Windows服務(wù)器的基礎(chǔ)安全加固

2022-10-10    分類: 網(wǎng)站建設(shè)

美團(tuán)云(MOS)提供Windows Server 2008 R2和Windows Server 2012 R2數(shù)據(jù)中心版的云主機服務(wù)器。由于Windows服務(wù)器市場占有率較高的原因,針對Windows服務(wù)器的病毒木馬等惡意軟件較多,且容易獲得,技術(shù)門檻也較低,因此Windows服務(wù)器的安全問題需要格外留意。為了安全地使用Windows云主機,建議應(yīng)用如下幾個簡單的安全加固措施。雖然簡單,但是已足夠防御大部分較常見的安全風(fēng)險。

一、設(shè)置強密碼

美團(tuán)云Windows服務(wù)器創(chuàng)建后會給管理員(Administrator)帳號自動生成12位的隨機密碼,在首次登入Windows服務(wù)器后,建議立即更改密碼。密碼盡量隨機,要包含數(shù)字,大小寫字母和特殊符號,長度至少12位??梢圆捎靡恍┕ぞ撸纾篽ttps://identitysafe.norton.com/password-generator,生成較強的隨機密碼。并且以后至少每隔3個月修改一次密碼。

修改密碼的方法為:在管理員成功登入主機后,按"Ctrl-Alt-Delete",選擇"修改密碼" (提示:可以通過美團(tuán)云Web終端登入,點擊右上角的"Ctrl-Al-Delete"按鈕輸入該按鍵組合)

二、開啟自動系統(tǒng)更新

美團(tuán)云Windows服務(wù)器均已獲得原廠正版授權(quán),可以開啟Windows更新服務(wù),自動更新修補系統(tǒng)漏洞,以避免被惡意攻擊者利用侵入服務(wù)器。請用下面流程檢查是否啟用自動更新,如果沒有啟用,則建議啟用。

Windows Server 2008

點擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 在右側(cè)的面板中,點擊"配置更新" 在彈出的對話框中,選擇"自動安裝更新"

Windows Server 2012

點擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 打開服務(wù)器管理器儀表盤,點擊"配置此本地服務(wù)器" 點擊"Windows更新"后的鏈接 在彈出的窗口,如果未啟用自動更新,則顯示如圖所示警示,點擊"啟用自動更新"。

三、開啟防火墻

美團(tuán)云已經(jīng)提供了防火墻服務(wù),如果您正在使用美團(tuán)云主機,可以在美團(tuán)云控制面板使用美團(tuán)云提供的防火墻服務(wù)進(jìn)行防火墻設(shè)置。美團(tuán)云平臺提供的防火墻是在虛擬機外部的云平臺提供了網(wǎng)絡(luò)端口的防火墻功能,配置相對簡單宜用。如果其功能滿足需求,建議關(guān)閉Windows系統(tǒng)內(nèi)置的防火墻。否則可以參考以下內(nèi)容設(shè)置Windows內(nèi)置的防火墻。

(提示:為了避免Windows自帶防火墻和云平臺防火墻功能的沖突,在啟用Windows自帶防火墻后,請將云平臺的防火墻設(shè)置為"開放"。)

如果Windows服務(wù)器購買了公網(wǎng)帶寬,則會有一個帶公網(wǎng)IP地址的網(wǎng)卡與公網(wǎng)對接。用戶可以訪問這個IP地址訪問部署在主機上的服務(wù)。但是與此同時,惡意攻擊者也可能利用系統(tǒng)漏洞,通過這個公網(wǎng)IP侵入你的服務(wù)器。此時,除了要開啟自動更新及時修復(fù)系統(tǒng)漏洞外,還建議開啟Windows server的防火墻,減少直接暴露在公網(wǎng)的端口,降低危險端口暴露在公網(wǎng)的風(fēng)險。并且,對于遠(yuǎn)程桌面(TCP 3389)等用于管理目的的服務(wù)端口,最好設(shè)置允許訪問的IP白名單,以盡量減少被惡意掃描的風(fēng)險。

(提示,建議通過美團(tuán)云控制臺的Web終端來配置防火墻,以防止配置過程中出現(xiàn)誤操作,導(dǎo)致遠(yuǎn)程桌面連接關(guān)閉。)

開啟Windows防火墻的步驟如下:

Windows server 2008

點擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 在右側(cè)的面板中,點擊"轉(zhuǎn)到Windows防火墻" 在左側(cè)的樹狀列表中,鼠標(biāo)右鍵點擊"高級安全Windows防火墻" 在彈出的對話框中,選擇"公用配置文件"葉簽,確定"防火墻狀態(tài)"為"開啟",點擊"確定"關(guān)閉對話框 開啟防火墻后,為了不影響遠(yuǎn)程桌面的訪問,需要確保允許遠(yuǎn)程桌面的訪問,方法為: 在左側(cè)的樹狀列表中,展開"高級安全Windows防火墻",點擊"入站規(guī)則",在中間的規(guī)則列表中,查看"遠(yuǎn)程桌面(TCP-In)"是否開啟。如果沒有開啟,選中該規(guī)則,點擊右側(cè)的"啟用規(guī)則"開啟

Windows server 2012

點擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 打開服務(wù)器管理器儀表盤,點擊"配置此本地服務(wù)器" 點擊"Windows防火墻"后的鏈接 在彈出的窗口,點擊左邊攔的"啟用或關(guān)閉Windows防火墻" 在彈出的對話框,確保"公用網(wǎng)絡(luò)設(shè)置"下選中"啟用Windows防火墻",并且不要勾選下面的兩個復(fù)選框。點擊"確定"關(guān)閉對話框

