部署新的Web服务器盒时，要在其上安装并进行设置的标准物品是什么？

您如何做才能确保盒子被锁定并且不会受到伤害？

至今：

一般

• 应用安全补丁等
• 运行Microsfot基准安全分析器（MBSA）
• 禁用弱加密算法 - 斯科特，也看到大卫克里斯琴森的 文章和serversniff.com网站

网络

• 哈登的TCP / IP协议栈 - K.布赖恩·凯利
• 具有IPSEC策略的白名单流量
• 删除或禁用所有NetBIOS
• 将Web服务器放在工作组中（不允许在域中）
• 使用DMZ

IIS

• 安装UrlScan
• 运行IIS锁定

相关文章

• ASP.net生产清单
• 开发人员在建立公共网站之前应该了解什么

我们所做的：

• 将Web服务器放入DMZ
• 将Web服务器放在工作组中（不允许在域中）
• 确保已应用所有安全补丁
• 最小化正在运行的服务
• 使用URLScan。删除服务器指纹（RemoveServerHeader = 1）。
• 加强TCP / IP堆栈
• 应用IPSEC策略以仅允许我们想要的流量（白名单）
• 重命名默认帐户，以便典型脚本/工具可以将其作为目标。
• 移动默认目录（InetPub，WWWRoot等）
• 最小化本地用户帐户。
• 所有NetBIOS被删除或禁用。

• 为将要管理计算机的每个人添加用户帐户
• 配置终端服务以允许每个用户仅一次并发登录
• 添加仅在runas不适用于给定用户的情况下使用的备用管理帐户

-亚当

您可能希望;

• 禁用SSL 2（已修复折旧的SSL协议用法）
• 进行网络漏洞评估

如果是这样，我写了一篇有关“ 如何：在IIS6上禁用SSL2和弱密码”的详细文章，可能值得一看。

本文从满足支付卡行业设置的安全要求的角度出发，但仍与常规服务器加固有关。

因此，现在要解决已折旧的SSL协议的使用问题，您应该阅读“ Howto：禁用SSL2和弱密码”文章中的逐步说明，或者阅读MS支持文章＃187498，然后可以使用ServerSniff来确认您的修改已生效。

ps实际上，您还可以使用ServerSniff来确认Scott答复中提到的修改。

除了已经提到的内容之外，我还禁用弱SSL密码。

编辑：我找到了几年前写的分步说明。

1. 单击开始，单击运行，键入regedt32或regreg，然后单击确定。
2. 在注册表编辑器中，找到以下注册表项：HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL
3. 对以下键执行步骤4至8：密码\ DES 56/56 b。密码\ RC2 40/128 c。密码\ RC4 40/128 d。密码\ RC4 56/128 e。协议\ SSL 2.0 \客户端f。通讯协定\ SSL 2.0 \ Server
4. 在编辑菜单上，单击添加值。
5. 在“数据类型”列表中，单击“ DWORD”。
6. 在“值名称”框中，键入“启用”，然后单击“确定”。
7. 在Binary Editor中键入00000000，以将新密钥的值设置为等于“ 0”。
8. 单击确定。
9. 完成修改注册表后，重新启动计算机。

如有可能，请从Windows 2003 SP1 Server开始，并确保内置防火墙已打开，除非您有网络防火墙来对其进行保护。

如果您设置防火墙，请确保打开以下端口：-3389：远程桌面（RDP）-80：HTTP

可选：-443：HTTPS（可选）-25：SMTP-110：Pop3

实用程序：

• Notepad ++（围绕出色的编辑器）-免费
• 7-Zip（处理zip，arc和其他压缩文件）-免费
• Beyond Compare v3（文件比较和FTP）-$，但不多
• 数据库管理