Что “к - делают” при защите Windows Server, стоящего перед сетью?
Мы просто купили набор нетбуков для наших разработчиков, но по причинам, которые, вероятно, не будут относиться к большинству из Вас. Время работы от аккумулятора и выделение тепла были нашими основными соображениями.
В нашей области Индии питание не очень надежно. Обычно однажды неделя там не является никаким электричеством в течение шести - десяти часов, и наше резервное копирование может только привести в действие столько компьютеров. Когда питание отсутствует, мы просто отключаем 22-дюймовые мониторы и помещаем нетбуки на ноутбук, стоят. Внешняя мышь и клавиатура будут все еще работать, поэтому в то время как наши разработчики будут работать с ужасно маленького экрана, пока питание не вернется, они продолжают быть продуктивными.
Кроме того, нетбуки производят значительно меньше тепла. Со средними температурами между 30 и 40 градусами Цельсия здесь, это - другая главная победа с нетбуками. Экономия на электричестве будет умножена на экономию на счете.
Они были для нас соображениями для движения с нетбуками, а не рабочими столами или ноутбуками. Но, как сказано, это, надо надеяться, не будет относиться к большинству из Вас.
Прежде всего, вам нужно подумать о структуре вашей сети. Было бы хорошо использовать хотя бы одну DMZ для защиты внутренней сети. Если вы не хотите покупать новый 2012 Server, хорошей системой Windows для публичного использования будет Windows Server 2008 R2. У нас есть как минимум четыре веб-сервера на базе Windows, которые отлично работают как веб-серверы, все на основе 2008 R2. Только обязательно сделайте следующее:
- Используйте DMZ (1 или 2)
- Не устанавливайте неиспользуемые роли сервера
- Убедитесь, что вы остановили службы, которые вам не понадобятся
- Убедитесь, что вы открыли порт RDP ( при необходимости) только во внутреннюю сеть
- Убедитесь, что все неиспользуемые порты закрыты
- Используйте подходящее решение межсетевого экрана, например Cisco, Juniper или Checkpoint перед сервером
- Поддерживайте свой сервер в актуальном состоянии (не реже одного раза в месяц)
- Сделайте его избыточным (используйте как минимум два сервера, один для резервного копирования)
- Хороший мониторинг: Nagios (мне нравится it; -))
(необязательно) Используйте Hyper-V для своего веб-сервера и его системы резервного копирования. Намного проще обновить и проверить, не мешают ли ваши обновления каким-либо образом веб-сервису. В этом случае вам понадобятся две идентичные аппаратные машины для резервирования в случае аппаратного сбоя. Но это может быть довольно дорого.
Надеюсь, это вам поможет!
В этом случае вам понадобятся две идентичные аппаратные машины для резервирования в случае аппаратного сбоя. Но это может быть довольно дорого.Надеюсь, это вам поможет!
В этом случае вам понадобятся две идентичные аппаратные машины для резервирования в случае аппаратного сбоя. Но это может быть довольно дорого.Надеюсь, это вам поможет!
Мы могли бы дать вам более подробный ответ, если вы сообщите нам, какие услуги вы хотите предоставлять на этом общедоступном Windows-сервере. например, IIS, OWA, DNS и т. д.?
Чтобы заблокировать сам ящик, начните с ответа vlad, удалив (или не установив для начала) любые дополнительные службы / роли на сервере, которые не понадобятся. Это включает в себя любое стороннее программное обеспечение (без программы для чтения акробатов, флеш-памяти и т. Д.), Которое не следует использовать на сервере. Разумеется, любые исправления должны быть исправлены.
Настройте политики брандмауэра, чтобы разрешить трафик только на соответствующие порты для служб, которые вы используете.
Настройте IDS / IPS с правилами, связанными с службами, которые вы используете.
В зависимости от риска / стоимости актива рассмотрите возможность установки IPS на основе хоста в дополнение к IPS по периметру, желательно от другого поставщика.
Запустите SCW (мастер настройки безопасности) после установки, настройки и тестирования ролей / приложений для этого сервера.
