English | 简体中文 | 繁體中文 | Русский язык | Français | Español | Português | Deutsch | 日本語 | 한국어 | Italiano | بالعربية
Meituan Cloud (MOS) bietet Windows Server 2008 R2und Windows Server 2012 R2Datenzentrumsvariante der Cloud-Server. Aufgrund der hohen Marktanteile von Windows-Servern gibt es viele Viren, Trojaner und andere bösartige Software für Windows-Server, die leicht zu erhalten sind und einen niedrigen technischen Schwierigkeitsgrad haben. Daher müssen die Sicherheitsprobleme von Windows-Servern besonders beachtet werden. Um Windows-Cloud-Server sicher zu verwenden, werden folgende einfache Sicherheitsmaßnahmen empfohlen. Obwohl einfach, sind sie ausreichend, um die meisten gängigen Sicherheitsrisiken abzuwehren.
Erstens: Setzen Sie ein starkes Passwort
Nach der Erstellung eines Windows-Servers auf Meituan Cloud wird dem Administrator (Administrator)-Konto automatisch ein Passwort generiert12Stellen zufälliges Passwort, ändern Sie das Passwort sofort nach der ersten Anmeldung am Windows-Server. Passwörter sollten zufällig sein und enthalten sollten sie Zahlen, Groß- und Kleinschreibung sowie Sonderzeichen, die Länge sollte mindestens12Stellen. Sie können einige Tools verwenden, z.B.: https://identitysafe.norton.com/password-generator, um starke zufällige Passwörter zu generieren. Und mindestens每隔3Monat ändern Sie das Passwort.
Das Ändern des Passworts erfolgt wie folgt: Nachdem der Administrator erfolgreich auf den Host eingeloggt ist, drücken Sie "Ctrl-Alt-Delete", wählen Sie "Passwort ändern" (Hinweis: Sie können sich über den Meituan Cloud Web-Terminal anmelden und auf die Ecke oben rechts klicken, "Ctrl-Al-Geben Sie die Tastenkombination im "Delete"-Button ein)
Zwei: Aktivieren Sie das automatische Systemupdate
Alle Windows-Server von Meituan Cloud sind mit einer Originallizenz autorisiert und können das Windows-Update-Dienstprogramm aktivieren, um Systemlücken automatisch zu reparieren und vor böswilligen Angreifern zu schützen, die Server angreifen. Überprüfen Sie den folgenden Prozess, ob die automatische Aktualisierung aktiviert ist. Wenn nicht, wird empfohlen, sie zu aktivieren.
Windows Server 2008
Klicken Sie auf das Symbol "Server-Manager" in der Taskleiste. Klicken Sie im rechten Panel auf "Aktualisierungen konfigurieren". Wählen Sie im sich öffnenden Dialogfeld "Aktualisierungen automatisch installieren".
Windows Server 2012
Klicken Sie auf das Symbol "Server-Manager" in der Taskleiste, um den Dashboard des Server-Managers zu öffnen. Klicken Sie auf "Diesen lokalen Server konfigurieren" und auf den Link nach dem "Windows-Update". In dem sich öffnenden Fenster wird eine Warnung wie gezeigt angezeigt, wenn die automatische Aktualisierung nicht aktiviert ist. Klicken Sie auf "Automatische Aktualisierung aktivieren".
Drei, Firewall aktivieren
Meituan Cloud bietet bereits Firewall-Dienste an. Wenn Sie einen Meituan Cloud-Host verwenden, können Sie die Firewall-Einstellungen über das Meituan Cloud-Kontrollpanel mit den von Meituan Cloud bereitgestellten Firewall-Diensten vornehmen. Die Firewall der Meituan Cloud-Plattform bietet eine Firewall-Funktion für Netzwerkports außerhalb der Virtual Machine in der Cloud-Plattform, die relativ einfach und einfach zu konfigurieren ist. Wenn ihre Funktionen den Anforderungen entsprechen, ist es ratsam, die eingebaute Firewall des Windows-Systems auszuschalten. Andernfalls können Sie die folgenden Inhalte zur Einstellung der eingebauten Firewall von Windows beziehen.
(Hinweis: Um Konflikte zwischen der Windows-internen Firewall und der Firewall-Funktion der Cloud-Plattform zu vermeiden, stellen Sie die Firewall der Cloud-Plattform nach der Aktivierung der Windows-internen Firewall auf "Offen" ein.)
