Chính sách bảo mật cho Web Server

[Trainer]

Bài viết này là một phần của bài "Securing Your Web Server", chương 16. Mục đích của bài viết này để định hướng và thực hiện chính sách bảo mật cho Web Server của bạn



Về Patches và Updates:

• [Chỉ có thành viên mới thấy links này. ] phải được chạy thường xuyên để kiểm tra hệ thống và kiểm tra các bản cập nhật
• Các bản vá lỗi phải được cập nhật cho Windows, IIS và .NET Framework.
• Đăng ký nhận tin với Microsoft Security Notification Service tại :
  [Chỉ có thành viên mới thấy links này. ]

Các Tool cho IIS

• [Chỉ có thành viên mới thấy links này. ] phải được setup và chạy trên server
• [Chỉ có thành viên mới thấy links này. ] phải được setup, tinh chỉnh và chạy trên server

Về các ứng dụng

• Phải disable các ứng dụng không cần thiết
• Các ứng dụng phải được chạy với account có quyền tối thiểu
• Các ứng dụng như FTP, SMTP, và NNTP phải disable nếu không sử dụng
• Phải tắt Telnet
• ASP .NET Service State phải được disable và không dùng bởi bất kì ứng dụng khác. Vào Start > Run > gõ services.msc, tìm service ASP .NET Service State để kiểm tra chắc chắn service này được disable.

Về Protocols

• WebDAV phải được tắt nếu không sử dụng hoặc phải được sucure nếu cần. Thông tin về WebDAV, các bạn có thể xem thêm tại Microsoft Knowledge Base article 323470, "[Chỉ có thành viên mới thấy links này. ]"
• TCP/IP phải được config kỹ.
• NetBIOS and SMB phải được disabled (đóng các ports 137, 138, 139, và 445).

Về Accounts

• Những account không sử dụng đến phải được xóa bỏ
• Phải tắt (disable) account Guest.
• Account Administrator phải được đổi sang tên khác, và phải đặt password phức tạp
• Account IUSR_MACHINE phải được tắt nếu không dùng đến
• Nếu các ứng dụng cần quyền anonymous access, các bạn phải create account anonymous này với quyền thấp nhất có thể
• Những account anonymous không được phép có quyền write vào thư mục web và không được truy cập vào những ứng dụng bằng command line
• Các account chạy ứng dụng ASP.NET phải được thiết lập với quyền thấp nhất. (Chỉ áp dụng khi bạn không dùng account ASPNET - account mặc định chạy ứng dụng ASP.NET với quyền mặc định thấp nhất)
• Phải có chính sách về account và password phức tạp thiết lập trên sever.
• Phải remove group Everyone trên policy "Access this computer from the network"
• Các account quản trị phải được đảm bảo tính bảo mật, không chia sẽ thông tin các account này.
• Null sessions (anonymous logons) phải được tắt
• Group Administrator không tồn tại quá 2 accounts.
• Remote logon phải được đảm bảo secure cho account Administrators.

... còn tiếp ...

Bài viết cùng chủ đề:

• Kỹ năng bảo mật và phân tích sự cố trên XP, Windows Server 2003
• Kỹ năng bảo mật và phân tích sự cố trên XP, Windows Server 2003
• Cải thiện bảo mật mạng với DNS Server
• Sử dụng bảo mật sẵn có trong Windows Server 2003
• Cấu hình và bảo mật server, network