Интернет, стоящий перед Windows Server 2008, безопасен?

Я действительно ничего не знаю о защите или настройке "живого" интернет-сервера, обращенного к Интернету, и о том, что мне было поручено управлять. Помимо установленной операционной системы (и обновления Windows), я ничего не сделал. Я прочитал несколько руководств от Microsoft и в Интернете, но ни один из них, похоже, не является исчерпывающим/актуальным. Google провалил меня.

Мы будем развертывать сайт MVC ASP.NET.

Какова ваша личная проверка при подготовке к развертыванию приложения на новом сервере Windows?

ОТВЕТЫ

Ответ 1

Это все, что мы делаем:

  • Убедитесь, что брандмауэр Windows включен. Он имеет политику "выключено по умолчанию", поэтому настройка правил вне поля довольно безопасна. Но никогда не помешает отключить дополнительные правила, если вы знаете, что они вам никогда не понадобятся. Мы отключили почти все, кроме HTTP, на общедоступном интернет-интерфейсе, но нам нравится Ping (кто не любит Ping?), Поэтому мы включаем его вручную, например:

    netsh firewall set icmpsetting 8

  • Отключить учетную запись администратора. После того, как вы настроите и уйдете, дайте свои собственные права администратора учетной записи. Отключение учетной записи администратора по умолчанию помогает уменьшить вероятность того, что кто-то ее взломает. (Другая общая учетная запись по умолчанию, Гость, по умолчанию отключена.)

  • Избегайте запуска служб под учетными записями с правами администратора. В настоящее время большинство авторитетных программных продуктов довольно хороши, но никогда не мешает проверять. Например, в нашей первоначальной настройке сервера служба Cruise Control имела права администратора. Когда мы перестраивали новые серверы, мы использовали обычную учетную запись. Это немного больше работы (вы должны предоставить только права, необходимые для выполнения работы, а не все сразу), но гораздо более безопасные.

Ответ 2

Мне пришлось блокировать одну пару лет назад...

В качестве системного администратора подключайтесь к разработчикам на раннем этапе проекта. Тестирование, развертывание, эксплуатация и обслуживание веб-приложений являются частью SDLC.

Эти рекомендации применимы вообще к любому DMZ-хосту, независимо от ОС Linux или Windows.

есть несколько книг, посвященных администрированию IIS7 и упрочнению, но оно сводится к

  • принять решение о вашей архитектуре брандмауэра, а также о настройке и обзоре для соответствия. не забудьте защитить свой сервер от внутреннего сканирования от зараженных хостов. в зависимости от уровня риска, рассмотрите прозрачный шлюз Application Layer для очистки трафика и упростите мониторинг веб-сервера.

1, вы рассматриваете систему как хост бастиона. блокирование ОС, уменьшение поверхности атаки (сервисы, установленные порты приложений, т.е. без интерактивных пользователей или смешанные рабочие нагрузки, настройка брандмауэров RPC для ответа только на заданные DMZ управления или внутренние хосты). рассмотрите ssh, OOB и/или доступ к управлению локальной сетью и ведущие идентификаторы IDS, такие как AIDE tripwire или osiris. если веб-сервер чувствителен, рассмотрите возможность использования argus для мониторинга и записи шаблонов трафика в дополнение к журналам IIS/FW.

  1. выполните базовую настройку системы, а затем регулярно проверяйте ее на базовой линии, сводя к минимуму или контролируя изменения, чтобы это было точно. автоматизировать его. powershell - ваш друг здесь.

  2. US NIST поддерживает национальный репозиторий программных списков. NIST, NSA и CIS имеют контрольные списки ОС и веб-серверов, которые стоит исследовать, даже если они предназначены для более ранних версий. посмотрите также контрольные списки apache для предложений по настройке. просмотрите книги безопасности adison wesley и OReilly apache, чтобы понять проблемы.

http://checklists.nist.gov/ncp.cfm?prod_category://checklists.nist.gov/ncp.cfm?prod_category http://www.nsa.gov/ia/guidance/security_configuration_guides/web_server_and_browser_guides.shtml www.cisecurity.org предлагает контрольные списки и инструменты для сравнения подписчиков. нацелитесь на минимум 7 или 8.

