वेब का सामना कर रहे विंडोज सर्वर की रक्षा करने पर "क्या करें" क्या हैं?

मैं वर्तमान में वेब के सामने विंडोज सर्वरों को तैनात करना शुरू करता हूं।

और मैं जानना चाहूंगा कि आप अपने सर्वर की सुरक्षा करने के क्या तरीके हैं? आप किस सॉफ्टवेअर का उपयोग कर रहे हैं?

लिनक्स पर, मैं अपने सर्वर पर क्या चल रहा है इसके बारे में दैनिक रिपोर्ट प्राप्त करने के लिए bruteforce और Logwatch को रोकने के लिए Fail2ban का उपयोग कर रहा हूं। क्या विंडोज पर उन सॉफ्टवेयर्स का कोई समकक्ष है? यदि नहीं, तो आप सर्वर की सुरक्षा के लिए उपयोग करने की क्या सलाह देते हैं?

सबसे पहले आपको अपने नेटवर्क डिजाइन के बारे में सोचने की जरूरत है। आंतरिक नेटवर्क की सुरक्षा के लिए ओडर में कम से कम एक डीएमजेड का उपयोग करना अच्छा होगा। सार्वजनिक रूप से मधुमक्खी पालन के लिए एक अच्छा विंडोज सिस्टम विंडोज सर्वर 2008 R2 होगा यदि आप नए 2012 सर्वर को खरीदना नहीं चाहते हैं। हमारे पास कम से कम चार खिड़कियां आधारित वेबसर्वर हैं जो पूरी तरह से वेबसर्वर के रूप में काम करते हैं, सभी 2008 R2 पर आधारित हैं। बस निम्नलिखित करना सुनिश्चित करें:

• DMZ (1 या 2) का उपयोग करें
• अप्रयुक्त सर्वर भूमिकाओं को स्थापित न करें
• उन सेवाओं को बंद करना सुनिश्चित करें जिनकी आपको आवश्यकता नहीं होगी
• RDP पोर्ट (यदि आवश्यक हो) केवल आंतरिक नेटवर्क में खोलना सुनिश्चित करें
• सभी अप्रयुक्त बंदरगाहों को बंद रखना सुनिश्चित करें
• सर्वर के सामने सिस्को, जुनिपर या चेकपॉइंट जैसे उचित फ़ायरवॉल समाधान का उपयोग करें
• अपने सर्वर को अद्यतित रखें (कम से कम मासिक अपडेट)
• इसे बेमानी बनाएं (कम से कम दो सर्वर का उपयोग करें, एक बैकअप के लिए)
• अच्छी निगरानी: Nagios (मुझे यह पसंद है; ;-))

(वैकल्पिक) अपने वेबसर्वर के लिए हाइपर-वी का उपयोग करें और यह बैकअप सिस्टम है। अपडेट करने और जांचने में बहुत आसान है कि क्या आपके अपडेट किसी तरह से वेबसर्वर के साथ हस्तक्षेप नहीं करते हैं। उस स्थिति में आपको हार्डवेयर फॉल्ट के मामले में अतिरेक के लिए दो समान हार्डवेयर मशीनों की आवश्यकता होगी। लेकिन शायद यह बहुत महंगा है।

आशा है कि यह आपकी मदद करता है!

हम आपको अधिक विस्तृत उत्तर दे सकते हैं यदि आप हमें बताएं कि आप इस सार्वजनिक सामना करने वाली विंडोज बॉक्स पर क्या सेवा प्रदान करना चाहते हैं। जैसे IIS, OWA, DNS, आदि?

बॉक्स को स्वयं लॉक करने के लिए, vlad के उत्तर को हटाने के द्वारा शुरू करें (या इसके साथ शुरू करने के लिए स्थापित नहीं) बॉक्स पर किसी भी अतिरिक्त सेवाओं / भूमिकाओं की आवश्यकता नहीं होगी। इसमें कोई भी 3 पार्टी सॉफ्टवेयर (कोई एक्रोबैट रीडर, फ्लैश आदि) शामिल नहीं है, जिसका उपयोग सर्वर पर नहीं किया जाना चाहिए। बेशक कोई भी चीज़ थपथपाए।

अपनी फ़ायरवॉल नीतियों को कॉन्फ़िगर करें केवल आपके द्वारा चलाए जा रहे सेवाओं के लिए उपयुक्त बंदरगाहों पर यातायात की अनुमति दें

आपके द्वारा चलाए जा रहे सेवाओं से जुड़े नियमों के साथ एक आईडी / आईपीएस कॉन्फ़िगर करें।

परिसंपत्ति के जोखिम / मूल्य के आधार पर, एक अन्य विक्रेता से अधिमानतः आपकी परिधि IPS के अलावा एक होस्ट-आधारित IPS स्थापित करें।

प्राथमिक उद्देश्य मानते हुए एक वेबसाइट की मेजबानी करना, IIS को लॉक करना 7.5 (2008 R2) के साथ काफी कम परेशानी है हालांकि आपको अभी भी यह सुनिश्चित करना चाहिए कि आप कुछ चीजें करते हैं जैसे:

