ওয়েবের মুখোমুখি উইন্ডোজ সার্ভারকে সুরক্ষা দেওয়ার জন্য "করণীয়" কী কী?


17

আমি বর্তমানে ওয়েবের মুখোমুখি উইন্ডোজ সার্ভার স্থাপন করতে শুরু করি।

এবং আমি জানতে চাই আপনি আপনার সার্ভারগুলি সুরক্ষার উপায় কী? আপনি কোন সফটওয়্যার ব্যবহার করছেন?

লিনাক্সে, আমি আমার সার্ভারগুলিতে কী চলছে সে সম্পর্কে দৈনিক প্রতিবেদন পেতে ব্রুটফোর্স এবং লগওয়াচকে প্রতিরোধ করতে Fail2ban ব্যবহার করছি। উইন্ডোজে সেই সফ্টওয়্যারগুলির কোনও সমতুল্য রয়েছে? যদি তা না হয় তবে সার্ভারটি সুরক্ষিত করার জন্য আপনি কী ব্যবহার করার পরামর্শ দিচ্ছেন?


4
নীচে ভ্লাদ এর উত্তর একটি ভাল সূচনা পয়েন্ট। এছাড়াও আপনার সংস্থার এবং আপনি ওয়েবে কী পরিষেবাগুলি রাখছেন তা নোট করুন। প্রবিধান / আইনগুলি বাদ দিয়ে আপনি যদি একটি ডিনকো ওয়েব অ্যাপ্লিকেশন সহ একটি ছোট মেকানিকের দোকান হন তবে খুব অল্প সুরক্ষা নিয়েই আপনি পালাতে পারেন। আপনার কোডটি পেতে চায়না লোকদের সাথে যদি আপনি একটি বড় দেব দোকান হন তবে সত্য নয়
TheCleaner

উত্তর:


19

সবার আগে আপনার নিজের নেটওয়ার্ক ডিজাইন সম্পর্কে ভাবতে হবে। অভ্যন্তরীণ নেটওয়ার্কটি সুরক্ষিত রাখতে কমপক্ষে একটি ডিএমজেডকে ওডারে ব্যবহার করা ভাল। মৌমাছির জনসাধারণের জন্য জনসাধারণের জন্য মৌমাছির জন্য একটি ভাল উইন্ডোজ সিস্টেম উইন্ডোজ সার্ভার 2008 আর 2 হবে যদি আপনি নতুন 2012 সার্ভারটি কিনতে না চান। আমাদের কাছে কমপক্ষে চারটি উইন্ডোজ ভিত্তিক ওয়েব সার্ভার রয়েছে যা পুরোপুরি ২০০৮ আর -2-এর ভিত্তিতে ওয়েব সার্ভার হিসাবে কাজ করে। শুধু নিম্নলিখিতটি করতে নিশ্চিত হন:

  • ডিএমজেড (1 বা 2) ব্যবহার করুন
  • অব্যবহৃত সার্ভার রোলগুলি ইনস্টল করবেন না
  • আপনার প্রয়োজন হবে না এমন পরিষেবাগুলি বন্ধ করার বিষয়ে নিশ্চিত হন
  • কেবল অভ্যন্তরীণ নেটওয়ার্কে আরডিপি পোর্ট (যদি প্রয়োজন হয়) খোলার বিষয়ে নিশ্চিত হন
  • সমস্ত অব্যবহৃত বন্দর বন্ধ রাখতে ভুলবেন না
  • সার্ভারের সামনে সিস্কো, জুনিপার বা চেকপয়েন্টের মতো যথাযথ ফায়ারওয়াল সমাধানটি ব্যবহার করুন
  • আপনার সার্ভারটি আপ টু ডেট রাখুন (কমপক্ষে মাসিক আপডেট)
  • এটিকে অনর্থক করুন (ব্যাকআপের জন্য কমপক্ষে দুটি সার্ভার ব্যবহার করুন)
  • ভাল পর্যবেক্ষণ: নাগিওস (আমি এটি পছন্দ করি ;-))

(alচ্ছিক) আপনার ওয়েবসারভার এবং এটির ব্যাকআপ সিস্টেমের জন্য হাইপার-ভি ব্যবহার করুন। আপনার আপডেটগুলি কোনওভাবে ওয়েবসার্চিতে হস্তক্ষেপ করে না কিনা তা আপডেট করা এবং পরীক্ষা করা খুব সহজ। সেক্ষেত্রে একটি হার্ডওয়্যার ত্রুটির ক্ষেত্রে অতিরিক্ত কাজ করতে আপনার দুটি অভিন্ন হার্ডওয়্যার মেশিনের প্রয়োজন হবে। তবে এটি বেশ ব্যয়বহুল।

আশা করি এটি আপনাকে সাহায্য করবে!


