สิ่งที่ "ต้องทำ" ในการปกป้องเซิร์ฟเวอร์ Windows ที่เผชิญกับเว็บคืออะไร

ฉันเริ่มปรับใช้เซิร์ฟเวอร์ Windows ที่หันหน้าเข้าหาเว็บ

และฉันอยากจะรู้ว่าคุณมีวิธีปกป้องเซิร์ฟเวอร์ของคุณอย่างไร? คุณใช้โปรแกรมอะไร

บน Linux ฉันใช้ Fail2ban เพื่อป้องกัน bruteforce และ Logwatch เพื่อรับรายงานรายวันเกี่ยวกับสิ่งที่เกิดขึ้นบนเซิร์ฟเวอร์ของฉัน มีซอฟต์แวร์ใด ๆ ที่เทียบเท่าบน Windows หรือไม่? ถ้าไม่คุณแนะนำให้ใช้สิ่งใดเพื่อปกป้องเซิร์ฟเวอร์

ก่อนอื่นคุณต้องคิดถึงการออกแบบเครือข่ายของคุณ ควรใช้ DMZ อย่างน้อยหนึ่งตัวเพื่อป้องกันเครือข่ายภายใน ระบบ Windows ที่ดีสำหรับสาธารณะ beeing จะเป็น Windows Server 2008 R2 หากคุณไม่ต้องการซื้อเซิร์ฟเวอร์ 2012 ใหม่ เรามี webservers ที่ใช้ windows อย่างน้อยสี่ตัวซึ่งทำงานได้อย่างสมบูรณ์แบบเหมือน webservers ทั้งหมดนี้ใช้ 2008 R2 เพียงให้แน่ใจว่าได้ทำต่อไปนี้:

• ใช้ DMZ (1 หรือ 2)
• อย่าติดตั้งบทบาทเซิร์ฟเวอร์ที่ไม่ได้ใช้
• อย่าหยุดบริการที่คุณไม่ต้องการ
• ตรวจสอบให้แน่ใจว่าได้เปิดพอร์ต RDP (หากจำเป็น) ในเครือข่ายภายในเท่านั้น
• ตรวจสอบให้แน่ใจว่าได้ปิดพอร์ตที่ไม่ได้ใช้ทั้งหมดแล้ว
• ใช้โซลูชันไฟร์วอลล์ที่เหมาะสมเช่น Cisco, Juniper หรือ Checkpoint หน้าเซิร์ฟเวอร์
• ปรับปรุงเซิร์ฟเวอร์ของคุณให้ทันสมัย ​​(อย่างน้อยอัพเดตรายเดือน)
• ทำให้ซ้ำซ้อน (ใช้อย่างน้อยสองเซิร์ฟเวอร์หนึ่งเซิร์ฟเวอร์สำหรับการสำรองข้อมูล)
• ตรวจสอบได้ดี: Nagios (ฉันชอบ ;-))

(ไม่บังคับ) ใช้ Hyper-V สำหรับเว็บเซิร์ฟเวอร์ของคุณและเป็นระบบสำรองข้อมูล ง่ายกว่าในการอัปเดตและตรวจสอบว่าการอัพเดตของคุณไม่รบกวนการบริการเว็บด้วยวิธีใด ในกรณีดังกล่าวคุณจะต้องใช้เครื่องฮาร์ดแวร์สองเครื่องเหมือนกันเพื่อให้เกิดความซ้ำซ้อนในกรณีที่เกิดความผิดพลาดของฮาร์ดแวร์ แต่นั่นอาจมีราคาแพง

หวังว่ามันจะช่วยคุณ!

เราสามารถให้คำตอบอย่างละเอียดยิ่งขึ้นถ้าคุณบอกเราว่าคุณต้องการให้บริการใดในกล่องสาธารณะที่หันหน้าไปทาง Windows เช่น IIS, OWA, DNS เป็นต้น

หากต้องการล็อคกล่องให้เริ่มด้วยคำตอบของ vlad โดยลบ (หรือไม่ติดตั้งเพื่อเริ่มต้นด้วย) บริการ / บทบาทเพิ่มเติมใด ๆ ในกล่องที่ไม่ต้องการ ซึ่งรวมถึงซอฟต์แวร์ของบุคคลที่สาม (ไม่มีตัวอ่าน acrobat, แฟลช ฯลฯ ) ที่ไม่ควรใช้บนเซิร์ฟเวอร์ แน่นอนว่าจะมีการแก้ไขสิ่งต่าง ๆ

กำหนดค่านโยบายไฟร์วอลล์ของคุณเพื่ออนุญาตการรับส่งข้อมูลไปยังพอร์ตที่เหมาะสมสำหรับบริการที่คุณกำลังเรียกใช้

กำหนดค่า IDS / IPS พร้อมกฎที่เกี่ยวข้องกับบริการที่คุณใช้งาน

ขึ้นอยู่กับความเสี่ยง / มูลค่าของสินทรัพย์ให้พิจารณาติดตั้ง IPS ที่ใช้โฮสต์นอกเหนือจาก IPS ในขอบเขตที่คุณต้องการจากผู้จำหน่ายรายอื่น

สมมติว่าจุดประสงค์หลักคือการโฮสต์เว็บไซต์การล็อก IIS มีปัญหาน้อยกว่าอย่างมากกับ 7.5 (2008 R2) ถึงแม้ว่าคุณควรจะแน่ใจว่าคุณทำบางสิ่งเช่น:

