长话短说:我是一名从事开发工作的工程师,而不是管理人员。我没有直接访问生产服务器的权限,所以我只能告诉管理团队最好的安全配置。但是,众所周知,它不像清单那么简单,因为您需要更深入地挖掘并将配置与您的应用程序逻辑很好地结合起来。但是,目前我只能给他们配置清单,我不能给他们指导,我需要给他们具体的东西,所以我需要使用一些...清单。
我在哪里可以找到详细的 IIS 和 SQLserver 配置列表以及它们需要驻留的机器(当然是单独的机器)以及要运行的服务类型、要打开的端口……等等
IIS 和 SQLServer 强化
信息安全
硬化
配置
sql服务器
iis
2021-08-24 19:10:16
3个回答
互联网安全基准中心往往是我寻求强化建议的来源。当然,它们需要根据您的环境进行定制,但我发现它们具有相当通用的用途并且易于修改。在链接的下载页面上,您将找到 IIS 和 SQL Server 文档。
至于您问题的另一半,您似乎在要求对底层操作系统进行额外的强化建议。如果是这样,那么将此问题视为起点 - Windows Hardening。如果这不符合您的需求,那么我建议专门针对该主题制定一个单独的问题。
虽然强化底层是好的,但您还需要关注 Web 应用程序。我看到的指标似乎表明,妥协正在从操作系统和服务器转移到网络应用程序本身。所以不要忘记调查这一点。
另一个很好的资源可以在NIST National Checklist Program Repository中找到。此处提供了一组使用MS 安全合规管理工具生成的基线,可用于根据其基线快速轻松地测量给定配置。许多不同的 MS 技术都有基线。
如果自动化对您很有价值,我相信用于检查 CIS 基准的自动化工具可能仅适用于支付了相当大笔费用的会员。
其它你可能感兴趣的问题