Những người làm công việc trên mạng về việc bảo vệ máy chủ Windows đối mặt với web là gì?

Tôi hiện đang bắt đầu triển khai các máy chủ Windows đối mặt với web.

Và tôi muốn biết cách bảo vệ máy chủ của bạn là gì? Bạn đang sử dụng phần mềm nào?

Trên Linux, tôi đang sử dụng Fail2ban để ngăn chặn bruteforce và Logwatch để nhận báo cáo hàng ngày về những gì đang diễn ra trên máy chủ của tôi. Có phần mềm tương đương nào trên Windows không? Nếu không, bạn khuyên dùng gì để bảo vệ máy chủ?

Trước hết bạn cần nghĩ về thiết kế mạng của bạn. Sẽ tốt hơn nếu sử dụng ít nhất một DMZ trong oder để bảo vệ mạng nội bộ. Một hệ thống Windows tốt để nuôi ong công khai sẽ là Windows Server 2008 R2 nếu bạn không muốn mua Máy chủ 2012 mới. Chúng tôi có ít nhất bốn máy chủ web dựa trên windows hoạt động hoàn hảo như máy chủ web, tất cả dựa trên 2008 R2. Chỉ cần chắc chắn để làm như sau:

• Sử dụng DMZ (1 hoặc 2)
• Không cài đặt các vai trò máy chủ không sử dụng
• Hãy chắc chắn dừng các dịch vụ bạn sẽ không cần
• Đảm bảo chỉ mở cổng RDP (nếu cần) vào mạng bên trong
• Hãy chắc chắn để đóng tất cả các cổng không sử dụng
• Sử dụng giải pháp Tường lửa phù hợp như Cisco, Juniper hoặc Checkpoint trước máy chủ
• Luôn cập nhật máy chủ của bạn (ít nhất là cập nhật hàng tháng)
• Làm cho nó dư thừa (sử dụng ít nhất hai máy chủ, một máy chủ để sao lưu)
• Giám sát tốt: Nagios (Tôi thích nó ;-))

(tùy chọn) Sử dụng Hyper-V cho máy chủ web của bạn và đó là hệ thống sao lưu. Dễ dàng hơn nhiều để cập nhật và kiểm tra xem các cập nhật của bạn không can thiệp vào dịch vụ web theo một cách nào đó. Trong trường hợp đó, bạn sẽ cần hai máy phần cứng giống hệt nhau để dự phòng trong trường hợp có lỗi phần cứng. Nhưng điều đó có thể khá đắt.

Hy vọng nó sẽ giúp bạn!

Chúng tôi có thể cung cấp cho bạn câu trả lời chi tiết hơn nếu bạn cho chúng tôi biết dịch vụ nào bạn muốn cung cấp trên hộp Windows đối mặt công khai này. ví dụ: IIS, OWA, DNS, v.v?

Để tự khóa hộp, hãy bắt đầu với câu trả lời của vlad bằng cách xóa (hoặc không cài đặt để bắt đầu) bất kỳ dịch vụ / vai trò bổ sung nào trên hộp không cần thiết. Điều này bao gồm mọi phần mềm của bên thứ 3 (không có trình đọc acrobat, flash, v.v.) không nên được sử dụng trên máy chủ. Bất kỳ tất nhiên giữ cho mọi thứ vá.

Định cấu hình chính sách tường lửa của bạn để chỉ cho phép lưu lượng truy cập đến các cổng thích hợp cho các dịch vụ bạn đang chạy

Định cấu hình IDS / IPS với các quy tắc được liên kết với các dịch vụ bạn đang chạy.

Tùy thuộc vào rủi ro / giá trị của tài sản, hãy xem xét việc cài đặt IPS dựa trên máy chủ cùng với IPS chu vi của bạn tốt nhất từ ​​nhà cung cấp khác.