7

আপনি যদি জনসাধারণের এই মুখোমুখি উইন্ডোজ বাক্সে আপনি কী পরিষেবা সরবরাহ করতে চান তা যদি আমাদের জানান তবে আমরা আপনাকে আরও বিশদ উত্তর দিতে পারি। যেমন আইআইএস, ওডাব্লুএ, ডিএনএস, ইত্যাদি?

বাক্সটি নিজেই লক করতে, বাক্সে যে কোনও অতিরিক্ত পরিষেবাদি / ভূমিকা প্রয়োজন হবে না তা সরিয়ে (অথবা শুরু করার জন্য ইনস্টল না করে) ভ্লাদের উত্তর দিয়ে শুরু করুন। এর মধ্যে কোনও তৃতীয় পক্ষের সফ্টওয়্যার (কোনও অ্যাক্রোব্যাট রিডার, ফ্ল্যাশ ইত্যাদি) অন্তর্ভুক্ত নেই যা কোনও সার্ভারে ব্যবহার করা উচিত নয়। অবশ্যই যে কোন জিনিস প্যাচ করা।

আপনার চলমান পরিষেবার জন্য উপযুক্ত পোর্টগুলিতে কেবল ট্র্যাফিকের অনুমতি দিতে আপনার ফায়ারওয়াল নীতিগুলি কনফিগার করুন

আপনি যে পরিষেবাগুলি চালাচ্ছেন তার সাথে সম্পর্কিত বিধিগুলি সহ একটি আইডিএস / আইপিএস কনফিগার করুন।

সম্পদের ঝুঁকি / মানের উপর নির্ভর করে আপনার ঘেরের আইপিএসের পাশাপাশি অন্য কোনও বিক্রেতার কাছ থেকে একটি হোস্ট-ভিত্তিক আইপিএস ইনস্টল করার বিষয়টি বিবেচনা করুন।

প্রাথমিক উদ্দেশ্য ধরে নেওয়া একটি ওয়েবসাইট হোস্ট করা, আইআইএস লক করা 7.5 (২০০৮ আর 2) এর সাথে উল্লেখযোগ্যভাবে কম সমস্যা হলেও আপনি এখনও নিশ্চিত হওয়া উচিত যে আপনি কয়েকটি জিনিস যেমন করেছেন:

  • ওএস ফাইলগুলি থেকে আলাদা আলাদা ভলিউমে ওয়েবসাইট ফাইলগুলি সঞ্চয় করুন
  • মাইক্রোসফ্ট, এনএসএ ইত্যাদির একটি এক্সএমএল সুরক্ষা টেম্পলেটটি বেসলাইন হিসাবে ধরুন
  • সমস্ত স্ক্রিপ্টগুলিতে এনটিএফএসের মাধ্যমে সরান বা লক ডাউন করুন \InetPub\AdminScripts
  • বিপজ্জনক ই এক্স এর যেমন লং ডাউন ডাউন অ্যাপ্লিকেশন, সিএমডি.এক্সএইচ ইত্যাদি
  • ডিএমজেড এবং অনুমোদিত অভ্যন্তরীণ হোস্টগুলির মধ্যে ট্র্যাফিক নিয়ন্ত্রণ করতে আইপিসেক ব্যবহার করুন
  • আপনার যদি AD এর দরকার হয় তবে আপনার ডিএমজেডে আপনার অভ্যন্তরীণ নেটওয়ার্কের চেয়ে আলাদা বন ব্যবহার করুন
  • নিশ্চিত হয়ে নিন যে সমস্ত সাইটের জন্য হোস্ট শিরোলেখের মান প্রয়োজন (স্বয়ংক্রিয় স্ক্যানিং প্রতিরোধে সহায়তা করে)
  • নিম্নলিখিত সফল ইভেন্টগুলি ব্যতীত সমস্ত ব্যর্থ এবং সফল ইভেন্টগুলির উইন্ডোজ অডিটিং সক্ষম করুন: পরিচালক পরিষেবা অ্যাক্সেস, প্রক্রিয়া ট্র্যাকিং এবং সিস্টেম ইভেন্টস।
  • প্রত্যেকের গ্রুপ দ্বারা ব্যর্থ ক্রিয়াকলাপগুলি লগ করতে ফাইল সিস্টেমে এনটিএফএস অডিটিং ব্যবহার করুন এবং ব্যাকআপের উপর ভিত্তি করে আপনার সুরক্ষা লগের আকারকে একটি উপযুক্ত আকারে বাড়ানোর বিষয়ে নিশ্চিত হন (500 এমবি বা তাই)
  • রুট ফোল্ডারের জন্য এইচটিটিপি লগিং সক্ষম করুন
  • অ্যাপ পুলগুলি চলছে এমন ব্যবহারকারীর অ্যাকাউন্টগুলিতে অপ্রয়োজনীয় অধিকারগুলি দেবেন না।
  • আইএসপিআই এবং সিজিআই মডিউলগুলির যদি আপনার প্রয়োজন না হয় তবে সেগুলি থেকে মুক্তি পান।

