web-dev-qa-db-ja.com

WindowsWebサーバーのチェックリスト

新しいWebサーバーボックスを展開するとき、それにインストールしてセットアップするために行う標準的なことは何ですか?

ボックスがロックされ、危険にさらされないようにするために、どのようなことをしますか?

これまでのところ:

一般

通信網

IIS

関連記事

12
Luke Quinane

私達がすること:

  • WebサーバーをDMZに配置します
  • Webサーバーをワークグループに配置します(ドメインに配置することは許可されていません)
  • すべてのセキュリティパッチが適用されていることを確認します
  • 実行中のサービスを最小限に抑える
  • RLScanを使用 。サーバーフィンガープリントを削除します(RemoveServerHeader = 1)。
  • 強化されたTCP/IPスタック
  • IPSECポリシーを適用 必要なトラフィックのみを許可する(ホワイトリスト)
  • デフォルトのアカウントの名前を変更して、一般的なスクリプト/ツールのターゲットにできるようにします。
  • デフォルトのディレクトリ(InetPub、WWWRootなど)を移動します
  • ローカルユーザーアカウントを最小限に抑えます。
  • すべてのNetBIOSが削除されるか、無効になります。
6
K. Brian Kelley
  • コンピューターを管理する各ユーザーのユーザーアカウントを追加します
  • 各ユーザーに1つの同時サインオンのみを許可するようにターミナルサービスを構成します
  • ルーン文字が特定のユーザーの目的を果たさない場合にのみ使用される代替管理アカウントを追加します

-アダム

3
Adam Davis

あなたが望むかもしれません;

  • SSL 2を無効にします(減価償却されたSSLプロトコルの使用を修正します)
  • ネットワークの脆弱性評価を実行する

もしそうなら、私は ハウツー:IIS6でSSL2と弱い暗号を無効にする に関する詳細な記事を書きました。これは一見の価値があるかもしれません。

この記事では、ペイメントカード業界によって設定されたセキュリティ要件を満たすという観点から説明しますが、それでも一般的なサーバーの強化に関連しています。

したがって、減価償却されたSSLプロトコルの使用法を修正するには、次のいずれかを読む必要があります ハウツー:SSL2と弱い暗号を無効にする ステップバイステップの説明の記事OR read MS Support Article#187498 そして ServerSniff を使用して、変更が有効になったことを確認できます。

p.s.実際、ServerSniffを使用して、Scottの返信に記載されている変更を確認することもできます。

2

すでに述べたことに加えて、私は弱いSSL暗号を無効にします。

編集:私は数年前に書いた段階的な指示を見つけました。

  1. [スタート]、[ファイル名を指定して実行]の順にクリックし、regedt32と入力するか、regeditと入力して、[OK]をクリックします。
  2. レジストリエディタで、次のレジストリキーを見つけます:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. 次のキーについて、手順4〜8を実行します。 Ciphers\DES 56/56b。 Ciphers\RC2 40/128c。 Ciphers\RC4 40/128d。 Ciphers\RC4 56/128e。 Protocols\SSL 2.0\Clientf。 Protocols\SSL 2.0\Server
  4. [編集]メニューで、[値の追加]をクリックします。
  5. [データ型]リストで、[DWORD]をクリックします。
  6. [値の名前]ボックスに「有効」と入力し、[OK]をクリックします。
  7. バイナリエディタに00000000と入力して、新しいキーの値を「0」に設定します。
  8. [OK]をクリックします。
  9. レジストリの変更が終了したら、コンピュータを再起動します。
1
Scott