Wenn der Windows-Server eine öffentliche Bandbreite gekauft hat, wird eine Netzwerkkarte mit öffentlicher IP-Adresse bereitgestellt, die mit dem öffentlichen Netzwerk verbunden ist. Benutzer können auf diese IP-Adresse zugreifen, um auf die auf dem Host installierten Dienste zuzugreifen. Gleichzeitig könnten jedoch böswillige Angreifer Systemlücken ausnutzen, um über diese öffentliche IP-Adresse in Ihren Server einzudringen. In diesem Fall sollten Sie neben der Aktivierung der automatischen Updates, um Systemlücken rechtzeitig zu beheben, auch die Firewall von Windows Server aktivieren, um die direkt im öffentlichen Netzwerk ausgesetzten Ports zu reduzieren und das Risiko der Exposition gefährlicher Ports im öffentlichen Netzwerk zu verringern. Und, was die Remote-Desktop (TCP 3389) und andere Dienste, die zu Verwaltungszwecken verwendet werden, am besten eine IP-Whitelist für den Zugriff einrichten, um das Risiko eines Malware-Scans so gering wie möglich zu halten.
(Hinweis: Es wird empfohlen, die Firewall über die Web-Terminal-Konsole der Meituan Cloud-Konsole zu konfigurieren, um Fehlbedienungen während der Konfigurationsphase zu vermeiden, die zur Schließung der Remote-Desktop-Verbindung führen könnten.)
Die Schritte zum Aktivieren der Windows-Firewall sind wie folgt:
Windows server 2008
Klicken Sie auf das Symbol "Servermanager" in der Taskleiste. Klicken Sie im rechten Panel auf "Zur Windows-Firewall wechseln". Klicken Sie mit der rechten Maustaste im linken Baumverzeichnis auf "Erweiterte Sicherheit Windows-Firewall". Wählen Sie im sich öffnenden Dialogfenster die Registerkarte "Öffentliche Konfigurationsdatei" aus, stellen Sie sicher, dass der "Firewall-Status" auf "Eingeschaltet" ist und klicken Sie auf "OK", um das Dialogfenster zu schließen
Nachdem die Firewall aktiviert wurde, um den Zugriff auf den Remote-Desktop nicht zu beeinträchtigen, müssen Sie sicherstellen, dass der Zugriff auf den Remote-Desktop erlaubt ist, indem Sie:
Expandieren Sie im linken Baumverzeichnis "Erweiterte Sicherheit Windows-Firewall", klicken Sie auf "Eingangsregeln", und überprüfen Sie im mittleren Regelverzeichnis "Remote Desktop (TCP-Öffnen Sie)" aktiviert. Wenn nicht, wählen Sie diese Regel aus und klicken Sie auf "Regel aktivieren" auf der rechten Seite, um sie zu aktivieren
Windows server 2012
Klicken Sie auf das Symbol "Servermanager" in der Taskleiste, um den Servermanager-Dashbord zu öffnen. Klicken Sie auf "Konfigurieren Sie diesen lokalen Server". Klicken Sie auf den Link hinter "Windows-Firewall". Klicken Sie im sich öffnenden Fenster auf die linke Leiste "Windows-Firewall aktivieren oder deaktivieren". Stellen Sie sicher, dass unter "Öffentliche Netzwerk-Einstellungen" die Option "Windows-Firewall aktivieren" ausgewählt ist und die beiden folgenden Kontrollkästchen nicht markiert sind. Klicken Sie auf "OK", um das Dialogfenster zu schließen.