আমি এটি খুব বেশি দীর্ঘ করতে চাই না যদি আপনার কোনও বিশেষ বুলেটে আরও তথ্যের প্রয়োজন হয় তবে দয়া করে একটি মন্তব্য দিন।


আপাতত এই সার্ভারটি কেবল আইআইএস অ্যাক্সেস সরবরাহ করবে
কেদারে

5

এখানে বিদ্যমান উত্তরগুলি ভাল তবে তারা একটি গুরুত্বপূর্ণ দিক মিস করে। যখন আপনার সার্ভারে কি হবে না আপোস না?

সার্ভারফল্টে উত্তর যখন লোকেরা জিজ্ঞাসা করে যে প্রায় সর্বদা আমার সার্ভারের সদৃশ হ্যাক হয়ে গেছে এর সদৃশ হিসাবে প্রশ্নটি বন্ধ করে দেওয়া ! উপরের উত্তরের নির্দেশাবলীটি কীভাবে আপস করার কারণ / পদ্ধতি এবং কীভাবে ব্যাকআপ থেকে পুনরুদ্ধার করবেন তা বর্ণনা করে।

এই নির্দেশাবলী অনুসরণ করতে আপনার অবশ্যই লগিং এবং নিয়মিত ব্যাকআপ নিতে হবে। আপনার অবশ্যই পর্যাপ্ত লগইন থাকতে হবে যা আক্রমণকারী কী করেছে এবং কখন তা নির্ধারণ করতে আপনি এটি ব্যবহার করতে পারেন। এর জন্য, আপনার বিভিন্ন মেশিন থেকে লগ ফাইলগুলি সংযুক্ত করার একটি উপায় প্রয়োজন এবং এটি এনটিপিকে প্রয়োজন। আপনি সম্ভবত কিছু প্রকারের লগ সম্পর্কিত সম্পর্ক ইঞ্জিনও চাইবেন।

আপত্তিযুক্ত মেশিন থেকে লগিং এবং ব্যাকআপ উভয়ই উপলভ্য হওয়া উচিত।

একবার আপনি যখন জানবেন যে আপনার সার্ভারটি আপোস হয়েছে, আপনি এটি অফলাইনে নিয়ে যান এবং তদন্ত শুরু করেন। আক্রমণকারী কখন এবং কীভাবে এটি পেয়েছে তা আপনি একবার জানেন, আপনি অতিরিক্ত মেশিনে ত্রুটিটি প্যাচ করে অনলাইনে আনতে পারেন। যদি অতিরিক্ত যন্ত্রটি পাশাপাশি ডেটাতে আপস করে থাকে (কারণ এটি লাইভ মেশিন থেকে সিঙ্ক্রোনাইজ করা হচ্ছে) তবে আপনার অনলাইন এনে দেওয়ার আগে আপোষের চেয়ে পুরানো ব্যাকআপ থেকে ডেটা পুনরুদ্ধার করতে হবে।

উপরের লিঙ্কযুক্ত উত্তরের মাধ্যমে আপনার পথে কাজ করুন এবং দেখুন যে আপনি আসলে পদক্ষেপগুলি সম্পাদন করতে পারেন এবং তারপরে আপনি যতক্ষণ না পারেন জিনিসগুলি যুক্ত / পরিবর্তন করতে পারেন।


2

আপনি এই সার্ভারটির ভূমিকা / অ্যাপ্লিকেশন ইনস্টল, কনফিগার এবং পরীক্ষা করার পরে এসসিডাব্লু (সুরক্ষা কনফিগারেশন উইজার্ড) চালান।


2

উপরে সমস্ত সুপারিশ করার পরে, ডিওডি দ্বারা প্রকাশিত "সুরক্ষা প্রযুক্তিগত বাস্তবায়ন গাইড" (এসটিআইজি) অনুসরণ করুন: 1- উইন্ডোজ সার্ভার (আপনার সংস্করণটি সন্ধান করুন) 2- আইআইএসের জন্য (আপনার সংস্করণটি অনুসন্ধান করুন) 3- ওয়েবসাইটের জন্য (আপনার সংস্করণটি সন্ধান করুন)

এখানে এসটিআইজের সম্পূর্ণ তালিকা রয়েছে:

http://iase.disa.mil/stigs/az.html

শুভেচ্ছা।


সুরক্ষা বিধিগুলি করার জন্য দীর্ঘ তালিকা রয়েছে! আপনাকে অবশ্যই ধৈর্য্য
ধরতে
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.