同樣,啟用防火墻后也需要確保允許遠(yuǎn)程桌面的訪問,方法為:

在"Windows防火墻"界面,點擊"高級設(shè)置",打開的"高級安全Windows防火墻"窗口 在左邊欄選擇"入站規(guī)則",在中間規(guī)則列表中,找到"遠(yuǎn)程桌面-用戶模式(TCP-In)",且"配置文件"為"公用"的規(guī)則。如果沒有開啟,選中該規(guī)則,點擊右側(cè)的"啟用規(guī)則"開啟

如果安裝了IIS服務(wù),則系統(tǒng)會自動安裝并啟用允許80(HTTP)和443(HTTPS)服務(wù)的入站規(guī)則,不需要特殊配置。但是如果安裝了第三方的Web服務(wù)器,例如LAMP,則需要手動安裝允許訪問80和443的入站規(guī)則。Windows 2008/2012的配置方法相同,如下:

在防火墻"入站規(guī)則"界面,點擊右側(cè)"新建規(guī)則..." 在彈出對話框,選擇"端口",點擊"下一步" "此規(guī)則應(yīng)用于TCP還是UDP?",選擇"TCP";"此規(guī)則應(yīng)用于所有本地端口還是特定的端口": 選擇"特定本地端口",在輸入框中輸入"80, 443",點擊"下一步" 選擇"允許連接",點擊"下一步" 選擇所有復(fù)選框,點擊"下一步" 名稱中輸入"Web服務(wù)", 點擊"完成"

四、開啟IE增強安全配置

IE的增強安全配置啟用后,服務(wù)器IE瀏覽器只能訪問白名單內(nèi)網(wǎng)站。這樣能夠有效避免管理員在服務(wù)器不小心訪問惡意站點導(dǎo)致服務(wù)器感染病毒或木馬。該配置默認(rèn)開啟。如果沒有開啟,建議開啟。開啟方法為:

Windows server 2008

點擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 在彈出窗口的右側(cè)面板,點擊"配置IE ESC",在彈出的對話框開啟/關(guān)閉該功能

Windows server 2012

點擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 打開服務(wù)器管理器儀表盤,點擊"配置此本地服務(wù)器" 點擊"IE增強的安全配置"后的鏈接,在彈出的對話框開啟/關(guān)閉該功能

五、安裝并啟用防毒軟件

更進(jìn)一步地,還可以安裝并啟用實時殺毒軟件來進(jìn)一步提高服務(wù)器的安全性。一旦惡意軟件突破前面四步構(gòu)筑的防線,進(jìn)入了云主機,實時殺毒軟件可以防止惡意軟件在云主機運行,保障云主機的安全性。

Windows Security Essentials是微軟為Windows 7/Vista開發(fā)的免費殺毒軟件,可以用于保護(hù)Windows Server 2008 R2數(shù)據(jù)中心版。其下載地址為:

http://windows.microsoft.com/zh-cn/windows/security-essentials-download

Windows Security Essentials安裝比較簡單,只需要在上述鏈接下載并運行安裝文件,逐步完成向?qū)Ь湍茼樌瓿伞?/p>

Windows Server 2012數(shù)據(jù)中心版可用的(免費)殺毒軟件不多。目前可以申請試用System Center 2012 R2 Configuration Manager,并安裝其附帶的殺毒客戶端System Center Endpoint Protection。其下載地址為:

https://technet.microsoft.com/zh-cn/evalcenter/dn205297.aspx

安裝方法為:

下載軟件包后解壓(目前為SC2012R2SCCM_SCEP.exe),進(jìn)入SMSSETUP/CLIENT目錄 雙擊執(zhí)行scepinstall,按照提示逐步安裝System Center Endpoint Protection。

六、合理的服務(wù)部署架構(gòu)

最后,合理的服務(wù)部署架構(gòu)能夠減少整個Windows服務(wù)器站點暴露在外的風(fēng)險點,提升安全閾值。需要遵循的原則是:

單一角色原則:一臺云主機服務(wù)器只做一件事情,只提供一種服務(wù)。例如數(shù)據(jù)庫服務(wù)在一臺服務(wù)器,Web服務(wù)器部署在另外一臺。這樣可以較準(zhǔn)確地評估這臺服務(wù)器是否需要公網(wǎng)地址,是否需要開啟哪些端口,這樣能夠盡量少地暴露公網(wǎng)地址和端口,從而減少風(fēng)險點。例如,數(shù)據(jù)庫服務(wù)一般不需要公網(wǎng)地址,這樣就不用購買公網(wǎng)帶寬,既節(jié)約了費用,同時也更安全。Web服務(wù)器則一般只開啟80/443端口,其他端口都可以通過防火墻關(guān)閉。 精簡原則:能不開啟的服務(wù)和功能則不開啟,能不安裝的軟件盡量不安裝,能不開啟的端口確保不開啟,能不用公網(wǎng)的主機就不要購買公網(wǎng)帶寬。堅持minimalism的原則,既節(jié)能環(huán)保,也降低安全風(fēng)險。
Windows服務(wù)器服務(wù)器安全設(shè)置服務(wù)器安全加固

網(wǎng)站名稱:Windows服務(wù)器的基礎(chǔ)安全加固
網(wǎng)頁URL:http://www.bm7419.com/news31/204131.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供外貿(mào)建站、定制網(wǎng)站、全網(wǎng)營銷推廣營銷型網(wǎng)站建設(shè)、小程序開發(fā)、外貿(mào)網(wǎng)站建設(shè)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

h5響應(yīng)式網(wǎng)站建設(shè)