English | 简体中文 | 繁體中文 | Русский язык | Français | Español | Português | Deutsch | 日本語 | 한국어 | Italiano | بالعربية
Meituan Cloud (MOS) ofrece Windows Server 2008 R2y Windows Server 2012 R2El servidor de nube de centro de datos. Debido a que la tasa de占有率高 de los servidores Windows, hay muchos virus, troyanos y otros software maliciosos para servidores Windows, y son fáciles de obtener, la barrera técnica también es baja, por lo que los problemas de seguridad de los servidores Windows necesitan prestar atención especialmente. Para usar el servidor de nube de Windows de manera segura, se recomienda aplicar varias medidas de refuerzo de seguridad simples. Aunque son simples, son suficientes para defenderse de la mayoría de los riesgos de seguridad comunes.
Primero, configure la contraseña fuerte
Después de crear el servidor Windows de Meituan Cloud, se generará automáticamente una cuenta de administrador (Administrador) para el administrador.12puntos de contraseña aleatoria, sugiere cambiar la contraseña inmediatamente después de la primera entrada a Windows Server. La contraseña debe ser lo más aleatoria posible, debe contener números, mayúsculas y minúsculas y símbolos especiales, la longitud debe ser al menos12puntos. Puede utilizar algunas herramientas, por ejemplo: https://identitysafe.norton.com/contraseña-generator, genere contraseñas aleatorias más fuertes. Y al menos cada3mes para cambiar la contraseña.
El método para modificar la contraseña es: después de que el administrador ingrese con éxito al host, presione "Ctrl-Alt-Eliminar", seleccione "Modificar contraseña" (indicación: puede ingresar al terminal web de Meituan Cloud, haga clic en el ángulo superior derecho "Ctrl-Al-Introduzca el conjunto de teclas en el botón "Eliminar"
Segundo, activar las actualizaciones del sistema automáticamente
Todos los servidores Windows de Meituan Cloud han obtenido la autorización original y auténtica, pueden activar el servicio de actualizaciones de Windows, actualizar automáticamente las vulnerabilidades del sistema para evitar que los atacantes maliciosos utilicen intrusión en el servidor. Verifique el siguiente flujo para ver si se ha activado la actualización automática, si no se ha activado, se recomienda activarla.
Windows Server 2008
Haga clic en el icono "Administrador de Servidores" en la barra de tareas, haga clic en "Configurar actualizaciones" en el panel derecho, seleccione "Instalar actualizaciones automáticamente" en el cuadro de diálogo emergente.
Windows Server 2012
Haga clic en el icono "Administrador de Servidores" en la barra de tareas para abrir el tablero de instrumentos del Administrador de Servidores, haga clic en "Configurar este servidor local", haga clic en el enlace después de "Actualizaciones de Windows". En la ventana emergente, si no se ha activado la actualización automática, se mostrará una alarma como se muestra en la imagen, haga clic en "Activar actualizaciones automáticas".
Tercero: Habilitar el firewall
Meituan Cloud ya ha proporcionado el servicio de firewall. Si está utilizando el host de Meituan Cloud, puede configurar el firewall utilizando el servicio de firewall proporcionado por Meituan Cloud en el panel de control de Meituan Cloud. El firewall proporcionado por la plataforma Meituan Cloud es una función de firewall de red de plataforma en la nube proporcionada fuera de la máquina virtual, que es relativamente simple y fácil de usar. Si su función cumple con las necesidades, se recomienda cerrar el firewall integrado en el sistema operativo Windows. De lo contrario, puede referirse al siguiente contenido para configurar el firewall integrado en Windows.
(Consejo: para evitar la colisión entre las funciones del firewall integrado en Windows y el firewall del plataforma en la nube, configure el firewall de la plataforma en la nube como "abierto" después de habilitar el firewall integrado en Windows.)
