English | 简体中文 | 繁體中文 | Русский язык | Français | Español | Português | Deutsch | 日本語 | 한국어 | Italiano | بالعربية
Meituan Cloud (MOS) предоставляет серверы виртуальных машин данных中心的 Windows Server 2008 R2 и Windows Server 2012 R2. Из-за высокой доли рынка Windows серверы, вирусы, трояны и другие恶意 программ много, и их легко получить, технический барьер низкий, поэтому безопасность Windows сервера требует особого внимания. Для безопасного использования Windows сервера в облаке рекомендуется применить следующие несколько простых мер укрепления безопасности. Хотя они просты, они достаточно защищают от большинства常见ных рисков безопасности.
1. Настройка сильного пароля
Серверы Windows на Meituan Cloud автоматически создают для администратора (Administrator) 12-значный случайный пароль, рекомендуется изменить пароль сразу после первого входа в сервер Windows. Пароль должен быть случайным, включать цифры, заглавные и строчные буквы и символы, длина должна быть не менее 12 знаков. Можно использовать некоторые инструменты, такие как: https://identitysafe.norton.com/password-generator, чтобы создать сильный случайный пароль. И в будущем рекомендуется изменять пароль至少 каждые 3 месяца.
Метод изменения пароля: после успешной авторизации администратора на хосте нажмите "Ctrl-Alt-Delete", выберите "Изменить пароль" (подсказка: можно войти в веб-терминал Meituan Cloud, нажать кнопку в верхнем правом углу "Ctrl-Al-Delete", чтобы ввести комбинацию клавиш)
2. Включение автоматического обновления системы
Все серверы Windows на Meituan Cloud имеют оригинальную лицензию от производителя, могут открывать службу обновления Windows, автоматически обновлять исправления системных уязвимостей, чтобы избежать использования их злоумышленниками для проникновения в сервер. Пожалуйста, проверьте следующим образом, включено ли автоматическое обновление. Если оно не включено, рекомендуется включить его.
Windows Server 2008
Нажмите на иконку "Менеджер серверов" в панели задач, нажмите "Настройка обновлений" в правой панели, выберите "Автоматически устанавливать обновления" в出现的 диалоговом окне.
Windows Server 2012
Нажмите на иконку "Менеджер серверов" в панели задач, чтобы открыть панель управления сервером, нажмите "Настройка этого локального сервера", нажмите на ссылку после "Windows обновления". В出现的 окне, если автоматическое обновление не включено, будет отображаться предупреждение, как показано на рисунке, нажмите "Включить автоматическое обновление".
Третий раздел: Включить Фаерволл
Meituan Cloud уже предоставляет услуги Фаерволла. Если вы используете виртуальный сервер Meituan Cloud, вы можете использовать услугу Фаерволла, предоставляемую Meituan Cloud, для настройки Фаерволла на панели управления Meituan Cloud. Фаерволл, предоставляемый платформой Meituan Cloud, является функцией защиты сетевых портов на внешней стороне виртуальной машины в облачной платформе, и его настройка относительно проста и удобна. Если его функции удовлетворяют вашим потребностям, рекомендуется отключить встроенный Фаерволл системы Windows. В противном случае можно ознакомиться с следующим содержимым для настройки встроенного Фаерволла системы Windows.
(Подсказка: чтобы избежать конфликта между функцией Фаерволла Windows и функцией Фаерволла облачной платформы, после включения встроенного Фаерволла Windows, пожалуйста, установите Фаерволл облачной платформы на "Открытый".)
Если Windows сервер购买了 общедоступную полосу пропускания, то у него будет网卡 с общедоступным IP-адресом, подключенным к общедоступной сети. Пользователи могут получить доступ к услугам, развернутым на хосте, через этот IP-адрес. В то же время, злонамеренные атаки могут использовать системные уязвимости, чтобы проникнуть на ваш сервер через этот общедоступный IP-адрес. В этом случае, кроме как включить автоматическое обновление для своевременного исправления системных уязвимостей, рекомендуется также включить Фаерволл Windows server, уменьшить количество портов, напрямую暴露 в общедоступной сети, уменьшить риск暴露 опасных портов в общедоступной сети. Кроме того, для портов управления, таких как удаленный рабочий стол (TCP 3389), лучше всего установить список IP-адресов, разрешенных для доступа, чтобы минимизировать риск сканирования злонамеренными программами.
(Подсказка, рекомендуется использовать веб-терминал веб-консоли Meituan Cloud для настройки Фаерволла, чтобы предотвратить случайные ошибки в процессе настройки, которые могут привести к отключению подключения к удаленному рабочему столу.)
