web-dev-qa-db-ja.com

IIS and SQLServer Hardening

要するに、私は管理者ではなく、開発を行うエンジニアです。私は運用サーバーに直接アクセスできないため、管理チームにセキュリティの最適な構成のみを伝えることができます。ただし、ご存じのとおり、アプリケーションをより深く掘り下げて構成をアプリケーションロジックにうまく組み込む必要があるため、チェックリストほど単純ではありません。ただし、現時点では構成のチェックリストしか提供できないため、ガイドラインを提供することはできません。具体的なことを説明する必要があるため、いくつかのチェックリストを使用する必要があります。

IISとSQLserverおよびそれらが常駐する必要のあるマシン(もちろん、個別のマシン)、および実行するサービスの種類、開くポートなどの構成の完全なリストはどこにありますか? 。など

8
Orca

Center for Internet Security Benchmarks 強化アドバイスの情報源になりがちです。もちろん、それらは環境に合わせて調整する必要がありますが、かなり汎用的で簡単に変更できることがわかりました。リンクされたダウンロードページには、IISとSQL Serverドキュメントの両方があります。

質問の残りの半分については、基盤となるオペレーティングシステムに関する追加の強化アドバイスを求めているようです。もしそうなら、この質問を出発点として見てください- Windows Hardening 。それがニーズに合わない場合は、そのトピックについて具体的に別の質問を作成することをお勧めします。

基礎となるレイヤーを強化することは良いことですが、Webアプリケーションについても考慮する必要があります。私が見たメトリクスは、妥協がOSやサーバーから離れ、ウェブアプリ自体に焦点を合わせていることを示しているようです。ですので、それもよく見てください。

8
Scott Pack

別の優れたリソースは NIST National Checklist Program Repository にあります。 MS Security Compliance Manager Tool で生成された一連のベースラインがここにあり、ベースラインに対して特定の構成を迅速かつ簡単に測定するために使用できます。多くの異なるMS技術者にはベースラインが存在します。

自動化があなたにとって価値がある場合、CISベンチマークと照合するための自動化ツールは、かなりの高額の料金を支払ったメンバーのみが利用できる可能性があると思います。

4
TobyS

https://benchmarks.cisecurity.org/tools2/iis/CIS_Microsoft_IIS7_Benchmark_v1.2.0.pdf は、優れた非常に広範なドキュメントです。

0
user857990