Si el servidor Windows ha comprado ancho de banda público, tendrá una tarjeta de red con dirección IP pública conectada al público. Los usuarios pueden acceder a este dirección IP para acceder a los servicios desplegados en el host. Sin embargo, al mismo tiempo, los atacantes maliciosos también pueden utilizar las vulnerabilidades del sistema para invadir su servidor a través de esta dirección IP pública. En este momento, además de abrir la actualización automática para reparar las vulnerabilidades del sistema a tiempo, también se recomienda abrir el firewall de Windows server para reducir la exposición directa de los puertos expuestos en el público, reducir el riesgo de exposición de puertos peligrosos en el público. Y, para el escritorio remoto (TCP 3389y otros puertos de servicios utilizados para fines de gestión, es mejor configurar una lista blanca de IP permitidas para acceder, para reducir al máximo el riesgo de escaneo malicioso.
(Consejo: se recomienda configurar el firewall a través del terminal web de la consola de Meituan Cloud para evitar errores de configuración durante el proceso, lo que podría llevar a la desconexión de la conexión de escritorio remoto.)
Los pasos para habilitar el Firewall de Windows son los siguientes:
Windows server 2008
Haga clic en el icono "Administrador de servidores" en la barra de tareas, luego haga clic en "Ir a Firewall de Windows" en el panel derecho. Haga clic con el botón derecho del ratón en "Firewall de seguridad avanzada de Windows" en la lista en forma de árbol a la izquierda. En el cuadro de diálogo emergente, seleccione la pestaña "Configuración pública", asegúrese de que el estado de "Estado del firewall" sea "Habilitado", luego haga clic en "Aceptar" para cerrar el cuadro de diálogo.
Después de habilitar el firewall, para no afectar el acceso a la escritorio remoto, asegúrese de permitir el acceso al escritorio remoto, la forma de hacerlo es:
En la lista en forma de árbol a la izquierda, expanda "Firewall de Windows de seguridad avanzada", luego haga clic en "Reglas de entrada", en la lista de reglas central, verifique "Remote Desktop (TCP)-¿Está habilitado? Si no está habilitado, seleccione la regla y haga clic en "Habilitar regla" en el lado derecho.
Windows server 2012
Haga clic en el icono "Administrador de servidores" en la barra de tareas para abrir el tablero de instrumentos del Administrador de servidores, luego haga clic en "Configurar este servidor local". Haga clic en el enlace después de "Windows Firewall". En la ventana emergente, haga clic en el panel izquierdo "Habilitar o deshabilitar el Firewall de Windows". En el cuadro de diálogo emergente, asegúrese de que en la configuración de la red pública seleccione "Habilitar el Firewall de Windows" y no marque las dos casillas de verificación inferiores. Haga clic en "Aceptar" para cerrar el cuadro de diálogo.
Del mismo modo, después de activar el cortafuegos, también es necesario asegurarse de permitir el acceso al escritorio remoto, mediante el método:
En la interfaz de "Cortafuegos de Windows", haga clic en "Configuración avanzada", abra la ventana "Cortafuegos de Windows avanzado" en la barra lateral izquierda, seleccione "Reglas de entrada", luego encuentre "Escritorio remoto-Modo de usuario (TCP-In)" y "Archivo de configuración" debe ser "Común". Si no está activada, seleccione esta regla y haga clic en "Activar regla" en el lado derecho para activarla
Si se instala el servicio IIS, el sistema instalará y activará automáticamente la regla de permiso de acceso80(HTTP) y443El servicio de entrada de (HTTPS) no requiere configuración especial. Sin embargo, si se instala un servidor web de terceros, como LAMP, se debe instalar manualmente la regla de permiso de acceso80 y443las reglas de entrada. Windows 2008/2012El método de configuración es el mismo, como se muestra a continuación:
En la interfaz de "Reglas de entrada del cortafuegos", haga clic en "Nuevo regla..." en el lado derecho, en el cuadro de diálogo emergente, seleccione "Puerto", haga clic en "Siguiente" "¿Esta regla se aplica a TCP o UDP?"63;" seleccionar "TCP";"¿Esta regla se aplica a todos los puertos locales o a puertos locales específicos": seleccionar "Puertos locales específicos", luego ingresar"80, 443"Haga clic en "Siguiente", seleccione "Permitir conexión", haga clic en "Siguiente", seleccione todos los casilleros, haga clic en "Siguiente", ingrese "Web service" en el nombre, luego haga clic en "Aceptar"
Cuatro, activar la configuración de seguridad avanzada de IE
Después de activar la configuración de seguridad avanzada de IE, el navegador IE del servidor solo puede acceder a los sitios web de la lista blanca. Esto puede evitar eficazmente que el administrador acceda accidentalmente a sitios maliciosos y que el servidor se infecte con virus o troyanos. Esta configuración se abre de manera predeterminada. Si no está activada, se recomienda activarla. El método de activación es:
Windows server 2008
Haga clic en el ícono "Administrador de Servidores" en la barra de tareas, en el panel derecho de la ventana emergente, haga clic en "Configurar IE ESC" y abra el cuadro de diálogo emergente/Deshabilitar esta función
Windows server 2012
Haga clic en el ícono "Administrador de Servidores" en la barra de tareas para abrir el tablero del Administrador de Servidores, haga clic en "Configurar este servidor local", luego haga clic en el enlace "Configuración avanzada de IE" y abra el cuadro de diálogo emergente/Deshabilitar esta función
Cinco, instalar y activar el software antivirus
Además, se puede instalar y activar un software antivirus en tiempo real para aumentar aún más la seguridad del servidor. Una vez que el software malicioso rompe las cuatro líneas de defensa construidas anteriormente y entra en el host de nube, el software antivirus en tiempo real puede evitar que el software malicioso se ejecute en el host de nube, asegurando la seguridad del host de nube.
Windows Security Essentials es un software de seguridad proporcionado por Microsoft para Windows 7/Software antivirus gratuito desarrollado para Vista, que se puede usar para proteger Windows Server 2008 R2versión de数据中心。
La instalación de Windows Security Essentials es bastante simple, solo necesita descargar y ejecutar el archivo de instalación desde el enlace mencionado anteriormente y completar el asistente paso a paso para顺利完成。
Windows Server 2012No hay muchos antivirus gratuitos disponibles en la versión de数据中心. Actualmente, se puede solicitar una prueba de System Center 2012 R2 Configuration Manager, e instale el cliente antivirus adjunto System Center Endpoint Protection.
El método de instalación es:
Descomprima el paquete de software descargado (actualmente SC2012_R2_SCCM_SCEP.exe), ingrese SMSSETUP/Carpeta CLIENTE
Doble clic en ejecutar scepinstall, siga las instrucciones paso a paso para instalar System Center Endpoint Protection.
El editor del tutorial de Niyao recomienda instalar el servidor independiente: mcafee 8.8
Seis, arquitectura de despliegue de servicios razonable
Por último, una arquitectura de despliegue de servicios razonable puede reducir los puntos de riesgo expuestos en el sitio del servidor Windows, aumentando el umbral de seguridad. Los principios a seguir son:
Principio de rol único: un servidor de nube debe hacer solo una cosa, proporcionar solo un servicio. Por ejemplo, el servicio de base de datos en un servidor, el servidor web desplegado en otro. De esta manera, se puede evaluar con mayor precisión si este servidor necesita una dirección pública, si necesita abrir ciertos puertos, lo que puede reducir al mínimo la exposición de direcciones y puertos públicos, reduciendo así los puntos de riesgo. Por ejemplo, el servicio de base de datos generalmente no necesita una dirección pública, por lo que no es necesario comprar ancho de banda público, lo que ahorra costos y es más seguro. El servidor web generalmente solo abre80/443Puertos, otros puertos pueden cerrarse a través de la firewall.
Principio de minimalismo: no abrir servicios y funciones que no sean necesarios, no instalar software que no sea necesario, asegurar que no se abran puertos que no sean necesarios, no comprar ancho de banda público si no se necesita un host público. Sigue el principio de minimalismo, tanto para ahorrar energía y proteger el medio ambiente como para reducir el riesgo de seguridad.