Lorsque vous déployez une nouvelle boîte de serveur Web, quelles sont les choses standard que vous y installez et que vous faites pour la configurer?
Que faites-vous pour vous assurer que la boîte est verrouillée et ne sera pas compromise?
Jusque là:
Général
- Appliquer des correctifs de sécurité, etc.
- Exécutez le Microsfot Baseline Security Analyzer (MBSA)
- Désactiver les algorithmes de chiffrement faible - Scott , voir également l' article de David Christiansen et le site serversniff.com
Réseau
- Renforcer la pile TCP / IP - K. Brian Kelley
- Trafic de liste blanche avec une stratégie IPSEC
- Tout NetBIOS est supprimé ou désactivé
- Mettre le serveur Web dans un groupe de travail (pas autorisé à être sur un domaine)
- Utilisez une DMZ
IIS
- Installer UrlScan
- Exécuter le verrouillage IIS