विंडोज वेब सर्वर चेकलिस्ट

12

जब आप एक नया वेब सर्वर बॉक्स परिनियोजित कर रहे हैं, तो आप इसे स्थापित करने के लिए क्या मानक चीजें हैं और इसे स्थापित करने के लिए क्या करते हैं?

यह सुनिश्चित करने के लिए कि आप क्या कर रहे हैं बॉक्स को बंद कर दिया गया है और समझौता नहीं किया जा रहा है?

अब तक:

सामान्य

नेटवर्क

आईआईएस

संबंधित आलेख

windows  iis 
ल्यूक क्विनाने
स्रोत
1
यह एक इंटरनेट का सामना करने वाला सर्वर है या नहीं?
। ब्रायन केली
हां, मैं एक इंटरनेट फेसिंग सर्वर के बारे में सोच रहा था।
ल्यूक क्विनाने

जवाबों:

6

हम क्या करते हैं:

  • DMZ में वेब सर्वर रखो
  • वेब सर्वर को कार्यसमूह में रखें (डोमेन पर रहने की अनुमति नहीं)
  • सुनिश्चित करें कि सभी सुरक्षा पैच लगाए गए हैं
  • जो सेवाएं चल रही हैं, उन्हें कम से कम करें
  • URLScan का उपयोग करें । सर्वर फिंगरप्रिंट निकालें (RemoveServerHeader = 1)।
  • हार्डन टीसीपी / आईपी स्टैक
  • IPSEC नीति को केवल उस ट्रैफ़िक की अनुमति दें जिसे हम चाहते हैं (श्वेतसूची में)
  • डिफ़ॉल्ट खातों का नाम बदलें ताकि उन्हें विशिष्ट स्क्रिप्ट / टूल द्वारा लक्षित किया जा सके।
  • डिफ़ॉल्ट निर्देशिका (InetPub, WWWRoot, आदि) ले जाएँ
  • स्थानीय उपयोगकर्ता खातों को छोटा करें।
  • सभी NetBIOS को हटा दिया गया है या अक्षम कर दिया गया है।
के। ब्रायन केली
स्रोत
अच्छी सूची है, लेकिन क्या आप एक डोमेन पर वेब सर्वर नहीं लगाने के पीछे तर्क को संकेत प्रदान कर सकते हैं? क्या यह 'सर्वोत्तम अभ्यास' है या केवल एक आंतरिक नीति है।
डेविड क्रिस्टियनजेन
यदि कोई वेब सर्वर डोमेन पर है, तो उसके पास LDAP, ग्लोबल कैटलॉग, पोर्ट्स आदि हैं, जो सभी कम से कम एक DC तक खुलते हैं। इसलिए, यदि आप वेब सर्वर से समझौता कर सकते हैं, तो आप सीधे डीसी पर हमला कर सकते हैं। कुछ मिनट के लिए उस पर खिसकें और आप समझ जाएंगे कि आम तौर पर इसके खिलाफ सिफारिश क्यों की जाती है। यदि आपको डोमेन मार्ग करना चाहिए, तो निम्नलिखित की तरह सलाह का उपयोग किया जाता है (1 रास्ते के विश्वास के साथ एक अलग जंगल का उपयोग करें): searchsecurity.techtarget.com/expert/KnowledgebaseAnswer/…
K. ब्रायन
3
  • प्रत्येक व्यक्ति के लिए उपयोगकर्ता खाते जोड़ें जो कंप्यूटर का संचालन करेगा
  • प्रत्येक उपयोगकर्ता को केवल एक समवर्ती संकेत की अनुमति देने के लिए टर्मिनल सेवाओं को कॉन्फ़िगर करें
  • वैकल्पिक प्रशासन खाते जोड़ें जो केवल तभी उपयोग किए जाते हैं यदि रनस किसी दिए गए उपयोगकर्ता के उद्देश्य को पूरा नहीं करता है

-Adam

एडम डेविस
स्रोत
2

तुम चाह सकते हो;

  • SSL 2 को अक्षम करें (SSL प्रोटोकॉल के उपयोग को कम करें)
  • नेटवर्क भेद्यता मूल्यांकन करें

यदि हां, तो मैंने IIS6 पर Howto: Disable SSL2 और Weak Ciphers पर एक विस्तृत लेख लिखा है, जो एक नज़र डालने लायक हो सकता है।

यह लेख भुगतान कार्ड उद्योग द्वारा निर्धारित सुरक्षा आवश्यकताओं को पूरा करने के दृष्टिकोण से चीजों को लेता है लेकिन अभी भी सामान्य सर्वर सख्त करने के लिए प्रासंगिक है।

तो अब आप को या तो पढ़े हुए SSL प्रोटोकॉल के उपयोग को ठीक करना है, जिसे आपने या तो पढ़ा होगा Howto: SSL2 और कमजोर सिपाहियों के लेख को चरण-दर-चरण निर्देशों के लिए अक्षम करें या MS समर्थन आलेख # 187498 पढ़ें और आप अपने संशोधनों की पुष्टि करने के लिए ServerSniff का उपयोग कर सकते हैं ।

