Настройка IIS 8.5 - Практика безопасности
Я впервые настраиваю установку IIS и хочу убедиться, что обеспечивает максимальную безопасность. Некоторые вопросы возникали у меня при настройке:
Обратите внимание, что на этом сервере размещены внешние веб-сайты, на которых одновременно работает около 50 пользователей и около 1000 пользователей в день, а также внутренние веб-сайты, предназначенные только для внутренних целей (в данном случае внутренние означает , веб-сайты, которые пользователи нашей компании используют вне сети, но ни один из клиентов не использует эти сайты)
Идентификаторы пула приложений:
Я читал, что лучше всего использовать встроенную учетную запись ApplicationPoolIdentity для приложения. Удостоверения пула. Вот мой вопрос, Если я могу использовать эту встроенную учетную запись для каждого пула приложений, который у меня есть, потому что я разверну изоляцию приложений Wep - это означает, что я настрою другой пул приложений для каждого имеющегося у меня веб-приложения. Разве это не противоречие - использовать одну и ту же учетную запись в каждом пуле приложений, даже если я развертываю разные пулы приложений для каждого веб-приложения?
Повышение безопасности сервера:
Я хочу установить как можно меньше функций и служб, чтобы укрепить сервер как можно больше. Есть ли способ проверить, используются ли функции, которые я установил, или они вообще не нужны? (да, я знаю. Немного нубский вопрос)
Аутентификация:
Требуется ли анонимная аутентификация для веб-сайтов, которые имеют внешних посетителей? такие сайты, как www.mycompany.com , которые должны быть доступны всем? Я не я еще не нашел способ отключить анонимную аутентификацию, но сделать веб-сайт доступным для всех.
Общий сетевой вопрос:
Я всегда считал, что лучший способ для IIS - поместить сервер в DMZ, потому что если сервер был взломан, Злоумышленник не сможет получить доступ ко всем другим Серверам, которые находятся в нашей доменной сети. Поскольку существуют новые методы аутентификации, такие как Digestauthentification , которые должны взаимодействовать с Контроллером домена, а также сам сервер должен находиться в домене для этого, я спрашивал себя, лучше ли поместить Сервер в доменная сеть и защитите доступ к ней с помощью других мер безопасности (прокси и т. д.) или DMZ по-прежнему является лучшей практикой безопасности?
Заранее благодарим вас за каждый ввод.
1. Удостоверения пула приложений
Используйте отдельные учетные записи для каждого приложения - каждый пул приложений приводит к отдельному процессу w3wp, который выполняется в назначенном контексте пользователя. Имея такие вещи, как файлы и другие ресурсы (например, аутентификация базы данных), вы можете повысить безопасность за счет использования операционной системы по умолчанию, файловой системы и других подсистем безопасности (например, kerberos).
Очевидно, что назначенные учетные записи должны иметь только меньший доступ к вашим как можно больше (никогда не используйте учетные записи с высоким уровнем привилегий для веб-сайтов, если это абсолютно не требуется для приложения [что на самом деле не должно быть так]).
Если возможно, я настоятельно рекомендую разделить серверы, на которых размещается ваш общедоступный лицом к веб-сайтам и вашим внутренним вещам. Публичные доступные серверы также должны быть размещены в отдельном сегменте сети.
2. Повышение защиты сервера
Ваша основная поверхность атаки - это IIS (я предполагаю, что перед сервером установлен брандмауэр) - усиление защиты путем отключения служб необходимо для предотвращения локальных атак. Локальный означает в этом случае вашу локальную сеть (сетевые службы), а также вашу собственную операционную систему и даже ваше локальное оборудование (например, cachebleed ).
Итак, да - отключите службы, которых вы не делаете. нужно. Не отключайте службы, которые защищают вас. Вы можете найти некоторые ресурсы по этому поводу в Интернете.
Чтобы злоумышленники не запускали пользовательские приложения, которые, в конечном итоге, могут включать в себя другие части вашего сервера, я советую использовать политики ограничений программного обеспечения :
- Ваши пулы приложений используют слабые учетные записи (например, пользователь на рабочей станции) и не могут устанавливать / изменять приложения по путям, которые считаются «путями приложений»
- Ограничить программное обеспечение, которое выполняется по этим путям
Это приводит к взаимному исключение и предотвращает некоторые простые атаки, такие как открытие оболочки и загрузка фактического приложения, которое, наконец, открывает двери на ваш сервер.
При использовании SSL / TLS я советую также укрепить сервер здесь. Хороший инструмент для этой работы - IISCrypto и SslLabs для проверки. Имея немного свободного времени, вы могли бы изучить использование NGINX в качестве обратного прокси-сервера, который предлагает некоторые дополнительные преимущества в отношении безопасности транспорта.
3. Аутентификация
Анонимная аутентификация больше или меньше "отсутствие аутентификации". Так что все в порядке.
4. Сегментация сети
Я видел много сетей, применяющих концепцию DMZ, размещая там целую кучу серверов и открывая двери в первичную сеть для поддержки внутреннего соединения для служб, предоставляемых серверами, размещенными в DMZ.
Это приводит к заключению, что у вас есть сегментация сети, которая не дает никаких преимуществ.
Следовательно: Да, DMZ абсолютно.Но не кладите туда все и не открывайте ненужные двери. Если у вас слишком много несвязанных сервисов в одной DMZ, подумайте о создании отдельных зон, которые разделяют предоставляемые сервисы на группы сервисов, которые связаны друг с другом и имеют зависимости.
Лучшие методы обеспечения безопасности IIS - это целая дисциплина, и вы можете потратить месяцы на чтение и изучение. И вы, безусловно, задаете правильные вопросы.
Я бы долго рассуждал по каждой из ваших конкретных тем и давал объяснения, но я просто повторял бы информацию, которая уже хорошо задокументирована.
Короче говоря, если вы хотите следовать передовой практике настройки IIS, следуйте тестам CIS II8. ВСЕ, что вам нужно знать и настраивать, находится здесь. https://benchmarks.cisecurity.org/tools2/iis/CIS_Microsoft_IIS_8_Benchmark_v1.4.0.pdf