Giả sử mục đích chính là lưu trữ một trang web, việc khóa IIS sẽ ít gặp rắc rối hơn với 7.5 (2008 R2) mặc dù bạn vẫn phải đảm bảo rằng bạn thực hiện một số việc như:

• Lưu trữ tệp trang web trên một ổ đĩa khác với tệp hệ điều hành
• Lấy một mẫu bảo mật XML từ Microsoft, NSA, v.v. làm cơ sở
• Xóa hoặc khóa thông qua NTFS tất cả các tập lệnh trong \InetPub\AdminScripts
• Khóa các exe nguy hiểm như appcmd, cmd.exe, v.v.
• Sử dụng IPSec để kiểm soát lưu lượng giữa DMZ và máy chủ nội bộ được ủy quyền
• Nếu bạn cần AD, hãy sử dụng một khu rừng riêng trong DMZ của bạn hơn mạng nội bộ của bạn
• Đảm bảo tất cả các trang web yêu cầu giá trị tiêu đề máy chủ (giúp ngăn quét tự động)
• Cho phép cửa sổ kiểm tra tất cả các sự kiện thất bại và thành công ngoại trừ các sự kiện thành công sau: Truy cập dịch vụ của Giám đốc, Theo dõi quá trình và Sự kiện hệ thống.
• Sử dụng kiểm tra NTFS trên hệ thống tệp để ghi lại các hành động thất bại của nhóm Mọi người và đảm bảo tăng kích thước nhật ký bảo mật của bạn lên một kích thước phù hợp dựa trên các bản sao lưu (500Mb hoặc hơn)
• Cho phép đăng nhập HTTP cho thư mục gốc
• Đừng trao quyền không cần thiết cho tài khoản người dùng đang chạy nhóm ứng dụng.
• Loại bỏ các mô-đun ISAPI và CGI nếu bạn không cần chúng.

Tôi không muốn thực hiện việc này quá lâu vì vậy nếu bạn cần / muốn biết thêm thông tin về một viên đạn cụ thể, vui lòng để lại nhận xét.

Các câu trả lời hiện có ở đây là tốt nhưng họ bỏ lỡ một khía cạnh quan trọng. Chuyện gì xảy ra khi máy chủ của bạn không bị xâm nhập?

Câu trả lời ở đây trên ServerFault khi mọi người hỏi rằng gần như luôn luôn đóng câu hỏi vì một bản sao của máy chủ của tôi đã bị hack KHẨN CẤP! Các hướng dẫn trong câu trả lời hàng đầu có mô tả cách tìm nguyên nhân / phương pháp của sự thỏa hiệp và cách khôi phục từ bản sao lưu.

Để làm theo các hướng dẫn đó, bạn phải đăng nhập rộng rãi và sao lưu thường xuyên. Bạn phải có đủ đăng nhập để bạn có thể sử dụng nó để xác định những gì kẻ tấn công đã làm và khi nào. Đối với điều này, bạn cần một cách tương quan các tệp nhật ký từ các máy khác nhau và điều này đòi hỏi NTP. Bạn cũng có thể muốn một số loại công cụ tương quan log.

Cả việc ghi nhật ký và sao lưu thường không khả dụng từ máy bị xâm nhập.

Khi bạn biết máy chủ của mình đã bị xâm nhập, bạn sẽ ngoại tuyến và bắt đầu điều tra. Một khi bạn biết khi nào và làm thế nào kẻ tấn công có được nó, bạn có thể vá lỗ hổng trên máy dự phòng và đưa nó lên mạng. Nếu máy dự phòng cũng bị xâm phạm dữ liệu (vì nó đang được đồng bộ hóa từ máy trực tiếp) thì bạn cần khôi phục dữ liệu từ bản sao lưu cũ hơn thỏa hiệp trước khi đưa trực tuyến.

Làm việc theo cách của bạn thông qua câu trả lời được liên kết ở trên và xem liệu bạn có thực sự có thể thực hiện các bước không, sau đó thêm / thay đổi mọi thứ cho đến khi bạn có thể.

Chạy SCW (Trình hướng dẫn cấu hình bảo mật) sau khi bạn đã cài đặt, định cấu hình và kiểm tra vai trò / ứng dụng cho máy chủ này.

Sau khi thực hiện tất cả các đề xuất ở trên, hãy làm theo "Hướng dẫn triển khai kỹ thuật bảo mật" (STIG) do DoD xuất bản cho: 1- Windows Server (tìm phiên bản của bạn) 2- Đối với IIS (tìm phiên bản của bạn) 3- Đối với trang web (tìm phiên bản của bạn)

Dưới đây là danh sách đầy đủ các STIG:

http://iase.disa.mil/stigs/az.html

Trân trọng.