Khi bạn đang triển khai một hộp máy chủ web mới, những thứ tiêu chuẩn bạn cài đặt trên đó và làm gì để thiết lập nó?

Bạn làm gì để đảm bảo hộp được khóa và không bị xâm phạm?

Cho đến nay:

Chung

• Áp dụng các bản vá bảo mật, vv
• Chạy Trình phân tích bảo mật cơ sở microsfot (MBSA)
• Vô hiệu hóa các thuật toán mã hóa yếu - Scott , cũng xem bài viết của David Christiansen và trang web serverniff.com

Mạng

• Ngăn xếp TCP / IP cứng - K. Brian Kelley
• Danh sách trắng lưu lượng truy cập với chính sách IPSEC
• Tất cả NetBIOS bị xóa hoặc vô hiệu hóa
• Đặt máy chủ web trong một nhóm làm việc (không được phép ở trên một miền)
• Sử dụng DMZ

IIS

• Cài đặt UrlScan
• Chạy khóa máy IIS

Những bài viết liên quan

• Danh sách kiểm tra sản xuất của ASP.net
• Nhà phát triển nên biết gì trước khi xây dựng một trang web công cộng

Chúng ta làm gì:

• Đặt máy chủ web trong DMZ
• Đặt máy chủ web trong một nhóm làm việc (không được phép ở trên một miền)
• Đảm bảo tất cả các bản vá bảo mật được áp dụng
• Giảm thiểu các dịch vụ đang chạy
• Sử dụng URLScan . Xóa dấu vân tay của máy chủ (RemoveServerHeader = 1).
• Ngăn xếp TCP / IP cứng
• Áp dụng chính sách IPSEC để chỉ cho phép lưu lượng chúng tôi muốn (danh sách trắng)
• Đổi tên tài khoản mặc định để chúng có thể được nhắm mục tiêu bởi các tập lệnh / công cụ điển hình.
• Di chuyển các thư mục mặc định (InetPub, WWWRoot, v.v.)
• Giảm thiểu tài khoản người dùng cục bộ.
• Tất cả NetBIOS bị xóa hoặc vô hiệu hóa.

• Thêm tài khoản người dùng cho mỗi người sẽ quản trị máy tính
• Định cấu hình dịch vụ đầu cuối để cho phép mỗi người dùng chỉ có một dấu hiệu đồng thời trên
• Thêm tài khoản quản trị thay thế chỉ được sử dụng nếu runas không phục vụ mục đích cho một người dùng nhất định

-Adam

Bạn có thể muốn;

• Vô hiệu hóa SSL 2 (sửa lỗi sử dụng giao thức SSL không dùng nữa)
• Thực hiện đánh giá lỗ hổng mạng

Nếu vậy, tôi đã viết một bài viết chi tiết về Howto: Vô hiệu hóa SSL2 và Wip Ciphers trên IIS6 có thể đáng để xem qua.

Bài viết này lấy mọi thứ từ quan điểm đáp ứng các yêu cầu bảo mật do Ngành Thẻ thanh toán đặt ra nhưng vẫn có liên quan đến việc làm cứng máy chủ nói chung.

Vì vậy, bây giờ để khắc phục việc sử dụng giao thức SSL không dùng nữa, bạn nên đọc Howto: Vô hiệu hóa bài viết SSL2 và Wip Ciphers để biết hướng dẫn từng bước HOẶC đọc Điều hỗ trợ MS # 187498 và bạn có thể sử dụng ServerSniff để xác nhận các sửa đổi của mình đã có hiệu lực.

ps Thật vậy, bạn cũng có thể sử dụng ServerSniff để xác nhận các sửa đổi được đề cập trong câu trả lời của Scott.

Ngoài những điều đã được đề cập, tôi vô hiệu hóa các mật mã SSL yếu.

EDIT: Tôi tìm thấy các hướng dẫn từng bước tôi đã viết một vài năm trước đây.

1. Bấm Bắt đầu, bấm Chạy, gõ regedt32 hoặc gõ regedit, rồi bấm OK.
2. Trong Trình chỉnh sửa sổ đăng ký, xác định vị trí khóa đăng ký sau: HKEY_LOCAL_MACHINE \ HỆ THỐNG \ CurrentControlset \ Control \ SecurityProviders \ SCHANNEL
3. Thực hiện các bước từ 4 đến 8 cho các phím sau: a. Mật mã \ DES 56/56 b. Mật mã \ RC2 40/128 c. Mật mã \ RC4 40/128 d. Mật mã \ RC4 56/128 e. Giao thức \ SSL 2.0 \ Client f. Giao thức \ SSL 2.0 \ Máy chủ
4. Trên menu Chỉnh sửa, bấm Thêm Giá trị.
5. Trong danh sách Kiểu dữ liệu, bấm DWORD.
6. Trong hộp Tên giá trị, nhập Kích hoạt, sau đó bấm OK.
7. Gõ 00000000 trong Binary Editor để đặt giá trị của khóa mới bằng với 0 0.
8. Nhấn OK.
9. Khi bạn hoàn thành sửa đổi sổ đăng ký, khởi động lại máy tính.

Nếu có thể hãy bắt đầu với Windows 2003 SP1 Server và đảm bảo tường lửa tích hợp được bật trừ khi bạn có tường lửa mạng để bảo vệ nó.

Đảm bảo các cổng sau được mở nếu bạn thiết lập tường lửa: - 3389: Remote Desktop (RDP) - 80: HTTP

Tùy chọn: - 443: HTTPS (tùy chọn) - 25: SMTP - 110: Pop3

Tiện ích:

• Notepad ++ (tất cả xung quanh trình chỉnh sửa tuyệt vời) - miễn phí
• 7-Zip (xử lý zip, arc và các tệp nén khác) - miễn phí
• Ngoài So sánh v3 (so sánh tệp và FTP) - $ nhưng không nhiều
• Quản lý cơ sở dữ liệu