保护面向 Web 的 Windows 服务器有哪些“待办事项”？

Question 1

首先，您需要考虑您的网络设计。最好使用至少一个 DMZ 来保护内部网络。如果您不想购买新的 2012 Server，那么适合公开使用的 Windows 系统是 Windows Server 2008 R2。我们至少有四个基于 Windows 的 Web 服务器，它们可以完美地用作 Web 服务器，全部基于 2008 R2。只需确保执行以下操作：

使用 DMZ（1 或 2）
不要安装未使用的服务器角色
确保停止不需要的服务
确保仅在内部网络中打开 RDP 端口（如果需要）
确保关闭所有未使用的端口
在服务器前使用适当的防火墙解决方案，例如 Cisco、Juniper 或 Checkpoint
保持服务器更新（至少每月更新一次）
使其冗余（至少使用两台服务器，一台用于备份）
良好的监控：Nagios（我喜欢它;-)）

（可选）使用 Hyper-V 作为您的 Web 服务器及其备份系统。这样更容易更新并检查您的更新是否不会以某种方式干扰 Web 服务。在这种情况下，您将需要两台相同的硬件机器，以便在发生硬件故障时提供冗余。但这可能相当昂贵。

希望它能帮助你！

Answer

首先，您需要考虑您的网络设计。最好使用至少一个 DMZ 来保护内部网络。如果您不想购买新的 2012 Server，那么适合公开使用的 Windows 系统是 Windows Server 2008 R2。我们至少有四个基于 Windows 的 Web 服务器，它们可以完美地用作 Web 服务器，全部基于 2008 R2。只需确保执行以下操作：

使用 DMZ（1 或 2）
不要安装未使用的服务器角色
确保停止不需要的服务
确保仅在内部网络中打开 RDP 端口（如果需要）
确保关闭所有未使用的端口
在服务器前使用适当的防火墙解决方案，例如 Cisco、Juniper 或 Checkpoint
保持服务器更新（至少每月更新一次）
使其冗余（至少使用两台服务器，一台用于备份）
良好的监控：Nagios（我喜欢它;-)）

（可选）使用 Hyper-V 作为您的 Web 服务器及其备份系统。这样更容易更新并检查您的更新是否不会以某种方式干扰 Web 服务。在这种情况下，您将需要两台相同的硬件机器，以便在发生硬件故障时提供冗余。但这可能相当昂贵。

希望它能帮助你！

Question 2

如果您告诉我们您想在这个面向公众的 Windows 机器上提供什么服务，我们可以给您更详细的答案。例如 IIS、OWA、DNS 等等？

要锁定盒子本身，请从 vlad 的答案开始，删除（或从一开始就不安装）盒子上不需要的任何附加服务/角色。这包括任何不应在服务器上使用的第三方软件（没有 acrobat reader、flash 等）。当然，任何补丁都要保持有效。

配置防火墙策略以仅允许流量流向您正在运行的服务的适当端口

使用与您正在运行的服务相关的规则配置 IDS/IPS。

根据资产的风险/价值，除了考虑安装外围 IPS 之外，最好还考虑安装来自其他供应商的基于主机的 IPS。

假设主要目的是托管一个网站，使用 7.5（2008 R2）锁定 IIS 麻烦会少得多，但您仍应确保执行以下操作，例如：

将网站文件与操作系统文件存储在不同的卷上
获取 Microsoft、NSA 等公司的 XML 安全模板作为基准
通过 NTFS 删除或锁定所有脚本\InetPub\AdminScripts
锁定危险的 exe 文件，例如 appcmd、cmd.exe 等
使用 IPSec 控制 DMZ 与授权内部主机之间的流量
如果需要 AD，请在 DMZ 中使用与内部网络不同的林
确保所有站点都需要主机头值（有助于防止自动扫描）
启用除以下成功事件之外的所有失败和成功事件的 Windows 审计：Director Service Access、进程跟踪和系统事件。
在文件系统上使用 NTFS 审核来记录 Everyone 组的失败操作，并确保根据备份将安全日志的大小增加到适当的大小（500Mb 左右）
为根文件夹启用 HTTP 日志记录
不要向运行应用程序池的用户帐户授予不必要的权限。
如果不需要 ISAPI 和 CGI 模块，请将其删除。

我不想把这个写得太长，所以如果你需要/想要有关特定项目符号的更多信息，请发表评论。

Answer

如果您告诉我们您想在这个面向公众的 Windows 机器上提供什么服务，我们可以给您更详细的答案。例如 IIS、OWA、DNS 等等？

要锁定盒子本身，请从 vlad 的答案开始，删除（或从一开始就不安装）盒子上不需要的任何附加服务/角色。这包括任何不应在服务器上使用的第三方软件（没有 acrobat reader、flash 等）。当然，任何补丁都要保持有效。

配置防火墙策略以仅允许流量流向您正在运行的服务的适当端口

使用与您正在运行的服务相关的规则配置 IDS/IPS。

根据资产的风险/价值，除了考虑安装外围 IPS 之外，最好还考虑安装来自其他供应商的基于主机的 IPS。

假设主要目的是托管一个网站，使用 7.5（2008 R2）锁定 IIS 麻烦会少得多，但您仍应确保执行以下操作，例如：

将网站文件与操作系统文件存储在不同的卷上
获取 Microsoft、NSA 等公司的 XML 安全模板作为基准
通过 NTFS 删除或锁定所有脚本\InetPub\AdminScripts
锁定危险的 exe 文件，例如 appcmd、cmd.exe 等
使用 IPSec 控制 DMZ 与授权内部主机之间的流量
如果需要 AD，请在 DMZ 中使用与内部网络不同的林
确保所有站点都需要主机头值（有助于防止自动扫描）
启用除以下成功事件之外的所有失败和成功事件的 Windows 审计：Director Service Access、进程跟踪和系统事件。
在文件系统上使用 NTFS 审核来记录 Everyone 组的失败操作，并确保根据备份将安全日志的大小增加到适当的大小（500Mb 左右）
为根文件夹启用 HTTP 日志记录
不要向运行应用程序池的用户帐户授予不必要的权限。
如果不需要 ISAPI 和 CGI 模块，请将其删除。

我不想把这个写得太长，所以如果你需要/想要有关特定项目符号的更多信息，请发表评论。

Question 3

现有的答案都很好，但是它们忽略了一个关键方面。当你的服务器做受到损害？

当人们问到这个问题时，ServerFault 的答案几乎总是将问题关闭为重复问题我的服务器被黑客入侵了，紧急！顶部答案中的说明描述了如何找到妥协的原因/方法以及如何从备份中恢复。

要遵循这些说明，您必须拥有大量日志记录和定期备份。您必须拥有足够的日志记录，以便确定攻击者在何时做了什么。为此，您需要一种关联不同机器的日志文件的方法，这需要 NTP。您可能还需要某种日志关联引擎。

受到攻击的机器通常无法进行日志记录和备份。

一旦知道服务器已被入侵，就将其下线并开始调查。一旦知道攻击者何时以及如何入侵，就可以修补备用机器上的漏洞并将其上线。如果备用机器的数据也遭到入侵（因为它正在与实时机器同步），那么您需要从入侵之前的备份中恢复数据，然后再将其上线。

按照上面链接的答案进行操作，看看您是否可以真正执行这些步骤，然后添加/更改内容，直到可以执行为止。

Answer