[server] Windows 웹 서버 점검표

새 웹 서버 상자를 배포 할 때 설치하는 표준 사항은 무엇입니까?

상자가 잠겨 있고 타협되지 않도록하려면 어떻게해야합니까?

지금까지:

일반

회로망

IIS

관련 기사



답변

우리가하는 일 :

  • DMZ에 웹 서버 넣기
  • 웹 서버를 작업 그룹에 배치 (도메인에있을 수 없음)
  • 모든 보안 패치가 적용되었는지 확인
  • 실행중인 서비스 최소화
  • URLScan을 사용하십시오 . 서버 지문을 제거합니다 (RemoveServerHeader = 1).
  • TCP / IP 스택 강화
  • 원하는 트래픽 만 허용하도록 IPSEC 정책 적용 (허용 목록)
  • 기본 스크립트의 이름을 변경하여 일반적인 스크립트 / 도구로 타겟팅 할 수 있습니다.
  • 기본 디렉토리 이동 (InetPub, WWWRoot 등)
  • 로컬 사용자 계정을 최소화하십시오.
  • 모든 NetBIOS가 제거되었거나 비활성화되었습니다.

답변

  • 컴퓨터를 관리 할 각 개인의 사용자 계정 추가
  • 각 사용자에게 하나의 동시 사인온 만 허용하도록 터미널 서비스 구성
  • runas가 지정된 사용자에게 목적을 제공하지 않는 경우에만 사용되는 대체 관리 계정 추가

-아담


답변

원할 수도 있습니다.

  • SSL 2 비활성화 (감가 상각 된 SSL 프로토콜 사용 수정)
  • 네트워크 취약성 평가 수행

그렇다면 Howto : Disable SSL2 and Weak Ciphers on IIS6 에 대한 자세한 기사를 보았습니다.

이 기사는 지불 카드 산업에서 설정 한 보안 요구 사항을 충족시키는 관점에서 일을 수행하지만 여전히 일반 서버 강화와 관련이 있습니다.

따라서 감가 상각 된 SSL 프로토콜 사용을 수정하려면 단계별 지침에 대한 방법 : SSL2 및 약한 암호 사용 안 함 문서를 읽거나 MS 지원 문서 # 187498을 읽고 ServerSniff 를 사용 하여 수정 사항이 적용되었는지 확인할 수 있습니다 .

ps 실제로 ServerSniff를 사용하여 Scott의 회신에 언급 된 수정 사항을 확인할 수도 있습니다.


답변

이미 언급 한 것 외에도 약한 SSL 암호를 사용하지 않습니다.

편집 : 몇 년 전에 쓴 단계별 지침을 찾았습니다.

  1. 시작, 실행을 차례로 클릭하고 regedt32를 입력하거나 regedit를 입력 한 다음 확인을 클릭합니다.
  2. 레지스트리 편집기에서 다음 레지스트리 키를 찾으십시오. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
  3. 다음 키에 대해 4-8 단계를 수행하십시오. 암호 \ DES 56/56 b. 암호 \ RC2 40/128 c. 암호 \ RC4 40/128 d. 암호 \ RC4 56/128 e. 프로토콜 \ SSL 2.0 \ 클라이언트 f. 프로토콜 \ SSL 2.0 \ 서버
  4. 편집 메뉴에서 값 추가를 클릭하십시오.
  5. 데이터 형식 목록에서 DWORD를 클릭하십시오.
  6. 값 이름 상자에 사용을 입력 한 다음 확인을 클릭합니다.
  7. 이진 편집기에 00000000을 입력하여 새 키의 값을 “0”으로 설정하십시오.
  8. 확인을 클릭하십시오.
  9. 레지스트리 수정이 끝나면 컴퓨터를 다시 시작하십시오.

답변

가능하면 Windows 2003 SP1 Server로 시작하고 보호 할 네트워크 방화벽이없는 한 내장 방화벽이 켜져 있는지 확인하십시오.

방화벽을 설정 한 경우 다음 포트가 열려 있는지 확인하십시오.-3389 : RDP (원격 데스크톱)-80 : HTTP

선택 사항 :-443 : HTTPS (선택 사항)-25 : SMTP-110 : Pop3

유용:

  • 메모장 ++ (모두 훌륭한 편집기)-무료
  • 7-Zip (zip, arc 및 기타 압축 파일 처리)-무료
  • Beyond Compare v3 (파일 비교 및 ​​FTP)-$는 많지 않지만
  • 데이터베이스 관리

답변