• จัดเก็บไฟล์เว็บไซต์ในปริมาณที่แตกต่างจากไฟล์ OS
• หยิบเทมเพลตความปลอดภัย XML จาก Microsoft, NSA และอื่น ๆ เป็นพื้นฐาน
• ลบหรือล็อคลงผ่าน NTFS สคริปต์ทั้งหมดใน \InetPub\AdminScripts
• ล็อค exe อันตรายไว้เช่น appcmd, cmd.exe เป็นต้น
• ใช้ IPSec เพื่อควบคุมการรับส่งข้อมูลระหว่าง DMZ และโฮสต์ภายในที่ได้รับอนุญาต
• หากคุณต้องการโฆษณาให้ใช้ฟอเรสต์แยกต่างหากใน DMZ ของคุณมากกว่าเครือข่ายภายในของคุณ
• ตรวจสอบให้แน่ใจว่าไซต์ทั้งหมดต้องการค่าส่วนหัวของโฮสต์ (ช่วยป้องกันการสแกนอัตโนมัติ)
• เปิดใช้งานการตรวจสอบ windows ของเหตุการณ์ที่ล้มเหลวและสำเร็จทั้งหมดยกเว้นเหตุการณ์ที่ประสบความสำเร็จต่อไปนี้: การเข้าถึงบริการผู้อำนวยการ, การติดตามกระบวนการและกิจกรรมระบบ
• ใช้การตรวจสอบ NTFS บนระบบไฟล์เพื่อบันทึกการกระทำที่ล้มเหลวโดยกลุ่ม Everyone และให้แน่ใจว่าได้เพิ่มขนาดของบันทึกความปลอดภัยของคุณให้มีขนาดที่เหมาะสมตามการสำรองข้อมูล (500Mb หรือมากกว่านั้น)
• เปิดใช้งานการบันทึก HTTP สำหรับโฟลเดอร์รูท
• อย่าให้สิทธิ์ที่ไม่จำเป็นกับบัญชีผู้ใช้ที่กำลังเรียกใช้พูลแอพ
• กำจัดโมดูล ISAPI และ CGI หากคุณไม่ต้องการ

ฉันไม่ต้องการทำให้นานเกินไปดังนั้นหากคุณต้องการ / ต้องการข้อมูลเพิ่มเติมเกี่ยวกับสัญลักษณ์แสดงหัวข้อโปรดกรุณาแสดงความคิดเห็น

คำตอบที่มีอยู่ที่นี่ดี แต่พวกเขาพลาดแง่มุมที่สำคัญอย่างหนึ่ง เกิดอะไรขึ้นเมื่อเซิร์ฟเวอร์ของคุณไม่ได้รับการบุกรุก

คำตอบที่นี่ใน ServerFault เมื่อมีคนถามว่าเกือบจะตลอดเวลาที่จะปิดคำถามเป็นซ้ำของเซิร์ฟเวอร์ของฉันถูกแฮ็คเหตุฉุกเฉิน! คำแนะนำในคำตอบด้านบนนั้นอธิบายถึงวิธีการค้นหาสาเหตุ / วิธีการประนีประนอมและวิธีการกู้คืนจากการสำรองข้อมูล

หากต้องการทำตามคำแนะนำเหล่านี้คุณต้องมีการบันทึกและสำรองข้อมูลอย่างสม่ำเสมอ คุณต้องมีการบันทึกเพียงพอที่คุณสามารถใช้เพื่อกำหนดว่าผู้โจมตีทำอะไรและเมื่อใด สำหรับสิ่งนี้คุณต้องการวิธีการเชื่อมโยงไฟล์บันทึกจากเครื่องต่าง ๆ และสิ่งนี้จำเป็นต้องใช้ NTP คุณอาจต้องการเครื่องมือเอนจินการบันทึกบางอย่าง

ทั้งการบันทึกและการสำรองข้อมูลควรโดยทั่วไปไม่สามารถใช้งานได้จากเครื่องที่ถูกบุกรุก

เมื่อคุณรู้ว่าเซิร์ฟเวอร์ของคุณถูกบุกรุกคุณจะออฟไลน์และเริ่มตรวจสอบ เมื่อคุณรู้ว่าผู้โจมตีได้รับเมื่อไหร่และอย่างไรคุณสามารถแก้ไขข้อบกพร่องบนเครื่องสำรองแล้วนำมาออนไลน์ได้ หากเครื่องสำรองมีข้อมูลที่ถูกบุกรุกเช่นกัน (เพราะมันถูกซิงโครไนซ์จากเครื่องถ่ายทอดสด) คุณจำเป็นต้องกู้คืนข้อมูลจากการสำรองข้อมูลที่เก่ากว่าการประนีประนอมก่อนนำมาออนไลน์

ใช้วิธีของคุณผ่านคำตอบที่เชื่อมโยงไว้ข้างต้นและดูว่าคุณสามารถทำตามขั้นตอนจริงหรือไม่จากนั้นเพิ่ม / เปลี่ยนแปลงสิ่งต่างๆจนกว่าคุณจะทำได้

เรียกใช้ SCW (ตัวช่วยสร้างการกำหนดค่าความปลอดภัย) หลังจากที่คุณติดตั้งกำหนดค่าและทดสอบบทบาท / แอปพลิเคชันสำหรับเซิร์ฟเวอร์นี้

หลังจากทำตามคำแนะนำทั้งหมดข้างต้นแล้วให้ทำตาม "คู่มือแนะนำการใช้งานเทคนิคความปลอดภัย" (STIG) ที่เผยแพร่โดย DoD สำหรับ: 1- เซิร์ฟเวอร์ Windows (ค้นหารุ่นของคุณ) 2- สำหรับ IIS (ค้นหารุ่นของคุณ) 3- สำหรับเว็บไซต์ (ค้นหารุ่นของคุณ)

นี่คือรายการ STIG ทั้งหมด:

http://iase.disa.mil/stigs/az.html

ความนับถือ.