Rendere Sicuro un Server Web Windows

Se questo articolo fosse “PERFETTO” … la vita per hacker & malintenzionati sarebbe durissima.
Purtroppo queste persone (o sistemi) sono in continua evoluzione e in continuo apprendimento. E’ difficile “difendersi” da ultimi BUG o Vulnerabilità, ma molti “attacchi” arrivano con sistemi “conosciuti” o da principianti che spesso sfruttano sempre le stesse vulnerabilità (od i soliti componenti del sistema attaccati da worm e script kiddie)
La guida riportata di seguito è una BLINDATURA veramente “DURA” per un WebServer. Con questa “blindatura” alcuni componenti utilizzati dai clienti (es. php su Windows come CGI, ecc.) potrebbero non funzionare correttamente quindi vi invito a SCEGLIERE eventuali PUNTI da mettere in sicurezza….in base al servizio erogato.

1.) Verificare che gli Aggiornamenti automatici sono impostati per installarsi automaticamente . Questa utility è incorporato in Windows e tiene informati degli aggiornamenti critici e service pack. La maggior parte degli attacchi hacker mira le macchine che non hanno gli ultimi Service Pack e aggiornamenti installati su di esse.

2) Correggere i PERMESSI a soli SYSTEM e ADMINISTRATOR dei seguenti file: ftp.exe , tftp.exe , command.com , cmd.exe , Telnet.exe , wscript.exe e cscript.exe . Indipendentemente dal meccanismo che un hacker utilizza per entrare nel vostro server, l’obiettivo è lo stesso: eseguire il codice sulla vostra macchina. I programmi di cui sopra possono essere utilizzati dagli hacker per installare il software e anche eseguire codice.  Non è consigliabile eliminare o rinominare uno di questi file. Windows include una funzionalità denominata “Windows File Protection”, che sostituirà automaticamente alcuni di questi file (ad esempio cmd.exe) se vengono eliminati o rinominati. Se è necessario accedere a uno di questi programmi, si consiglia di effettuare una copia di del programma con un nome diverso (ad esempio “cmdsafe.exe” o “ftp99.exe”) – non dimenticare di aggiornare tutti i collegamenti a questi file. In questo modo, l’hacker non sarà probabilmente in grado di trovarlo.

3.) Rinominare l’account Administrator e disabilitare l’account Guest.
Per impostazione predefinita, Windows crea due account che molti hacker cercano sul vostro server, “Guest” e “Administrator”. Se la vostra macchina è un membro di un dominio, sarà necessario farlo due volte: una volta sul vostro computer, e una volta in Active Directory.

4) Utilizzare 1 account = 1 Cartella : Sarà necessario Impostare 1 Account (locale o Active Directory) per ogni SITO WEB che andremo a creare. Vedremo in un altro articolo come fare. Ricordate che l’utente deve essere creato nel sistema, assegnato alla cartella e Assegnato a IIS

5) Controllo dei file di LOG di IIS . E’ consigliabile abilitare la registrazione di IIS su tutti i siti. Si dovrebbe controllare periodicamente questi file di registro per verificare i tentativi degli hacker. In particolare, la ricerca di questi file per le pagine fallite (ad esempio 404) richieste, e anche per le seguenti parole: echo, copy, rename, dir, del, cmd.exe, command.com, tftp.exe, ftp.exe, e in generale, qualsiasi. exe,. com,. bat o altra estensione di file che gli utenti Web non dovrebbero usare. I file di log di IIS includeranno anche l’indirizzo IP dell’attaccante.

6)Visualizzatore eventi – Sicurezza Log ( disponibile nel menu Programmi, Strumenti di amministrazione) viene fornito con uno strumento chiamato Event Viewer. Questo strumento registra Applicazione, Sistema e Sicurezza Eventi.  E’ molto importante rivedere periodicamente il registro di protezione. Si consiglia vivamente che il backup di tutti i file di log e di impostare registri eventi per “Non sovrascrivere eventi (pulizia manuale del registro)”.

7) Configurazione del server IIS
a.) Togliere estensioni di FrontPage. Ci sono una serie di exploit contro FrontPage. Si raccomanda vivamente di rimuovere questo componente
b.) Rimuovere Connessione Web desktop remoto (tsweb). Per impostazione predefinita, alcune versioni di di IIS includono un sito web che permette di amministrare il computer che ospita IIS.
c.) Togliere Mapping applicazioni inutilizzate dal Web Server. IIS include una serie di “mapping di applicazioni”, che invocano vari programmi quando una pagina web con una determinata estensione di file (ad es. asp o. pl) viene richiamata. Anche se non si dispone di un file (nel vostro sito web) con una di queste estensioni, il server potrebbe essere ancora vulnerabile ad un exploit contro uno di questi tipi di file. Ci sono molti exploit contro varie Mapping applicazioni. Si raccomanda vivamente di rimuovere tutti i mapping delle applicazioni non utilizzate.

8) Configurazione Sito
a.) Disattivare il “Sito Web predefinito” e cancellare tutti i file. Gli hacker cercano questa configurazione. Crea il tuo sito web, e non metterlo in c: inetpub wwwroot.
b.) Disattivare “Indicizza questa risorsa” a tutti i siti web. Se si desidera creare un “Cerca nel sito” per il vostro sito web, utilizzare uno strumento 3rd party che non indicizza il codice sorgente del tuo script lato server.
c.) Disattivare “browsing Directory” su tutti i siti e directory virtuali. Non permettere agli hacker di “navigare” tra i file.
d.) Eliminare i “AdminScripts”, “IISSamples” e “Script” directory. Gli hacker sanno di queste directory di default, e so di molti exploit contro i file che vengono installati in queste directory in un’installazione predefinita di IIS. Sbarazzarsi di queste directory, e mai nominare le directory con questi nomi.
e.) Rimuovere qualsiasi directory di FrontPage residui. Frontpage installa una serie di directory che iniziano con il carattere “_” (es._vti_cnf). Eliminare tutti questi file e directory, e di sbarazzarsi di qualsiasi file o directory che il vostro sito non utilizza.
f.) Assicurarsi che nessuno dei vostri siti web hanno l’autorizzazione “Write” acceso.

9) Controllare tutte le porte TCP / IP aperte. In primo luogo, verificare quali porte la macchina deve utilizzare, e capire quali servizi le porte mappano. Per i primi, è possibile utilizzare “netstat-an” da un prompt di DOS. Installare ed eseguire InternetPeriscope sul vostro server per questo primo test. Successivamente, eseguire una scansione delle porte sul server da un computer che si trova all’esterno del firewall. Ancora una volta, InternetPeriscope può aiutare in questo. Questo vi darà un’idea di ciò che porti vedere il dell’hacker quando la scansione del sistema. Se vedete i servizi sulla vostra macchina che non ti servono, si dovrebbero rimuovere per “indurire” la sicurezza del server.