Non utilizzare un browser web su un server?

6

Dopo aver estratto un'istanza di Windows Server 2012, ho appreso che google.com è più rischioso di quanto pensassi:

Falostessopermicrosoft.com.Esistonoistruzioniperdisabilitare"Enhanced Security Configuration", ma questo articolo di Michael Pietrostrong suggerisce che la motivazione per tutto ciò è che rimuovere IE da Windows Server e il suo suggerimento è:

Don’t use a web browser on a server.

Questo è un buon consiglio? E se lo è, come posso seguirlo e installare ancora le varie applicazioni di cui ho bisogno?

Per contesto:

  • Il server è una VM a cui non ho un accesso fisico facile.
  • Nella mia istanza, non è pubblico, ma sono interessato se la risposta cambia in quella situazione.
  • Non sono un amministratore del server. Sono uno sviluppatore che sta provando a creare un agente di sviluppo. Quindi forse mi manca il buon senso del server admin.
posta jtpereyda 18.12.2015 - 21:55
fonte

2 risposte

8

È molto utile consigliare di non utilizzare il browser Web per il traffico Internet sul server.

È nostra politica (io lavoro in sicurezza informatica per un'agenzia federale) non utilizzare mai un browser Web (per Internet o siti Web esterni) per qualsiasi tipo di traffico Internet, anche se è necessario scaricare un file che verrà utilizzato sul server. Come un altro utente ha menzionato nella loro risposta, è una buona idea scaricare qualsiasi file o dato necessario sul server da un altro computer; uno che è affidabile e si trova sulla stessa rete. Quindi, prendi il / i file e verifica gli hash se vuoi andare così lontano, e poi copialo sul server attraverso la rete (probabilmente preferito dal momento che non hai un accesso fisico facile a questa VM) o usando una USB guidare o qualcosa del genere.

Un'altra cosa che consiglierei se è possibile, è utilizzare il firewall Windows incorporato o un firewall di terze parti attendibile (basato su host, ovviamente) e applicare un modello o un criterio che non Non consentire il traffico web dal server. A titolo di esempio, utilizziamo un fornitore di antivirus che dispone di un firewall basato su host integrato come parte del software antivirus. Creiamo quindi un criterio firewall chiamato "Server" e lo applichiamo a tutti i server e su tale policy blocciamo tutto il traffico Internet in entrata e in uscita (solitamente porta 80) in modo che il server non possa accedere a Internet anche se accidentalmente clicchiamo browser web.

Per quanto riguarda la disinstallazione completa del browser, non penso che sia una buona idea. Ci sono molte volte in cui un browser web è utile per cose come l'accesso a un altro server che esegue una console Web o qualcosa del genere che è necessario utilizzare. Se disinstalli il tuo browser web non avresti modo di accedere a nessuna di queste altre console.

    
risposta data 18.12.2015 - 22:28
fonte
2

beh, in realtà il lato browser sfrutta attualmente un grosso problema. il modo migliore per farlo è scaricare l'installer di cui hai bisogno su un altro computer controlla la crittografia dell'exe che ti serve come controllare md5 e sha crittografico su windows e inviarlo al server tramite sftp o altro metodo crittografato a seconda dei servizi di streghe che hai sul tuo server o nella tua postazione di lavoro.

    
risposta data 18.12.2015 - 22:09
fonte

Leggi altre domande sui tag