Windowsnetworking服务器清单

当您部署新的Web服务器框时,您安装了哪些标准的东西,并设置它?

你做了什么工作来确保盒子被locking,不会受到损害?

至今:

一般

  • 应用安全补丁等
  • 运行Microsfot基准安全分析器(MBSA)
  • 禁用弱encryptionalgorithm – 斯科特 ,也可以参阅David Christiansen的 文章和serversniff.com网站

networking

  • 哈登TCP / IP协议栈 – K. Brian Kelley
  • 白名单stream量与IPSEC政策
  • 所有NetBIOS被删除或禁用
  • 将Web服务器放在工作组中(不允许在域中)
  • 使用DMZ

IIS

  • 安装UrlScan
  • 运行IISlocking

相关文章

  • ASP.net生产清单
  • 在开发公共网站之前,开发者应该知道什么

我们所做的:

  • 将Web服务器放入DMZ中
  • 将Web服务器放在工作组中(不允许在域中)
  • 确保应用了所有安全补丁
  • 尽量减less正在运行的服务
  • 使用URLScan 。 删除服务器指纹(RemoveServerHeader = 1)。
  • 强化TCP / IP协议栈
  • 应用IPSEC策略只允许我们想要的stream量(白名单)
  • 重命名默认帐户,以便通过典型的脚本/工具进行定位。
  • 移动默认目录(InetPub,WWWRoot等)
  • 最小化本地用户帐户。
  • 所有NetBIOS被删除或禁用。
  • 为将要pipe理计算机的每个人添加用户帐户
  • configurationterminal服务,允许每个用户只有一个并发login
  • 添加仅在runas不能满足给定用户的用途时才使用的备用pipe理帐户

-亚当

你可能希望;

  • 禁用SSL 2(修复折旧的SSL协议使用情况)
  • 执行networking漏洞评估

如果是这样的话,我写了一篇关于如何在IIS6上禁用SSL2和弱密码的详细文章,值得一看。

本文从满足支付卡行业设定的安全要求的angular度出发,但仍与通用服务器硬化有关。

因此,现在要修复折旧的SSL协议使用情况,您应该阅读说明如何:禁用SSL2和弱密码文章以了解分步说明或阅读MS支持文章#187498 ,您可以使用ServerSniff确认您的修改已生效。

ps的确,您也可以使用ServerSniff来确认Scott在回复中提到的修改。

除了已经提到的事情,我禁用弱SSL密码。

编辑:我发现了几年前我写的一步一步的指示。

  1. 单击开始,单击运行,键入regedt32或键入regedit,然后单击确定。
  2. 在registry编辑器中find以下registry项:HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
  3. 执行以下步骤4至8:a。 密码\ DES 56/56 b。 密码\ RC2 40/128 c。 密码\ RC4 40/128 d。 密码\ RC4 56/128 e。 Protocols \ SSL 2.0 \ Client f。 Protocols \ SSL 2.0 \ Server
  4. 在编辑菜单上,单击添加值。
  5. 在数据types列表中,单击DWORD。
  6. 在数值名称框中键入已启用,然后单击确定。
  7. 在二进制编辑器中键入00000000以将新密钥的值设置为“0”。
  8. 点击OK。
  9. 当您完成修改registry时,重新启动计算机。

如果可能,从Windows 2003 SP1服务器开始,并确保内置的防火墙已打开,除非您有networking防火墙来保护它。

如果设置防火墙,请确保以下端口已打开: – 3389:远程桌面(RDP) – 80:HTTP

可选: – 443:HTTPS(可选) – 25:SMTP – 110:Pop3

公用事业:

  • 记事本++(周围伟大的编辑器) – 免费
  • 7-Zip(处理zip,弧和其他压缩文件) – 免费
  • 超越比较v3(文件比较和FTP) – $但不是很多
  • 数据库pipe理