セットアップIIS 8.5-セキュリティ慣行

1。アプリケーションプールID

アプリケーションごとに個別のアカウントを使用します。各アプリケーションプールは、割り当てられたユーザーコンテキストで実行される個別のw3wpプロセスになります。ファイルやその他のリソース（データベース認証など）のようなものがあると、デフォルトのオペレーティングシステム、ファイルシステム、およびその他のセキュリティサブシステム（Kerberosなど）の利用によるセキュリティを強化できます。

明らかに、割り当てられたアカウントは、ホストへのアクセスをできるだけ少なくする必要があります（アプリケーションで絶対に必要でない限り、ウェブサイトには特権の高いアカウントを使用しないでください（実際にはそうではありません））。

可能であれば、istronglyは、公開されているWebサイトをホストしているサーバーと内部のものを分離することをお勧めします。パブリックに到達可能なサーバーも、別のネットワークセグメントに配置する必要があります。

2。サーバーの強化

主な攻撃対象はIIS（サーバーの前にファイアウォールがあると仮定しています）-ローカル攻撃を防ぐためにサービスを無効にすることによる強化が必要です。ローカルの場合、ローカルネットワーク（ネットワーク関連のサービス）だけでなく、独自のオペレーティングシステムやローカルハードウェア（ cachebleed のように）も使用できます。

だから、はい-不要なサービスを無効にします。あなたを保護するサービスを無効にしないでください。このことについては、Webでいくつかのリソースを見つけることができます。

最終的にサーバーのより多くの部分を構成する可能性のあるカスタムアプリケーションを悪意のあるユーザーが起動するのを防ぐには、ソフトウェア制限ポリシーを使用することをお勧めします：

• アプリケーションプールが弱いアカウント（ワークステーションのユーザーなど）を使用しており、「アプリケーションパス」と見なされるパスにアプリケーションをインストール/変更できない
• 実行されるソフトウェアをこれらのパスに制限する

これは相互排除につながり、シェルを開いて実際にサーバーへの扉を開く実際のアプリケーションをダウンロードするなどの単純な攻撃を防ぎます。

SSL/TLS iを使用する場合は、ここでもサーバーを強化することをお勧めします。このジョブに適したツールは、検証用の IISCrypto および SslLabs です。時間があれば、トランスポートセキュリティに関する追加の利点を提供するリバースプロキシとしてNGINXを使用することを検討できます。

3。認証

匿名認証は、多かれ少なかれ「認証なし」です。だから大丈夫です。

4。ネットワークセグメンテーション

多くのネットワークがDMZの概念を適用し、そこにサーバーの束全体を配置し、プライマリネットワークへの扉を開いて、でホストされているサーバーから提供されるサービスのバックエンド接続をサポートすることでDMZ。

これにより、何のメリットもないネットワークセグメンテーションがあるという結論につながります。

したがって、はい、DMZ絶対にあります。しかし、そこにすべてを入れたり、不要なドアを開けたりしないでください。同じDMZに関連しないサービスが多すぎる場合は、提供されるサービスを互いに関連し、依存関係があるサービスグル​​ープに分離する分離ゾーンを作成する。