تهیه چک لیست امنیتی ویندوز سرور

دیدگاه‌ خود را بنویسید / Uncategorized / از

یکی از مهمترین مسائلی که در شبکه مطرح است و به آن توجه کمتری می شود امنیت در لایه سیستم عامل و به ویژه سیستم عامل ویندوز سرور است، فرآیند امنیتی که برای امن سازی سرورهای ویندوزی و لینوکسی انجام می شود و درجه امنیتی آنها را بالا می برد به عنوان Server Hardening شناخته می شود. در این مقاله به شما چک لیست برقراری امنیت یا Hardening ویندوزهای سرور را بررسی می کنیم و با هم مرور کنیم. مواردی که در این چک لیست مشاهده می کنید بعضا بر روی کامپیوترهای کلاینت نیز قابل پیاده سازی است و توجه کنید که ممکن است در نسخه های مختلف از ویندوزها بصورت متفاوتی پیاده سازی شود اما مفاهیم همچنان ثابت باقی خواهند ماند. در ادامه با ISG همراه باشید.
چک لیست امنیتی وب سرور IIS

به هیچ عنوان سروری که بصورت کامل فرآیند Hardening بر روی آن انجام نشده است را به اینترنت متصل نکنید.
سرور را در محل فیزیکی امن قرار بدهید، امنیتی فیزیکی از اولین مواردی است که در حوزه امنیت بایستی رعایت شود.
به هیچ عنوان وب سرور IIS را بر روی Domain Controller نصب نکنید.
بر روی وب سرور IIS هرگز پرینتر نصب نکنید.
بر روی سرور دو عدد کارت شبکه بگذارید، یکی برای مدیریت سرور و دیگری برای کاربران
حتما Service Pack ها، Patch ها و البته Hotfix های لازم را بر روی سیستم عامل سرور نصب کنید.
ابزار IIS Lockdown را بر روی سرور وب اجرا کنید (در IIS های قدیمی و ویندوزهای سرور قدیمی)
ابزار امنیتی URLScan را بر روی وب سرور نصب و اجرا و پیکربندی کنید.
حتما برای Remote Desktop از Encryption مناسب استفاده کنید.
حتما برای Remote Desktop قابلیت های Account Lockout و Session Timeout را قرار بدهید.
هرگونه سرویس بلااستفاده بر روی سیستم عامل ویندوز را غیرفعال کنید.
مطمئن شوید که همگی سرویس ها با حداقل دسترسی کاربری اجرا می شوند.
اگر به سرویس های FTP ،SMTP و NNTP نیازی ندارید آنها را غیرفعال کنید یا حذف کنید.
سرویس Telnet را حتما غیرفعال و از روی سیستم عامل حذف کنید.
اگر سرویس وضعیت ASP.NET یا ASP.NET State Service توسط Application های شما استفاده نمی شود آن را غیرفعال کنید.
اگر از WebDAV استفاده نمی کنید یا مطمئن هستید Application های شما از آن استفاده نمی کنند آن را غیرفعال کنید.
اگر از WebDAV استفاده می کنید حتما پارامترهای امنیتی آن را رعایت کنید.
قسمت Data Access Components را فقط در صورت نیاز نصب کنید در غیر اینصورت حذف کنید.
قسمت MS Index Server را فقط در صورت نیاز نصب کنید و اگر نیازی نیست نصب نکنید.
گزینه HTML Version از قسمت Internet Service Manager را اصلا فعال یا نصب نکنید.
قسمت MS FrontPage Server extensions را فقط در صورت نیاز نصب کنید در غیر اینصورت حذف کنید
فرآیند Hardening را برای TCP/IP Stack هم انجام بدهید.
Policy های مربوط به Recycle Bin و Paging File System را مجددا پیکربندی کنید به تناسب سرور
تنظیمات امنیتی CMOS را انجام دهید.
امنیت فیزیکی مربوط به CD-ROM و USB Drive ها و … را فراهم کنید.