  1. Узнайте о других ошибках (и поделитесь своими собственными, если вы их сделаете): Инвентаризируйте свои публичные приложения приложений и контролируйте их в NIST NVD (база данных вулируемости..) (они также объединяют CERT и OVAL) подписываться и читать предупреждения microsoft.public.iinetserver.iis.security и microsoft. (NIST NVD уже наблюдает за CERT) Майкл Ховард - гуру безопасности MS, читайте его блог (и убедитесь, что ваши разработчики тоже его читают): http://blogs.msdn.com/michael_howard/default.aspx

http://blogs.iis.net/ - это блог групп IIS. как сторона примечания, если вы парень окон, всегда читайте блог команды для групп продуктов MS, с которыми вы работаете.

Дэвид Личфилд написал несколько книг о DB и упрощении веб-приложений. он - человек, которого нужно слушать. прочитал его блог.

Если вашему разработчику необходимо нежное введение в (или напоминание о) безопасности в Интернете и системных администраторах тоже! Я рекомендую "Невинный код" от Sverre Huseby.. havent наслаждался книгой безопасности, подобной этой, с яйцом из кукушки. Он устанавливает полезные правила и принципы и объясняет вещи с нуля. Его отличная доступная доступная версия для чтения

  1. Вы еще раз обосновывали и проверяли? (вы делаете изменения, вы делаете новую базовую линию).

  2. Помните, что IIS - это мета-сервис (под ним запускаются FTP.SMTP и другие службы). сделать вашу жизнь проще и запустить службу за один раз на одной коробке. резервное копирование метабазы ​​IIS. Если вы устанавливаете серверы приложений, такие как tomcat или jboss, в том же окне, убедитесь, что они защищены и заблокированы. защищенные веб-консоли управления для этих приложений, включая IIS. ЕСЛИ вы должны иметь БД на коробке тоже. этот пост можно использовать аналогичным образом.

  3. logging.an необработанный публичный сервер (будь то http, imap smtp) - профессиональный сбой. проверьте свои журналы, закачивайте их в RDMS и ищите быстрый медленный и надоедливый. Почти всегда ваши угрозы будут автоматизированы и головокружены. остановите их на уровне брандмауэра, где сможете.

  4. с разрешением, сканированием и отпечатком пальца на вашем поле, используя P0f и nikto. Проверьте приложение с селеном. обеспечить, чтобы ошибки веб-сервера обрабатывались конфиденциально и контролируемым образом с помощью IIS и любых приложений., установочные файлы ошибок для кодов ответа 3xx, 4xx и 5xx.

  5. Теперь вы все это сделали, вы покрыли свой прикладом, и вы можете посмотреть уязвимости приложений/веб-сайтов. будьте осторожны с разработчиками, больше всего беспокоитесь об этом после того, как прорыв и повреждение репутации/доверия. лошадь заперта и давно ушла. обратитесь к этому сейчас. это дешевле. Поговорите с вашим разработчиком о деревьях угроз.

  6. Рассмотрите свой ответ на атаки Dos и DDoS. с положительной стороны рассмотрите ХОРОШЕЕ движение трафика /slashdotting и проблемы с пропускной способностью. Liase с Dev и Marketing для решения проблем с пропускной способностью и обеспечения доступа к серверу/пропускной способности в ответ на кампании/продажи новых сервисов. Спросите их, какой ответ кампании они произрастают (или переиздаются. Запланируйте заранее достаточное время, чтобы обеспечить подготовку. подружитесь со своими сетевыми парнями, чтобы обсудить ограниченную пропускную способность в кратчайшие сроки. Нестабильность из-за неправильной конфигурации плохой производительности или при предоставлении ресурсов также является проблемой. Следите за тем, чтобы система работала на производительности, диске, HTTP-серверах и DNS-клиентах. знайте метрики нормальной и ожидаемой производительности. (пожалуйста, боже, есть ли apachetop для IIS?;)) планируйте подходящую емкость.

