Liste de contrôle du serveur Web Windows

12

Lorsque vous déployez une nouvelle boîte de serveur Web, quelles sont les choses standard que vous y installez et que vous faites pour la configurer?

Que faites-vous pour vous assurer que la boîte est verrouillée et ne sera pas compromise?

Jusque là:

Général

Réseau

IIS

Articles Liés

windows iis Luke Quinane
la source
1
S'agit-il d'un serveur Internet ou non?
K. Brian Kelley
Oui, je pensais à un serveur Internet.
Luke Quinane

Réponses:

6

Ce que nous faisons:

  • Mettre le serveur Web en DMZ
  • Mettre le serveur Web dans un groupe de travail (pas autorisé à être sur un domaine)
  • Assurez-vous que tous les correctifs de sécurité sont appliqués
  • Minimisez les services en cours d'exécution
  • Utilisez URLScan . Supprimez l'empreinte du serveur (RemoveServerHeader = 1).
  • Renforcer la pile TCP / IP
  • Appliquer la politique IPSEC pour autoriser uniquement le trafic que nous voulons (liste blanche)
  • Renommez les comptes par défaut afin qu'ils puissent être ciblés par des scripts / outils typiques.
  • Déplacer les répertoires par défaut (InetPub, WWWRoot, etc.)
  • Minimisez les comptes d'utilisateurs locaux.
  • Tout NetBIOS est supprimé ou désactivé.
K. Brian Kelley
la source
Belle liste, mais pouvez-vous fournir des conseils sur le raisonnement derrière le fait de ne pas mettre les serveurs Web sur un domaine? S'agit-il d'une «meilleure pratique» ou simplement d'une politique interne.
David Christiansen
Si un serveur Web se trouve sur le domaine, il doit avoir LDAP, le catalogue global, les ports, etc. tous ouverts sur au moins un contrôleur de domaine. Par conséquent, si vous pouvez compromettre le serveur Web, vous pouvez directement attaquer le contrôleur de domaine. Réfléchissez à cela pendant quelques minutes et vous comprendrez pourquoi il est généralement déconseillé. Si vous devez faire la route du domaine, des conseils comme celui-ci sont généralement utilisés (utilisez une forêt distincte avec une confiance à sens unique): searchsecurity.techtarget.com/expert/KnowledgebaseAnswer/…
K. Brian Kelley
3
  • Ajouter des comptes d'utilisateurs pour chaque personne qui administrera l'ordinateur
  • Configurer les services Terminal Server pour n'autoriser chaque utilisateur qu'à se connecter simultanément
  • Ajouter des comptes d'administration alternatifs qui ne sont utilisés que si les runas ne remplissent pas la fonction d'un utilisateur donné

-Adam

Adam Davis
la source
2

Vous pouvez le souhaiter;

  • Désactiver SSL 2 (correction de l'utilisation du protocole SSL dépréciée)
  • Effectuer une évaluation de la vulnérabilité du réseau

Si c'est le cas, j'ai écrit un article détaillé sur Howto: Disable SSL2 and Weak Ciphers on IIS6, qui peut être utile de jeter un œil.

Cet article prend les choses du point de vue de la satisfaction des exigences de sécurité définies par l'industrie des cartes de paiement, mais est toujours pertinent pour le renforcement général des serveurs.

Alors maintenant, pour corriger l'utilisation du protocole SSL dépréciée, vous devriez soit lire le dit Howto: Disable SSL2 and Weak Ciphers article for step-by-step OR read MS Support Article # 187498 and you can use ServerSniff to confirm your changes have made effect.

ps En effet, vous pouvez également utiliser ServerSniff pour confirmer les modifications mentionnées dans la réponse de Scott.

David Christiansen
la source
+1 Article pratique et ServerSniff a l'air plutôt bien aussi!
Luke Quinane
1

En plus des choses déjà mentionnées, je désactive les chiffrements SSL faibles.

EDIT: J'ai trouvé les instructions pas à pas que j'ai écrites il y a quelques années.

  1. Cliquez sur Démarrer, sur Exécuter, tapez regedt32 ou tapez regedit, puis cliquez sur OK.
  2. Dans l'Éditeur du Registre, recherchez la clé de Registre suivante: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
  3. Effectuez les étapes 4 à 8 pour les touches suivantes: a. Chiffres \ DES 56/56 b. Chiffres \ RC2 40/128 c. Chiffres \ RC4 40/128 d. Chiffres \ RC4 56/128 e. Protocoles \ SSL 2.0 \ Client f. Protocoles \ SSL 2.0 \ Serveur
  4. Dans le menu Edition, cliquez sur Ajouter une valeur.
  5. Dans la liste Type de données, cliquez sur DWORD.
  6. Dans la zone Nom de la valeur, tapez Activé, puis cliquez sur OK.
  7. Tapez 00000000 dans l'éditeur binaire pour définir la valeur de la nouvelle clé égale à «0».
  8. Cliquez sur OK.
  9. Lorsque vous avez terminé de modifier le registre, redémarrez l'ordinateur.
Scott
la source
Quels chiffres en particulier?
Luke Quinane
Je ne trouve pas la liste exacte pour le moment, mais SSL 2.0 et tout ce qui est plus faible que 128 bits.
Scott
J'ai fouillé dans mes archives et trouvé les instructions pas à pas. J'ai modifié ma réponse pour les inclure.
Scott
-3

Si possible, démarrez avec Windows 2003 SP1 Server et assurez-vous que le pare-feu intégré est activé, sauf si vous disposez d'un pare-feu réseau pour le protéger.

Assurez-vous que les ports suivants sont ouverts si vous configurez le pare-feu: - 3389: Bureau à distance (RDP) - 80: HTTP

Facultatif: - 443: HTTPS (facultatif) - 25: SMTP - 110: Pop3

Utilitaires:

  • Bloc-notes ++ (tout autour du grand éditeur) - gratuit
  • 7-Zip (gère les fichiers zip, arc et autres fichiers compressés) - gratuit
  • Beyond Compare v3 (comparaison de fichiers et FTP) - $ mais pas beaucoup
  • Gestion de base de données
Brian Boatright
la source
1
Vous voulez dire Windows 2003 SP2, non? De plus, si c'est un serveur Web que vous souhaitez verrouiller, vous ne voulez pas que SMTP et POP3 soient ouverts dessus. Vous ne voulez pas non plus de RDP. Du moins, pas sur le port par défaut.
K. Brian Kelley
1
J'éviterais de charger le serveur avec trop de dev. déchet. Vous ne voulez pas optimiser pour passer beaucoup de temps à utiliser le serveur comme poste de travail, c'est une recette pour l'échec.
Wedge
chacun à sa façon. si vous n'avez qu'un seul serveur exécutant votre site Web, avoir quelques outils de développement est un must. avoir votre messagerie et votre hébergement Web sur un seul serveur, c'est aussi. tout le monde n'a pas besoin ou ne peut pas se permettre des serveurs séparés pour chaque service.
Brian Boatright,