Шаги для включения Windows Фаерволла такие:
Windows server 2008
Нажмите значок "Менеджер серверов" на панели задач, нажмите "Перейти к Windows Фаерволлу" в правой панели. Нажмите правой кнопкой мыши "Дополнительная безопасность Windows Фаерволл" в левой панели с древовидным списком. В открывшемся диалоговом окне выберите вкладку "Общий профиль", убедитесь, что "Статус Фаерволла" установлен на "Включен", нажмите "ОК", чтобы закрыть диалоговое окно
После включения Фаерволла, чтобы не повлиять на доступ к удаленному рабочему столу, нужно убедиться, что доступ к удаленному рабочему столу разрешен, способ:
В левой панели с древовидным списком разверните "Дополнительная безопасность Windows Фаерволл", нажмите "Правила входящего трафика". В списке правил посмотрите, включен ли "Удаленный рабочий стол (TCP-In)". Если он не включен, выберите это правило и нажмите "Включить правило" справа
Windows server 2012
Нажмите значок "Менеджер серверов" на панели задач, чтобы открыть仪表ку Менеджера серверов, нажмите "Настройка этого локального сервера", нажмите ссылку после "Windows Фаерволл". В открывшемся окне нажмите на "Включить или отключить Windows Фаерволл" в левой панели. В открывшемся диалоговом окне убедитесь, что в разделе "Настройки общедоступной сети"选中 "Включить Windows Фаерволл", и не отмечайте нижние две флажки. Нажмите "ОК", чтобы закрыть диалоговое окно
Таким же образом, после включения брандмауэра также необходимо убедиться, что разрешен доступ к удаленному рабочему столу, метод:
В интерфейсе "Windows брандмауэр", нажмите "Дополнительные настройки", откройте окно "Дополнительные настройки Windows брандмауэра" В левой панели выберите "Входные правила", в списке правил в центре, найдите правило "Удаленный рабочий стол - пользовательский режим (TCP-In)" с "Конфигурацией файла" "Общий". Если он не включен, выберите это правило и нажмите "Включить правило"
Если установлено сервис IIS, система автоматически установит и активирует входные правила, позволяющие сервисам 80 (HTTP) и 443 (HTTPS), не требующие специальной конфигурации. Но если установлен сторонний веб-сервер, например LAMP,则需要 вручную установить входные правила, позволяющие доступ к 80 и 443. Метод конфигурации для Windows 2008/2012 одинаков, как показано ниже:
В интерфейсе "Входные правила брандмауэра", нажмите "Создать правило..." в правой части, в弹出 диалоговом окне выберите "Порт", нажмите "Далее" "Это правило применяется к TCP или UDP?", выберите "TCP"; "Это правило применяется ко всем локальным портам или к определенному порту": выберите "Определенный локальный порт", введите "80, 443" в поле ввода, нажмите "Далее" выберите "Разрешить соединение", нажмите "Далее" выберите все флажки, нажмите "Далее" введите "Web сервис", нажмите "Готово"
Четыре. Включение улучшенной безопасности IE
После активации улучшенной безопасности IE, браузер IE на сервере может访问 только веб-сайты из белого списка. Это может эффективно предотвратить случайный доступ администратора к вредоносным сайтам, что может привести к инфицированию сервера вирусом или троянцем. Эта конфигурация по умолчанию включена. Если она не включена, рекомендуется включить. Метод включения:
Windows server 2008
Нажмите на иконку "Менеджер сервера" на панели задач, в правой панели弹出窗口, нажмите "Настройка IE ESC", чтобы открыть/закрыть эту функцию
Windows server 2012
Нажмите на иконку "Менеджер сервера" на панели задач, чтобы открыть панель управления сервером, нажмите "Настройка этого локального сервера", нажмите на ссылку "IE улучшенная безопасность конфигурации" после "IE улучшенная безопасность конфигурации", чтобы открыть/закрыть эту функцию
Пять. Установка и активация антивирусного программного обеспечения
Дальнейшим шагом может быть установка и активация реального времени антивирусного программного обеспечения для进一步提高 безопасности сервера. Если вредоносное программное обеспечение突破 первые четыре шага, созданные бранью, и проникает в облачный сервер, реальное время антивирусное программное обеспечение может предотвратить запуск вредоносного программного обеспечения на облачном сервере,保障 облачного сервера.
Windows Security Essentials - бесплатное антивирусное программное обеспечение, разработанное Microsoft для Windows 7/Vista, которое можно использовать для защиты сервера Windows Server 2008 R2.
Установка Windows Security Essentials проста: достаточно загрузить и запустить установочный файл по ссылке, следуя инструкциям мастера, чтобы顺利完成.
В Windows Server 2012 Datacenter доступно немного бесплатных антивирусных программ. В настоящее время можно запросить пробную версию System Center 2012 R2 Configuration Manager и установить встроенный антивирусный клиент System Center Endpoint Protection.
Метод установки:
После загрузки программного пакета извлеките его (в настоящее время SC2012_R2_SCCM_SCEP.exe), перейдите в каталог SMSSETUP/CLIENT
Дважды щелкните по scepinstall, следуя подсказкам, установите System Center Endpoint Protection.
Редактор呐喊 рекомендует устанавливать независимый сервер: mcafee 8.8
Шестой пункт: рациональная архитектура служб
В конце концов, рациональная архитектура служб может уменьшить риски曝光 Windows серверного сайта, повысить порог безопасности. Необходимо следовать следующим принципам:
Принцип единственной роли: один сервер云-хостинга выполняет одну задачу, предоставляет одну услугу. Например, сервис базы данных на одном сервере, веб-сервер部署 на другом. Таким образом, можно точнее оценить, нуждается ли этот сервер в публичном адресе, какие порты необходимо открыть, чтобы минимизировать暴露 публичных адресов и портов, тем самым уменьшить риски. Например, сервис базы данных обычно не требует публичного адреса, поэтому не нужно покупать публичную полосу пропускания, что позволяет сэкономить на kölчах и повысить безопасность. Веб-серверы обычно открывают только порты 80/443, другие порты можно закрыть через брандмауэр.
Принцип минимализма: не включайте услуги и функции, которые не нужны, не устанавливайте программное обеспечение, если можно обойтись без него, не открывайте порты, если можно их не открывать, не покупайте публичный хостинг, если можно обойтись без него. Следуя принципу минимализма, можно сэкономить на энергопотреблении и环保е, а также снизить риски безопасности.