Безопасность серверной системы Win2K3
 

Доброго времени суток.
Вот думаю чтоже поставить из антивирусного ПО и из Файрволлов...
Хотел бы спросить у уже опытных админов что мне посоветуют...
Заранее спасибо... Если можно сылочки на программы...

у меня стоит nod32, отлично справляется со своими задачами
а из фаерволов посоветовал Kerio WinRoute Firewall, только не Outpost, т.к. сама фирма не советует его ставить на серверные станции
кстати подобная тема недавно обсуждалась в форуме про серверные системы

Из опыта работы посоветовал бы поставить Symantec Corporate Edition 9. Удобно развертывать на удаленных машинах, несложно настраивать, куча функций. А файрвол WinRoute лучше (пробовал и Outpost, и Isa, и WinGate, и UserGate). Но это ИМХО

У меня неплохо работала связка W2003SP1(NAT)+Outpost 2.6 + NOD32 пробовал сканить энто все NMAPом сканер сказал что " на хосте обнаружено менее одного открытого или закрытого порта" и машина с которой я сканил попала в бан на 2 часа (правило фаервола)

Все вы сошлись на антивирусе Nod32 спасибо вам большое, ато сервак поднял, а про защиту позабыл, решил поставить Нортон 2005, крикнул что на сервера непойдёт... У меня как прокси стоит Юзергейт2.8 он небудет конфликтовать с Винроутом??? Кстати версия винроута... какую посоветуете, у меня сейчас есть 4.5 чтоли...
Заранее спаисбо..!

У меня сейчас работает Винроут 6.0.8 аптайм 4.5 месяца.... жертв и разрушений нет :)

У нас Kerio WinRoute 6.0.11 работает уже 1.5 года. Тьфу-тьфу-тьфу, все хорошо

А как у Вас NOD работает на win 2003 server SP1 с установленным Domain Controller? У меня до установки DC НОД работал нармально, но после изменения роли севера на DC всё...... сервак грузится 15 минут, политики не обрабатываются весь журнал в ошибках!!! Встречался ли кто с такой проблемкой ? На другой антивир пока переходить нехочется, т.к. на клиентах с Win XP стоит также НОД

У меня на серваке NOD стоит. Как тока поставлю винду, вторым действием у меня всегда идет установка антивируса с проверенного носителя. Потом тока поднимаю AD и т.п. В журнале чисто. Первый раз когда AD ставил, в журнале красным красно было :) но потом после прочтения факов по ошибкам вроде все исправил. Кстате у меня в журнале было красно тоже потому что не удалось выполнить политики, смотри номер ошибки и ищи в интернете описание.

Тоже столкнулся с проблемой безопасности сервера и машин в локальной сети.
Сеть у меня такая интернет-сервер (он же DC, DHCP, DNS, Файловый сервер)-комутатор на 50 машин.
У меня есть много вопросов, попытаюсь вспомнить их все и изложить тут:
1) Какой антивирус поставить на сервер ( на данный момент стоит Касперский 6 для файлового сервера )?
2) Как максимально эффективно обезопасить сервер от взлома без обесточивания?
3) Как обезопасить локальные машины от взлома? Чтобы могли например входить только пользователи домена. и нельзя было создать локального пользователя (я так пишу потому что не знаю как именно нужно делать )
4) Как защитить "Общую папку" находящуюся на сервере от взлома?
5) Какой файрвол поставить? Нужен ли он?
6) Какие порты обычно оставляют открытыми, чем их закрывать, как их закрывать, закрывать надо их только на сервере или на локальных машинах тоже?
7) Какой Прокси поставить на сервер? Нужен ли вообще файрвол, если стоит прокси? Ставить ли вообще прокси на сервер 2003 или поставить между сервером 2003 и интернетом еще одну машину, а на нее установить прокси?
8) Как внедрить выбранный прокси в AD эффективно быстро и незаметно для пользователей так, чтобы на локальных машинах ничего не прописывать в настройках. И можно было ограничивать доступ к выбранным сайта. Чтобы можно было импортировать список плохих сайтов в прокси. Чтобы можно было для каждого пользователя настроить доступные или запрещенные сайты ( например пользователь 1 может войти в одноклассники, а пользователь 2 не может). Как снижать скорость интернета, если пользователь начинает смотреть онлайн видео в интернете с youtube или других ресурсов. Какую максимальную скорость интернета ставить для пользователей если всего пользователей 40, а канал интернета всего 8 мегабит
9) Как сделать так чтобы компьютер "1" заходил в интернет минуя прокси.
10) Как лучше обезопасить бухгалтерию от взлома и тд и тп. Бухгалтерии нужен доступ к некоторым сайтам, и есть Клиент Банки ( чтобы был у этих программ доступ к интернету).

Фух. пока что вроде всё

ап..забыли про меня((

Есть такая программа как типа SicretNet которая как раз и служит для полной защиты. По тем тестам что я видел, еще и он прошел сертификацию ФСТЭК то думаю одна из самых мощных прог для разграничения прав пользователя. Очень много функций, загрузка раньше биоса и многое другое.

Антивирус, пока только Нод и спасает и систему не нагружает и ставится без проблем

Manless, вы за полгода не смогли найти ответы на хотя бы часть своих вопросов? впечатляет...
зачем еще что-то ставить? Стоит и пуская стоит. Свою работу он выполняет?
решение кроется вот здесь
убрать функции "DC, DHCP, DNS, Файловый сервер" с машины, которая раздает интернеты.
начните хотя бы с этого.
Удалить из группы администраторов все учетные записи, кроме учетки локального администратора. С опытными пользователями та же история.
Разграничить доступ на уровне ФС.Задаться вопросом кто и зачем будет ее "ломать", из этого будет видно как защищать.
Встроенного по сути достаточно. Нужен.Почитайте информацию о том, что такое прокси и что такое фаервол. Думаю вопрос о необходимости фаервола на прокси сервере отпадет сам собой. Между сервером и интернетом обязательно поставить машину и вынести на нее функции прокси, маршрутизатора и брандмауэра.
Как внедрить? Составить ТЗ, сэмулировать ситуацию на тестовом стенде, еще раз все проверить и протестировать. Внедрить. Чтобы не прописывать, используй групповую политику. Как резать, ограничивать доступ и бла-бла-бла будет видно из набора ПО, которым будешь это делать.
Маршрутизацией.
Чем этот вопрос кардинально отличается от вопроса номер три?
уверен?