Jak správně zabezpečit Windows Serveru pro web

HackForum

Jak správně zabezpečit Windows Serveru pro web#
Můžete mně prosím poradit, jak zodpovědně přistoupit k zabezpečení webového serveru na Windows Serveru, kde je provozována ASP.NET aplikace? Jde mně nyní především o nastavení přístupových oprávnění k souborům.

Jak povolit uživateli, pod kterým je web provozován, přístup tam kam nezbytně potřebuje a vůbec nikam jinam?

Díky
(odpovědět)
PetrP | 81.201.60.*11.6.2011 11:45
re: Jak správně zabezpečit Windows Serveru pro we#
Nechtěl bych.
(odpovědět)
Bystroushaak_ | 83.208.175.*13.6.2011 17:26
re: Jak správně zabezpečit Windows Serveru pro we#
Ahoj, záleží, jak ten dotaz myslíš,jestli ti jde o teorii ohledně teto problematiky, nebo spíš o praktické ukázky. Jsou nějaké standardy(celosvětově uznávané) které by se měly brát v potaz.nicméně jsou i aplikace, které ti nastaveni tvého serveru prověří a na případně nedostatky upozorní.jestli máš zájem, mužů ti sem naházet linky.
(odpovědět)
playa_zabran | 46.135.120.*13.6.2011 20:11
re: Jak správně zabezpečit Windows Serveru pro we#
Budu rád za jakékoliv informace a především pak za praktické ukázky a testy.

Na NETu jsem toho sám našel celkem dost, ale to všechno šlo pouze po povrchu.

Nikdo už třeba moc neřešil, že uživatel, pod kterým je spuštěn aplikační pool, má přes skupinu Authenticated Users práva běžného uživatele a tedy má přístup do adresáře s Windows. Třeba toto nevím jak nějak rozumně vyřešit... resp. neřeším to až zbytečně moc? Co je doporučené řešit? :-)
(odpovědět)
PetrP | 81.201.60.*13.6.2011 22:26
re: Jak správně zabezpečit Windows Serveru pro we#
Zdravim te,

predne myslim, ze se securitou to clovek nikdy nemuze prehnat, jen si dej pozor na to, aby jsi se jedne oblasti nevenoval moc a dalsim vubec. To je pak uplne na nic. Predne bych ti doporucil tohle:
[link]
Vyber si, jakou polozku chces stahnout (u tebe asi win 03) a zkus postupovat podle toho.

Nezapominej, ze bezpecny win. server nejsou jen spravne nastavena prava (ikdyz ty jsou taky dulezita),ale mas tu nastaveni logovani, nastaveni auditu, ruzne password polici a tak.
Nicemu neublizi, kdyz se kouknes primo sem: [link](WS.10).aspx kde pod zalozkou Security and protection najdes pomerne solidni zasobu.
Jestli by jsi chtel pomoct nejak hloubeji, muzes sem postnout email, nebo nejaky kontakt.
Jinak pro rypaky, i na windows se da se securitou hezky vyhrat a u nastavovani stezejnich systemu napr. pro banky je to vyzva:) O to vetsi to potom auditovat :P
(odpovědět)
playa_zabran | 41.234.202.50/194.213.35.*14.6.2011 11:19
re: Jak správně zabezpečit Windows Serveru pro we#
Zdravím a děkuji za dodané informace. Především mě zaujaly postupy popisované v dokumentech na webu CIS Security. Dokument popisující IIS 7 už jsem prošel a něco v konfiguraci už i opravil. Další materiály mě ještě čekají... :-)

Pokud máš další zajímavé odkazy na podobně cenné zdroje informací - můj mail je již nyní netrpělivě očekává. :-)

Uvědomil jsem si i to, že jsem zatím vůbec neřešil třeba zpracovávání logů. Máš třeba nějaké postřehy, jak v praxi řešit tuto problematiku?
(odpovědět)
PetrP | E-mail16.6.2011 20:50
re: Jak správně zabezpečit Windows Serveru pro we#
Opet zdravim,

muzu ti doporucit jednu vec, ktera se mi v praxi velmi osvedcila. Zkus pouzit nesus compliace. Ten ti nastaveni serveru (ale i napr. sitoveho prvku, nebo klasicke PC stanice) zkontroluje automaticky presne podle jiz zminene CIS sablony(muzes vybrat i jine). Myslim, ze tady pro tento ucel ti bohate postaci free verze, ktera je dostupna treba v backtracku(jestli linux nemusis, je dostupna i windowsi varianta).

Jinak ja to pri pentestech, kde je pozadovane i configuration review resim prave nesusem a vlastnimi scripty.

Jestli ti neni cizi programovani (pro tento pripad nejlepsi python, nebo perl), tak doporucuji na zpracovani logu napsat vlastni script, ktery ti napr. bude vytahovat jen to, co budes povazovat za dulezite (napr. pokus o BF, atd.). Mozna by ses zde obesel i bez znalosti programovani, myslim, ze veci podobneho razeni budou na internetu dostupne (nemohu uvest zdroj, jak jsem rekl, pouzivam vlasntni).

Logy jsou kapitola pomerne sama pro sebe :) Doporucuji logovat radsi vsechno, nez neco opomenout. Je to o tom, vypracovat si v sobe jakysi "cit" a vedet, kam se podivat. Kazdopadne logy doporucuji kontrolovat pravidelne, muzes tak odhalit napr. nestabilitu urciteho systemu, nebo i pripadny utok na tvuj server (sit), ale i pady nejakych kompenent systemu(sluzeb)... Je toho opravdu hodne.

Hezky popsana je prave s logy napriklad zde : [link]

Urcite durazne doporucuju pravidelne provadet audity bezpecnosti (ted nemyslim penetrani testy, ale primo featuru, kterou nabizi windows) a jejich vysledky pote kontrolovat v logach.
(odpovědět)
Playa_zabran | 194.213.35.*17.6.2011 10:14

Zpět
 
 
 

 
BBCode