Windows-Webserver-Checkliste

12

Wenn Sie eine neue Webserver-Box bereitstellen, was sind die Standardsachen, die Sie darauf installieren und zum Einrichten ausführen?

Was tun Sie, um sicherzustellen, dass die Box gesperrt ist und keine Kompromisse eingeht?

Bisher:

Allgemeines

Netzwerk

IIS

In Verbindung stehende Artikel

windows  iis 
Luke Quinane
quelle
1
Ist dies ein Internet-Server oder nicht?
K. Brian Kelley
Ja, ich dachte an einen Internet-Server.
Luke Quinane

Antworten:

6

Was wir tun:

  • Setzen Sie den Webserver in die DMZ
  • Webserver in eine Arbeitsgruppe stellen (darf sich nicht in einer Domäne befinden)
  • Stellen Sie sicher, dass alle Sicherheitspatches angewendet werden
  • Minimieren Sie ausgeführte Dienste
  • Verwenden Sie URLScan . Serverfingerabdruck entfernen (RemoveServerHeader = 1).
  • TCP / IP-Stapel sichern
  • Wenden Sie die IPSEC-Richtlinie an, um nur den von uns gewünschten Datenverkehr zuzulassen (Whitelisting).
  • Benennen Sie die Standardkonten um, damit typische Skripte / Tools auf sie zugreifen können.
  • Standardverzeichnisse verschieben (InetPub, WWWRoot usw.)
  • Minimieren Sie lokale Benutzerkonten.
  • Alles NetBIOS wird entfernt oder deaktiviert.
K. Brian Kelley
quelle
Nette Liste, aber können Sie Hinweise auf die Gründe geben, warum Webserver nicht in eine Domain eingebunden werden? Handelt es sich um eine bewährte Methode oder einfach um eine interne Richtlinie.
David Christiansen
Befindet sich ein Webserver in der Domäne, müssen LDAP, globaler Katalog, Ports usw. für mindestens einen Domänencontroller geöffnet sein. Wenn Sie den Webserver gefährden können, können Sie den DC daher direkt angreifen. Wenn Sie ein paar Minuten darüber nachdenken, werden Sie verstehen, warum generell dagegen geraten wird. Wenn Sie die Domain-Route ausführen
K. Brian Kelley
3
  • Fügen Sie Benutzerkonten für jede Person hinzu, die den Computer verwalten wird
  • Konfigurieren Sie die Terminaldienste so, dass sich jeder Benutzer nur einmal gleichzeitig anmeldet
  • Fügen Sie alternative Administrationskonten hinzu, die nur verwendet werden, wenn Runas für einen bestimmten Benutzer nicht den Zweck erfüllen

-Adam

Adam Davis
quelle
2

Sie möchten vielleicht;

  • SSL 2 deaktivieren (veraltete SSL-Protokollnutzung korrigieren)
  • Führen Sie eine Bewertung der Netzwerkanfälligkeit durch

Wenn ja, schrieb ich einen ausführlichen Artikel über Howto: Deaktivieren von SSL2 und schwachen Chiffren auf IIS6, der einen Blick wert sein könnte.

Dieser Artikel behandelt die Sicherheitsanforderungen der Payment Card Industry, ist jedoch weiterhin relevant für die allgemeine Server-Absicherung.

Um die veraltete Verwendung des SSL-Protokolls zu beheben, lesen Sie entweder den Artikel " Howto: SSL2 und schwache Verschlüsselungen deaktivieren" mit schrittweisen Anweisungen, ODER lesen Sie den MS Support-Artikel Nr. 187498, und verwenden Sie ServerSniff , um zu bestätigen, dass Ihre Änderungen wirksam wurden.

ps Tatsächlich könnten Sie auch ServerSniff verwenden, um die in Scotts Antwort erwähnten Änderungen zu bestätigen.

David Christiansen
quelle
+1 Handy-Artikel und ServerSniff sieht auch ziemlich gut aus!
Luke Quinane
1

Zusätzlich zu den bereits erwähnten Dingen deaktiviere ich schwache SSL-Verschlüsselungen.

EDIT: Ich habe die Schritt-für-Schritt-Anleitung gefunden, die ich vor ein paar Jahren geschrieben habe.

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Regedt32 oder Regedit ein, und klicken Sie dann auf OK.
  2. Suchen Sie im Registrierungseditor den folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
  3. Führen Sie die Schritte 4 bis 8 für die folgenden Tasten aus: a. Chiffren \ DES 56/56 b. Chiffren \ RC2 40/128 c. Chiffren \ RC4 40/128 d. Chiffren \ RC4 56/128 e. Protokolle \ SSL 2.0 \ Client f. Protokolle \ SSL 2.0 \ Server
  4. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen.
  5. Klicken Sie in der Liste Datentyp auf DWORD.
  6. Geben Sie in das Feld Wertname Aktiviert und klicken Sie dann auf OK.
  7. Geben Sie 00000000 im Binäreditor ein, um den Wert des neuen Schlüssels auf "0" zu setzen.
  8. OK klicken.
  9. Nachdem Sie die Registrierung geändert haben, starten Sie den Computer neu.
Scott
quelle
Welche Chiffren im Besonderen?
Luke Quinane
Ich kann die genaue Liste derzeit nicht finden, aber SSL 2.0 und alles, was schwächer als 128-Bit ist.
Scott
Ich stöberte in meinen Archiven herum und fand die Schritt-für-Schritt-Anleitung. Ich habe meine Antwort bearbeitet, um sie einzuschließen.
Scott
-3

Starten Sie nach Möglichkeit Windows 2003 SP1 Server und stellen Sie sicher, dass die integrierte Firewall aktiviert ist, es sei denn, Sie verfügen über eine Netzwerkfirewall, um sie zu schützen.

Stellen Sie sicher, dass die folgenden Ports geöffnet sind, wenn Sie die Firewall einrichten: - 3389: Remote Desktop (RDP) - 80: HTTP

Optional: - 443: HTTPS (optional) - 25: SMTP - 110: Pop3

Dienstprogramme:

  • Notepad ++ (rundum toller Editor) - kostenlos
  • 7-Zip (verarbeitet Zip-, Arc- und andere komprimierte Dateien) - kostenlos
  • Beyond Compare v3 (Dateivergleich und FTP) - $ aber nicht viel
  • Datenbankmanagement
Brian Boatright
quelle
1
Sie meinen Windows 2003 SP2, richtig? Wenn es sich um einen Webserver handelt, den Sie sperren möchten, möchten Sie nicht, dass SMTP und POP3 darauf geöffnet werden. Sie wollen auch kein RDP. Zumindest nicht am Standardport.
K. Brian Kelley
1
Ich würde es vermeiden, den Server mit zu viel Entwickler zu laden. Müll. Sie möchten nicht optimieren, wenn Sie viel Zeit damit verbringen, den Server als Arbeitsstation zu verwenden. Dies ist ein Rezept für einen Ausfall.
Wedge
jeder für sich. Wenn Sie nur einen Server haben, auf dem Ihre Website ausgeführt wird, müssen Sie ein paar Entwicklertools haben. E-Mail und Webhosting auf einem Server zu haben, ist auch. Nicht jeder braucht oder kann sich separate Server für jeden Dienst leisten.
Brian Boatright
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.