เมื่อคุณปรับใช้กล่องเว็บเซิร์ฟเวอร์ใหม่อะไรคือสิ่งมาตรฐานที่คุณติดตั้งลงไปและทำเพื่อตั้งค่า?

คุณทำอะไรเพื่อให้แน่ใจว่ากล่องถูกล็อคและจะไม่ถูกบุกรุก?

จนถึงตอนนี้:

ทั่วไป

• ใช้แพตช์รักษาความปลอดภัย ฯลฯ
• เรียกใช้ตัววิเคราะห์ความปลอดภัยพื้นฐาน Microsfot (MBSA)
• ปิดการใช้งานอัลกอริทึมการเข้ารหัสที่อ่อนแอ - Scottโปรดดูบทความของ David Christiansen และเว็บไซต์serversniff.com

เครือข่าย

• Harden TCP / IP stack - K. Brian Kelley
• รายการทราฟฟิกรายการที่มีนโยบาย IPSEC
• NetBIOS ทั้งหมดถูกลบหรือปิดการใช้งาน
• ใส่เว็บเซิร์ฟเวอร์ในเวิร์กกรุ๊ป (ไม่ได้รับอนุญาตให้อยู่ในโดเมน)
• ใช้DMZ

IIS

• ติดตั้งUrlScan
• เรียกใช้IIS lockdown

บทความที่เกี่ยวข้อง

• รายการตรวจสอบการผลิต ASP.net
• สิ่งที่นักพัฒนาควรรู้ก่อนสร้างเว็บไซต์สาธารณะ

เราทำอะไร:

• ใส่เว็บเซิร์ฟเวอร์ใน DMZ
• ใส่เว็บเซิร์ฟเวอร์ในเวิร์กกรุ๊ป (ไม่ได้รับอนุญาตให้อยู่ในโดเมน)
• ตรวจสอบให้แน่ใจว่าได้ใช้โปรแกรมเสริมความปลอดภัยทั้งหมด
• ลดบริการที่กำลังทำงานอยู่ให้เล็กสุด
• ใช้ URLScan ลบลายนิ้วมือเซิร์ฟเวอร์ (RemoveServerHeader = 1)
• Harden TCP / IP stack
• ใช้นโยบาย IPSECเพื่ออนุญาตการรับส่งข้อมูลที่เราต้องการ (รายการที่อนุญาต)
• เปลี่ยนชื่อบัญชีเริ่มต้นเพื่อให้สามารถกำหนดเป้าหมายโดยสคริปต์ / เครื่องมือทั่วไป
• ย้ายไดเรกทอรีเริ่มต้น (InetPub, WWWRoot ฯลฯ )
• ลดบัญชีผู้ใช้ท้องถิ่น
• NetBIOS ทั้งหมดถูกลบหรือปิดการใช้งาน

• เพิ่มบัญชีผู้ใช้สำหรับแต่ละคนที่จะดูแลคอมพิวเตอร์
• กำหนดค่าบริการเทอร์มินัลเพื่ออนุญาตให้ผู้ใช้แต่ละคนมีเพียงหนึ่งการลงชื่อพร้อมกันบน
• เพิ่มบัญชีผู้ดูแลระบบสำรองที่ใช้เฉพาะในกรณีที่ runas ไม่ได้ให้บริการตามวัตถุประสงค์สำหรับผู้ใช้ที่ระบุ

อดัม

คุณอาจต้องการ;

• ปิดใช้งาน SSL 2 (แก้ไขการใช้โปรโตคอล SSL ที่คิดค่าเสื่อมราคา)
• ทำการประเมินความเสี่ยงของเครือข่าย

ถ้าเป็นเช่นนั้นฉันเขียนบทความโดยละเอียดเกี่ยวกับHowto: Disable SSL2 และ Weak Ciphers บน IIS6ซึ่งอาจคุ้มค่าที่จะดู

บทความนี้นำสิ่งต่าง ๆ จากมุมมองของการตอบสนองความต้องการด้านความปลอดภัยที่กำหนดโดยอุตสาหกรรมบัตรชำระเงิน แต่ยังเกี่ยวข้องกับการทำให้แข็งเซิร์ฟเวอร์ทั่วไป

ดังนั้นเพื่อแก้ไขการใช้โปรโตคอล SSL ที่คิดค่าเสื่อมราคาคุณควรอ่านHowto: ปิดการใช้งานบทความ SSL2 และ Weak Ciphersสำหรับคำแนะนำทีละขั้นตอนหรืออ่านบทความสนับสนุน MS # 187498และคุณสามารถใช้ServerSniffเพื่อยืนยันว่าการแก้ไขของคุณมีผล

ps แน่นอนคุณสามารถใช้ ServerSniff เพื่อยืนยันการแก้ไขที่กล่าวถึงในคำตอบของ Scott

นอกจากสิ่งที่กล่าวถึงแล้วฉันปิดการใช้งาน ciphers SSL ที่อ่อนแอ

แก้ไข: ฉันพบคำแนะนำทีละขั้นตอนที่ฉันเขียนไม่กี่ปีที่ผ่านมา

1. คลิกเริ่มคลิกเรียกใช้พิมพ์ regedt32 หรือพิมพ์ regedit แล้วคลิกตกลง
2. ในตัวแก้ไขรีจิสทรีค้นหาคีย์รีจิสทรีต่อไปนี้: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
3. ทำตามขั้นตอนที่ 4 ถึง 8 สำหรับคีย์ต่อไปนี้: เลขศูนย์ \ DES 56/56 b. Ciphers \ RC2 40/128 c Ciphers \ RC4 40/128 d Ciphers \ RC4 56/128 e โปรโตคอล \ SSL 2.0 \ ไคลเอ็นต์ f Protocols \ SSL 2.0 \ Server
4. บนเมนูแก้ไขคลิกเพิ่มค่า
5. ในรายการ Data Type คลิก DWORD
6. ในกล่องชื่อค่าพิมพ์เปิดใช้งานแล้วคลิกตกลง
7. พิมพ์ 00000000 ใน Binary Editor เพื่อตั้งค่าของคีย์ใหม่เท่ากับ“ 0”
8. คลิกตกลง
9. เมื่อคุณแก้ไขรีจิสทรีเสร็จแล้วให้รีสตาร์ทคอมพิวเตอร์

หากเป็นไปได้เริ่มต้นด้วยเซิร์ฟเวอร์ Windows 2003 SP1 และตรวจสอบว่าไฟร์วอลล์ในตัวเปิดอยู่เว้นแต่ว่าคุณมีไฟร์วอลล์เครือข่ายเพื่อป้องกัน

ตรวจสอบให้แน่ใจว่าพอร์ตต่อไปนี้เปิดอยู่หากคุณติดตั้งไฟร์วอลล์: - 3389: Remote Desktop (RDP) - 80: HTTP

ทางเลือก: - 443: HTTPS (ตัวเลือก) - 25: SMTP - 110: Pop3

สาธารณูปโภค:

• Notepad ++ (ตัวแก้ไขที่ยอดเยี่ยม) - ฟรี
• 7-Zip (จัดการไฟล์ zip, arc และไฟล์บีบอัดอื่น ๆ ) - ฟรี
• นอกเหนือจากการเปรียบเทียบ v3 (การเปรียบเทียบไฟล์และ FTP) - $ แต่ไม่มาก
• การจัดการฐานข้อมูล