Lista de verificación del servidor web de Windows

12

Cuando despliega un nuevo servidor web, ¿cuáles son las cosas estándar que instala en él y hace para configurarlo?

¿Qué cosas hace para asegurarse de que la caja esté cerrada y no se vea comprometida?

Hasta aquí:

General

Red

IIS

Artículos relacionados

windows iis Luke Quinane
fuente
1
¿Es este un servidor de Internet o no?
K. Brian Kelley
Sí, estaba pensando en un servidor con conexión a Internet.
Luke Quinane

Respuestas:

6

Lo que hacemos:

  • Poner servidor web en DMZ
  • Poner el servidor web en un grupo de trabajo (no se permite estar en un dominio)
  • Asegúrese de que se apliquen todos los parches de seguridad
  • Minimiza los servicios que se están ejecutando
  • Use URLScan . Eliminar la huella digital del servidor (RemoveServerHeader = 1).
  • Endurecer la pila TCP / IP
  • Aplicar la política IPSEC para permitir solo el tráfico que queremos (lista blanca)
  • Cambie el nombre de las cuentas predeterminadas para que puedan ser seleccionadas por scripts / herramientas típicas.
  • Mover directorios predeterminados (InetPub, WWWRoot, etc.)
  • Minimice las cuentas de usuarios locales.
  • Todo NetBIOS se elimina o deshabilita.
K. Brian Kelley
fuente
Buena lista, pero ¿puedes proporcionar indicadores sobre el razonamiento detrás de no poner servidores web en un dominio? ¿Es esta 'mejor práctica' o simplemente una política interna?
David Christiansen
Si un servidor web está en el dominio, debe tener LDAP, Catálogo global, puertos, etc., todos abiertos al menos a un DC. Por lo tanto, si puede comprometer el servidor web, puede atacar directamente el DC. Reflexiona sobre eso durante unos minutos y entenderás por qué generalmente se recomienda no hacerlo. Si debe hacer la ruta de dominio, generalmente se utilizan consejos como los siguientes (use un bosque separado con confianza de 1 vía): searchsecurity.techtarget.com/expert/KnowledgebaseAnswer/…
K. Brian Kelley
3
  • Agregue cuentas de usuario para cada persona que administrará la computadora
  • Configure los servicios de terminal para permitir a cada usuario solo un inicio de sesión simultáneo
  • Agregue cuentas de administración alternativas que solo se usan si runas no sirve para un usuario determinado

-Adán

Adam Davis
fuente
2

Puede desearlo;

  • Deshabilitar SSL 2 (corregir el uso del protocolo SSL depreciado)
  • Realizar una evaluación de vulnerabilidad de red

Si es así, escribí un artículo detallado sobre Cómo: Deshabilitar SSL2 y Cifrados débiles en IIS6 que vale la pena echarle un vistazo.

Este artículo toma las cosas desde el punto de vista de satisfacer los requisitos de seguridad establecidos por la industria de tarjetas de pago, pero sigue siendo relevante para el fortalecimiento general del servidor.

Entonces, para corregir el uso del protocolo SSL depreciado, debería leer dicho Cómo: deshabilitar el artículo SSL2 y Cifrados débiles para obtener instrucciones paso a paso O leer el Artículo de soporte de MS # 187498 y puede usar ServerSniff para confirmar que sus modificaciones han tenido efecto.

ps De hecho, también podría usar ServerSniff para confirmar las modificaciones mencionadas en la respuesta de Scott.

David Christiansen
fuente
¡El artículo práctico +1 y ServerSniff también se ve muy bien!
Luke Quinane 01 de
1

Además de las cosas ya mencionadas, desactivo los cifrados SSL débiles.

EDITAR: Encontré las instrucciones paso a paso que escribí hace unos años.

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedt32 o escriba regedit, y luego haga clic en Aceptar.
  2. En el Editor del registro, busque la siguiente clave del registro: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
  3. Realice los pasos del 4 al 8 para las siguientes teclas: a. Cifrados \ DES 56/56 b. Cifrados \ RC2 40/128 c. Cifrados \ RC4 40/128 d. Cifrados \ RC4 56/128 e. Protocolos \ SSL 2.0 \ Cliente f. Protocolos \ SSL 2.0 \ Servidor
  4. En el menú Editar, haga clic en Agregar valor.
  5. En la lista Tipo de datos, haga clic en DWORD.
  6. En el cuadro Nombre del valor, escriba Activado y luego haga clic en Aceptar.
  7. Escriba 00000000 en Binary Editor para establecer el valor de la nueva clave igual a "0".
  8. Haga clic en Aceptar.
  9. Cuando haya terminado de modificar el registro, reinicie la computadora.
Scott
fuente
¿Qué cifras en particular?
Luke Quinane
No puedo encontrar la lista exacta en este momento, pero SSL 2.0 y cualquier cosa más débil que 128 bits.
Scott,
Rebusqué en mis archivos y encontré las instrucciones paso a paso. Edité mi respuesta para incluirlos.
Scott,
-3

Si es posible, comience con Windows 2003 SP1 Server y asegúrese de que el firewall integrado esté activado a menos que tenga un firewall de red para protegerlo.

Asegúrese de que los siguientes puertos estén abiertos si configura el firewall: - 3389: Escritorio remoto (RDP) - 80: HTTP

Opcional: - 443: HTTPS (opcional) - 25: SMTP - 110: Pop3

Utilidades:

  • Notepad ++ (todo un gran editor) - gratis
  • 7-Zip (maneja archivos zip, arco y otros archivos comprimidos) - gratis
  • Beyond Compare v3 (comparación de archivos y FTP) - $ pero no mucho
  • Gestión de base de datos
Brian Boatright
fuente
1
Te refieres a Windows 2003 SP2, ¿verdad? Además, si es un servidor web que desea bloquear, no desea que SMTP y POP3 se abran en él. Tampoco quieres RDP. Al menos, no en el puerto predeterminado.
K. Brian Kelley
1
Evitaría cargar el servidor con demasiados desarrolladores. basura. No desea optimizar para pasar mucho tiempo usando el servidor como estación de trabajo, esa es una receta para el fracaso.
Wedge
cada uno a lo suyo. si solo tiene un servidor que ejecuta su sitio web, es necesario tener algunas herramientas de desarrollo. tener su correo electrónico y alojamiento web en un servidor también lo es. no todos necesitan o pueden permitirse servidores separados para cada servicio.
Brian Boatright