After doing all recommendation above, follow "Security Technical Implementation Guide" ( STIG ) published by DoD for : 1- Windows Server ( find your version ) 2- For IIS ( find your version ) 3- For Website ( find your version )
Here is full list of STIGs :
http://iase.disa.mil/stigs/a-z.html
Regards.
Существующие здесь ответы хороши, но они упускают один важный аспект. Что произойдет, если ваш сервер будет скомпрометирован ?
Ответ здесь, на ServerFault, когда люди спрашивают, это почти всегда закрывать вопрос, как дубликат Мой сервер был взломан В СЛУЧАЕ АВАРИИ! Инструкции в верхнем ответе описывают, как найти причину / метод взлома и как выполнить восстановление из резервной копии.
Чтобы следовать этим инструкциям, у вас должны быть обширные журналы и регулярные резервные копии. У вас должно быть достаточно журналов, чтобы по ним можно было определить, что и когда сделал злоумышленник. Для этого вам нужен способ сопоставления файлов журналов с разных машин, а для этого требуется NTP. Вы' Возможно, вам также понадобится какой-то механизм корреляции журналов.
Как журналы, так и резервные копии, как правило, должны быть недоступны с машины, которая была взломана.
Как только вы узнаете, что ваш сервер был взломан, вы отключаете его и начинаете расследование . Как только вы узнаете, когда и как злоумышленник получил его, вы можете исправить брешь на резервной машине и подключить ее. Если запасная машина также скомпрометировала данные (потому что она синхронизируется с действующей машиной), вам необходимо восстановить данные из резервной копии, более ранней, чем взломанная, прежде чем переводить ее в оперативный режим.
Пройдите свой путь через связанный выше ответ. и посмотрите, действительно ли вы можете выполнить эти шаги, а затем добавляйте / меняйте вещи, пока не сможете.
Как журналы, так и резервные копии, как правило, должны быть недоступны с машины, которая была взломана.
Как только вы узнаете, что ваш сервер был взломан, вы отключаете его и начинаете расследование. Как только вы узнаете, когда и как злоумышленник получил его, вы можете исправить брешь на резервной машине и подключить ее. Если запасная машина также скомпрометировала данные (потому что она синхронизируется с действующей машиной), вам необходимо восстановить данные из резервной копии, более ранней, чем взломанная, прежде чем переводить ее в оперативный режим.
Пройдите свой путь через связанный выше ответ. и посмотрите, действительно ли вы можете выполнить эти шаги, а затем добавляйте / меняйте вещи, пока не сможете.
Как журналы, так и резервные копии, как правило, должны быть недоступны с машины, которая была взломана.
Как только вы узнаете, что ваш сервер был взломан, вы отключаете его и начинаете расследование. Как только вы узнаете, когда и как злоумышленник получил его, вы можете исправить брешь на резервной машине и подключить ее. Если запасная машина также скомпрометировала данные (потому что она синхронизируется с действующей машиной), вам необходимо восстановить данные из резервной копии, более ранней, чем взломанная, прежде чем переводить ее в оперативный режим.
Пройдите свой путь через связанный выше ответ. и посмотрите, действительно ли вы можете выполнить эти шаги, а затем добавляйте / меняйте вещи, пока не сможете.
вы можете залатать дефект на запасной машине и перевести в оперативный режим. Если запасная машина также скомпрометировала данные (потому что она синхронизируется с действующей машиной), вам необходимо восстановить данные из резервной копии, более ранней, чем взломанная, прежде чем переводить ее в оперативный режим.Пройдите свой путь через связанный выше ответ и посмотрите, действительно ли вы можете выполнить эти шаги, а затем добавляйте / меняйте вещи, пока не сможете.
вы можете залатать дефект на запасной машине и перевести в оперативный режим. Если запасная машина также скомпрометировала данные (потому что она синхронизируется с действующей машиной), вам необходимо восстановить данные из резервной копии, более ранней, чем взломанная, прежде чем переводить ее в оперативный режим.Пройдите свой путь через связанный выше ответ. и посмотрите, действительно ли вы можете выполнить эти шаги, а затем добавляйте / меняйте вещи, пока не сможете.