English | 简体中文 | 繁體中文 | Русский язык | Français | Español | Português | Deutsch | 日本語 | 한국어 | Italiano | بالعربية
Meituan Cloud (MOS) fornisce server di host cloud di versione datacenter di Windows Server 2008 R2 e Windows Server 2012 R2. A causa della alta quota di mercato dei server Windows, ci sono molti malware come virus e trojan per i server Windows, che sono facili da ottenere e hanno bassa barriera tecnologica, quindi i problemi di sicurezza dei server Windows devono essere attentamente considerati. Per utilizzare in modo sicuro i server cloud Windows, si consiglia di applicare alcune misure di rafforzamento della sicurezza semplici, ma sufficienti per difendersi da molti rischi di sicurezza comuni.
I. Imposta una password forte
Dopo la creazione del server Windows di Meituan Cloud, l'account amministratore (Administrator) viene generato automaticamente con una password casuale di 12 caratteri. Dopo il primo accesso al server Windows, si consiglia di cambiare la password immediatamente. La password dovrebbe essere casuale, includere numeri, lettere maiuscole e minuscole e simboli speciali, con una lunghezza minima di 12 caratteri. È possibile utilizzare strumenti come: https://identitysafe.norton.com/password-generator per generare password casuali forti. E almeno ogni 3 mesi, modificare la password.
Il metodo per modificare la password è: dopo che l'amministratore è riuscito a accedere all'host, premere "Ctrl-Alt-Delete", selezionare "Modifica password" (suggerimento: è possibile accedere al terminale Web di Meituan Cloud, fare clic sul pulsante "Ctrl-Al-Delete" nell'angolo in alto a destra per inserire la combinazione di tasti)
II. Abilita l'aggiornamento del sistema automatico
Tutti i server Windows di Meituan Cloud sono autorizzati ufficialmente da produttori originali, possono abilitare il servizio di aggiornamenti di Windows, aggiornare automaticamente le vulnerabilità del sistema per evitare di essere utilizzati dagli attaccanti malintenzionati per entrare nel server. Utilizzare il seguente flusso di lavoro per verificare se l'aggiornamento automatico è abilitato, se non è abilitato, si consiglia di abilitarlo.
Windows Server 2008
Fare clic sull'icona "Gestore dei server" nella barra delle applicazioni e fare clic su "Configura aggiornamenti" nel pannello di destra. Nella finestra di dialogo che si apre, selezionare "Installare automaticamente gli aggiornamenti".
Windows Server 2012
Fare clic sull'icona "Gestore dei server" nella barra delle applicazioni per aprire il dashboard del Gestore dei server, fare clic su "Configura questo server locale" e fare clic sul link dopo "Aggiornamenti di Windows". Nella finestra che si apre, se l'aggiornamento automatico non è abilitato, viene visualizzato un avviso come nell'immagine, fare clic su "Abilita aggiornamenti automatici".
Terza sezione: Abilita il firewall
Meituan Cloud ha fornito servizi di firewall. Se stai utilizzando un host Meituan Cloud, puoi utilizzare il pannello di controllo di Meituan Cloud per configurare il firewall fornito da Meituan Cloud. Il firewall fornito dalla piattaforma Meituan Cloud è una funzione di firewall di rete fornita dalla piattaforma cloud esterna al virtual machine, la configurazione è relativamente semplice e facile da usare. Se le funzionalità soddisfano le esigenze, si consiglia di disabilitare il firewall integrato del sistema Windows. Altrimenti, è possibile fare riferimento al seguente contenuto per configurare il firewall integrato di Windows.
(Suggerimento: per evitare conflitti tra le funzionalità del firewall integrato di Windows e del firewall della piattaforma cloud, dopo aver abilitato il firewall integrato di Windows, impostare il firewall della piattaforma cloud su "Aperto".)
