¿Cuáles son las "tareas pendientes" en la protección del servidor de Windows frente a la web?

17

Actualmente comienzo a implementar servidores Windows frente a la web.

Y me gustaría saber cuál es su forma de proteger sus servidores. ¿Qué software estás usando?

En Linux, estoy usando Fail2ban para evitar la fuerza bruta y Logwatch para obtener informes diarios sobre lo que sucede en mis servidores. ¿Hay equivalentes de esos softwares en Windows? Si no es así, ¿qué recomienda usar para proteger el servidor?

windows security web-server iis-7.5 Kedare
fuente
44
La respuesta de Vlad a continuación es un buen punto de partida. También tome nota de su empresa y qué servicios está poniendo en la web. Dejando a un lado las regulaciones / leyes, si usted es un pequeño taller mecánico con una aplicación web dinko, puede escapar con muy poca seguridad. No es cierto si usted es un gran desarrollador con personas de China que desean obtener su código
TheCleaner

Respuestas:

19

En primer lugar, debe pensar en el diseño de su red. Sería bueno usar al menos una DMZ para proteger la red interna. Un buen sistema de Windows para ser público sería Windows Server 2008 R2 si no desea comprar el nuevo 2012 Server. Tenemos al menos cuatro servidores web basados ​​en Windows que funcionan perfectamente como servidores web, todos basados ​​en 2008 R2. Solo asegúrese de hacer lo siguiente:

  • Use la DMZ (1 o 2)
  • No instale roles de servidor no utilizados
  • Asegúrese de detener los servicios que no necesitará
  • Asegúrese de abrir el puerto RDP (si es necesario) solo en la red interna
  • Asegúrese de mantener cerrados todos los puertos no utilizados
  • Use una solución de firewall adecuada como Cisco, Juniper o Checkpoint en frente del servidor
  • Mantenga su servidor actualizado (al menos actualizaciones mensuales)
  • Hágalo redundante (use al menos dos servidores, uno para respaldo)
  • Buen monitoreo: Nagios (me gusta ;-))

(opcional) Use Hyper-V para su servidor web y su sistema de respaldo. Mucho más fácil de actualizar y verificar si sus actualizaciones no interfieren con el servicio web de alguna manera. En ese caso, necesitará dos máquinas de hardware idénticas para tener redundancia en caso de una falla de hardware. Pero eso es bastante caro tal vez.

Espero que te ayude!

Andre
fuente
7

Podríamos darle una respuesta más detallada si nos dice qué servicio desea proporcionar en este cuadro de Windows público. por ejemplo, IIS, OWA, DNS, etc.

Para bloquear el cuadro en sí mismo, comience con la respuesta de vlad eliminando (o no instalando para comenzar) cualquier servicio / rol adicional en el cuadro que no será necesario. Esto incluye cualquier software de terceros (sin lector de acrobat, flash, etc.) que no debe usarse en un servidor. Cualquiera, por supuesto, mantiene las cosas parcheadas.

Configure sus políticas de firewall para permitir solo el tráfico a los puertos apropiados para los servicios que está ejecutando

Configure un IDS / IPS con reglas asociadas con los servicios que está ejecutando.

Dependiendo del riesgo / valor del activo, considere instalar un IPS basado en host además de su IPS perimetral, preferiblemente de otro proveedor.

Asumiendo que el propósito principal es alojar un sitio web, bloquear IIS es significativamente menos problemático con 7.5 (2008 R2), aunque aún debe asegurarse de hacer algunas cosas como:

  • Almacenar archivos del sitio web en un volumen diferente de los archivos del sistema operativo
  • Tome una plantilla de seguridad XML de Microsoft, NSA, etc. como línea de base
  • Elimine o bloquee a través de NTFS todos los scripts en \InetPub\AdminScripts
  • Bloquee archivos ejecutables peligrosos como appcmd, cmd.exe, etc.
  • Utilice IPSec para controlar el tráfico entre la DMZ y los hosts internos autorizados.
  • Si necesita AD, use un bosque separado en su DMZ que no sea su red interna
  • Asegúrese de que todos los sitios requieran valores de encabezado de host (ayuda a evitar el escaneo automático)
  • Habilite la auditoría de Windows de todos los eventos fallidos y exitosos, excepto los siguientes eventos exitosos: Acceso de servicio del Director, Seguimiento de procesos y Eventos del sistema.
  • Use la auditoría NTFS en el sistema de archivos para registrar acciones fallidas por parte del grupo Todos y asegúrese de aumentar el tamaño de su registro de seguridad a un tamaño apropiado en función de las copias de seguridad (aproximadamente 500Mb)
  • Habilite el registro HTTP para la carpeta raíz
  • No otorgue derechos innecesarios a las cuentas de usuario que ejecutan grupos de aplicaciones.
  • Deshágase de los módulos ISAPI y CGI si no los necesita.

No quiero hacer esto demasiado largo, así que si necesita / desea más información sobre una viñeta en particular, deje un comentario.

Paul Ackerman
fuente
Por ahora, este servidor solo proporcionará acceso a IIS
Kedare,
5

Las respuestas existentes aquí son buenas, pero pierden un aspecto crucial. ¿Qué sucede cuando su servidor se ve comprometido?

La respuesta aquí en ServerFault cuando la gente pregunta eso es casi siempre cerrar la pregunta como un duplicado de ¡ Mi servidor ha sido hackeado EMERGENCIA! Las instrucciones en la respuesta superior allí describen cómo encontrar la causa / método del compromiso y cómo restaurar desde una copia de seguridad.

Para seguir esas instrucciones, debe tener un registro extenso y copias de seguridad periódicas. Debe tener suficiente registro para poder usarlo para determinar qué hizo el atacante y cuándo. Para esto, necesita una forma de correlacionar los archivos de registro de diferentes máquinas, y esto requiere NTP. Probablemente también desee algún tipo de motor de correlación de registros.

Por lo general, tanto el registro como las copias de seguridad no deberían estar disponibles en la máquina que se vio comprometida.

Una vez que sabe que su servidor se ha visto comprometido, lo desconecta y comienza a investigar. Una vez que sepa cuándo y cómo lo consiguió el atacante, puede reparar la falla en la máquina de repuesto y ponerla en línea. Si la máquina de repuesto también ha comprometido datos (porque se está sincronizando desde la máquina en vivo), entonces necesita restaurar los datos de una copia de seguridad anterior al compromiso antes de ponerla en línea.

Ábrase paso a través de la respuesta vinculada anterior y vea si realmente puede realizar los pasos, y luego agregue / cambie cosas hasta que pueda.

Ladadadada
fuente
2

Ejecute el SCW (Asistente de configuración de seguridad) después de haber instalado, configurado y probado los roles / aplicaciones para este servidor.

joeqwerty
fuente
2

Después de hacer todas las recomendaciones anteriores, siga la "Guía de implementación técnica de seguridad" (STIG) publicada por DoD para: 1- Windows Server (encuentre su versión) 2- Para IIS (encuentre su versión) 3- Para el sitio web (encuentre su versión)

Aquí está la lista completa de STIG:

http://iase.disa.mil/stigs/az.html

Saludos.

hassan.monfared
fuente
¡Hay una larga lista de reglas de seguridad por hacer !. debes ser paciente ..
hassan.monfared