Лучшая практика для настройки безопасного сайта

Question

Лучшая практика для настройки безопасного сайта

Когда прошлой осенью Джефф и команда StackOverflow давали интервью на Hanselminutes, Скотт критиковал некоторые решения, которые были приняты в отношении защиты серверов StackOverflow.

Мой вопрос: каков рекомендуемый подход к защите веб-сайта? Предполагая, что я разрабатываю приложение ASP.Net с базой данных SQL Server на отдельном физическом компьютере, какие шаги мне нужно предпринять, чтобы защитить свою среду от атак?

4

windows iis firewall asp.net

Источник

Tim Lentine 30 апр '09 в 18:29

1 ответ

Другие вопросы по тегам windows iis firewall asp.net

K. Brian Kelley 30 апр '09 в 22:34 2009-04-30 22:34 · Answer 1 · 2009-04-30 22:34

Некоторые вещи, которые приходят на ум:

Веб-сервер в DMZ за аппаратным брандмауэром
SQL Server в отдельной DMZ/ частной сети отделен от веб-сервера аппаратным брандмауэром
Удалите / отключите все ненужные сервисы на веб-сервере.
Веб-сервер не в домене.
Минимизируйте локальные учетные записи на веб-сервере.
использовать URLScan (даже если на IIS 6.0) из-за снятия отпечатков веб-сервера
Используйте политику IPSEC на веб-сервере, чтобы блокировать весь входящий / связанный с SQL Server трафик только на те порты, которые необходимы.
Используйте непривилегированный вход в SQL Server с минимальными правами (все, что ему нужно для доступа к базе данных для приложения) в качестве имени входа для подключения к SQL Server.
Отключить учетные записи пользователей по умолчанию. Создать новые аккаунты с нестандартными именами. Используйте их для запуска служб и т. Д.