Webに面したWindowsサーバーを保護するための「やるべきこと」は何ですか？

現在、Webに面したWindowsサーバーの展開を開始しています。

サーバーを保護する方法を教えてください。どのソフトウェアを使用していますか？

Linuxでは、Fail2banを使用してブルートフォースを防止し、Logwatchを使用してサーバーで何が起こっているかを毎日レポートします。Windowsにこれらのソフトウェアに相当するものはありますか？そうでない場合、サーバーを保護するために何を使用することをお勧めしますか？

まず、ネットワーク設計について考える必要があります。内部ネットワークを保護するために、少なくとも1つのDMZを使用することをお勧めします。新しい2012 Serverを購入したくない場合、公共の場に適したWindowsシステムはWindows Server 2008 R2です。少なくとも4つのWindowsベースのWebサーバーがあり、それらはすべてWebサーバーとして完全に機能し、すべて2008 R2に基づいています。次のことを確認してください。

• DMZを使用します（1または2）
• 未使用のサーバーの役割をインストールしないでください
• 必要のないサービスは必ず停止してください
• RDPポートを（必要に応じて）内部ネットワークのみに開いてください
• すべての未使用ポートを閉じたままにしてください
• サーバーの前で、シスコ、ジュニパー、チェックポイントなどの適切なファイアウォールソリューションを使用する
• サーバーを最新の状態に保ちます（少なくとも毎月の更新）
• 冗長化（少なくとも2台のサーバーを使用し、1台はバックアップ用）
• 適切な監視：Nagios（私は気に入っています;-)）

（オプション）WebサーバーとそのバックアップシステムにHyper-Vを使用します。更新がはるかに簡単になり、更新が何らかの形でWebサービスに干渉しないかどうかを確認できます。その場合、ハードウェア障害の場合に冗長性を持たせるために、2つの同一のハードウェアマシンが必要になります。しかし、それは多分かなり高価です。

それがあなたを助けることを願っています！

この一般向けのWindowsボックスで提供したいサービスを教えていただければ、より詳細な回答を提供できます。例：IIS、OWA、DNSなど？

ボックス自体をロックダウンするには、不要な追加のサービス/ロールをボックスから削除する（またはインストールしない）ことでvladの答えから始めます。これには、サーバーで使用すべきではないサードパーティ製ソフトウェア（acrobatリーダー、フラッシュなどなし）が含まれます。もちろん、パッチを適用してください。

実行しているサービスの適切なポートへのトラフィックのみを許可するようにファイアウォールポリシーを構成します

実行中のサービスに関連付けられたルールでIDS / IPSを構成します。

資産のリスク/価値に応じて、できれば別のベンダーのペリメーターIPSに加えて、ホストベースのIPSをインストールすることを検討してください。

主な目的がWebサイトをホストすることであると仮定すると、7.5（2008 R2）ではIISをロックダウンすることで問題が大幅に軽減されますが、次のようないくつかのことを確認する必要があります。

• OSファイルとは異なるボリュームにWebサイトファイルを保存する
• ベースラインとしてMicrosoft、NSAなどからXMLセキュリティテンプレートを取得する
• NTFSを使用してすべてのスクリプトを削除またはロックダウンします \InetPub\AdminScripts
• appcmd、cmd.exeなどの危険なexeをロックダウンします
• IPSecを使用して、DMZと許可された内部ホスト間のトラフィックを制御します
• ADが必要な場合は、DMZで内部ネットワークとは別のフォレストを使用します
• すべてのサイトにホストヘッダー値が必要であることを確認してください（自動スキャンの防止に役立ちます）
• 次の成功イベントを除く、すべての失敗および成功イベントのWindows監査を有効にします。Directorサービスアクセス、プロセストラッキング、およびシステムイベント。
• ファイルシステムでNTFS監査を使用して、Everyoneグループによる失敗したアクションをログに記録し、バックアップに基づいてセキュリティログのサイズを適切なサイズ（500Mb程度）に増やしてください。
• ルートフォルダーのHTTPログを有効にする
• アプリプールを実行しているユーザーアカウントに不要な権限を与えないでください。
• 必要ない場合は、ISAPIおよびCGIモジュールを取り除きます。

これを長くしすぎたくないので、特定の箇条書きに関する詳細情報が必要な場合は、コメントを残してください。

ここでの既存の答えは良いですが、1つの重要な側面を見逃しています。サーバーが危険にさらされるとどうなりますか？

ServerFaultでの質問に対する回答は、ほとんどの場合、私のサーバーがハッキングされた緊急事態の複製として質問を閉じることです！ 一番上の回答の手順では、侵害の原因/方法を見つける方法と、バックアップから復元する方法について説明しています。

これらの指示に従うには、広範なログ記録と定期的なバックアップが必要です。攻撃者が何をいつ実行したかを判断するために使用できる十分なログが必要です。このためには、異なるマシンからのログファイルを相互に関連付ける方法が必要であり、これにはNTPが必要です。おそらく、何らかのログ相関エンジンも必要になるでしょう。

通常、ログ記録とバックアップの両方は、侵害されたマシンからは利用できません。

サーバーが侵害されたことがわかったら、サーバーをオフラインにして調査を開始します。攻撃者がそれをいつどのように入手したかがわかれば、スペアマシンの欠陥を修正してオンラインにすることができます。スペアマシンでもデータが侵害されている場合（ライブマシンから同期されているため）、データをオンラインにする前に、侵害より古いバックアップからデータを復元する必要があります。

上記のリンクされた回答に沿って作業し、実際に手順を実行できるかどうかを確認してから、できるまで追加/変更します。

このサーバーの役割/アプリケーションをインストール、構成、およびテストした後、SCW（セキュリティ構成ウィザード）を実行します。

上記のすべての推奨事項を実行した後、DoDが発行する「セキュリティ技術実装ガイド」（STIG）に従ってください。

STIGの完全なリストは次のとおりです。

http://iase.disa.mil/stigs/az.html

よろしく。