Se il server Windows ha acquistato una larghezza di banda pubblica, ci sarà una scheda di rete con un indirizzo IP pubblico che si connette alla rete pubblica. Gli utenti possono accedere a questo indirizzo IP per accedere ai servizi部署主机上的服务。Ma allo stesso tempo, gli attaccanti malintenzionati possono anche sfruttare le vulnerabilità del sistema per entrare nel tuo server attraverso questo indirizzo IP pubblico. In questo caso, oltre a garantire che l'aggiornamento automatico del sistema sia attivato per riparare tempestivamente le vulnerabilità del sistema, si consiglia anche di abilitare il firewall di Windows server per ridurre l'esposizione diretta dei porti pubblici, ridurre il rischio di esposizione dei porti pericolosi sulla rete pubblica. E, per i porti di servizio come la scrivania remota (TCP 3389) utilizzati per scopi di gestione, è meglio impostare una lista bianca di IP permessi per ridurre il rischio di essere scansionati malevolmente il più possibile.
(Suggerimento: è consigliabile configurare il firewall utilizzando il terminale web della console di Meituan Cloud per prevenire operazioni errate durante il processo di configurazione che possano portare alla chiusura della connessione della scrivania remota)
I passaggi per abilitare il firewall di Windows sono i seguenti:
Windows server 2008
Clicca sull'icona "Gestore dei server" nella barra delle applicazioni. Clicca su "Passa a Windows Firewall" nel pannello di destra. Clicca con il tasto destro su "Advanced Security Windows Firewall" nella lista aberoide di sinistra. Seleziona la scheda "Configurazione pubblica" nella finestra di dialogo che si apre, assicurati che lo stato del "Stato del firewall" sia "Abilitato", clicca su "Conferma" per chiudere la finestra di dialogo
Dopo aver attivato il firewall, per non influire sull'accesso alla scrivania remota, è necessario assicurarsi che l'accesso alla scrivania remota sia permesso, il metodo è:
Espandi "Advanced Security Windows Firewall" nella lista aberoide di sinistra, clicca su "Regole in entrata". Controlla se "Remote Desktop (TCP-In)" è attivato. Se non è attivato, seleziona la regola e clicca su "Abilita regola" sulla destra
Windows server 2012
Clicca sull'icona "Gestore dei server" nella barra delle applicazioni per aprire il dashboard del Gestore dei server, clicca su "Configura questo server locale". Clicca sul link dopo "Windows Firewall". Nella finestra che si apre, clicca sulla barra laterale sinistra su "Abilita o disabilita il firewall di Windows". Nella finestra di dialogo che si apre, assicurati che venga selezionato "Impostazioni di rete pubblica" sotto "Abilita il firewall di Windows" e non selezionare le due caselle di controllo sottostanti. Clicca su "Conferma" per chiudere la finestra di dialogo
Allo stesso modo, dopo aver abilitato il firewall, è necessario assicurarsi di permettere l'accesso remoto al desktop, utilizzando il metodo:
Nell'interfaccia "Windows Firewall" fare clic su "Impostazioni avanzate", aprire la finestra "Advanced Security Windows Firewall" selezionare "Regole di rete in entrata" nella barra laterale di sinistra, trovare la regola "Remote Desktop-User Mode (TCP-In)" nella lista delle regole centrale e assicurarsi che "Configurazione del profilo" sia "Public". Se non è abilitata, selezionare la regola e fare clic su "Abilita regola" sulla parte destra
Se è stato installato il servizio IIS, il sistema installerà e abiliterà automaticamente le regole di rete in entrata che permettono i servizi 80 (HTTP) e 443 (HTTPS). Non è necessario una configurazione speciale. Tuttavia, se è stato installato un server web di terze parti, ad esempio LAMP, è necessario installare manualmente le regole di rete in entrata che permettono l'accesso a 80 e 443. Il metodo di configurazione è lo stesso per Windows 2008/2012, come segue:
Nell'interfaccia "Regole di rete di firewall" fare clic su "Nuova regola..." nella parte destra, selezionare "Porta" fare clic su "Avanti" "Questa regola si applica a TCP o UDP?" selezionare "TCP"; "Questa regola si applica a tutti i porti locali o a un porto locale specifico": selezionare "Porto locale specifico", inserire "80, 443" nella casella di input, fare clic su "Avanti" selezionare "Permetti la connessione" fare clic su "Avanti" selezionare tutti i caselli di controllo fare clic su "Avanti" inserire "Web service" fare clic su "Fine"