  7. Во время всего этого вы можете спросить себя: "Я тоже параноик?". Неправильный вопрос. "Я достаточно параноик?" Помните и соглашайтесь с тем, что вы всегда будете за кривой безопасности и что этот список может показаться исчерпывающим, это всего лишь начало. все вышеизложенное является разумным и прилежным и никоим образом не должно считаться чрезмерным.

Веб-серверы, получившие взломанные, немного похожи на лесные пожары (или здесь), которые вы можете подготовить, и он позаботится обо всем, кроме случая синей луны. план того, как вы будете отслеживать и реагировать на угасание и т.д.

избегайте быть защитником или мерой безопасности dalek/chicken. работать спокойно и работать с вашими заинтересованными сторонами и коллегами по проекту. безопасность - это процесс, а не событие и сохранение их в цикле, и нежное обучение людей - лучший способ получить дополнительные выигрыши с точки зрения улучшения безопасности и принятия того, что вам нужно сделать. Избегайте снисхождения, но помните, если вам нужно нарисовать линию на песке, выберите свои битвы, вы можете сделать это несколько раз.

  1. прибыль!

Ответ 3

Ваша самая большая проблема, вероятно, будет защитой приложений. Не верьте разработчику, когда он говорит вам, что идентификатор пула приложений должен быть членом локальной группы администраторов. Это тонкий поворот на "не запускать службы как советник" выше.

Два других примечательных элемента: 1) Убедитесь, что у вас есть способ сделать резервную копию этой системы (и периодически проверять резервные копии). 2) Удостоверьтесь, что у вас есть способ исправить эту систему и, в идеале, проверить эти патчи перед их вводом в производство. Старайтесь не зависеть от вашей собственной хорошей памяти. Я бы предпочел, чтобы вы установили окно для использования windowsupdate, чем для его отключения.

Удачи. Кончик брандмауэра неоценим; оставьте его включенным и разрешите вход tcp/80 и tcp/3389.

Ответ 4

используйте роли соответственно, тем меньше привилегий, которые вы используете для своих учетных записей услуг, тем лучше, попробуйте не запускать все как администратор,

Ответ 5

Если вы пытаетесь защитить веб-приложение, вы должны сохранить текущую информацию о OWASP. Здесь рекламный ролик,

Защита открытых веб-приложений Проект (OWASP) - это 501c3 некоммерческая всемирная благотворительная организация организации, ориентированной на улучшение безопасность прикладного программного обеспечения. наш миссия - сделать заявку безопасности, чтобы люди и организации могут решения об истинном применении риски безопасности. Каждый может свободно участвовать в OWASP и всех наших материалы доступны по бесплатному и открытая лицензия на программное обеспечение. Вы будете найти здесь все о OWASP наша вики и текущая информация о наш блог OWASP. Пожалуйста, не стесняйтесь вносить изменения и совершенствовать наш сайт. Есть сотни людей вокруг глобус, который рассматривает изменения в сайт, чтобы обеспечить качество. Если вы новичок, вы можете проверить наша начальная страница. Вопросы или комментарии должны быть отправлены в один из наших многие списки рассылки. Если вам нравится, что вы видите здесь и хотите поддержать наши усилий, пожалуйста, подумайте о том, чтобы стать член.

Для вашего развертывания (конфигурация сервера, роли и т.д.) у них было много хороших предложений, особенно от Боба и Джеффа. Некоторое время злоумышленники использовали бэкдор и трояны, которые полностью основаны на памяти. Недавно мы разработали новый тип продукта безопасности, который проверяет память сервера (используя аналогичные методы, как Tripwire (см. Ответ Боба) проверяет файлы).

Он называется BlockWatch, в первую очередь предназначен для использования в облачных/гипервизорных/VM-типах развертываниях, но также может проверять физическую память, если вы можете извлечь их.

Например, вы можете использовать BlockWatch, чтобы проверить, что ваши коды кода ядра и обрабатывать адресные пространства - это то, что вы ожидаете (законные файлы, которые вы установили на свой диск).

Ответ 6

Блокируйте входящие порты 135, 137, 138, 139, 445 с брандмауэром. Встроенный будет делать. Windows Server 2008 является первым, для которого использование RDP напрямую так же безопасно, как и ssh.