• ओएस फ़ाइलों से एक अलग वॉल्यूम पर वेबसाइट फ़ाइलों को स्टोर करें
• Microsoft, NSA, आदि से XML सुरक्षा टेम्पलेट को आधार रेखा के रूप में पकड़ें
• NTFS के माध्यम से निकालें या लॉक करें सभी स्क्रिप्ट \InetPub\AdminScripts
• खतरनाक exe जैसे appcmd, cmd.exe आदि को लॉक करें
• DMZ और अधिकृत आंतरिक होस्ट के बीच ट्रैफ़िक को नियंत्रित करने के लिए IPSec का उपयोग करें
• यदि आपको AD की आवश्यकता है, तो अपने आंतरिक नेटवर्क की तुलना में अपने DMZ में एक अलग जंगल का उपयोग करें
• सुनिश्चित करें कि सभी साइटों को होस्ट हेडर मानों की आवश्यकता है (स्वचालित स्कैनिंग को रोकने में मदद करता है)
• निम्नलिखित सफल घटनाओं को छोड़कर सभी विफल और सफल घटनाओं की ऑडिटिंग सक्षम करें: निदेशक सेवा पहुंच, प्रक्रिया ट्रैकिंग और सिस्टम इवेंट।
• फ़ाइल सिस्टम पर NTFS ऑडिटिंग का उपयोग सभी समूह द्वारा विफल क्रियाओं को लॉग इन करने के लिए करें और बैकअप के आधार पर अपनी सुरक्षा लॉग के आकार को उचित आकार में बढ़ाने के लिए सुनिश्चित करें (500Mb या ऐसा)
• रूट फ़ोल्डर के लिए HTTP लॉगिंग सक्षम करें
• उन उपयोगकर्ता खातों को अनावश्यक अधिकार न दें जो ऐप पूल चला रहे हैं।
• यदि आपको उनकी आवश्यकता नहीं है, तो ISAPI और CGI मॉड्यूल से छुटकारा पाएं।

मैं इसे बहुत लंबा नहीं करना चाहता, इसलिए यदि आपको किसी विशेष बुलेट पर अधिक जानकारी चाहिए / चाहिए, तो कृपया एक टिप्पणी छोड़ दें।

यहां मौजूदा जवाब अच्छे हैं, लेकिन वे एक महत्वपूर्ण पहलू को याद करते हैं। जब आपका सर्वर समझौता कर लेता है तो क्या होता है?

सर्वरफॉल्ट पर यहां जवाब जब लोग पूछते हैं कि लगभग हमेशा सवाल को बंद करने के लिए है मेरे सर्वर के डुप्लिकेट के रूप में हैक किया गया है! शीर्ष उत्तर में दिए गए निर्देशों में बताया गया है कि समझौता का कारण / तरीका कैसे खोजा जाए और बैकअप से कैसे पुनर्स्थापित किया जाए।

उन निर्देशों का पालन करने के लिए, आपके पास व्यापक लॉगिंग और नियमित बैकअप होना चाहिए। आपके पास पर्याप्त लॉगिंग होनी चाहिए कि आप इसका उपयोग यह निर्धारित करने के लिए कर सकते हैं कि हमलावर ने क्या किया और कब किया। इसके लिए, आपको विभिन्न मशीनों से लॉग फ़ाइलों को सहसंबंधित करने का एक तरीका चाहिए, और इसके लिए NTP आवश्यक है। आप शायद कुछ प्रकार के लॉग सहसंबंध इंजन भी चाहते हैं।

लॉगिंग और बैकअप दोनों को आमतौर पर उस मशीन से अनुपलब्ध होना चाहिए जो समझौता किया गया था।

एक बार जब आपको पता चल जाता है कि आपके सर्वर से छेड़छाड़ हो गई है, तो आप इसे ऑफ़लाइन कर लेते हैं और जांच शुरू कर देते हैं। एक बार जब आप जानते हैं कि हमलावर कब और कैसे मिला, तो आप अतिरिक्त मशीन पर दोष पैच कर सकते हैं और इसे ऑनलाइन ला सकते हैं। यदि स्पेयर मशीन ने डेटा के साथ समझौता किया है (क्योंकि इसे लाइव मशीन से सिंक्रनाइज़ किया जा रहा है) तो आपको ऑनलाइन लाने से पहले डेटा को बैकअप से पुराने बैकअप से पुनर्स्थापित करने की आवश्यकता है।

ऊपर दिए गए उत्तर के माध्यम से अपने तरीके से काम करें और देखें कि क्या आप वास्तव में कदम उठा सकते हैं, और तब तक चीजों को जोड़ / बदल सकते हैं जब तक आप कर सकते हैं।

इस सर्वर के लिए भूमिकाओं / अनुप्रयोगों को स्थापित, कॉन्फ़िगर और परीक्षण करने के बाद SCW (सुरक्षा कॉन्फ़िगरेशन विज़ार्ड) चलाएँ।

उपरोक्त सभी सिफारिशें करने के बाद, DoD द्वारा प्रकाशित "सुरक्षा तकनीकी कार्यान्वयन गाइड" (STIG) का पालन करें: 1- विंडोज सर्वर (अपना संस्करण खोजें) 2- आईआईएस के लिए (अपना संस्करण खोजें) 3- वेबसाइट के लिए (अपना संस्करण खोजें)

यहां STIG की पूरी सूची है:

http://iase.disa.mil/stigs/az.html

सादर।