IV. Abilitare la configurazione di sicurezza migliorata di IE
Dopo aver abilitato la configurazione di sicurezza migliorata di IE, il browser IE del server può accedere solo ai siti web elencati nella whitelist. Questo può efficacemente evitare che l'amministratore acceda accidentalmente a siti malevoli e infetti il server con virus o trojan. Questa configurazione è abilitata per impostazione predefinita. Se non è abilitata, si consiglia di abilitarla. Il metodo di abilitazione è:
Windows server 2008
Fare clic sull'icona "Server Manager" nella barra delle applicazioni, fare clic sulla parte destra del pannello della finestra pop-up, fare clic su "Configura IE ESC", aprire o chiudere questa funzione nella finestra di dialogo che si apre
Windows server 2012
Fare clic sull'icona "Server Manager" nella barra delle applicazioni per aprire il dashboard di Server Manager, fare clic su "Configura questo server locale" fare clic sul link "IE Enhanced Security Configuration" dopo aver fatto clic su "IE Enhanced Security Configuration", aprire o chiudere questa funzione nella finestra di dialogo che si apre
V. Installare ed abilitare il software antivirus
Inoltre, è possibile installare ed abilitare un software antivirus in tempo reale per ulteriormente migliorare la sicurezza del server. Una volta che il malware supera le prime quattro difese costruite, entra nel cloud host, il software antivirus in tempo reale può prevenire che il malware esegua il cloud host, garantendo la sicurezza del cloud host.
Windows Security Essentials è un software antivirus gratuito sviluppato da Microsoft per Windows 7/Vista, che può essere utilizzato per proteggere il data center di Windows Server 2008 R2.
L'installazione di Windows Security Essentials è molto semplice, è sufficiente scaricare e eseguire il file di installazione dal link sopra riportato, seguire la guida passo-passo per completare l'installazione con successo.
Non ci sono molti antivirus disponibili per Windows Server 2012 Datacenter Edition (gratuiti). Al momento, è possibile richiedere una versione di prova di System Center 2012 R2 Configuration Manager e installare il client antivirus allegato System Center Endpoint Protection.
Il metodo di installazione è:
Dopo aver scaricato il pacchetto software, decomprimere (al momento SC2012_R2_SCCM_SCEP.exe), entrare nella directory SMSSETUP/CLIENT
Fare doppio clic per eseguire scepinstall, seguire le istruzioni per installare gradualmente System Center Endpoint Protection.
Il redattore del tutorial Yell ha suggerito di installare il server indipendente: mcafee 8.8
Sezione sesta: configurazione di部署 dei servizi ragionevole
Infine, una configurazione di部署 dei servizi ragionevole può ridurre i punti di rischio esposti nel sito di server Windows, aumentando il valore di sicurezza. I principi da seguire sono:
Principio del ruolo singolo: un server di host cloud deve fare una sola cosa, fornire un solo servizio. Ad esempio, il servizio di database su un server, il server Web su un altro server. In questo modo, si può valutare più accuratamente se questo server necessita di un indirizzo pubblico, quali porte devono essere aperte, il che può ridurre al minimo l'esposizione dell'indirizzo pubblico e delle porte, riducendo così i punti di rischio. Ad esempio, il servizio di database di solito non necessita di un indirizzo pubblico, quindi non è necessario acquistare banda larga in pubblico, il che può risparmiare denaro e rendere più sicuro. Il server Web di solito apre solo le porte 80/443, altre porte possono essere chiuse tramite il firewall.
Principio di minimalismo: non attivare servizi e funzionalità che non sono necessari, non installare software che non è necessario, assicurarsi di non aprire porte che non sono necessarie, non acquistare banda larga in pubblico se non è necessario. Seguendo il principio di minimalismo, si risparmia energia e si riduce il rischio ambientale, e si riduce anche il rischio di sicurezza.