Windows Webサーバーのチェックリスト

12

新しいWebサーバーボックスを展開するとき、その上にインストールしてセットアップするための標準的なものは何ですか?

ボックスがロックダウンされ、侵害されないようにするために何をしますか?

これまでのところ:

全般

通信網

IIS

関連記事

windows  iis 
ルーク・キナン
ソース
1
これはインターネットに接続されたサーバーですか?
K.ブライアンケリー
はい、私はインターネットに面したサーバーを考えていました。
ルークキナン2009年

回答:

6

私達がすること:

  • WebサーバーをDMZに配置する
  • Webサーバーをワークグループに配置します(ドメインに配置することはできません)
  • すべてのセキュリティパッチが適用されていることを確認します
  • 実行中のサービスを最小限に抑える
  • URLScanを使用します。サーバーの指紋を削除します(RemoveServerHeader = 1)。
  • TCP / IPスタックを強化する
  • IPSECポリシー適用して、必要なトラフィックのみを許可する(ホワイトリスト登録)
  • デフォルトアカウントの名前を変更して、一般的なスクリプト/ツールのターゲットにできるようにします。
  • デフォルトのディレクトリ(InetPub、WWWRootなど)を移動します
  • ローカルユーザーアカウントを最小化します。
  • すべてのNetBIOSが削除されるか、無効になります。
K.ブライアンケリー
ソース
素晴らしいリストですが、ドメインにWebサーバーを配置しない背後にある理由へのポインターを提供できますか?これは「ベストプラクティス」ですか、それとも単に内部ポリシーですか。
デビッドクリスチャンセン
Webサーバーがドメイン上にある場合、LDAP、グローバルカタログ、ポートなどをすべて、少なくとも1つのDCに対して開く必要があります。したがって、Webサーバーを侵害できる場合は、DCを直接攻撃できます。それを数分間熟考すると、一般的に推奨されない理由が理解できます。あなたは、ドメインルートを行う必要がある場合は、次のようなアドバイスをgenerall(1つの双方向の信頼を持つ別のフォレストを使用)に使用されますsearchsecurity.techtarget.com/expert/KnowledgebaseAnswer/...
K.ブライアン・ケリー
3
  • コンピューターを管理する各ユーザーのユーザーアカウントを追加します
  • 各ユーザーが1つの同時サインオンのみを許可するようにターミナルサービスを構成する
  • runasが特定のユーザーの目的を果たさない場合にのみ使用される代替管理アカウントを追加します

-アダム

アダム・デイビス
ソース
2

あなたが望むかもしれません;

  • SSL 2を無効にします(減価償却されたSSLプロトコルの使用を修正)
  • ネットワークの脆弱性評価を実行する

もしそうなら、Howto:Disable SSL2 and Weak Ciphers on IIS6に関する詳細な記事を書きました。

この記事は、Payment Card Industryによって設定されたセキュリティ要件を満たすという観点から物事を取り上げていますが、それでも一般的なサーバーの強化に関連しています。

したがって、今度は減価償却されたSSLプロトコルの使用法を修正するには、前述のHowto:Disable SSL2 and Weak Ciphers article for step-by-step instructionsを読むか、MS Support Article#187498を読みServerSniffを使用して変更が有効になったことを確認する必要があります。

ps実際、Scottの返信で言及された変更を確認するためにServerSniffを使用することもできます。

デビッド・クリスチャンセン
ソース
+1便利な記事とServerSniffもかなりきれいに見えます!
ルークキナン09年
1

すでに述べたことに加えて、私は弱いSSL暗号を無効にします。

編集:数年前に書いた段階的な手順を見つけました。

  1. [スタート]ボタン、[ファイル名を指定して実行]の順にクリックし、「regedt32」または「regedit」と入力して、[OK]をクリックします。
  2. レジストリエディターで、次のレジストリキーを見つけます:HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
  3. 次のキーに対して手順4〜8を実行します。Ciphers \ DES 56/56 b。Ciphers \ RC2 40/128 c。Ciphers \ RC4 40/128 d。Ciphers \ RC4 56/128 e。Protocols \ SSL 2.0 \ Client f。Protocols \ SSL 2.0 \ Server
  4. [編集]メニューの[値の追加]をクリックします。
  5. [データ型]リストで、[DWORD]をクリックします。
  6. [値の名前]ボックスに「有効」と入力し、[OK]をクリックします。
  7. Binary Editorに00000000と入力して、新しいキーの値を「0」に設定します。
  8. OKをクリックします。
  9. レジストリの変更が完了したら、コンピューターを再起動します。
スコット
ソース
特にどの暗号ですか?
ルークキナン2009年
正確なリストは今のところ見つかりませんが、SSL 2.0と128ビットより弱いものは見つかりません。
スコット
私は自分のアーカイブを掘り下げて、段階的な手順を見つけました。回答を編集してそれらを含めました。
スコット
-3

可能であれば、Windows 2003 SP1 Serverから開始し、保護するネットワークファイアウォールがない限り、ビルトインファイアウォールがオンになっていることを確認します。

ファイアウォールを設定する場合は、次のポートが開いていることを確認してください。-3389:リモートデスクトップ(RDP)-80:HTTP

オプション:-443:HTTPS(オプション)-25:SMTP-110:Pop3

ユーティリティ:

  • Notepad ++(すべての素晴らしいエディター)-無料
  • 7-Zip(zip、arc、およびその他の圧縮ファイルを処理)-無料
  • 比較v3を超えて(ファイル比較とFTP)-あまりない
  • データベース管理
ブライアン・ボートライト
ソース
1
Windows 2003 SP2のことですか?また、ロックダウンするWebサーバーである場合は、SMTPおよびPOP3を開かないでください。また、RDPも必要ありません。少なくとも、デフォルトポートではありません。
K.ブライアンケリー
1
サーバーにあまり多くのdevをロードしないようにします。ジャンク。サーバーをワークステーションとして使用するのに多くの時間を費やすように最適化するのは望ましくありません。これは失敗のレシピです。
ウェッジ
それぞれ自分の。Webサイトを実行しているサーバーが1つしかない場合、いくつかの開発ツールが必要です。1つのサーバーでメールとWebホスティングを行うこともできます。誰もがサービスごとに別々のサーバーを必要とするわけでも、余裕があるわけでもありません。
ブライアンボートライト
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.