10 passi per un' installazione sicura del vostro web server

1) Installate gli ultimi service pack e hot fix
Fatelo prima di mettere il server on line, cosi avrete il tempo di testare il tutto.
Numerose patch riguardanti la sicurezza sono fissate tra il rilascio di un service pack e l' altro e dovrebbero essere applicate non appena disponibili.

2) Rimuovete tutte le condivisioni di rete
Rimuovete tutte le condivisioni dalla linea di comando e siate sicuri di cancellarle con il comando Net Share /d.
Dovreste anche impedire tutte le condivisioni di amministrazione C$, D$, ADMIN$ settando nel registro
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer=0

3) Rimuovete l' utente guest
L' utente guest e' ben conosciuto e facilmente attaccabile; disabilitatelo e rimuoverete un grosso problema.

4) Rinominate l' utente administrator
E' un altro utente ben conosciuto, rinominandolo si toglie uno dei bersagli classici di attacco.
Potete anche creare un falso utente administrator su cui poi controllare i tentativi di attacco.

5) Utilizzate una password sicura per l' utente di amministrazione
La password dovrebbe essere di almeno nove (9) caratteri ed includere alcuni caratteri di punteggiatura o numerici nei primi sette.

6) Togliete il bind tra NetBios e TCP/IP
Questo aiuta a prevenire accessi non autorizzati alle informazioni della macchina che possono essere ottenuti con strumenti tipo NBTSTAT.

7) Configurate il filtro TCP/IP
Molti web server dovrebbero avere accesso solo da una o due porte, 80 e/o 443.
Dovreste bloccare tutte le altre porte per evitare ingressi indesiderati.

8) Disabilitate il sito web di default
IIS viene installato con un certo numero di applicazioni di esempio che possono essere utilizzate per accedere al sistema; in piu' molti accessori di amministrazione sono installati sul sito web di default.
Conviene quindi disabilitare il sito web di default e partire da zero con un nuovo sito.

9) Rimuovete gli script non utilizzati
IIS supporta un certo numero di forme di script per le varie applicazioni, molti di questi tipi non sono normalmente utilizzati.
Disabilitate .htr (reset password da web), .idc (internet database connector) e .shtm, .stm, .shtml

10) Disabilitate il supporto RDS
Se configurato non correttamente, il Remote Data Services (RDS) puo' rendere un server vulnerabile ad attacchi di tipo denial of service e arbitrary code-execution attacks.
Dovreste rimuovere questa caratteristica.


Speriamo che questi consigli vi possano essere utili, vi invitiamo a conoscerci meglio per migliorare la qualita' degli strumenti del vostro lavoro usando la nostra esperienza.  mailto:info@swwork.it

Back to hall page