Was ist beim Schutz von Windows-Servern vor dem Internet zu tun?

17

Momentan beginne ich mit der Bereitstellung von Windows-Servern im Internet.

Und ich würde gerne wissen, wie Sie Ihre Server schützen können. Welche Software benutzt du?

Unter Linux verwende ich Fail2ban, um Bruteforce zu verhindern, und Logwatch, um tägliche Berichte darüber zu erhalten, was auf meinen Servern vor sich geht. Gibt es Äquivalente dieser Software unter Windows? Wenn nicht, was empfehlen Sie zum Schutz des Servers?

Kedare
quelle
4
Vlads Antwort unten ist ein guter Ausgangspunkt. Notieren Sie sich auch Ihr Unternehmen und die Dienste, die Sie im Internet anbieten. Abgesehen von Vorschriften / Gesetzen können Sie als kleiner Mechaniker mit einer Dinko-Web-App mit sehr wenig Sicherheit davonkommen. Nicht wahr, wenn Sie ein großer Entwickler-Laden sind, in dem China-Leute Ihren Code haben wollen
TheCleaner

Antworten:

19

Zunächst müssen Sie über Ihr Netzwerkdesign nachdenken. Es wäre gut, mindestens eine DMZ zu verwenden, um das interne Netzwerk zu schützen. Ein gutes Windows-System für die Öffentlichkeit ist Windows Server 2008 R2, wenn Sie den neuen 2012 Server nicht erwerben möchten. Wir haben mindestens vier Windows-basierte Webserver, die perfekt als Webserver funktionieren. Alle basieren auf 2008 R2. Stellen Sie einfach Folgendes sicher:

  • Benutze die DMZ (1 oder 2)
  • Installieren Sie keine nicht verwendeten Serverrollen
  • Stellen Sie sicher, dass keine Dienste mehr benötigt werden
  • Stellen Sie sicher, dass Sie den RDP-Port (falls erforderlich) nur im internen Netzwerk öffnen
  • Stellen Sie sicher, dass alle nicht verwendeten Ports geschlossen sind
  • Verwenden Sie eine geeignete Firewall-Lösung wie Cisco, Juniper oder Checkpoint vor dem Server
  • Halten Sie Ihren Server auf dem neuesten Stand (mindestens monatliche Updates)
  • Machen Sie es redundant (verwenden Sie mindestens zwei Server, einen für die Sicherung)
  • Gutes Monitoring: Nagios (gefällt mir ;-))

(Optional) Verwenden Sie Hyper-V für Ihren Webserver und sein Backup-System. Viel einfacher zu aktualisieren und zu überprüfen, ob Ihre Updates den Webservice in irgendeiner Weise beeinträchtigen. In diesem Fall benötigen Sie zwei identische Hardwaremaschinen, um im Falle eines Hardwarefehlers über Redundanz zu verfügen. Aber das ist vielleicht ziemlich teuer.

Hoffe es hilft dir!

Andre
quelle
7

Wir könnten Ihnen eine detailliertere Antwort geben, wenn Sie uns mitteilen, welchen Service Sie für diese öffentlich zugängliche Windows-Box bereitstellen möchten. zB IIS, OWA, DNS, etc?

Um die Box selbst zu sperren, beginnen Sie mit der Antwort von vlad, indem Sie alle zusätzlichen Dienste / Rollen auf der Box entfernen (oder nicht installieren), die nicht benötigt werden. Dies schließt jegliche Software von Drittanbietern (kein Acrobat Reader, Flash usw.) ein, die nicht auf einem Server verwendet werden sollte. Irgendwelche Dinge bleiben natürlich gepatcht.

Konfigurieren Sie Ihre Firewall-Richtlinien so, dass nur Verkehr zu den entsprechenden Ports für die von Ihnen ausgeführten Dienste zugelassen wird

Konfigurieren Sie ein IDS / IPS mit Regeln, die den von Ihnen ausgeführten Diensten zugeordnet sind.

Je nach Risiko / Wert des Assets sollten Sie in Betracht ziehen, ein hostbasiertes IPS zusätzlich zu Ihrem Perimeter-IPS zu installieren, vorzugsweise von einem anderen Anbieter.

Unter der Annahme, dass der Hauptzweck darin besteht, eine Website zu hosten, ist das Sperren von IIS mit 7.5 (2008 R2) deutlich einfacher, obwohl Sie dennoch sicherstellen sollten, dass Sie einige Dinge tun, wie z.

