12 votos

Lista de verificación servidor web de Windows

Cuando se implementa un servidor web nuevo cuadro de lo que son el estándar de las cosas de instalar en él y hacer para configurarlo?

¿Qué cosas haces para garantizar la caja está bloqueado y no se va a poner en peligro?

Hasta ahora:

General

Red

IIS

Artículos Relacionados

6voto

K. Brian Kelley Puntos 7714

Lo que hacemos:

  • Poner en la web del servidor en la DMZ
  • Poner servidor web en un grupo de trabajo (no se le permite estar en un dominio)
  • Asegurar que todos los parches de seguridad que se aplican
  • Minimizar servicios que se están ejecutando
  • El Uso De URLScan. Servidor de quitar huellas dactilares (RemoveServerHeader=1).
  • Harden pila TCP/IP
  • Aplicar la directiva IPSEC para que sólo se permita el tráfico que queremos (listas blancas)
  • Cambiar el nombre predeterminado de cuentas para que puedan ser atacadas por las típicas secuencias de comandos/herramientas.
  • Mover directorios por defecto (InetPub, WWWRoot, etc.)
  • Minimizar las cuentas de usuario locales.
  • Todos NetBIOS es removido o deshabilitado.

2voto

Usted puede desear;

  • Deshabilitar SSL 2 (fix depreciado protocolo SSL de uso)
  • Realizar una evaluación de la vulnerabilidad de la red

Si es así, escribí un artículo sobre Cómo: Deshabilitar SSL2 y Débiles sistemas de cifrado en IIS6 que puede ser vale la pena echar un vistazo a.

En este artículo se toma las cosas desde el punto de vista de la satisfacción de los requisitos de seguridad establecidos por la Industria de Tarjetas de Pago, pero todavía es relevante para general el servidor de endurecimiento.

Así que ahora a arreglar el depreciado protocolo SSL uso debe leer dijo Howto: Deshabilitar SSL2 y Débiles sistemas de cifrado artículo paso a paso las instrucciones O leer MS Artículo de Soporte técnico de #187498 y puede utilizar ServerSniff para confirmar los cambios han surtido efecto.

p.s. De hecho, usted podría también utilizar ServerSniff para confirmar las modificaciones mencionadas en Scott respuesta.

1voto

Matthew Puntos 605

Además de lo ya mencionado, me deshabilitar débil SSL cifrados.

EDIT: he encontrado la paso por paso las instrucciones que escribí hace un par de años.

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedt32 o escriba regedit y, a continuación, haga clic en ACEPTAR.
  2. En el Editor del Registro, busque la siguiente clave del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Realice los pasos 4 a 8 para las siguientes claves: una. Sistemas de cifrado\DES 56/56 b. Sistemas de cifrado\RC2 40/128 c. Sistemas de cifrado\RC4 40/128 d. Sistemas de cifrado\RC4 56/128 e. Protocolos\SSL 2.0\Cliente f. Protocolos\SSL 2.0\Server
  4. En el menú Edición, haga clic en Agregar Valor.
  5. En la lista Tipo de Datos, haga clic en valor DWORD.
  6. En el cuadro Nombre de Valor, escriba Habilitado y, a continuación, haga clic en ACEPTAR.
  7. Tipo 00000000 en el Editor Binario para establecer el valor de la nueva clave igual a "0".
  8. Haga clic en ACEPTAR.
  9. Cuando haya terminado de modificar el registro, reinicie el equipo.

0voto

JaanusSiim Puntos 1444
  • Agregar cuentas de usuario para cada persona que administrará la computadora
  • Configurar servicios de terminales Server para permitir que cada usuario concurrente sólo una firma en
  • Agregar cuentas de administración alternativa que sólo se utilizan si runas no sirven para un usuario determinado

-Adam

-3voto

AnonJr Puntos 111

Si es posible iniciar con Windows Server 2003 SP1 y asegúrese de que el firewall está activado, a menos que usted tiene un firewall de red para protegerla.

Asegúrese de que los siguientes puertos están abiertos si ha configurado el firewall: - 3389 : Escritorio Remoto (RDP) - 80 : HTTP

Opcional: - 443 : HTTPS (opcional) - 25 : SMTP - 110 : Pop3

Utilidades:

  • Notepad++ (todos en torno a una gran editor) - gratis
  • 7-Zip (tiradores de cremallera,arco, y otros archivos comprimidos) - gratis
  • Más allá de Comparar v3 (comparación de archivos y FTP) - $ pero no mucho
  • Administración de base de datos

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: