Kami dapat memberi Anda jawaban yang lebih terperinci jika Anda memberi tahu kami layanan apa yang ingin Anda berikan pada kotak Windows yang menghadap publik ini. misalnya IIS, OWA, DNS, dll?
Untuk mengunci kotak itu sendiri, mulailah dengan jawaban vlad dengan menghapus (atau tidak memasang untuk memulai) layanan / peran tambahan apa pun pada kotak yang tidak diperlukan. Ini termasuk perangkat lunak pihak ke-3 (tidak ada pembaca acrobat, flash, dll) yang tidak boleh digunakan di server. Tentu saja semuanya tetap ditambal.
Konfigurasikan kebijakan firewall Anda untuk hanya mengizinkan lalu lintas ke port yang sesuai untuk layanan yang Anda jalankan
Konfigurasikan IDS / IPS dengan aturan yang terkait dengan layanan yang Anda jalankan.
Bergantung pada risiko / nilai aset, pertimbangkan untuk memasang IPS berbasis host selain IPS perimeter Anda, lebih disukai dari vendor lain.
Dengan asumsi tujuan utama adalah untuk meng-host situs web, mengunci IIS secara signifikan lebih sedikit masalah dengan 7.5 (2008 R2) meskipun Anda harus tetap memastikan bahwa Anda melakukan beberapa hal seperti:
- Simpan file situs web pada volume yang berbeda dari file OS
- Ambil templat keamanan XML dari Microsoft, NSA, dll sebagai baseline
- Hapus atau kunci melalui NTFS semua skrip di
\InetPub\AdminScripts
- Mengunci exe berbahaya seperti appcmd, cmd.exe, dll
- Gunakan IPSec untuk mengontrol lalu lintas antara DMZ dan host internal resmi
- Jika Anda membutuhkan AD, gunakan hutan terpisah di DMZ Anda dari jaringan internal Anda
- Pastikan semua situs memerlukan nilai tajuk host (membantu mencegah pemindaian otomatis)
- Aktifkan audit windows untuk semua acara yang gagal dan berhasil kecuali acara sukses berikut: Akses Layanan Direktur, Pelacakan Proses, dan Acara Sistem.
- Gunakan audit NTFS pada sistem file untuk mencatat tindakan yang gagal oleh grup Semua orang dan pastikan untuk meningkatkan ukuran log keamanan Anda ke ukuran yang sesuai berdasarkan cadangan (500MB atau lebih)
- Aktifkan HTTP logging untuk folder root
- Jangan memberikan hak yang tidak perlu ke akun pengguna yang menjalankan kumpulan aplikasi.
- Singkirkan modul ISAPI dan CGI jika Anda tidak membutuhkannya.
Saya tidak ingin membuat ini terlalu lama jadi jika Anda perlu / ingin info lebih lanjut tentang peluru tertentu, silakan tinggalkan komentar.