Gleichzeitig muss auch sichergestellt werden, dass der Zugriff auf den Remote-Desktop nach der Aktivierung der Firewall erlaubt ist,方法是:
Auf der Registerkarte "Windows-Firewall" klicken Sie auf "Erweiterte Einstellungen", öffnen Sie das Fenster "Erweiterte Sicherheit Windows Firewall" im geöffneten Fenster, wählen Sie im linken Bereich "Eingangsregeln" und finden Sie im mittleren Regelverzeichnis "Remote Desktop-Benutzermodus(TCP-In)" und "Konfigurationsdatei" ist "Öffentlich". Wenn sie nicht aktiviert ist, wählen Sie diese Regel aus und klicken Sie auf "Regel aktivieren" im rechten Bereich, um sie zu aktivieren
Wenn der IIS-Dienst installiert ist, installiert und aktiviert das System automatisch die Regel, die den Zugriff erlaubt80 (HTTP) und443Dienstes "Eingangsregeln" müssen keine spezielle Konfiguration durchführen. Wenn jedoch ein Drittanbieter-Webserver installiert ist, z.B. LAMP, muss der Zugriff manuell installiert werden.80 und443Die Eingangsregeln. 2008/2012Die Konfigurationsmethode ist wie folgt:
Auf der Registerkarte "Eingangsregeln" des Firewall, klicken Sie auf "Neue Regel..." im rechten Bereich, wählen Sie im Pop-up-Fenster "Port", klicken Sie auf "Nächste" "Diese Regel gilt für TCP oder UDP"63;", wählen Sie "TCP";"Diese Regel gilt für alle lokalen Ports oder bestimmte Ports": Wählen Sie "Bestimmte lokale Ports", geben Sie im Eingabefeld ein"80, 443", klicken Sie auf "Nächste", wählen Sie "Verbindung zulassen" aus, klicken Sie auf "Nächste", wählen Sie alle Kontrollkästchen aus, klicken Sie auf "Nächste", geben Sie im Namen "Webdienst" ein, und klicken Sie auf "Fertig"
Vier, aktivieren Sie die erweiterten Sicherheitseinstellungen von IE
Nachdem die erweiterte Sicherheitseinstellung von IE aktiviert wurde, kann der IE-Browser des Servers nur Websites auf der Whitelist aufrufen. Dies kann effektiv verhindern, dass ein Administrator versehentlich eine bösartige Website besucht und der Server durch Viren oder Trojaner infiziert wird. Diese Konfiguration ist standardmäßig aktiviert. Wenn sie nicht aktiviert ist, wird empfohlen, sie zu aktivieren. Die Methode ist:
Windows server 2008
Klicken Sie auf das Symbol "Servermanager" in der Taskleiste, klicken Sie im rechten Panel des Pop-up-Fensters auf "IE ESC konfigurieren", und öffnen Sie ihn im出现的对话框中/Diese Funktion deaktivieren
Windows server 2012
Klicken Sie auf das Symbol "Servermanager" in der Taskleiste, um den Servermanager-Dashbord zu öffnen, klicken Sie auf "Diesen lokalen Server konfigurieren", klicken Sie auf den Link nach "IE-Erweiterte Sicherheitseinstellungen", und öffnen Sie ihn im出现的对话框中/Diese Funktion deaktivieren
Fünfzehn, Installieren und aktivieren Sie Antivirensoftware
Darüber hinaus kann eine Echtzeitschadsoftware installiert und aktiviert werden, um die Sicherheit des Servers weiter zu verbessern. Sobald Malware die Verteidigungslinien der ersten vier Schritte durchbricht und in den Cloud-Host gelangt, kann die Echtzeitschadsoftware verhindern, dass Malware auf dem Cloud-Host ausgeführt wird und die Sicherheit des Cloud-Hosts gewährleisten.
Windows Security Essentials ist ein von Microsoft für Windows entwickeltes Sicherheitstool. 7/Vista 开发的免费杀毒软件,可以用于保护 Windows Server 2008 R2数据中心版。
Windows Security Essentials 安装比较简单,只需要在上述链接下载并运行安装文件,逐步完成向导就能顺利完成。
Windows Server 2012数据中心版可用的(免费)杀毒软件不多。目前可以申请试用 System Center 2012 R2 Configuration Manager,并安装其附带的杀毒客户端 System Center Endpoint Protection。
安装方法为:
下载软件包后解压(目前为 SC2012_R2_SCCM_SCEP.exe),进入 SMSSETUP/CLIENT 目录
双击执行 scepinstall,按照提示逐步安装 System Center Endpoint Protection。
呐喊教程小编建议独立服务器安装:mcafee 8.8
六、合理的服务部署架构
最后,合理的服务部署架构能够减少整个 Windows 服务器站点暴露在外的风险点,提升安全阈值。需要遵循的原则是:
单一角色原则:一台云主机服务器只做一件事情,只提供一种服务。例如数据库服务在一台服务器,Web 服务器部署在另外一台。这样可以较准确地评估这台服务器是否需要公网地址,是否需要开启哪些端口,这样能够尽量少地暴露公网地址和端口,从而减少风险点。例如,数据库服务一般不需要公网地址,这样就不用购买公网带宽,既节约了费用,同时也更安全。Web 服务器则一般只开启80/443端口,其他端口都可以通过防火墙关闭。
精简原则:能不开启的服务和功能则不开启,能不安装的软件尽量不安装,能不开启的端口确保不开启,能不用公网的主机就不要购买公网带宽。坚持 minimalism 的原则,既节能环保,也降低安全风险。