Win Server 2003 的安全和保护

Win Server 2003 的安全和保护

有没有适合 Windows Server 2003 作为 Web 应用程序/网站服务器的安全软件推荐?

或者在网站上线之前我应该​​调整任何特殊设置。

答案1

一些建议:

(1)保护基础操作系统、关系数据库、应用服务器和 HTTP 服务器http://iase.disa.mil/stigs/stig/index.html

(2)如果可能的话,使用 2008 而不是 2003

(3) 考虑在此处发布您的网络图,其中删除 IP 地址,但描述端口、协议、管理接口和信任关系,以便我们审查它。

(4)查看 OWASP 网站,详细了解如何构建安全的 Web 应用程序、扫描其中的漏洞以及程序员常犯的标准错误 http://www.owasp.org/

(5)获取 Web 应用程序扫描程序并检查代码。如果您使用的是编译语言,也可以进行一些静态分析。

(6) 在将代码从 (A) 开发阶段移至 (B) 准备阶段再移至 (C) 生产阶段时,我之前为每个阶段使用了不同的服务器。这还允许在将每个站点移至另一个阶段之前对其进行审核。

答案2

如果您对此很认真,您可以使用 CIS 基准测试让您的系统处于已知状态:

服务器 2003互联网信息服务,&MySQL

另外,你可以查看 Web 应用程序防火墙(例如ModSecurity)——查看以下有关 WAF 的 SF 问题:

IIS 上的应用程序防火墙

开源 XML 防火墙?

希望这可以帮助!

乔什

答案3

您应该查看Server 2003 安全合规性管理工具包。第 8 章和第 9 章讨论 IIS/Web 服务器安全性。还阅读并实施IIS6 安全最佳实践。我对 CIS 的任何内容都不太确定。最后制定升级计划以升级到服务器 2008。许多改进都与安全性有关。

答案4

尽管尚未维护,但我还是推荐 Core Force 安全系统:
http://force.coresecurity.com/

它需要一些设置,但它具有很多 Windows 默认应该具有的功能(例如像样的防火墙)。

相关内容