पीएस दरअसल आप स्कॉट के जवाब में उल्लिखित संशोधनों की पुष्टि करने के लिए ServerSniff का उपयोग कर सकते हैं।

डेविड ईसाई
स्रोत
+1 आसान लेख और ServerSniff बहुत साफ लग रहा है!
ल्यूक क्विनाने
1

पहले से बताई गई बातों के अलावा, मैं कमजोर एसएसएल सिफर को निष्क्रिय कर देता हूं।

संपादित करें: मुझे कुछ साल पहले लिखे गए चरण-दर-चरण निर्देश मिले।

  1. प्रारंभ क्लिक करें, चलाएँ क्लिक करें, regedt32 टाइप करें या regedit टाइप करें, और उसके बाद ठीक क्लिक करें।
  2. रजिस्ट्री संपादक में, निम्न रजिस्ट्री कुंजी का पता लगाएँ: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
  3. निम्न कुंजियों के लिए चरण 4 को 8 के माध्यम से निष्पादित करें: a। सिफर्स \ DES 56/56 बी। सिफर्स \ RC2 40/128 सी। सिफर्स \ RC4 40/128 डी। सिफर्स \ RC4 56/128 ई। प्रोटोकॉल \ SSL 2.0 \ क्लाइंट f। प्रोटोकॉल \ SSL 2.0 \ सर्वर
  4. संपादन मेनू पर, मूल्य जोड़ें पर क्लिक करें।
  5. डेटा प्रकार सूची में, DWORD पर क्लिक करें।
  6. मान नाम बॉक्स में, सक्षम करें टाइप करें, और उसके बाद ठीक क्लिक करें।
  7. "0" के बराबर नई कुंजी का मान सेट करने के लिए बाइनरी एडिटर में 00000000 टाइप करें।
  8. ओके पर क्लिक करें।
  9. जब आप रजिस्ट्री को संशोधित करना समाप्त कर लें, तो कंप्यूटर को पुनरारंभ करें।
स्कॉट
स्रोत
कौन सा विशेष रूप से सिफर?
ल्यूक क्विनाने
मुझे अभी सटीक सूची नहीं मिल रही है, लेकिन एसएसएल 2.0 और 128-बिट की तुलना में कुछ भी कमजोर है।
स्कॉट
मैंने अपने अभिलेखागार में चारों ओर खुदाई की और चरण-दर-चरण निर्देश पाया। मैंने उन्हें शामिल करने के लिए अपना उत्तर संपादित किया।
स्कॉट
-3

यदि संभव हो तो Windows 2003 SP1 सर्वर के साथ शुरू करें और सुनिश्चित करें कि फ़ायरवॉल में बनाया गया है जब तक कि आपके पास इसे बचाने के लिए नेटवर्क फ़ायरवॉल न हो।

सुनिश्चित करें कि यदि आप फ़ायरवॉल सेटअप करते हैं तो निम्नलिखित पोर्ट खुले हैं: - 3389: रिमोट डेस्कटॉप (RDP) - 80: HTTP

वैकल्पिक: - 443: HTTPS (वैकल्पिक) - 25: SMTP - 110: पॉप 3

उपयोगिताएँ:

  • नोटपैड ++ (सभी महान संपादक के आसपास) - मुक्त
  • 7-ज़िप (ज़िप, चाप, और अन्य संपीड़ित फ़ाइलें संभालती है) - मुफ्त
  • V3 से तुलना करें (फ़ाइल तुलना और एफ़टीपी) - $ लेकिन बहुत अधिक नहीं
  • डेटाबेस प्रबंधन
ब्रायन बोटराइट
स्रोत
1
आप Windows 2003 SP2, सही मतलब है? इसके अलावा, यदि यह एक वेब सर्वर है जिसे आप लॉक करना चाहते हैं, तो आप नहीं चाहते कि SMTP और POP3 इस पर खुलें। आप आरडीपी भी नहीं चाहते। कम से कम, डिफ़ॉल्ट पोर्ट पर नहीं।
। ब्रायन केली
1
मैं बहुत अधिक देवता के साथ सर्वर लोड करने से बचता हूँ। कबाड़। आप सर्वर को वर्कस्टेशन के रूप में उपयोग करते हुए बहुत समय बिताने के लिए अनुकूलित नहीं करना चाहते हैं, यह विफलता का नुस्खा है।
कील
प्रत्येक अपने स्वयं के लिए। यदि आपके पास केवल एक सर्वर है जो आपकी वेबसाइट को चला रहा है तो कुछ देव उपकरण अवश्य हैं। एक सर्वर पर आपका ईमेल और वेब होस्टिंग होना भी है। प्रत्येक व्यक्ति को प्रत्येक सेवा के लिए अलग-अलग सर्वर की आवश्यकता नहीं है या वहन नहीं कर सकते हैं।
ब्रायन बोटराइट
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.