  • Speichern Sie Website-Dateien auf einem anderen Volume als Betriebssystemdateien
  • Nehmen Sie eine XML-Sicherheitsvorlage von Microsoft, NSA usw. als Basis
  • Entfernen oder sperren Sie über NTFS alle Skripte in \InetPub\AdminScripts
  • Sperren Sie gefährliche Exes wie appcmd, cmd.exe usw
  • Verwenden Sie IPSec, um den Datenverkehr zwischen der DMZ und autorisierten internen Hosts zu steuern
  • Wenn Sie AD benötigen, verwenden Sie in Ihrer DMZ eine andere Gesamtstruktur als in Ihrem internen Netzwerk
  • Stellen Sie sicher, dass für alle Sites Hostheaderwerte erforderlich sind (dies verhindert ein automatisiertes Scannen).
  • Aktivieren Sie die Windows-Überwachung aller fehlgeschlagenen und erfolgreichen Ereignisse mit Ausnahme der folgenden erfolgreichen Ereignisse: Director-Dienstzugriff, Prozessverfolgung und Systemereignisse.
  • Verwenden Sie die NTFS-Überwachung im Dateisystem, um fehlgeschlagene Aktionen der Gruppe "Jeder" zu protokollieren, und stellen Sie sicher, dass Sie die Größe Ihres Sicherheitsprotokolls auf eine angemessene Größe basierend auf Sicherungen (ca. 500 MB) erhöhen.
  • Aktivieren Sie die HTTP-Protokollierung für den Stammordner
  • Weisen Sie Benutzerkonten, auf denen App-Pools ausgeführt werden, keine unnötigen Rechte zu.
  • Entfernen Sie ISAPI- und CGI-Module, wenn Sie sie nicht benötigen.

Ich möchte das nicht zu lange machen. Wenn Sie weitere Informationen zu einer bestimmten Kugel benötigen, hinterlassen Sie bitte einen Kommentar.

Paul Ackerman
quelle
Derzeit
5

Die vorhandenen Antworten hier sind gut, aber sie vermissen einen entscheidenden Aspekt. Was passiert , wenn der Server nicht beeinträchtigt werden?

Die Antwort hier auf ServerFault, wenn Leute danach fragen, ist fast immer, die Frage als Duplikat meines Servers zu schließen, der NOTFALL gehackt wurde! Die Anweisungen in der oberen Antwort beschreiben, wie die Ursache / Methode des Kompromisses gefunden und aus einer Sicherung wiederhergestellt werden kann.

Um diesen Anweisungen zu folgen, müssen Sie über umfangreiche Protokollierungs- und regelmäßige Sicherungskopien verfügen. Sie müssen über genügend Protokolldaten verfügen, um bestimmen zu können, was der Angreifer wann getan hat. Dazu benötigen Sie eine Methode zum Korrelieren der Protokolldateien von verschiedenen Computern. Dies erfordert NTP. Wahrscheinlich möchten Sie auch eine Art Protokollkorrelationsmodul.

Sowohl die Protokollierung als auch die Sicherungen sollten auf dem betroffenen Computer im Allgemeinen nicht verfügbar sein.

Sobald Sie wissen, dass Ihr Server kompromittiert wurde, schalten Sie ihn offline und untersuchen ihn. Sobald Sie wissen, wann und wie der Angreifer darauf gekommen ist, können Sie den Fehler auf dem Ersatzcomputer beheben und online schalten. Wenn der Ersatzcomputer auch Daten kompromittiert hat (weil diese vom Live-Computer synchronisiert werden), müssen Sie die Daten aus einer Sicherung wiederherstellen, die älter ist als die Kompromittierung, bevor Sie sie online schalten.

Arbeiten Sie sich durch die oben verlinkte Antwort und prüfen Sie, ob Sie die Schritte tatsächlich ausführen können, und fügen Sie dann Dinge hinzu / ändern Sie sie, bis Sie können.

Ladadadada
quelle
2

Führen Sie den SCW (Security Configuration Wizard) aus, nachdem Sie die Rollen / Anwendungen für diesen Server installiert, konfiguriert und getestet haben.

Joeqwerty
quelle
2

Befolgen Sie nach Durchführung aller oben genannten Empfehlungen das von DoD veröffentlichte "Security Technical Implementation Guide" (STIG) für: 1- Windows Server (Finden Sie Ihre Version) 2- Für IIS (Finden Sie Ihre Version) 3- Für Website (Finden Sie Ihre Version)

Hier ist eine vollständige Liste der STIGs:

http://iase.disa.mil/stigs/az.html

Grüße.

hassan.monfared
quelle
Es ist eine lange Liste von Sicherheitsregeln zu erledigen. Sie müssen geduldig sein ..
Hassan.monfared