10 passi per un'
installazione sicura del vostro web server
1)
Installate gli ultimi service pack e hot fix
Fatelo prima di
mettere il server on line, cosi avrete il tempo di testare il tutto.
Numerose patch riguardanti la sicurezza sono fissate tra il rilascio di
un service pack e l' altro e dovrebbero essere applicate non appena
disponibili.
2)
Rimuovete
tutte le condivisioni di rete
Rimuovete tutte le
condivisioni dalla linea di comando e siate sicuri di cancellarle con il
comando Net Share /d.
Dovreste anche impedire tutte le condivisioni di amministrazione C$, D$,
ADMIN$ settando nel registro
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer=0
3)
Rimuovete
l' utente guest
L' utente guest e'
ben conosciuto e facilmente attaccabile; disabilitatelo e rimuoverete un
grosso problema.
4)
Rinominate
l' utente administrator
E' un altro utente
ben conosciuto, rinominandolo si toglie uno dei bersagli classici di
attacco.
Potete anche creare un falso utente administrator su cui poi controllare
i tentativi di attacco.
5)
Utilizzate
una password sicura per l' utente di amministrazione
La password dovrebbe
essere di almeno nove (9) caratteri ed includere alcuni caratteri di
punteggiatura o numerici nei primi sette.
6)
Togliete
il bind tra NetBios e TCP/IP
Questo aiuta a
prevenire accessi non autorizzati alle informazioni della macchina che
possono essere ottenuti con strumenti tipo NBTSTAT.
7)
Configurate
il filtro TCP/IP
Molti web server
dovrebbero avere accesso solo da una o due porte, 80 e/o 443.
Dovreste bloccare tutte le altre porte per evitare ingressi
indesiderati.
8)
Disabilitate
il sito web di default
IIS viene installato
con un certo numero di applicazioni di esempio che possono essere
utilizzate per accedere al sistema; in piu' molti accessori di
amministrazione sono installati sul sito web di default.
Conviene quindi disabilitare il sito web di default e partire da zero
con un nuovo sito.
9)
Rimuovete
gli script non utilizzati
IIS supporta un certo
numero di forme di script per le varie applicazioni, molti di questi
tipi non sono normalmente utilizzati.
Disabilitate .htr (reset password da web), .idc (internet database
connector) e .shtm, .stm, .shtml
10)
Disabilitate
il supporto RDS
Se configurato non
correttamente, il Remote Data Services (RDS) puo' rendere un server
vulnerabile ad attacchi di tipo denial of service e arbitrary
code-execution attacks.
Dovreste rimuovere questa caratteristica.
Speriamo che questi consigli vi possano essere utili, vi
invitiamo a conoscerci meglio per migliorare la qualita' degli strumenti
del vostro lavoro usando la nostra esperienza. mailto:info@swwork.it