Je commence actuellement à déployer des serveurs Windows face au Web.
Et j'aimerais savoir comment protégez-vous vos serveurs? Quels logiciels utilisez-vous?
Sous Linux, j'utilise Fail2ban pour empêcher bruteforce et Logwatch pour obtenir des rapports quotidiens sur ce qui se passe sur mes serveurs. Existe-t-il des équivalents de ces logiciels sous Windows? Si non, que recommandez-vous d'utiliser pour protéger le serveur?
windows
security
web-server
iis-7.5
Kedare
la source
la source
Réponses:
Tout d’abord, vous devez penser à la conception de votre réseau. Il serait bon d’utiliser au moins une DMZ pour protéger le réseau interne. Si vous ne souhaitez pas acheter le nouveau serveur 2012, Windows Server 2008 R2 constitue un bon système Windows pour le grand public. Nous avons au moins quatre serveurs Web basés sur Windows qui fonctionnent parfaitement en tant que serveurs Web, tous basés sur 2008 R2. Assurez-vous juste de faire ce qui suit:
(facultatif) Utilisez Hyper-V pour votre serveur Web et son système de sauvegarde. Il est beaucoup plus facile de mettre à jour et de vérifier si vos mises à jour n'interfèrent en aucune façon avec le service Web. Dans ce cas, vous aurez besoin de deux machines matérielles identiques pour assurer la redondance en cas de défaillance matérielle. Mais c'est peut-être assez cher.
J'espère que ça vous aide!
la source
Nous pourrions vous donner une réponse plus détaillée si vous nous indiquez le service que vous souhaitez fournir sur cette boîte Windows publique. Par exemple, IIS, OWA, DNS, etc.?
Pour verrouiller la boîte elle-même, commencez par la réponse de vlad en supprimant (ou ne pas installer pour commencer) les services / rôles supplémentaires sur la boîte qui ne seront plus nécessaires. Cela inclut tout logiciel tiers (pas Acrobat Reader, Flash, etc.) qui ne devrait pas être utilisé sur un serveur. Bien sûr, gardez les choses patches.
Configurez vos stratégies de pare-feu pour autoriser uniquement le trafic vers les ports appropriés pour les services que vous exécutez
Configurez un IDS / IPS avec des règles associées aux services que vous exécutez.
En fonction du risque / de la valeur de l'actif, envisagez d'installer un système IPS basé sur l'hôte en plus de votre système IPS périphérique, de préférence auprès d'un autre fournisseur.
En supposant que l'objectif principal est d'héberger un site Web, verrouiller IIS pose nettement moins de problèmes avec la version 7.5 (2008 R2), même si vous devez tout de même vous assurer que vous faites certaines choses telles que:
\InetPub\AdminScripts
Je ne veux pas faire cela trop longtemps, donc si vous avez besoin de plus d’informations sur une puce en particulier, laissez un commentaire.
la source
Les réponses existantes ici sont bonnes, mais il leur manque un aspect crucial. Que se passe-t-il lorsque votre serveur est compromis?
La réponse ici sur ServerFault lorsque les gens le demandent est presque toujours de fermer la question en tant que duplicata de l'URGENCE de mon serveur piraté! Les instructions dans la réponse du haut indiquent comment trouver la cause / la méthode de la compromission et comment restaurer à partir d’une sauvegarde.
Pour suivre ces instructions, vous devez disposer d'une journalisation étendue et de sauvegardes régulières. Vous devez avoir suffisamment de journalisation pour pouvoir déterminer ce que l'attaquant a fait et quand. Pour cela, vous avez besoin d'un moyen de corréler les fichiers journaux de différentes machines, ce qui nécessite le protocole NTP. Vous voudrez probablement aussi une sorte de moteur de corrélation de journaux.
La journalisation et les sauvegardes doivent être généralement indisponibles à partir de la machine compromise.
Une fois que vous savez que votre serveur a été compromis, vous le déconnectez et commencez votre enquête. Une fois que vous savez quand et comment l'attaquant l'a obtenue, vous pouvez corriger la vulnérabilité sur la machine de rechange et la mettre en ligne. Si la machine de secours contient également des données compromises (car elles sont synchronisées à partir de la machine en direct), vous devez restaurer les données à partir d'une sauvegarde plus ancienne que la compromission avant de la mettre en ligne.
Parcourez la réponse liée ci-dessus et voyez si vous pouvez réellement exécuter les étapes, puis ajoutez / modifiez des éléments jusqu'à ce que vous le puissiez.
la source
Exécutez l'Assistant Configuration de la sécurité (SCW) après avoir installé, configuré et testé les rôles / applications de ce serveur.
la source
Après avoir suivi toutes les recommandations ci-dessus, suivez le "Guide technique d'implémentation de la sécurité" (STIG) publié par le DoD pour: 1- Windows Server (trouvez votre version) 2- Pour IIS (recherchez votre version) 3- Pour le site Web (recherchez votre version)
Voici la liste complète des STIG:
http://iase.disa.mil/stigs/az.html
Cordialement.
la source