چک لیست امنیتی Account ها یا حساب های کاربری

هرگونه حساب کاربری اضافه و بلااستفاده را از روی سرور حذف کنید.
حساب کاربری Guest را غیرفعال کنید.
نام کاربر Administrator را عوض کنید و یک پسورد قوی برای آن انتخاب کنید.
حساب کاربری IUSR_MACHINE را در صورتیکه Application ای از آن استفاده نمی کند غیرفعال کنید.
یک حساب کاربری با دسترسی محدود برای anonymous account ها ایجاد کنید البته در صورتیکه این سرویس را نیاز دارید.
به هیچ عنوان به کاربر anonymous دسترسی بصورت write بر روی محتوای دایرکتوری ها و اجرای دستورات بر روی سرور ندهید.
اگر بر روی سرور شما چندین Web Application وجود دارد برای هر کدام کاربر anonymous جداگانه ای تعریف کنید.
دسترسی های حساب کاربری process های ASP.NET را با کمترین سطح دسترسی ممکن تعریف کنید.
گزینه قبل زمانی کاربردی است که شما از اکانت پیشفرضی که برای سرویس ASP.NET تعریف شده است استفاده نمی کنید.
از یک Password Policy قوی برای کلیه اکانت های موجود بر روی سرور استفاده کنید.
دسترسی Remote را به حداقل ممکن برسانید، گروه Everyone را از قسمت Access this computer from network حذف کنید.
برای هر کدام از Administrator های سرور یک اکانت جداگانه تعریف کنید و اکانت مشترک ایجاد نکنید.
Null Session را غیرفعال کنید یا به بیانی دیگر Anonymous Logon را غیرفعال کنید.
برای تفکیک کردن اکانتها و کاربردهایشان حتما بایستی تاییده دریافت شود (هر شخص نتواند به شخص دیگری دسترسی بدهد)
در گروه Administrators بیشتر از دو کاربر تعریف شده نداشته باشید.
فقط اجازه Logon بصورت Local را بدهید یا برای Remote Desktop حتما از رمزنگاری استفاده کنید.

چک لیست امنیتی فایل ها و پوشه ها

همیشه چند عدد پارتیشن بر روی هارد دیسک ایجاد کنید
هیچوقت Home Directory مربوط به وب سرور را در پارتیشن سیستم عامل قرار ندهید.
بر روی پارتیشن هایی که فایل سیستم آن NTFS است فایل ها و پوشه های خودتان را قرار بدهید.
محتویات هر وب سایت را در پوشه ای به غیر از Home Directory وب سرور قرار بدهید که NTFS هم باشد.
همیشه یک وب سایت جدید ایجاد کنید و وب سایت پیشفرض یا Default Site را غیرفعال کنید.
از وب سرور بصورت متناوب لاگ برداری کنید و لاگها را مرتب بررسی کنید.
فایل های Log وب سرور را در پارتیشنی به غیر از پارتیشنی که محتویات وب سایت در آن قرار دارند قرار بدهید (NTFS باشد)
دسترسی گروه Anonymous و Everyone به پوشه های system32 و پوشه وب سایت ها را محدود کنید.
مطمئن شوید که دایرکتوری ریشه یا Root Directory وب سرور به کاربران گروه Anonymous به هیچ عنوان دسترسی نداده باشد.
مطمئن شوید که دایرکتوری هایی که شامل محتویات اطلاعاتی وب سرور هستند به کاربران گروه Anonymous به هیج عنوان دسترسی نداده باشند.
در هر دو مورد گذشته ترجیحا از گزینه Deny برای Access Control Entry های Permission ها استفاده کنید.
قابلیت Remote IIS Administration یا Remote WWW Administration را به همراه سرویس آن غیرفعال و یا حذف کنید.
تمامی ابزارهای Resource Kit به همراه SDK ها را از روی وب سرور حذف کنید.
تمامی Sample Application ها یا برنامه های پیشفرض مثل وب سایت پیشفرض IIS را حذف کنید (از جمله صفحات Help)
آدرس IP را از Header حذف کنید (برای جلوگیری از شناسایی محل یا Content Location)

چک لیست امنیتی Share های شبکه

تمامی Share های بلااستفاده از جمله Administrative share ها را از بین ببرید.
حتما دسترسی ها را به افراد مجاز بدهید و هیچوقت گروه everyone را در لیست دسترسی ها قرار ندهید.
توجه کنید که سیستم های مانیتورینگی مثل SCOM و SCCM از سری System Center با Administrative Share ها کار می کنند.
فقط پورت های مورد استفاده در File and Printer Sharing را در فایروال باز کنید.
دسترسی به شبکه اینترنت را فقط از طریق پورت های 80 و در صورت نیاز 443 مجاز کنید.
حتما استفاده از اینترنت را محدود کنید و فقط از پروتکل های امنی مثل SSL برای دسترسی به اینترنت استفاده کنید.
اگر تعداد استفاده کنندگان از Share ها مشخص است، محدودیت Concurrent Connections بر روی Share ها بگذارید.

چک لیست امنیتی Registry

سرویس Remote Registry را غیرفعال کنید و یا دسترسی به آن را محدود کنید.
برای سرورهای Standalone فایل SAM را حتما امن کنید و در تنظیمات رجیستری NoLMHash را فعال کنید.
حتما قابلیت های Auditing و Logging را بر روی سرورها فعال کنید.
حتما Failed Logon Attempts را Audit کنید.
محل Log فایل های IIS را تغییر بدهید.
هر چند وقت یکبار Log ها را آرشیو و تجزیه و تحلیل کنید (حدالمقدور قسمت های امنیتی لاگ ها را)
حداکثر اندازه لاگ فایل را تعریف کنید.
دسترسی به فایل Metabase.bin را همیشه Audit کنید.
تنظیمات IIS را به گونه ای انجام دهید که قالب W3C Extended Log File نیز بازرسی یا Audit شود.
بصورت متناوب از رجیستری خودتان Backup تهیه کنید.

چک لیست امنیتی Site ها و Virtual Directory ها

هیچکاه وب سایت ها را بر روی پارتیشن سیستم ایجاد نکنید.
تنظیمات Parent Path را غیرفعال کنید.
Virtual Directory های خطرناکی مثل IISSamples و IISAdmin و IISHelp و Scripts را حذف کنید.
Virtual Directory مربوط به MSADC را حذف کنید.
Virtual Directory به نام IIS Internet Printing را حذف کنید.
مطمئن شوید که Certificate های سرور معتبر و به روز هستند.
از هر Certificate فقط برای کاری که برای آن تعریف شده است استفاده کنید.
مطمئن شوید که Public Key مربوط به Certificate ای که دریافت کرده اید معتبر است.
مطمئن شوید که Certificate مورد استفاده شما Revoke نشده باشد.
ISAPI Filter های بلااستفاده را از روی سرور حذف کنید. منبع: http://www.technet24.ir
ttttttttttttttttttttttt
چک لیست برای طراحی یک اتاق سرور
nnnnnnnnnnnnnnnnnnnnnnnn
طراحی اتاق سرور استاندارد جدید ممکن است در ابتدا به نظر کار سخت و دشواری باشد و به بسیاری از عوامل و استانداردهای نیاز باشد. با این حال، اگر قبل از شروع و کار برنامه ریزی درستی از تجهیزات و کارهایی که باید صورت گیرد داشته باشید می توانید به راحتی یک اتاق سرور را راه اندازی کنید.
در اینجا شرکت ISG یک چک لیست را برای تسهیل در طراحی یک اتاق سرور برای شما قرارداده است.
در هنگام طراحی یا مقاوم سازی اتاق سرورهای کوچک تا متوسط از این چک لیست استفاده کنید. این کار به شما کمک می کند تا از منابع مهم شبکه، بویژه در هنگام قطع برق، آتش سوزی، سیل و دیگر شرایط اورژانسی محافظت کنید.
مشخصات عمومی محیط  اتاق سرور استاندارد
اطمینان حاصل کنید که فضا برای رشد آینده به اندازه کافی بزرگ است.
سقف باید حداقل 9 فوت (274.32 سانتی متر)باشد
کفپوش آنتی استاتیک (بدون موم) برای کف کاذب
 عایق بودن دیوارها، سقف و درها در برابر صدا
 بدون هیچ پنجره ای به خاطر امنیت و صدا
 درها با پهنای یک متر و ده تا یک متر و بیست و ارتفاع حداقل دو متر و نیم
چیدمان تجهیزات به صورت استاندارد در اتاق سرور
 رک ها با فاصله کافی طبق مشخصات هر تولید کننده : حداقل یک متر و ده  سانتی  در اطراف هر وسیله و یک متر و بیست در راهرو بین رک ها
 رک های کامپیوتر مقاوم در برابر زلزله و اتصال به زمین مناسب
تجهیزات محاسباتی باید حداکثر شدت الکتریکی 300 وات در 30 متر مربع داشته باشند.
اتاق سرور باید دارای مانیتور آتش، دود، آب و رطوبت باشد.
حداقل یک تلفن در اتاق سرور وجود داشته باشد.
مشخصات خنک کننده اتاق سرور
رک ها باید در پیکربندی راهروی گرم / راهروی سرد راه اندازی شوند.
سیستم خنک کننده جدا از ساختمان خود برای اتاق سرور در نظر بگیرید
اگر سیستم خنک کننذه در زیر کف قرار داشته باشد، حداقل ارتفاع 60 سانتی متر باید باشد و کف کاذب باید  تحمل وزن رک های سرور، تجهیزات و … را دارا باشند.
پیشگیری از آتش سوزی اتاق سرور
سیستم اطفای حریق کافی : سیستم هشدار دهنده توصیه می شود.
 افزایش احتمال آتش سوزی در صورتی که  کابل ها یا سیستم های خنک کننده در مکانی یکسان در سقف یا در کف ترکیب شوند.
سیستم تهویه مطبوع در چک لیست طراحی اتاق سرور استاندارد

تهویه هوا(AC)

 سیستم ویژه اتاق با رطوبت کنترل شده، می باشد.
 مستقل بوده و به سیستم ساختمان اصلی متصل نیست.
 دمای 22 درجه سانتی گراد و رطوبت 45% RH
 دستگاه حداقل 120 سانتی متر از سیستم رک کامپیوتر فاصله دارد، به این خاطر که تقطیر یا نشتی‌های دیگر به تجهیزات کامپیوتری آسیب نزند و دسترسی برای تعمیر ونگهداری ممکن باشد.
 دستگاه از سیستم آب سرد محوطه ،اگر موجود باشد، استفاده می کند. معیارهای طراحی: دمای آب ورودی 8 درجه سانتی گراد و خروجی 16 درجه سانتی گراد.
مشخصات سیستم برق برای طراحی اتاق سرور استاندارد
مدارهای مناسب برای تمام تجهیزات به همراه یک یا چند مدار اضافی در صورت آسیب رسیدن به مدار اصلی
سیستم های مهم و اصلی باید به UPS و یا برق ژنراتور متصل باشد
در اتاق های بزرگ سوئیچ خاموش اضطراری قرار داده شود
هیچ تجهیزات گرمایشی در اتاق سرور قرار ندهید
سیستم نورپردازی اضطرای قرار دهید
منبع برق پشتیبان جداگانه برای اتاق سرور داشته باشید
برنامه ریزی مواجه با حوادث در اتاق سرور استاندارد 
 نصب افزودگی کافی
 اطمینان از وجود سیستم های خنک کننده بکاپ.
تجهیزات تهویه مطبوع در قالب طرح N+1
 قابلیت بسط و ارتقا کافی، آنالیزشده و طراحی شده توام با سیستم های مکانیکی و الکتریکی
 قابلیت خاموش کردن خودکار سیستم ها بر اساس مانیتورینگ دمای هوا
 محاسبه زمانی که هنگام صدمه دیدن سیستم خنک کننده در طی آن دمای اتاق بالا می رود.
 طرح مناسب برای حذف آب ناشی از تقطیر کولرها، بوسیله نیروی گرانش یا پمپ
سیستم های الکتریکی طراحی استاندارد اتاق سرور
ظرفیت و کیفیت
  پنل های مجزا و اختصاص یافته برای تجهیزات کامپیوتری و HVAC
  بررسی دقیق قدرت مورد نیاز تجهیزات برق اضطراری
  عدم وجود تجهیزات گرمایشی در این مکان
  طراحی مناسب PDU ها برای هر رک
  اطمینان از وجود سیستم ارت مناسب
  وجود ژنراتور های برق مستقل از دیگر بخش های ساختمان
شرکت ISG با بهره گیری از تجارب علمی و عملی و سیستم های نوین مدیریتی و بکارگیری نیروهای متخصص و مجرب توانسته است، پروژه های متعدد و متنوعی را با موفقیت به اتمام برساند. همچنین با در اختیار داشتن دانش فنی و آگاهی از استانداردهای روز و بهره گیری از امکانات و تجهیزات و دستگاه های پیشرفته در سطح وسیع به انجام پروژه های شبکه کامپیوتری و مراکز داده در سازمان ها، مؤسسات مالی، بانک ها، مراکز صنعتی و … مشغول به فعالیت می باشد.
پاسخگویی، خدمات پس از فروش، سهولت خرید و گستردگی پیشنهادات محصول ،  از امتیازات بارز شرکت ISG می باشد.
برای دریافت اطلاعات بیشتر و یا مشاوره رایگان با شماره 44968248 – 021 تماس حاصل فرمایید.
برای مطالعه بیشتر:

آماده سازی فیزیکی اتاق سرور

طراحی و پیاده سازی مراکز داده
ttttttttttttttttttttttt
تهیه چک لیست امنیتی ویندوز سرور
nnnnnnnnnnnnnnnnnnnnnnnn
یکی از مهمترین مسائلی که در شبکه مطرح است و به آن توجه کمتری می شود امنیت در لایه سیستم عامل و به ویژه سیستم عامل ویندوز سرور است. فرآیند امنیتی که برای امن سازی سرورهای ویندوزی و لینوکسی انجام می شود و درجه امنیتی آنها را بالا می برد به عنوان Server Hardening شناخته می شود. برای انجام کار به تهیه چک لیست امنیتی ویندوز سرور نیازمند هستید.
در این مقاله به شما چک لیست برقراری امنیت یا Hardening ویندوزهای سرور را بررسی می کنیم و با هم مرور کنیم.

مواردی که در این چک لیست مشاهده می کنید بعضا بر روی کامپیوترهای کلاینت نیز قابل پیاده سازی است.

توجه کنید که ممکن است در نسخه های مختلف از ویندوزها بصورت متفاوتی پیاده سازی شود اما مفاهیم همچنان ثابت باقی خواهند ماند.
چک لیست امنیتی ویندوز سرور IIS
    به هیچ عنوان سروری که بصورت کامل فرآیند Hardening بر روی آن انجام نشده است را به اینترنت متصل نکنید.
دستگاه سرور را در محل فیزیکی امن قرار بدهید، امنیتی فیزیکی از اولین مواردی است که در حوزه امنیت بایستی رعایت شود.
    بر روی سرور دو عدد کارت شبکه بگذارید، یکی برای مدیریت سرور و دیگری برای کاربران
    حتما Service Pack ها، Patch ها و البته Hotfix های لازم را بر روی سیستم عامل سرور نصب کنید.
    ابزار IIS Lockdown را بر روی سرور وب اجرا کنید (در IIS های قدیمی و ویندوزهای سرور قدیمی)
     ابزار امنیتی URLScan را بر روی وب سرور نصب و اجرا و پیکربندی کنید.
    حتما برای Remote Desktop از Encryption مناسب استفاده کنید.
    حتما برای Remote Desktop قابلیت های Account Lockout و Session Timeout را قرار بدهید.
    هرگونه سرویس بلااستفاده بر روی سیستم عامل ویندوز را غیرفعال کنید.
    مطمئن شوید که همگی سرویس ها با حداقل دسترسی کاربری اجرا می شوند.
    اگر به سرویس های FTP ،SMTP و NNTP نیازی ندارید آنها را غیرفعال کنید یا حذف کنید.
    سرویس Telnet را حتما غیرفعال و از روی سیستم عامل حذف کنید.
    اگر سرویس وضعیت ASP.NET یا ASP.NET State Service توسط Application های شما استفاده نمی شود آن را غیرفعال کنید.
    اگر از WebDAV استفاده نمی کنید یا مطمئن هستید Application های شما از آن استفاده نمی کنند آن را غیرفعال کنید.
    اگر از WebDAV استفاده می کنید حتما پارامترهای امنیتی آن را رعایت کنید.
    قسمت Data Access Components را فقط در صورت نیاز نصب کنید در غیر اینصورت حذف کنید.
    قسمت MS Index Server را فقط در صورت نیاز نصب کنید و اگر نیازی نیست نصب نکنید.
 نبایدهای چک لیست امنیتی ویندوز سرور IIS
    گزینه HTML Version از قسمت Internet Service Manager را اصلا فعال یا نصب نکنید.
   به هیچ عنوان وب سرور IIS را بر روی Domain Controller نصب نکنید.
    بر روی وب سرور IIS هرگز پرینتر نصب نکنید.
    قسمت MS FrontPage Server extensions را فقط در صورت نیاز نصب کنید در غیر اینصورت حذف کنید
    فرآیند Hardening را برای TCP/IP Stack هم انجام بدهید.
    Policy های مربوط به Recycle Bin و Paging File System را مجددا پیکربندی کنید به تناسب سرور
    تنظیمات امنیتی CMOS را انجام دهید.
    امنیت فیزیکی مربوط به CD-ROM و USB Drive ها و … را فراهم کنید.
چک لیست امنیتی Account ها یا حساب های کاربری
    هرگونه حساب کاربری اضافه و بلااستفاده را از روی سرور حذف کنید.
    حساب کاربری Guest را غیرفعال کنید.
    نام کاربر Administrator را عوض کنید و یک پسورد قوی برای آن انتخاب کنید.
    حساب کاربری IUSR_MACHINE را در صورتیکه Application ای از آن استفاده نمی کند غیرفعال کنید.
    یک حساب کاربری با دسترسی محدود برای anonymous account ها ایجاد کنید البته در صورتیکه این سرویس را نیاز دارید.
    به هیچ عنوان به کاربر anonymous دسترسی بصورت write بر روی محتوای دایرکتوری ها و اجرای دستورات بر روی سرور ندهید.
    اگر بر روی سرور شما چندین Web Application وجود دارد برای هر کدام کاربر anonymous جداگانه ای تعریف کنید.
    دسترسی های حساب کاربری process های ASP.NET را با کمترین سطح دسترسی ممکن تعریف کنید.
    گزینه قبل زمانی کاربردی است که شما از اکانت پیشفرضی که برای سرویس ASP.NET تعریف شده است استفاده نمی کنید.
    از یک Password Policy قوی برای کلیه اکانت های موجود بر روی سرور استفاده کنید.
    دسترسی Remote را به حداقل ممکن برسانید، گروه Everyone را از قسمت Access this computer from network حذف کنید.
    برای هر کدام از Administrator های سرور یک اکانت جداگانه تعریف کنید و اکانت مشترک ایجاد نکنید.
    Null Session را غیرفعال کنید یا به بیانی دیگر Anonymous Logon را غیرفعال کنید.
    برای تفکیک کردن اکانتها و کاربردهایشان حتما بایستی تاییده دریافت شود (هر شخص نتواند به شخص دیگری دسترسی بدهد)
    در گروه Administrators بیشتر از دو کاربر تعریف شده نداشته باشید.
    فقط اجازه Logon بصورت Local را بدهید یا برای Remote Desktop حتما از رمزنگاری استفاده کنید.
چک لیست امنیتی فایل ها و پوشه ها
    همیشه چند عدد پارتیشن بر روی هارد دیسک ایجاد کنید
    هیچوقت Home Directory مربوط به وب سرور را در پارتیشن سیستم عامل قرار ندهید.
    بر روی پارتیشن هایی که فایل سیستم آن NTFS است فایل ها و پوشه های خودتان را قرار بدهید.
    محتویات هر وب سایت را در پوشه ای به غیر از Home Directory وب سرور قرار بدهید که NTFS هم باشد.
    همیشه یک وب سایت جدید ایجاد کنید و وب سایت پیشفرض یا Default Site را غیرفعال کنید.
    از وب سرور بصورت متناوب لاگ برداری کنید و لاگها را مرتب بررسی کنید.
    فایل های Log وب سرور را در پارتیشنی به غیر از پارتیشنی که محتویات وب سایت در آن قرار دارند قرار بدهید (NTFS باشد)
    دسترسی گروه Anonymous و Everyone به پوشه های system32 و پوشه وب سایت ها را محدود کنید.
    مطمئن شوید که دایرکتوری ریشه یا Root Directory وب سرور به کاربران گروه Anonymous به هیچ عنوان دسترسی نداده باشد.
    مطمئن شوید که دایرکتوری هایی که شامل محتویات اطلاعاتی وب سرور هستند به کاربران گروه Anonymous به هیج عنوان دسترسی نداده باشند.
