保护面向 Web 的 Windows 服务器有哪些“待办事项”?

保护面向 Web 的 Windows 服务器有哪些“待办事项”?

我目前开始部署面向 Web 的 Windows 服务器。

我想知道你们是如何保护服务器的?你们使用什么软件?

在 Linux 上,我使用 Fail2ban 来防止暴力破解,并使用 Logwatch 获取有关服务器上发生情况的每日报告。Windows 上是否有这些软件的等效软件?如果没有,您建议使用什么来保护服务器?

答案1

首先,您需要考虑您的网络设计。最好使用至少一个 DMZ 来保护内部网络。如果您不想购买新的 2012 Server,那么适合公开使用的 Windows 系统是 Windows Server 2008 R2。我们至少有四个基于 Windows 的 Web 服务器,它们可以完美地用作 Web 服务器,全部基于 2008 R2。只需确保执行以下操作:

  • 使用 DMZ(1 或 2)
  • 不要安装未使用的服务器角色
  • 确保停止不需要的服务
  • 确保仅在内部网络中打开 RDP 端口(如果需要)
  • 确保关闭所有未使用的端口
  • 在服务器前使用适当的防火墙解决方案,例如 Cisco、Juniper 或 Checkpoint
  • 保持服务器更新(至少每月更新一次)
  • 使其冗余(至少使用两台服务器,一台用于备份)
  • 良好的监控:Nagios(我喜欢它;-))

(可选)使用 Hyper-V 作为您的 Web 服务器及其备份系统。这样更容易更新并检查您的更新是否不会以某种方式干扰 Web 服务。在这种情况下,您将需要两台相同的硬件机器,以便在发生硬件故障时提供冗余。但这可能相当昂贵。

希望它能帮助你!

答案2

如果您告诉我们您想在这个面向公众的 Windows 机器上提供什么服务,我们可以给您更详细的答案。例如 IIS、OWA、DNS 等等?

要锁定盒子本身,请从 vlad 的答案开始,删除(或从一开始就不安装)盒子上不需要的任何附加服务/角色。这包括任何不应在服务器上使用的第三方软件(没有 acrobat reader、flash 等)。当然,任何补丁都要保持有效。

配置防火墙策略以仅允许流量流向您正在运行的服务的适当端口

使用与您正在运行的服务相关的规则配置 IDS/IPS。

根据资产的风险/价值,除了考虑安装外围 IPS 之外,最好还考虑安装来自其他供应商的基于主机的 IPS。

假设主要目的是托管一个网站,使用 7.5(2008 R2)锁定 IIS 麻烦会少得多,但您仍应确保执行以下操作,例如:

  • 将网站文件与操作系统文件存储在不同的卷上
  • 获取 Microsoft、NSA 等公司的 XML 安全模板作为基准
  • 通过 NTFS 删除或锁定所有脚本\InetPub\AdminScripts
  • 锁定危险的 exe 文件,例如 appcmd、cmd.exe 等
  • 使用 IPSec 控制 DMZ 与授权内部主机之间的流量
  • 如果需要 AD,请在 DMZ 中使用与内部网络不同的林
  • 确保所有站点都需要主机头值(有助于防止自动扫描)
  • 启用除以下成功事件之外的所有失败和成功事件的 Windows 审计:Director Service Access、进程跟踪和系统事件。
  • 在文件系统上使用 NTFS 审核来记录 Everyone 组的失败操作,并确保根据备份将安全日志的大小增加到适当的大小(500Mb 左右)
  • 为根文件夹启用 HTTP 日志记录
  • 不要向运行应用程序池的用户帐户授予不必要的权限。
  • 如果不需要 ISAPI 和 CGI​​ 模块,请将其删除。

我不想把这个写得太长,所以如果你需要/想要有关特定项目符号的更多信息,请发表评论。

答案3

现有的答案都很好,但是它们忽略了一个关键方面。当你的服务器受到损害?

当人们问到这个问题时,ServerFault 的答案几乎总是将问题关闭为重复问题我的服务器被黑客入侵了,紧急! 顶部答案中的说明描述了如何找到妥协的原因/方法以及如何从备份中恢复。

要遵循这些说明,您必须拥有大量日志记录和定期备份。您必须拥有足够的日志记录,以便确定攻击者在何时做了什么。为此,您需要一种关联不同机器的日志文件的方法,这需要 NTP。您可能还需要某种日志关联引擎。

受到攻击的机器通常无法进行日志记录和备份。

一旦知道服务器已被入侵,就将其下线并开始调查。一旦知道攻击者何时以及如何入侵,就可以修补备用机器上的漏洞并将其上线。如果备用机器的数据也遭到入侵(因为它正在与实时机器同步),那么您需要从入侵之前的备份中恢复数据,然后再将其上线。

按照上面链接的答案进行操作,看看您是否可以真正执行这些步骤,然后添加/更改内容,直到可以执行为止。

答案4

完成上述所有建议后,请遵循国防部发布的“安全技术实施指南”(STIG):1- Windows Server(查找您的版本)2- 对于 IIS(查找您的版本)3- 对于网站(查找您的版本)

以下是 STIG 的完整列表:

http://iase.disa.mil/stigs/az.html

问候。

相关内容