17 votos

Lo que son las cosas "por hacer" en la protección de Windows server que se enfrenta la web?

Yo en la actualidad comienzan a implementar servidores de Windows que se enfrenta la web.

Y me gustaría saber cuáles son usted que manera de proteger sus servidores ? ¿Qué programas están utilizando ?

En Linux, estoy usando Fail2ban para prevenir la fuerza bruta y Logwatch para obtener informes diarios acerca de lo que está pasando en mis servidores. Hay equivalentes de los programas en Windows ? Si no, ¿qué me recomiendan utilizar para proteger el servidor ?

19voto

Andre Fritsche Puntos 291

En primer lugar usted necesita para pensar acerca de su diseño de la red. Sería bueno utilizar al menos una DMZ en oder para proteger la red interna. Un buen sistema de Windows para hacer público sería de Windows Server 2008 R2 si usted no quiere comprar el nuevo Server 2012. Tenemos al menos cuatro basado en windows para servidores web que funcionan perfectamente como servidores web, todos basados en el 2008 R2. Sólo asegúrese de hacer lo siguiente:

  • El uso de la DMZ (1 o 2)
  • No instale sin usar las funciones de servidor
  • Asegúrese de detener los servicios que usted no necesita
  • Asegúrese de abrir el puerto RDP (si es necesario) sólo dentro de la red interna
  • Asegúrese de mantener todos los puertos no utilizados cerrado
  • El uso de una adecuada solución de Firewall, como Cisco, Juniper o punto de control en la parte frontal del servidor
  • Mantener el servidor hasta la fecha (al menos las actualizaciones mensuales)
  • Hacen redundante (el uso de al menos dos servidores, uno para copia de seguridad)
  • Una buena monitorización: Nagios (me gusta ;-))

(opcional) Uso de Hyper-V para su servidor web y el sistema de copia de seguridad. Mucho más fácil de actualizar y comprobar si las actualizaciones no interferir con el webservice de alguna manera. En ese caso usted tendrá dos idéntico hardware de las máquinas, para tener redundancia en caso de un fallo de hardware. Pero que es bastante caro, tal vez.

Espero que ayude!

7voto

Paul Ackerman Puntos 2468

Nos podría dar una respuesta más detallada, si usted nos dice cuál es el servicio que desea ofrecer en este públicas caja de Windows. por ejemplo, IIS, OWA, DNS, etc?

Para bloquear el cuadro de abajo, empezar con vlad la respuesta de la eliminación (o no instalar para comenzar con) otros servicios/funciones en el cuadro que no serán necesarias. Esto incluye la 3ª parte de software (no de acrobat reader, flash, etc) que no debe ser utilizado en un servidor. Cualquier curso de mantener las cosas parcheado.

Configurar la política cortafuegos para permitir sólo el tráfico a los puertos adecuados para los servicios que se están ejecutando

Configurar un IDS/IPS con las reglas asociadas con los servicios que usted está ejecutando.

Dependiendo de la relación riesgo/valor de los activos, considere la posibilidad de instalar un host basado en IPS, además de su perímetro IPS de preferencia de otro proveedor.

Suponiendo que el propósito principal es alojar un sitio web, el bloqueo de IIS es significativamente menos problemas con 7.5 (2008 R2), aunque todavía debe asegurarse de que usted hacer un par de cosas tales como:

  • Sitio web de la tienda archivos en un volumen diferente de los archivos del sistema operativo
  • Agarra un XML de la plantilla de seguridad de Microsoft, NSA, etc como una línea de base
  • Eliminar o bloquear a través de NTFS todos los scripts en \InetPub\AdminScripts
  • Bloquear peligroso exe como appcmd, cmd.exe, etc
  • El uso de IPSec para controlar el tráfico entre la DMZ y autorizado a los hosts internos
  • Si usted necesita de ANUNCIOS, la utilización de un bosque en su DMZ de tu red interna
  • Asegúrese de que todos los sitios que requieren de encabezado de host valores (ayuda a prevenir el análisis automático)
  • Habilitar la auditoría de windows de todos los fallidos y exitosos eventos, excepto los siguientes eventos de éxito: Director de Acceso de Servicio, el Seguimiento de Procesos y Eventos del Sistema.
  • El uso de NTFS de auditoría en el sistema de ficheros de registro de error de acciones por el grupo Todos y asegúrese de aumentar el tamaño de su registro de seguridad de un tamaño adecuado basado en las copias de seguridad (500 mb o así)
  • HTTP habilitar el registro de la carpeta root
  • No dar innecesario de los derechos a las cuentas de usuario que está ejecutando la aplicación de las piscinas.
  • Deshacerse de ISAPI y CGI módulos si usted no los necesita.

Yo no quiero hacer esto demasiado largo así que si usted necesita o desea obtener más información sobre un determinado bala, por favor deje un comentario.

5voto

Brad Puntos 3206

Las respuestas existentes aquí son buenos, pero se olvida un aspecto crucial. ¿Qué sucede cuando el servidor no se vea comprometido?

La respuesta aquí en ServerFault cuando la gente pregunta que es casi siempre para cerrar la cuestión como un duplicado de Mi servidor ha sido hackeado de EMERGENCIA! Las instrucciones que aparecen en la parte superior respuesta allí se describe cómo encontrar la causa o el método del compromiso y de cómo restaurar desde una copia de seguridad.

Seguir las instrucciones, que deben tener un amplio registro y copias de seguridad periódicas. Usted debe tener suficiente de registro que puede utilizar para determinar lo que el atacante hizo y cuándo. Para esto, usted necesita una manera de correlacionar los archivos de registro de máquinas diferentes, y esto requiere NTP. Es posible que también desee algún tipo de registro del motor de correlación.

Tanto el registro y las copias de seguridad debe ser por lo general no se dispone de la máquina que estaba comprometida.

Una vez que usted sabe que su servidor se ha visto comprometida, se toma fuera de línea y empezar a investigar. Una vez que usted sepa cuándo y cómo el atacante consiguió, usted puede parche de la falla en la máquina de repuesto y ponerla en línea. Si la máquina de repuesto que ha puesto en peligro los datos así (porque es estar sincronizados desde el live de la máquina), entonces usted necesita para restaurar los datos desde una copia de seguridad mayores que el compromiso antes de la puesta en línea.

Su forma de trabajo a través de la anterior relacionado respuesta y ver si en realidad se puede realizar los pasos y, a continuación, añadir/cambiar las cosas hasta que pueda.

2voto

Russ Wheeler Puntos 173

Ejecutar el ASISTENTE (Asistente para Configuración de Seguridad) después de que hayas instalado, configurado y probado las funciones/aplicaciones para este servidor.

2voto

hassan.monfared Puntos 41

Después de hacer todas las recomendaciones anteriores, siga "Técnicos de Seguridad Guía de Implementación" ( STIG ) publicado por el departamento de defensa para : 1 - Windows Server ( encontrar tu versión ) 2 - Para IIS ( encontrar tu versión ) 3 - Para sitio Web ( su versión )

Aquí está la lista completa de STIGs :

http://iase.disa.mil/stigs/a-z.html

Saludos.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: