поставлятьWindows Server 2008 R2иWindows Server 2012 Версия облачного хост-сервера R2 для центра обработки данных. Из-за высокой доли рынка серверов Windows существует множество вирусов, троянов и других вредоносных программ, нацеленных на серверы Windows, которые легко получить, а технический порог низок. Поэтому вопросы безопасности серверов Windows требуют особого внимания. Для безопасного использования облачных хостов Windows рекомендуется применять следующие простые меры по усилению безопасности. Несмотря на простоту, этого достаточно для защиты от большинства распространенных угроз безопасности.

1. Установите надежный пароль

После создания сервера Windows для учетной записи администратора будет автоматически сгенерирован случайный 12-значный пароль. После первого входа на сервер Windows рекомендуется немедленно сменить пароль. Пароль должен быть как можно более случайным, содержать цифры, прописные и строчные буквы, специальные символы и иметь длину не менее 12 символов. Вы можете использовать некоторые инструменты, такие как: https://identitysafe.norton.com/password-generator, для создания надежных случайных паролей. И в дальнейшем меняйте пароль хотя бы раз в 3 месяца.

Способ смены пароля: после успешного входа администратора на хост, нажмите «Ctrl-Alt-Delete» и выберите «Изменить пароль» (Совет: Вы можете войти через веб-терминал и нажать кнопку «Ctrl-Al». -Удалить» в правом верхнем углу, чтобы ввести эту комбинацию клавиш)

2. Включите автоматическое обновление системы.

Все серверы Windows получили подлинную авторизацию от оригинального производителя, а службу обновления Windows можно включить для автоматического обновления и исправления уязвимостей системы, чтобы избежать использования злоумышленниками для вторжения на сервер. Используйте следующий процесс, чтобы проверить, включены ли автоматические обновления. Если нет, рекомендуется включить его.

Windows Server 2008

Нажмите значок «Диспетчер серверов» на панели задач. На правой панели нажмите «Настроить обновления». Во всплывающем диалоговом окне выберите «Автоматически устанавливать обновления».

Windows Server 2012

Щелкните значок «Диспетчер сервера» на панели задач, чтобы открыть панель управления «Диспетчер серверов», нажмите «Настроить этот локальный сервер» и щелкните ссылку после «Центр обновления Windows» во всплывающем окне. Если автоматические обновления не включены, появится предупреждение. отобразится, как показано на рисунке, нажмите «Включить автоматическое обновление».

3. Включите брандмауэр

Уже предоставлен сервис брандмауэра,Если вы используете хостинг,Настройки брандмауэра можно произвести в панели управления с помощью предоставляемого сервиса брандмауэра. Брандмауэр, предоставляемый платформой, представляет собой облачную платформу, которая обеспечивает функцию брандмауэра вне виртуальной машины.,Конфигурация относительно проста и удобна в использовании. Если его функции отвечают потребностям,Рекомендуется закрытьсистема Windowsвстроенныйбрандмауэр。В противном случае вы можете обратиться к следующим настройкамWindowsвстроенныйбрандмауэр。

(Совет. Чтобы избежать конфликтов между встроенным брандмауэром Windows и функцией брандмауэра облачной платформы, после включения встроенного брандмауэра Windows установите для брандмауэра облачной платформы значение «открыть».)

Если сервер Windows покупает пропускную способность общедоступной сети, к общедоступной сети будет подключена сетевая карта с общедоступным IP-адресом. Пользователи могут получить доступ к этому IP-адресу для доступа к службам, развернутым на хосте. Но в то же время злоумышленники также могут использовать уязвимости системы и проникнуть на ваш сервер через этот общедоступный IP-адрес. В настоящее время, помимо включения автоматических обновлений для своевременного устранения уязвимостей системы, также рекомендуется включить брандмауэр сервера Windows, чтобы уменьшить количество портов, напрямую доступных в общедоступную сеть, и снизить риск появления опасных портов. подвергается воздействию общедоступной сети. Более того, для сервисных портов, используемых в целях управления, таких как удаленный рабочий стол (TCP 3389), лучше всего настроить белый список IP-адресов, к которым разрешен доступ, чтобы минимизировать риск злонамеренного сканирования.

(Совет: рекомендуется настраивать брандмауэр через веб-терминал консоли, чтобы предотвратить сбои в процессе настройки, приводящие к закрытию подключения к удаленному рабочему столу.)

Чтобы включить брандмауэр Windows, выполните следующие действия:

Windows server 2008

Щелкните значок «Диспетчер сервера» на панели задач. На панели справа нажмите «Перейти к брандмауэру Windows». В древовидном списке слева щелкните правой кнопкой мыши «Брандмауэр Windows в режиме повышенной безопасности» во всплывающем окне. диалоговое окно, выберите листовой тег «Общественный профиль», убедитесь, что для параметра «Состояние брандмауэра» установлено значение «Вкл.», нажмите «ОК», чтобы закрыть диалоговое окно.

После включения брандмауэра, чтобы не влиять на доступ к удаленному рабочему столу, необходимо убедиться, что доступ к удаленному рабочему столу разрешен. Способ такой:

В древовидном списке слева разверните «Брандмауэр Windows в режиме повышенной безопасности», нажмите «Правила для входящего трафика» и в среднем списке правил проверьте, включен ли «Удаленный рабочий стол (TCP-вход)». Если оно не включено, выберите правило и нажмите «Включить правило» справа, чтобы включить его.

Windows server 2012

Нажмите значок «Диспетчер сервера» на панели задач, чтобы открыть панель управления «Диспетчер серверов», нажмите «Настроить этот локальный сервер». Нажмите ссылку после «Брандмауэр Windows» во всплывающем окне, нажмите «Включить или отключить брандмауэр Windows» на панели задач. В левом диалоговом окне убедитесь, что в разделе «Настройки общедоступной сети» выбрано «Включить брандмауэр Windows», и снимите два флажка ниже. Нажмите «ОК», чтобы закрыть диалоговое окно.

Аналогично, после включения брандмауэра вам также необходимо убедиться, что доступ к удаленному рабочему столу разрешен. Метод:

В интерфейсе «Брандмауэр Windows» нажмите «Дополнительные параметры», в открывшемся окне «Брандмауэр Windows в режиме повышенной безопасности» в левом столбце выберите «Правила для входящих подключений», а в среднем списке правил найдите «Удаленный рабочий стол-Пользователь». Режим (TCP-In)», а «Профиль» — это «Общественное» правило. Если оно не включено, выберите правило и нажмите «Включить правило» справа, чтобы включить его.

Если установленоIISСлужить,Система автоматически установит и активирует правила для входящего трафика, разрешающие службы 80 (HTTP) и 443 (HTTPS).,Никакой специальной настройки не требуется. Но если установлен сторонний веб-сервер,Например ЛАМПА,Вам потребуется вручную установить правила для входящего трафика, разрешающие доступ к номерам 80 и 443. Метод настройки Windows для 2008/2012 тот же:

В интерфейсе «Правила для входящего трафика» брандмауэра нажмите «Новое правило...» справа. Во всплывающем диалоговом окне выберите «Порт» и нажмите «Далее». «Применяется ли это правило к TCP или UDP?» , выберите «TCP»; «Это «Применяются ли правила ко всем локальным портам или к определенным портам»: выберите «Конкретные локальные порты», введите «80.443» в поле ввода, нажмите «Далее». Выберите «Разрешить соединения», нажмите « Далее» Установите все флажки и нажмите «Далее». Введите «Веб-сервис» в имени и нажмите «Готово».

4. Включите расширенную конфигурацию безопасности IE.

После включения расширенной конфигурации безопасности IE браузер IE сервера может получать доступ только к веб-сайтам из белого списка. Это может эффективно предотвратить случайный доступ администраторов к вредоносным сайтам на сервере и заражение сервера вирусами или троянами. Эта конфигурация включена по умолчанию. Если он не включен, рекомендуется его включить. Способ открытия:

Windows server 2008

Нажмите значок «Диспетчер серверов» на панели задач. На правой панели всплывающего окна нажмите «Настроить IE ESC» и включите/выключите эту функцию во всплывающем диалоговом окне.

Windows server 2012

Щелкните значок «Диспетчер серверов» на панели задач, чтобы открыть панель управления «Диспетчер серверов», нажмите «Настроить этот локальный сервер», щелкните ссылку после «Конфигурация усиленной безопасности IE» и включите или выключите эту функцию во всплывающем диалоговом окне.

5. Установите и включите антивирусное программное обеспечение.

Кроме того, вы также можете установить и включить антивирусное программное обеспечение, работающее в режиме реального времени, чтобы еще больше повысить безопасность сервера. Как только вредоносное ПО прорвется через линии защиты, построенные на предыдущих четырех шагах, и попадет на облачный хост, антивирусное программное обеспечение в реальном времени сможет предотвратить запуск вредоносного ПО на облачном хосте и обеспечить безопасность облачного хоста.

Windows Security Essentials — это бесплатное антивирусное программное обеспечение, разработанное Microsoft для Windows 7/Vista, которое можно использовать для защиты Windows Server 2008 R2 Data Center Edition.

Установка Windows Security Essentials относительно проста. Вам нужно всего лишь загрузить и запустить установочный файл по приведенной выше ссылке и выполнить пошаговые инструкции мастера, чтобы все прошло гладко.

Для Windows Server 2012 Datacenter Edition доступно не так много (бесплатных) антивирусных программ. В настоящее время вы можете подать заявку на пробную версию System Center 2012 R2 Configuration Manager и установить прилагаемый к нему антивирусный клиент System Center Endpoint Protection.

Способ установки:

После загрузки пакета программного обеспечения разархивируйте его (в настоящее время SC2012_R2_SCCM_SCEP.exe) и войдите в каталог SMSSETUP/CLIENT.

Дважды щелкните, чтобы выполнить scepinstall, и следуйте инструкциям, чтобы шаг за шагом установить System Center Endpoint Protection.

6. Разумная архитектура развертывания услуг

Наконец, разумная архитектура развертывания служб может уменьшить количество точек риска, которым подвержен весь сайт сервера Windows, и повысить порог безопасности. Принципы, которые необходимо соблюдать, следующие:

Принцип единой роли: облачный хост-сервер выполняет только одну задачу и предоставляет только одну услугу. Например, служба базы данных находится на одном сервере, а веб-сервер развернут на другом. Это позволяет более точно оценить, нужен ли серверу адрес общедоступной сети и нужно ли ему открывать какие порты. Это позволяет как можно меньше раскрывать адрес и порты общедоступной сети, тем самым уменьшая количество точек риска. Например, службам баз данных обычно не требуется адрес общедоступной сети, поэтому нет необходимости приобретать пропускную способность общедоступной сети, что позволяет сэкономить затраты и повысить безопасность. Веб-серверы обычно открывают только порты 80/443, а другие порты можно закрыть через брандмауэр.

Принцип упрощения: не включайте службы и функции, которые невозможно включить, старайтесь не устанавливать программное обеспечение, которое невозможно установить, убедитесь, что порты, которые невозможно включить, не включены, и не покупайте пропускную способность общедоступной сети, если вы не можете использовать общедоступную сеть. сетевой хост. Соблюдение принципа минимализма не только экономит энергию и защищает окружающую среду, но и снижает риски безопасности.