Que faut-il faire pour protéger le serveur Windows face au Web?

17

Je commence actuellement à déployer des serveurs Windows face au Web.

Et j'aimerais savoir comment protégez-vous vos serveurs? Quels logiciels utilisez-vous?

Sous Linux, j'utilise Fail2ban pour empêcher bruteforce et Logwatch pour obtenir des rapports quotidiens sur ce qui se passe sur mes serveurs. Existe-t-il des équivalents de ces logiciels sous Windows? Si non, que recommandez-vous d'utiliser pour protéger le serveur?

Kedare
la source
4
La réponse de Vlad ci-dessous est un bon point de départ. Prenez également note de votre entreprise et des services que vous mettez sur le Web. Si vous êtes un petit atelier de mécanique avec une application Web dinko, vous pouvez vous en tirer avec très peu de sécurité. Ce n'est pas vrai si vous êtes un grand magasin de développement avec des gens de la Chine qui souhaitent obtenir votre code
TheCleaner

Réponses:

19

Tout d’abord, vous devez penser à la conception de votre réseau. Il serait bon d’utiliser au moins une DMZ pour protéger le réseau interne. Si vous ne souhaitez pas acheter le nouveau serveur 2012, Windows Server 2008 R2 constitue un bon système Windows pour le grand public. Nous avons au moins quatre serveurs Web basés sur Windows qui fonctionnent parfaitement en tant que serveurs Web, tous basés sur 2008 R2. Assurez-vous juste de faire ce qui suit:

  • Utilisez la DMZ (1 ou 2)
  • Ne pas installer les rôles de serveur inutilisés
  • Assurez-vous d'arrêter les services dont vous n'avez pas besoin
  • Veillez à ouvrir le port RDP (si nécessaire) uniquement sur le réseau interne.
  • Assurez-vous de garder tous les ports inutilisés fermés
  • Utilisez une solution de pare-feu appropriée telle que Cisco, Juniper ou Checkpoint devant le serveur.
  • Gardez votre serveur à jour (au moins des mises à jour mensuelles)
  • Rendez-le redondant (utilisez au moins deux serveurs, un pour la sauvegarde)
  • Bonne surveillance: Nagios (j'aime bien ;-))

(facultatif) Utilisez Hyper-V pour votre serveur Web et son système de sauvegarde. Il est beaucoup plus facile de mettre à jour et de vérifier si vos mises à jour n'interfèrent en aucune façon avec le service Web. Dans ce cas, vous aurez besoin de deux machines matérielles identiques pour assurer la redondance en cas de défaillance matérielle. Mais c'est peut-être assez cher.

J'espère que ça vous aide!

André
la source
7

Nous pourrions vous donner une réponse plus détaillée si vous nous indiquez le service que vous souhaitez fournir sur cette boîte Windows publique. Par exemple, IIS, OWA, DNS, etc.?

Pour verrouiller la boîte elle-même, commencez par la réponse de vlad en supprimant (ou ne pas installer pour commencer) les services / rôles supplémentaires sur la boîte qui ne seront plus nécessaires. Cela inclut tout logiciel tiers (pas Acrobat Reader, Flash, etc.) qui ne devrait pas être utilisé sur un serveur. Bien sûr, gardez les choses patches.

Configurez vos stratégies de pare-feu pour autoriser uniquement le trafic vers les ports appropriés pour les services que vous exécutez

Configurez un IDS / IPS avec des règles associées aux services que vous exécutez.

En fonction du risque / de la valeur de l'actif, envisagez d'installer un système IPS basé sur l'hôte en plus de votre système IPS périphérique, de préférence auprès d'un autre fournisseur.

