Windows Web 服务器清单

Question

当您部署新的 Web 服务器盒时，您在其上安装和设置的标准内容是什么？

你会做什么来确保盒子被锁定并且不会受到损害？

迄今为止：

一般的

• 应用安全补丁等
• 运行 Microsfot 基线安全分析器(MBSA)
• 禁用弱加密算法- Scott，另请参阅David Christiansen 的 文章和serversniff.com站点

网络

• 强化 TCP/IP 堆栈- K. Brian Kelley
• 具有IPSEC 策略的白名单流量
• 删除或禁用所有 NetBIOS
• 将 Web 服务器放在工作组中（不允许在域中）
• 使用DMZ

信息系统

• 安装UrlScan
• 运行IIS 锁定

相关文章

• ASP.net 生产清单
• 在建立公共网站之前，开发人员应该知道什么

Answer 1

我们所做的：

• 将 Web 服务器放在 DMZ 中
• 将 Web 服务器放在工作组中（不允许在域中）
• 确保应用所有安全补丁
• 最小化正在运行的服务
• 使用 URLScan。删除服务器指纹 (RemoveServerHeader=1)。
• 强化 TCP/IP 堆栈
• 应用 IPSEC 策略只允许我们想要的流量（白名单）
• 重命名默认帐户，以便典型脚本/工具可以针对它们。
• 移动默认目录（InetPub、WWWRoot 等）
• 最小化本地用户帐户。
• 删除或禁用所有 NetBIOS。