English | 简体中文 | 繁體中文 | Русский язык | Français | Español | Português | Deutsch | 日本語 | 한국어 | Italiano | بالعربية
A Meituan Cloud (MOS) oferece Windows Server 2008 R2e Windows Server 2012 R2Servidores de nuvem de data center. Devido ao alto percentual de mercado do Windows Server, há muitos vírus, malware e outros softwares maliciosos específicos para Windows servidores, que são fáceis de obter e têm uma barreira técnica baixa, portanto, a segurança do Windows Server precisa ser monitorada especialmente. Para usar o servidor de nuvem Windows de maneira segura, é recomendável aplicar várias medidas de fortalecimento de segurança simples. Embora simples, são suficientes para defender a maioria dos riscos de segurança comuns.
I. Definir senha forte
Os servidores Windows da Meituan Cloud geram automaticamente contas de administrador (Administrator) após a criação.12caracteres de senha aleatória, sugerimos que você altere a senha imediatamente após o primeiro login no servidor Windows. A senha deve ser o mais aleatória possível, incluir números, letras maiúsculas e minúsculas e símbolos especiais, com um comprimento de pelo menos12caracteres. Você pode usar algumas ferramentas, por exemplo: https://identitysafe.norton.com/password-generator, crie uma senha aleatória forte. E no futuro, pelo menos a cada3mês para alterar a senha.
A maneira de alterar a senha é: após o administrador se logar no host com sucesso, pressione "Ctrl-Alt-Pressione o botão "Delete", selecione "Alterar senha" (dica: você pode acessar o terminal da Meituan Cloud via Web, clique no canto superior direito "Ctrl-Al-Pressione o botão "Delete" e insira a combinação de teclas)
II. Ativar atualização do sistema automática
Os servidores Windows da Meituan Cloud possuem autorização original e autêntica, podem ativar o serviço de atualizações do Windows, atualizar automaticamente as vulnerabilidades do sistema para evitar que sejam exploradas por atacantes maliciosos para invadir o servidor. Por favor, verifique se a atualização automática está ativada conforme o seguinte fluxo. Se não estiver ativada, recomenda-se ativar.
Windows Server 2008
Clique no ícone "Gerenciador de Servidores" na barra de tarefas. No painel direito, clique em "Configurar atualizações". No diálogo que se abre, selecione "Instalar atualizações automaticamente".
Windows Server 2012
Clique no ícone "Gerenciador de Servidores" na barra de tarefas para abrir o painel de controle do Gerenciador de Servidores, clique em "Configurar este servidor local". Clique no link após "Atualizações do Windows". Na janela que se abre, se o atualização automática não estiver ativada, será exibida uma alerta conforme a figura, clique em "Ativar atualização automática".
Terceiro, ativar o firewall
A Meituan Cloud já fornece serviços de firewall. Se você estiver usando o servidor da Meituan Cloud, você pode usar o serviço de firewall fornecido pela Meituan Cloud no painel de controle da Meituan Cloud para configurar o firewall. O firewall fornecido pela plataforma da Meituan Cloud é uma função de firewall de porta de rede fornecida fora da máquina virtual na plataforma da nuvem, que é simples e fácil de configurar. Se suas funções atenderem às suas necessidades, é recomendável desativar o firewall integrado do sistema Windows. Caso contrário, você pode referir-se ao seguinte conteúdo para configurar o firewall integrado do Windows.
(Dica: para evitar conflitos entre o firewall do Windows nativo e o firewall do plataforma de nuvem, após ativar o firewall do Windows nativo, configure o firewall da plataforma de nuvem para "Aberto".)
Se o servidor Windows comprado tiver largura de banda pública, haverá uma placa de rede com endereço IP público conectada à Internet. Os usuários podem acessar o serviço implantado no host através deste endereço IP. No entanto, os atacantes maliciosos também podem explorar vulnerabilidades do sistema através deste endereço IP público para invadir seu servidor. Neste momento, além de ativar as atualizações automáticas para corrigir vulnerabilidades do sistema em tempo hábil, é recomendável ativar o firewall do Windows server para reduzir a exposição direta dos ports expostos na Internet, reduzindo o risco de exposição de ports perigosos na Internet. E, para o desktop remoto (TCP 3389) e outros ports de serviços usados para fins de gerenciamento, é melhor configurar uma lista branca de IPs permitidos para acessar, para minimizar o risco de serem escaneados maliciosamente.
(Dica: é recomendável configurar o firewall através do terminal da Web da console da Meituan Cloud para evitar operações incorretas durante o processo de configuração, que podem resultar no fechamento da conexão de desktop remoto.)
Os passos para ativar o Firewall do Windows são os seguintes:
Windows server 2008
Clique no ícone "Gerenciador de Servidores" na barra de tarefas, clique em "Ir para o Firewall do Windows" na parte direita do painel, clique com o botão direito do mouse na "Firewall de segurança avançada do Windows" na lista em árvore à esquerda. No diálogo que se abre, selecione a guia "Configuração pública", certifique-se de que o "Estado do firewall" seja "Ativado", clique em "OK" para fechar o diálogo.
Depois de ativar o firewall, para não afetar o acesso ao desktop remoto, é necessário garantir que o acesso ao desktop remoto seja permitido, a maneira de fazer isso é:
Na lista em árvore à esquerda, expanda "Firewall de segurança avançada do Windows", clique em "Regras de entrada", e verifique a lista de regras no meio para "Desktop remoto (TCP-In)" se não estiver ativado. Se não estiver ativado, selecione a regra e clique no "Ativar regra" na direita.
Windows server 2012
Clique no ícone "Gerenciador de Servidores" na barra de tarefas para abrir o painel de controle do Gerenciador de Servidores, clique em "Configurar este servidor local", clique no link após "Firewall do Windows". Na janela que se abre, clique na barra lateral esquerda em "Ativar ou desativar o Firewall do Windows". No diálogo que se abre, certifique-se de que a configuração de rede pública "Ativar o Firewall do Windows" está selecionada e não marque os dois caixas de seleção abaixo. Clique em "OK" para fechar o diálogo.
Da mesma forma, após ativar o firewall, também é necessário garantir que a acesso remoto do桌面 seja permitido, a maneira de fazer isso é:
Na interface do "Firewall do Windows", clique em "Configurações avançadas", abra a janela "Firewall avançado do Windows segurança" Na barra lateral esquerda, selecione "Regras de entrada", na lista de regras no meio, encontre "Remote Desktop-Modo de usuário (TCP-In) ", e "Arquivo de configuração" para "Comum". Se não for ativado, selecione essa regra e clique no botão direito "Ativar regra" para ativar
Se você instalar o serviço IIS, o sistema instalará e ativará automaticamente a permissão de acesso80 (HTTP) e443Serviço (HTTPS) não requer configuração especial. No entanto, se você instalar um servidor web de terceiros, como LAMP, você precisará instalar manualmente a permissão de acesso80 e443As regras de entrada. Windows 2008/2012O método de configuração é o mesmo, conforme abaixo:
Na interface "Regras de entrada do firewall", clique no botão direito "Novo regra..." Na janela pop-up, selecione "Porta", clique em "Próximo" "Esta regra se aplica a TCP ou UDP"63;" Escolha "TCP";"Esta regra se aplica a todos os ports locais ou a um port específico": Escolha "Porta local específica", insira no campo de entrada"80, 443"Clique em "Próximo" Selecionar "Permitir conexão", clique em "Próximo" Selecionar todos os caixas de seleção, clique em "Próximo" Inserir o nome "Web service", clique em "Concluir"
Quatro, ativar a configuração avançada do IE
Após a ativação da configuração de segurança avançada do IE, o navegador IE do servidor pode acessar apenas os sites da lista branca. Isso pode evitar eficazmente que o administrador acesse sites maliciosos acidentalmente no servidor, infectando o servidor com vírus ou spyware. A configuração padrão é ativada. Se não for ativada, é recomendável ativá-la. O método de ativação é:
Windows server 2008
Clique no ícone "Gerenciador de Servidores" na barra de tarefas e, no painel direito da janela pop-up, clique em "Configurar IE ESC". Abra a janela pop-up/Desative essa função
Windows server 2012
Clique no ícone "Gerenciador de Servidores" na barra de tarefas para abrir o painel de controle do Gerenciador de Servidores, clique em "Configurar este servidor local". Clique no link "Configuração avançada do IE" após clicar em "Configuração avançada do IE ESC", e ative na janela pop-up/Desative essa função
Cinco, instale e ative o software antivírus
Ainda mais, você pode instalar e ativar um software antivírus em tempo real para aumentar ainda mais a segurança do servidor. Assim que o malware ultrapassar os quatro primeiros passos construídos como defesas, entrando no host virtual, o software antivírus em tempo real pode evitar que o malware execute no host virtual, garantindo a segurança do host virtual.
O Windows Security Essentials é um essencial de segurança do Windows da Microsoft 7/Software antivírus gratuito desenvolvido para Vista, pode ser usado para proteger Windows Server 2008 R2Versão Data Center
A instalação do Windows Security Essentials é simples, basta baixar e executar o arquivo de instalação mencionado acima, completar o assistente passo a passo para concluir com sucesso.
Windows Server 2012Não há muitos softwares antivírus gratuitos disponíveis para a versão Data Center. Atualmente, você pode solicitar uma versão de teste do System Center 2012 R2 Configuration Manager, e instale o cliente antivírus System Center Endpoint Protection incluído.
O método de instalação é:
Descomprima o pacote de software após o download (atualmente é SC2012_R2_SCCM_SCEP.exe), acesse SMSSETUP/Pasta CLIENT
Duplique para executar scepinstall, siga as instruções para instalar o System Center Endpoint Protection passo a passo.
O editor do tutorial 'Gritos' recomenda a instalação de servidor independente: mcafee 8.8
Seis, arquitetura de serviço razoável
Por fim, uma arquitetura de serviço razoável pode reduzir os pontos de risco expostos no site do servidor Windows, aumentando o limiar de segurança. Os princípios a serem seguidos são:
Princípio de função única: um servidor de nuvem deve fazer apenas uma coisa, fornecer apenas um serviço. Por exemplo, o serviço de banco de dados em um servidor, o servidor Web em outro. Dessa forma, podemos avaliar com mais precisão se este servidor precisa de endereço público, quais portas precisam ser abertas, o que pode minimizar a exposição de endereços e portas públicos, reduzindo assim os pontos de risco. Por exemplo, o serviço de banco de dados geralmente não precisa de endereço público, então não é necessário comprar largura de banda de rede pública, economizando assim custos e aumentando a segurança. O servidor Web geralmente abre apenas80/443Porta, outras portas podem ser fechadas pelo firewall.
Princípio de minimização: evite abrir serviços e funcionalidades desnecessários, evite instalar softwares desnecessários, certifique-se de não abrir portas desnecessárias, evite comprar largura de banda de rede pública se não for necessário. Siga o princípio de minimalismo, isso não só economiza energia e protege o meio ambiente, mas também reduz os riscos de segurança.