En supposant que l'objectif principal est d'héberger un site Web, verrouiller IIS pose nettement moins de problèmes avec la version 7.5 (2008 R2), même si vous devez tout de même vous assurer que vous faites certaines choses telles que:

  • Stocker les fichiers de site Web sur un volume différent des fichiers du système d'exploitation
  • Saisissez un modèle de sécurité XML auprès de Microsoft, NSA, etc. comme base
  • Supprimer ou verrouiller via NTFS tous les scripts de \InetPub\AdminScripts
  • Verrouillez les fichiers dangereux tels que appcmd, cmd.exe, etc.
  • Utiliser IPSec pour contrôler le trafic entre la zone démilitarisée et les hôtes internes autorisés
  • Si vous avez besoin d'AD, utilisez une forêt distincte dans votre zone démilitarisée que votre réseau interne.
  • Assurez-vous que tous les sites requièrent des valeurs d'en-tête d'hôte (évitent l'analyse automatisée).
  • Activez l'audit Windows de tous les événements ayant échoué et ayant abouti, à l'exception des événements suivants: accès au service Director, suivi des processus et événements système.
  • Utilisez l'audit NTFS sur le système de fichiers pour consigner les actions ayant échoué par le groupe Tout le monde et veillez à augmenter la taille de votre journal de sécurité à une taille appropriée en fonction des sauvegardes (environ 500 Mo).
  • Activer la journalisation HTTP pour le dossier racine
  • Ne donnez pas de droits inutiles aux comptes d'utilisateurs exécutant des pools d'applications.
  • Supprimez les modules ISAPI et CGI si vous n'en avez pas besoin.

Je ne veux pas faire cela trop longtemps, donc si vous avez besoin de plus d’informations sur une puce en particulier, laissez un commentaire.

Paul Ackerman
la source
Pour l'instant, ce serveur ne fournira qu'un accès IIS
Kedare
5

Les réponses existantes ici sont bonnes, mais il leur manque un aspect crucial. Que se passe-t-il lorsque votre serveur est compromis?

La réponse ici sur ServerFault lorsque les gens le demandent est presque toujours de fermer la question en tant que duplicata de l'URGENCE de mon serveur piraté! Les instructions dans la réponse du haut indiquent comment trouver la cause / la méthode de la compromission et comment restaurer à partir d’une sauvegarde.

Pour suivre ces instructions, vous devez disposer d'une journalisation étendue et de sauvegardes régulières. Vous devez avoir suffisamment de journalisation pour pouvoir déterminer ce que l'attaquant a fait et quand. Pour cela, vous avez besoin d'un moyen de corréler les fichiers journaux de différentes machines, ce qui nécessite le protocole NTP. Vous voudrez probablement aussi une sorte de moteur de corrélation de journaux.

La journalisation et les sauvegardes doivent être généralement indisponibles à partir de la machine compromise.

Une fois que vous savez que votre serveur a été compromis, vous le déconnectez et commencez votre enquête. Une fois que vous savez quand et comment l'attaquant l'a obtenue, vous pouvez corriger la vulnérabilité sur la machine de rechange et la mettre en ligne. Si la machine de secours contient également des données compromises (car elles sont synchronisées à partir de la machine en direct), vous devez restaurer les données à partir d'une sauvegarde plus ancienne que la compromission avant de la mettre en ligne.

Parcourez la réponse liée ci-dessus et voyez si vous pouvez réellement exécuter les étapes, puis ajoutez / modifiez des éléments jusqu'à ce que vous le puissiez.

Ladadadada
la source
2

Exécutez l'Assistant Configuration de la sécurité (SCW) après avoir installé, configuré et testé les rôles / applications de ce serveur.

joeqwerty
la source
2

Après avoir suivi toutes les recommandations ci-dessus, suivez le "Guide technique d'implémentation de la sécurité" (STIG) publié par le DoD pour: 1- Windows Server (trouvez votre version) 2- Pour IIS (recherchez votre version) 3- Pour le site Web (recherchez votre version)

Voici la liste complète des STIG:

http://iase.disa.mil/stigs/az.html

Cordialement.

hassan.monfared
la source
Il y a une longue liste de règles de sécurité à faire! vous devez être patient ..
hassan.monfared