Answers:
首先,您需要考虑您的网络设计。最好至少使用一个DMZ保护内部网络。如果您不想购买新的2012 Server,那么一个不错的Windows系统应该是Windows Server 2008 R2。我们至少有四个基于Windows的Web服务器,它们完美地用作Web服务器,所有这些都基于2008 R2。只要确保执行以下操作:
(可选)将Hyper-V用于您的Web服务器及其备份系统。更新和检查更新是否以某种方式不干扰Web服务要容易得多。在这种情况下,如果硬件出现故障,您将需要两台相同的硬件机器来实现冗余。但这也许是很昂贵的。
希望对您有帮助!
如果您告诉我们您要在此面向公众的Windows机器上提供的服务,我们可以为您提供更详细的答案。例如IIS,OWA,DNS等?
要锁定盒子本身,请从vlad的答案开始,删除(或不首先安装)盒子上不需要的任何其他服务/角色。这包括不应在服务器上使用的任何第三方软件(无acrobat阅读器,Flash等)。当然,任何事情都可以解决。
将防火墙策略配置为仅允许流量流向正在运行的服务的相应端口
使用与您正在运行的服务相关的规则配置IDS / IPS。
根据资产的风险/价值,除您最好从其他供应商购买的外围IPS之外,还考虑安装基于主机的IPS。
假定主要目的是托管网站,则使用7.5(2008 R2)锁定IIS的麻烦要小得多,尽管您仍应确保执行以下操作:
\InetPub\AdminScripts我不想花太长的时间,因此,如果您需要/想要有关特定项目符号的更多信息,请发表评论。
此处的现有答案很好,但它们忽略了一个关键方面。当你的服务器会发生什么情况不得到折扣?
当人们问到ServerFault时,这里的答案几乎总是要解决这个问题,因为我的服务器被黑了。 最高答案中的说明描述了如何找到危害的原因/方法以及如何从备份中还原。
要遵循这些说明,您必须具有大量的日志记录和常规备份。您必须具有足够的日志记录,才能使用它来确定攻击者的操作和时间。为此,您需要一种关联来自不同计算机的日志文件的方法,这需要NTP。您可能还需要某种日志关联引擎。
通常,受到损坏的计算机都无法使用日志记录和备份。
一旦知道服务器已受到威胁,就可以将其脱机并开始调查。一旦知道了攻击者何时以及如何获得的,就可以修补备用计算机上的漏洞并将其联机。如果备用计算机也已破坏了数据(因为正在从运行中的计算机中同步数据),则需要先将备份恢复到比破坏还早的数据,然后再将其联机。
通过上述链接的答案逐步进行操作,查看您是否可以实际执行这些步骤,然后添加/更改内容,直到可以为止。
完成上述所有建议后,请遵循DoD发布的“安全技术实施指南”(STIG):1- Windows Server(查找您的版本)2- For IIS(查找您的版本)3- For Website(查找您的版本)
这是STIG的完整列表:
http://iase.disa.mil/stigs/az.html
问候。