Je commence actuellement à déployer des serveurs Windows face au web.
Et j'aimerais savoir quelle est votre façon de protéger vos serveurs ? Quels logiciels utilisez-vous ?
Sous Linux, j'utilise Fail2ban pour empêcher la force brute et Logwatch pour obtenir des rapports quotidiens sur ce qui se passe sur mes serveurs. Existe-t-il des équivalents de ces logiciels sous Windows ? Si non, que recommandez-vous d'utiliser pour protéger le serveur ?
Tout d'abord, vous devez réfléchir à la conception de votre réseau. Il serait bon d'utiliser au moins une DMZ afin de protéger le réseau interne. Un bon système Windows pour être public serait Windows Server 2008 R2 si vous ne voulez pas acheter le nouveau serveur 2012. Nous avons au moins quatre serveurs web basés sur Windows qui fonctionnent parfaitement comme serveurs web, tous basés sur 2008 R2. Assurez-vous simplement de faire ce qui suit :
(facultatif) Utilisez Hyper-V pour votre serveur web et son système de sauvegarde. Il est beaucoup plus facile de mettre à jour et de vérifier si vos mises à jour n'interfèrent pas avec le service web d'une manière ou d'une autre. Dans ce cas, vous aurez besoin de deux machines identiques pour assurer la redondance en cas de défaillance matérielle. Mais c'est peut-être assez cher.
J'espère que cela vous aidera !
Nous pourrions vous donner une réponse plus détaillée si vous nous disiez quel service vous voulez fournir sur cette boîte Windows publique. Par exemple, IIS, OWA, DNS, etc ?
Pour verrouiller le boîtier lui-même, commencez par la réponse de vlad en supprimant (ou en n'installant pas pour commencer) tous les services/rôles supplémentaires sur le boîtier qui ne seront pas nécessaires. Cela inclut tout logiciel tiers (pas d'acrobat reader, flash, etc) qui ne devrait pas être utilisé sur un serveur. Et bien sûr, gardez les choses corrigées.
Configurez vos politiques de pare-feu afin de n'autoriser le trafic que vers les ports appropriés pour les services que vous exécutez.
Configurez un IDS/IPS avec des règles associées aux services que vous exécutez.
En fonction du risque/de la valeur de l'actif, envisagez d'installer un IPS basé sur l'hôte en plus de votre IPS de périmètre, de préférence d'un autre fournisseur.
En supposant que l'objectif principal est d'héberger un site Web, le verrouillage d'IIS pose beaucoup moins de problèmes avec la version 7.5 (2008 R2), mais vous devez tout de même vous assurer de faire certaines choses, par exemple :
\InetPub\AdminScripts
Je ne veux pas que ce document soit trop long, alors si vous voulez ou avez besoin de plus d'informations sur une balle en particulier, laissez un commentaire.
Les réponses existantes ici sont bonnes mais elles manquent un aspect crucial. Que se passe-t-il lorsque votre serveur fait ont été compromises ?
La réponse ici sur ServerFault lorsque les gens posent cette question est presque toujours de fermer la question comme étant un doublon de Mon serveur a été piraté URGENCE ! Les instructions de la première réponse décrivent comment trouver la cause/méthode de la compromission et comment restaurer à partir d'une sauvegarde.
Pour suivre ces instructions, vous devez disposer d'une journalisation étendue et de sauvegardes régulières. La journalisation doit être suffisante pour vous permettre de déterminer ce que l'attaquant a fait et quand. Pour cela, vous devez pouvoir corréler les fichiers journaux de différentes machines, ce qui nécessite le protocole NTP. Vous aurez probablement besoin d'une sorte de moteur de corrélation des journaux.
La journalisation et les sauvegardes doivent être généralement indisponibles à partir de la machine qui a été compromise.
Une fois que vous savez que votre serveur a été compromis, vous le mettez hors ligne et commencez à enquêter. Une fois que vous savez quand et comment l'attaquant l'a obtenu, vous pouvez corriger la faille sur la machine de rechange et la remettre en ligne. Si la machine de rechange contient également des données compromises (parce qu'elles sont synchronisées à partir de la machine active), vous devez restaurer les données à partir d'une sauvegarde antérieure à la compromission avant de la remettre en ligne.
Parcourez la réponse ci-dessus et voyez si vous pouvez réellement effectuer les étapes, puis ajoutez/changez des éléments jusqu'à ce que vous y parveniez.
Après avoir fait toutes les recommandations ci-dessus, suivez le "Security Technical Implementation Guide" ( STIG ) publié par le DoD pour : 1- Windows Server ( trouvez votre version ) 2- Pour IIS ( trouvez votre version ) 3- Pour les sites web ( trouvez votre version )
Voici la liste complète des STIGs :
http://iase.disa.mil/stigs/a-z.html
Regards.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
4 votes
La réponse de Vlad ci-dessous est un bon point de départ. Prenez également note de votre entreprise et des services que vous mettez en ligne. Réglementations et lois mises à part, si vous êtes un petit atelier de mécanique avec une application web de type "dinko", vous pouvez vous en sortir avec très peu de sécurité. Ce n'est pas le cas si vous êtes un grand atelier de développement avec des Chinois qui veulent obtenir votre code.