O que é o “pendente” na proteção do servidor Windows voltado para a web?

Primeiro de tudo você precisa pensar sobre o design da sua rede. Seria bom usar pelo menos uma DMZ para proteger a rede interna. Um bom sistema Windows para ser público seria o Windows Server 2008 R2 se você não quiser comprar o novo Servidor 2012. Temos pelo menos quatro servidores web baseados em Windows que funcionam perfeitamente como servidores Web, todos baseados no 2008 R2. Apenas certifique-se de fazer o seguinte:

• Use o DMZ (1 ou 2)
• Não instale funções de servidor não utilizadas
• Certifique-se de interromper os serviços dos quais você não precisará
• Certifique-se de abrir a porta RDP (se necessário) apenas na rede interna
• Certifique-se de manter todas as portas não utilizadas fechadas
• Use uma solução de firewall adequada como Cisco, Juniper ou Checkpoint na frente do servidor
• Mantenha seu servidor atualizado (pelo menos atualizações mensais)
• Torne-o redundante (use pelo menos dois servidores, um para backup)
• Bom acompanhamento: Nagios (eu gosto disso; -))

(opcional) Use o Hyper-V para seu servidor da Web e seu sistema de backup. Muito mais fácil de atualizar e verificar se suas atualizações não interferem de alguma forma no webservice. Nesse caso, você precisará de duas máquinas de hardware idênticas para ter redundância em caso de falha de hardware. Mas isso é bem caro, talvez.

Espero que ajude você!

Poderemos fornecer uma resposta mais detalhada se você nos informar qual serviço deseja fornecer nesta caixa do Windows voltada para o público. por exemplo. IIS, OWA, DNS, etc?

Para bloquear a própria caixa, comece com a resposta do vlad removendo (ou não instalando para começar) quaisquer serviços / funções adicionais na caixa que não serão necessários. Isso inclui qualquer software de terceiros (sem acrobat reader, flash, etc) que não deve ser usado em um servidor. Claro, mantenha as coisas atualizadas.

Configure suas políticas de firewall para permitir apenas o tráfego para as portas apropriadas para os serviços que você está executando

Configure um IDS / IPS com regras associadas aos serviços que você está executando.

Dependendo do risco / valor do ativo, considere instalar um IPS baseado em host além do IPS de seu perímetro, de preferência de outro fornecedor.

Assumindo que o objetivo principal é hospedar um site, bloquear o IIS é significativamente menos problemático com o 7.5 (2008 R2), embora você ainda deva fazer algumas coisas, como:

• Armazene arquivos de website em um volume diferente dos arquivos do sistema operacional
• Pegue um modelo de segurança XML da Microsoft, NSA, etc. como uma linha de base
• Remover ou bloquear via NTFS todos os scripts em \InetPub\AdminScripts
• Bloqueie exe perigosos, como appcmd, cmd.exe, etc
• Use o IPSec para controlar o tráfego entre a DMZ e os hosts internos autorizados
• Se você precisar de AD, use uma floresta separada em sua DMZ do que sua rede interna
• Verifique se todos os sites exigem valores de cabeçalho de host (ajuda a evitar a verificação automatizada)
• Habilite a auditoria de janelas de todos os eventos com falha e com êxito, exceto os seguintes eventos bem-sucedidos: acesso ao serviço de diretor, acompanhamento de processos e eventos do sistema.
• Use a auditoria NTFS no sistema de arquivos para registrar ações com falha pelo grupo Todos e certifique-se de aumentar o tamanho do log de segurança para um tamanho apropriado com base em backups (500 MB ou mais)
• Ativar o registro em log da pasta raiz
• Não conceda direitos desnecessários a contas de usuários que estão executando pools de aplicativos.
• Livre-se dos módulos ISAPI e CGI, se você não precisar deles.

Eu não quero fazer isso por muito tempo, então se você precisar / quiser mais informações sobre um marcador específico, por favor, deixe um comentário.

As respostas existentes aqui são boas, mas elas perdem um aspecto crucial. O que acontece quando o seu servidor é comprometido?

A resposta aqui no ServerFault quando as pessoas perguntam que é quase sempre fechar a questão como uma duplicata de Meu servidor foi invadido por EMERGÊNCIA! As instruções na resposta principal descrevem como encontrar a causa / método do comprometimento e como restaurá-lo a partir de um backup.

Para seguir essas instruções, você deve ter registros extensivos e backups regulares. Você deve ter registro suficiente para poder determinar o que o invasor fez e quando. Para isso, você precisa de uma maneira de correlacionar os arquivos de log de diferentes máquinas, e isso requer NTP. Você provavelmente também vai querer algum tipo de mecanismo de correlação de log.

O registro e os backups geralmente não devem estar disponíveis na máquina que foi comprometida.

Quando souber que seu servidor foi comprometido, você o coloca fora do ar e começa a investigar. Depois de saber quando e como o atacante conseguiu, você pode corrigir a falha na máquina de reposição e colocá-la on-line. Se a máquina de reposição também tiver dados comprometidos (porque está sendo sincronizada a partir da máquina ativa), será necessário restaurar os dados de um backup mais antigo que o comprometido antes de colocá-lo on-line.

Trabalhe com a resposta vinculada acima e veja se você pode realmente executar as etapas e depois adicionar / alterar as coisas até conseguir.

Execute o ACS (Assistente de Configuração de Segurança) depois de instalar, configurar e testar as funções / aplicativos deste servidor.

Depois de fazer todas as recomendações acima, siga o "Guia Técnico de Implementação de Segurança" (STIG) publicado pelo DoD para: 1- Windows Server (encontre sua versão) 2- Para o IIS (encontre sua versão) 3- Para Website (encontre a sua versão)

Aqui está a lista completa de STIGs:

link

Atenciosamente.