Windows 웹 서버 점검표

12

새 웹 서버 상자를 배포 할 때 설치하는 표준 사항은 무엇입니까?

상자가 잠겨 있고 타협되지 않도록하려면 어떻게해야합니까?

지금까지:

일반

회로망

IIS

관련 기사

windows  iis 
Luke Quinane
소스
1
이 서버는 인터넷 연결 서버입니까?
K. Brian Kelley
예, 인터넷 연결 서버를 생각하고있었습니다.
Luke Quinane

답변:

6

우리가하는 일 :

  • DMZ에 웹 서버 넣기
  • 웹 서버를 작업 그룹에 배치 (도메인에있을 수 없음)
  • 모든 보안 패치가 적용되었는지 확인
  • 실행중인 서비스 최소화
  • URLScan을 사용하십시오 . 서버 지문을 제거합니다 (RemoveServerHeader = 1).
  • TCP / IP 스택 강화
  • 원하는 트래픽 만 허용하도록 IPSEC 정책 적용 (허용 목록)
  • 기본 스크립트의 이름을 변경하여 일반적인 스크립트 / 도구로 타겟팅 할 수 있습니다.
  • 기본 디렉토리 이동 (InetPub, WWWRoot 등)
  • 로컬 사용자 계정을 최소화하십시오.
  • 모든 NetBIOS가 제거되었거나 비활성화되었습니다.
브라이언 켈리
소스
좋은 목록이지만 웹 서버를 도메인에 두지 않는 이유에 대한 포인터를 제공 할 수 있습니까? 이것이 '모범 사례'이거나 단순히 내부 정책입니다.
David Christiansen
웹 서버가 도메인에있는 경우 LDAP, 글로벌 카탈로그, 포트 등이 모두 하나 이상의 DC에 열려 있어야합니다. 따라서 웹 서버를 손상시킬 수 있으면 DC를 직접 공격 할 수 있습니다. 몇 분 동안 그 문제를 해결하면 일반적으로 권장되는 이유를 이해할 수 있습니다. : 도메인 경로를해야 할 경우, 다음과 같은 조언은 generall (1 단방향 트러스트와 별도의 포리스트 사용)를 사용 searchsecurity.techtarget.com/expert/KnowledgebaseAnswer/...
K. 브라이언 켈리
3
  • 컴퓨터를 관리 할 각 개인의 사용자 계정 추가
  • 각 사용자에게 하나의 동시 사인온 만 허용하도록 터미널 서비스 구성
  • runas가 지정된 사용자에게 목적을 제공하지 않는 경우에만 사용되는 대체 관리 계정 추가

-아담

아담 데이비스
소스
2

원할 수도 있습니다.

  • SSL 2 비활성화 (감가 상각 된 SSL 프로토콜 사용 수정)
  • 네트워크 취약성 평가 수행

그렇다면 Howto : Disable SSL2 and Weak Ciphers on IIS6 에 대한 자세한 기사를 보았습니다.

이 기사는 지불 카드 산업에서 설정 한 보안 요구 사항을 충족시키는 관점에서 일을 수행하지만 여전히 일반 서버 강화와 관련이 있습니다.

따라서 감가 상각 된 SSL 프로토콜 사용을 수정하려면 단계별 지침에 대한 방법 : SSL2 및 약한 암호 사용 안 함 문서를 읽거나 MS 지원 문서 # 187498을 읽고 ServerSniff 를 사용 하여 수정 사항이 적용되었는지 확인할 수 있습니다 .

ps 실제로 ServerSniff를 사용하여 Scott의 회신에 언급 된 수정 사항을 확인할 수도 있습니다.

데이비드 크리스티안 센
소스
+1 편리한 기사와 ServerSniff도 깔끔하게 보입니다!
Luke Quinane 2016 년
1

이미 언급 한 것 외에도 약한 SSL 암호를 사용하지 않습니다.

편집 : 몇 년 전에 쓴 단계별 지침을 찾았습니다.

  1. 시작, 실행을 차례로 클릭하고 regedt32를 입력하거나 regedit를 입력 한 다음 확인을 클릭합니다.
  2. 레지스트리 편집기에서 다음 레지스트리 키를 찾으십시오. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
  3. 다음 키에 대해 4-8 단계를 수행하십시오. 암호 \ DES 56/56 b. 암호 \ RC2 40/128 c. 암호 \ RC4 40/128 d. 암호 \ RC4 56/128 e. 프로토콜 \ SSL 2.0 \ 클라이언트 f. 프로토콜 \ SSL 2.0 \ 서버
  4. 편집 메뉴에서 값 추가를 클릭하십시오.
  5. 데이터 형식 목록에서 DWORD를 클릭하십시오.
  6. 값 이름 상자에 사용을 입력 한 다음 확인을 클릭합니다.
  7. 이진 편집기에 00000000을 입력하여 새 키의 값을 "0"으로 설정하십시오.
  8. 확인을 클릭하십시오.
  9. 레지스트리 수정이 끝나면 컴퓨터를 다시 시작하십시오.
스콧
소스
특히 어떤 암호?
Luke Quinane
정확한 목록을 찾을 수는 없지만 SSL 2.0 및 128 비트보다 약한 것은 없습니다.
Scott
보관소에서 발굴하여 단계별 지침을 찾았습니다. 그것들을 포함시키기 위해 대답을 편집했습니다.
Scott
-3

가능하면 Windows 2003 SP1 Server로 시작하고 보호 할 네트워크 방화벽이없는 한 내장 방화벽이 켜져 있는지 확인하십시오.

방화벽을 설정 한 경우 다음 포트가 열려 있는지 확인하십시오.-3389 : RDP (원격 데스크톱)-80 : HTTP

선택 사항 :-443 : HTTPS (선택 사항)-25 : SMTP-110 : Pop3

유용:

  • 메모장 ++ (모두 훌륭한 편집기)-무료
  • 7-Zip (zip, arc 및 기타 압축 파일 처리)-무료
  • Beyond Compare v3 (파일 비교 및 ​​FTP)-$는 많지 않지만
  • 데이터베이스 관리
브라이언 보트 라이트
소스
1
Windows 2003 SP2를 의미합니까? 또한 잠 그려는 웹 서버 인 경우 SMTP 및 POP3를 열지 않으려 고합니다. 또한 RDP를 원하지 않습니다. 최소한 기본 포트에는 없습니다.
K. Brian Kelley
1
너무 많은 개발자로 서버를로드하지 않습니다. 정크. 서버를 워크 스테이션으로 사용하는 데 많은 시간을 소비하기 위해 최적화하고 싶지 않습니다. 이것이 실패의 비법입니다.
웨지
각각 자신의. 웹 사이트를 운영하는 서버가 하나 뿐인 경우 몇 가지 개발 도구가 있어야합니다. 하나의 서버에 전자 메일과 웹 호스팅도 있습니다. 모든 사람이 각 서비스마다 별도의 서버를 필요로하거나 감당할 수있는 것은 아닙니다.
Brian Boatright
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.