    در هر دو مورد گذشته ترجیحا از گزینه Deny برای Access Control Entry های Permission ها استفاده کنید.
    قابلیت Remote IIS Administration یا Remote WWW Administration را به همراه سرویس آن غیرفعال و یا حذف کنید.
    تمامی ابزارهای Resource Kit به همراه SDK ها را از روی وب سرور حذف کنید.
    تمامی Sample Application ها یا برنامه های پیشفرض مثل وب سایت پیشفرض IIS را حذف کنید (از جمله صفحات Help)
    آدرس IP را از Header حذف کنید (برای جلوگیری از شناسایی محل یا Content Location)
چک لیست Share های شبکه
    تمامی Share های بلااستفاده از جمله Administrative share ها را از بین ببرید.
    حتما دسترسی ها را به افراد مجاز بدهید و هیچوقت گروه everyone را در لیست دسترسی ها قرار ندهید.
    توجه کنید که سیستم های مانیتورینگی مثل SCOM و SCCM از سری System Center با Administrative Share ها کار می کنند.
    فقط پورت های مورد استفاده در File and Printer Sharing را در فایروال باز کنید.
    دسترسی به شبکه اینترنت را فقط از طریق پورت های ۸۰ و در صورت نیاز ۴۴۳ مجاز کنید.
    حتما استفاده از اینترنت را محدود کنید و فقط از پروتکل های امنی مثل SSL برای دسترسی به اینترنت استفاده کنید.
    اگر تعداد استفاده کنندگان از Share ها مشخص است، محدودیت Concurrent Connections بر روی Share ها بگذارید.
چک لیست امنیتی Registry
    سرویس Remote Registry را غیرفعال کنید و یا دسترسی به آن را محدود کنید.
    برای سرورهای Standalone فایل SAM را حتما امن کنید و در تنظیمات رجیستری NoLMHash را فعال کنید.
    حتما قابلیت های Auditing و Logging را بر روی سرورها فعال کنید.
    حتما Failed Logon Attempts را Audit کنید.
    محل Log فایل های IIS را تغییر بدهید.
    هر چند وقت یکبار Log ها را آرشیو و تجزیه و تحلیل کنید (حدالمقدور قسمت های امنیتی لاگ ها را)
    حداکثر اندازه لاگ فایل را تعریف کنید.
    دسترسی به فایل Metabase.bin را همیشه Audit کنید.
    تنظیمات IIS را به گونه ای انجام دهید که قالب W3C Extended Log File نیز بازرسی یا Audit شود.
    بصورت متناوب از رجیستری خودتان Backup تهیه کنید.
چک لیست امنیتی Site ها و Virtual Directory ها
    هیچکاه وب سایت ها را بر روی پارتیشن سیستم ایجاد نکنید.
    تنظیمات Parent Path را غیرفعال کنید.
    Virtual Directory های خطرناکی مثل IISSamples و IISAdmin و IISHelp و Scripts را حذف کنید.
    Virtual Directory مربوط به MSADC را حذف کنید.
    Virtual Directory به نام IIS Internet Printing را حذف کنید.
    مطمئن شوید که Certificate های سرور معتبر و به روز هستند.
    از هر Certificate فقط برای کاری که برای آن تعریف شده است استفاده کنید.
    مطمئن شوید که Public Key مربوط به Certificate ای که دریافت کرده اید معتبر است.
    مطمئن شوید که Certificate مورد استفاده شما Revoke نشده باشد.ISAPI Filter های بلااستفاده را از روی سرور حذف کنید.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

سبد خرید