Endurecimiento de IIS y SQLServer

Navega tus respuestas
8

En pocas palabras: soy un ingeniero que se dedica al desarrollo, no a la administración. No tengo acceso directo al servidor de producción, por lo que solo puedo decirle al equipo de administración las mejores configuraciones de seguridad. Sin embargo, como todos ustedes saben, no es tan simple como una lista de verificación, porque necesita profundizar e incorporar muy bien la configuración con la lógica de su aplicación. Sin embargo, por el momento solo soy capaz de darles listas de verificación de configuración, no puedo darles pautas, necesito darles cosas específicas, por lo que necesitaría usar un poco de ... listas de verificación.

¿Dónde puedo encontrar una lista exhaustiva de configuración para IIS y SQLserver y las máquinas en las que necesitan residir (máquinas separadas, por supuesto) y qué tipo de servicios ejecutar, puertos para abrir, etc.?

    
pregunta Orca 26.02.2011 - 19:45
fuente

3 respuestas

8

El Centro de puntos de referencia de seguridad de Internet es mi mejor recurso para obtener consejos de seguridad. . Por supuesto, deberán adaptarse a su entorno, pero creo que tienen un propósito bastante general y que se pueden modificar fácilmente. En la página de descarga vinculada encontrará documentos de IIS y SQL Server.

En cuanto a la otra mitad de su pregunta, parece que está solicitando consejos adicionales sobre el sistema operativo subyacente. Si es así, vea esta pregunta como punto de partida: Endurecimiento de Windows . Si eso no se ajusta a sus necesidades, sugeriría formular una pregunta separada específicamente sobre ese tema.

Si bien endurecer las capas subyacentes es bueno, también debe preocuparse por las aplicaciones web. Las métricas que he visto parecen indicar que los compromisos se están alejando del sistema operativo y los servidores y se centran en las aplicaciones web. Así que no olvides mirar eso también.

    
respondido por el Scott Pack 26.02.2011 - 20:44
fuente
4

Otro buen recurso se puede encontrar en el Repositorio del Programa de la Lista de Verificación Nacional del NIST . Aquí están disponibles una serie de líneas de base generadas con la MS Security Compliance Manager Tool que se puede usar para Medir de forma rápida y sencilla una configuración determinada en función de sus líneas de base. Las líneas de base existen para muchos técnicos de MS diferentes.

Si la automatización es valiosa para usted, creo que la herramienta automatizada para verificar los puntos de referencia de CIS puede estar disponible solo para los miembros que hayan pagado algunas tarifas bastante significativas.

    
respondido por el TobyS 01.03.2011 - 22:44
fuente
0

enlace es un documento bueno y muy amplio.

    
respondido por el user857990 28.11.2012 - 11:16
fuente

Lea otras preguntas en las etiquetas

Divulgar las vulnerabilidades de seguridad a los clientes que pagan primero ¿Hay organizaciones independientes que estén realizando investigaciones de seguridad de TI (disponibles al público)?