Práticas recomendadas para proteger / bloquear o Windows Server 2008 R2 para uso como servidor web?

3

Quais ações devem ser tomadas para "bloquear" / proteger / proteger uma máquina do Windows Server 2008 R2, quando usada como um servidor da Web (com acesso remoto à área de trabalho)?

Existem elementos habilitados como padrão que podem ser desabilitados / removidos?

Obrigado.

    
por UpTheCreek 14.01.2011 / 15:54

1 resposta

2

Se o único objetivo desse servidor for executar o IIS, recomendo instalar o Core e adicionar a função IIS (e a função Serviços de Área de Trabalho Remota, embora você possa descobrir que o Gerenciador do IIS Remoto atende às suas necessidades); este processo é descrito aqui .

Isso reduzirá significativamente a área de cobertura do ataque em comparação com uma instalação Padrão do Windows 2008 R2 (e poderá melhorar o desempenho ou pelo menos liberar alguns recursos com o número reduzido de serviços / funções / recursos ativados / em execução).

Se a caixa estiver criada e você não puder refazê-la, sugiro que execute o Microsoft Baseline Security Analyzer depois que seu aplicativo da Web tiver sido instalado, testado para estar funcionando corretamente, etc., para localizar quaisquer vulnerabilidades em potencial que possam existir.

O acompanhamento de um scanner de segurança para fins gerais, como o Nessus ou o GFI LanGuard (e a execução de varreduras regulares) também seria uma boa ideia.

Uma observação sobre como fazer alterações ... não para patrocinar, mas eu mudaria uma coisa de cada vez e testaria novamente seu site / aplicativo para ter certeza de que tudo está funcionando.

Por último, veja o próprio aplicativo da Web: você pode usar scanners de vulnerabilidade da Web de terceiros para encontrar falhas óbvias, mas certifique-se de que seus desenvolvedores ou Web designers estejam seguindo as melhores práticas para validação vigorosa de entrada e ações do POST em seu site - seu aplicativo / site da Web poderia distribuir malware para visitantes desavisados no nível do aplicativo sem comprometer o sistema operacional ou mesmo o IIS.

    
por 14.01.2011 / 16:15