Proteggere Windows Server 2003

[ZiBedeo]

Ciao a tutti,
avrei bisogno di un consiglio.

devo proteggere il mio server, è un web-server con
windows server 2003 standard edition con Service pack 1
IIs 6 e siti web in asp / asp.net

ci sono aggiornamenti da fare/non-fare ?

considerando che gli utenti possono uplodare vari file sul server..
che antivirus dovrei prendere ? firewall ?

grazie mille!!

ciaoo

[mardux]

come prima cosa metti SP2.

poi per rendere il tuo server davvero sicuro devi lavorare su più livelli:

1-lato applicazioni (i tuoi siti)
2-lato SO e servizi base (windows e IIS)
3-lato rete (FW, IDS, ecc)

1: controllare che il tuo sito non sia vulnerabile ad attacchi come SQL injection o Cross-site scripting. questo dipende da come è stato progettato e realizzato
2: hardening del web server e del sistema operativo. per entrambe puoi fare riferimento a guide ufficiali Microsoft o altro, ad esempio la NSA ne ha prodotte alcune di alto livello. si tratta di rivedere la configurazione del web server e di tutto il SO, applicando policy e abilitando solo in necessario. molte volte le conf di default dei vari prodotti non sono il massimo per la sicurezza. Per windows potresti usare ad esempio la Security Configuration Wizard "http://www.microsoft.com/windowsserver2003/technologies/security/configwiz/default.mspx"; se ti crei una policy da cima a fondo hai un server davvero robusto. certo devi sapere quel che fai, magari facendolo prima su una macchina di test. molte cose puoi già farle tramite
le Local Security Policy.
3: se hai un FW o un IDS puoi fare policy di filtraggio e detenzione attacchi a livello di rete, senza impattare sul server. devi offire verso internet solo i servizi necessari, ad esempio il web server (proto http o https) aprendo 1 o 2 porte, e via dicendo.

da fare ci sarebbe moltissimo, dipende dalle tue esigenze, competenze e budget

[ZiBedeo]

Mentre ti scrivo sto installando . SP2, grazie
( la persona che gestiva prima quest'attività ha cambiato lavoro e a me è rimasto il casatiello )

per quanto riguarda :
1-lato applicazioni (i tuoi siti)
i siti ( tutti in asp classico ) li ho già protetti da SQL injection o Cross-site scripting, ma se avessi dei link o qualcosa che mi può servire a riguardo (script, plugin,link,..), ti ringrazio!

2-lato SO e servizi base (windows e IIS)
qui non ho la competenza necessaria, ma sto guardando il link che mi hai passato..
e ho scaricato "Security Configuration Wizard (SCW) Multilingual User Interface (MUI) Pack"
come antivirus ( compromesso qualità prezzo ) ero orientato con AVG file server "http://www.avg.com/it.4214" che ne pensi ?

3-lato rete (FW, IDS, ecc)
ho appena installato Outpost Firewall PRO, "http://www.agnitum.com/products/outpost/" ( ancora non l'ho configurato ) che ne pensi ?

grazie mille!!

[mardux]

1-non sviluppo da molto, quindi nella sezione apposta potranno esserti più utili di me

2-come AV io ho esperienza in ambito enterprise con prodotti symantec (sav e sap), trend micro e shopos. tutti funzionano bene e allo stesso modo a grandi linee, l'importante è che lavorino in real time, che le firme si aggiornino in automatico e che non siano troppo invasivi. leggevo di questo nuovo AV free(http://www.cloudantivirus.com/), e l'idea mi sembra innovativa e ottima. anche Kaspersky è valido. insomma c'è l'imbarazzo della scelta. magari posta nella sezione sicurezza la tua esigenza e sapranno indicarti meglio. cmq su un server che fa solo quello non è il componente più importante, anche se utile.

3-per FW intendevo un FW HW, un apparato fisico che faccia solo quello, che stia tra il server e internet. se non hai la possibità di averne uno puoi fartelo con un vecchio pc, 2 schede di rete, un linux o simile con ipfilter. volendo puoi metterci anche un IDS gratuito ed efficace come snort. ovvio che per far questo devi farti un'pò di lab. se non hai questa possibilità allora l'unica rimane un FW software da mettere sul server stesso, che ti filtri le richieste. per questo non hai bisogno di un prodotto di terze parti, perchè su windows è già incorporato un componente che ti fa questo, e anche molto bene. lo trovi sotto Local Security policy -> ip security policy

[the_driver]

Anche io ho ereditato una situazione un pò "selvaggia", ho dovuto anche io rivedere le policy di sicurezza e firewall. Ti consiglio di mantenere attivo anche windows update.

Proprio oggi dovrei aggiornare exchange 2007 (su win2k3 x64 sp2) al sp1: questo upgrade non mi farà perdere nessuna configurazione già presente o mailbox?
grazie,scusate la domanda stupida,ma mi scoccerebbe parecchio. Ho comunque implementato un sistema di backup giornaliero con Acronis enterprise,ma per sicurezza chiedo .

[the_driver]

secondo voi questo cloud panda funziona bene?

Leggendo su internet ho visto che è ancora BETA. Confermate?

[ZiBedeo]

per gli aggiornamenti automatici non so, chiedo anche io.

Poprio ieri stovo aggiornando il server alla SP2 come suggerito da mardux, però lo stavo facendo da desktop remoto e all'improvviso la sessione di Desk.remoto è scaduta e non sono stato + ingrado di accedere al server! per questo pensavo che per gli aggiornamente, forse meglio farli manualmente e da vicino, ma magari c'è una soluzione/configurazione diversa.

Come antivirus,.. ma cloud panda gira anche su versioni server ?
io ho necessità di un antivirus che funzioni anche da riga di comando, perchè lo devo usare anche come antivurus per server di posta. ( XMail Server Pro )

[mardux]

gli aggiornamento automatici devono essere attivi, almeno per la categoria critical, direttamnte tramite internet oppure tramite un WSUS server e GPO (maggior flessibilità).

per il panda antivirus io non l'ho ancora provato, la mia era sono un'indicazione, visto questo aricolo mi sembrava interessante:
http://punto-informatico.it/2612712/...dal-cielo.aspx

per the_driver:

io ho ancora ex03, devo ancora fare l'upgrade a ex07. cmq sarebbe assurdo che per l'installazione di un SP si perdano delle mailbox. non ne ho mai sentito parlare dai miei colleghi esperti su exchange.

meglio cmq tutelarsi con immagini o backup