Zu ausarbeitn, sollen einige der Sachen, die ich auf IIS web server getan:
1. URLScan, zum der SQL-Einspritzung zu blockieren -
http://technet.microsoft.com/en-us/security/cc242650.aspx2. Nicht notwendige Module auf IIS wie smtp, ftp u. NNTP entfernen.
3. Sicherstellen, Windows-Brandmauer eingeschaltet ist und alle als Hafen 80 und 443 (wenn SSL verwendet) - aber blockiert, auch der dass Bediener hinter einer körperlichen Brandmauer, sicherstellt, ist (falls die Software-Brandmauer ausfällt)
4. Jede Web site laufen lassen und jede Anwendung in ihr ist, Anwendungslache zu besitzen und einen Benutzer zu jedem zu kennzeichnen, eingeschränkt auf es ist, APP-Lache zu besitzen.
5. Alle nicht notwendigen Benutzer sperren und wenn möglich, den Bediener weg vom aktiven Verzeichnisgebiet halten - ich halte alle web server in einer Arbeitsgruppe.
6. Alle web server in einem DMZ auf einem unterschiedlichen Teilnetze an Ihrem SQL und Hinterbedienern festhalten.
7. Der Revidierung in der lokalen Sicherheitspolitik ermöglichen und ein regelmäßiges Programm der Überwachungereignismaschinenbordbücher herstellen.
8. Microsoft-Maschinenbordbuch-grammatische Definition verwenden, um alle IIS Netzmaschinenbordbücher in ein SQL-Server-DB zu leiten und Regularfragen über der Tabelle laufen zu lassen, um nach misstrauischer Tätigkeit heraus zu suchen:
http://www.microsoft.com/downloads/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en9. Und schließlich - eine 3. Partei zahlen, um Test regelmäßig einzusperren Ihr Bediener! Sie können finden, dass ein Wirt der preiswerten Versorger heraus dort und er immer wert Lassen jemand anderes Test einsperren ist, wie sie Löcher finden können, die Sie übersehen können. Ich kann unseren Cisco-Versorger in hohem Grade empfehlen, das Tests wir einsperren:
http://www.giss-uk.comIch hoffe, dass dieses hilft!
