / ingin info lebih lanjut tentang peluru tertentu, silakan tinggalkan komentar.
sumber
Jawaban yang ada di sini baik tetapi mereka kehilangan satu aspek penting. Apa yang terjadi ketika server Anda dikompromikan?
Jawabannya di sini di ServerFault ketika orang bertanya yang hampir selalu menutup pertanyaan sebagai duplikat server saya telah diretas DARURAT! Petunjuk dalam jawaban teratas di sana menjelaskan cara menemukan penyebab / metode kompromi dan cara memulihkan dari cadangan.
Untuk mengikuti instruksi tersebut, Anda harus memiliki pencatatan ekstensif dan pencadangan reguler. Anda harus memiliki cukup pencatatan yang dapat Anda gunakan untuk menentukan apa yang dilakukan penyerang dan kapan. Untuk ini, Anda memerlukan cara menghubungkan file log dari mesin yang berbeda, dan ini mengharuskan NTP. Anda mungkin juga menginginkan semacam mesin korelasi log.
Baik pencatatan dan cadangan umumnya tidak tersedia dari mesin yang dikompromikan.
Setelah Anda tahu server Anda telah dikompromikan, Anda membuatnya offline dan mulai menyelidiki. Setelah Anda tahu kapan dan bagaimana penyerang mendapatkannya, Anda dapat menambal cacat pada mesin cadangan dan membawanya online. Jika mesin cadangan juga telah mengkompromikan data (karena sedang disinkronkan dari mesin langsung) maka Anda perlu mengembalikan data dari cadangan yang lebih lama dari kompromi sebelum membawanya online.
Kerjakan cara Anda melalui jawaban yang ditautkan di atas dan lihat apakah Anda benar-benar dapat melakukan langkah-langkah, dan kemudian tambahkan / ubah hal-hal sampai Anda bisa.
sumber
Jalankan SCW (Security Configuration Wizard) setelah Anda menginstal, mengkonfigurasi dan menguji peran / aplikasi untuk server ini.
sumber
Setelah melakukan semua rekomendasi di atas, ikuti "Panduan Implementasi Teknis Keamanan" (STIG) yang diterbitkan oleh DoD untuk: 1- Windows Server (temukan versi Anda) 2- Untuk IIS (temukan versi Anda) 3- Untuk Situs Web (temukan versi Anda)
Berikut daftar lengkap STIG:
http://iase.disa.mil/stigs/az.html
Salam.
sumber