Sdílet prostřednictvím


Windows Azure Pack: Vylepšení zabezpečení webů

 

Platí pro: Windows Azure Pack

Po instalaci můžete zabezpečení vylepšit implementací dalších osvědčených postupů. Patří sem konfigurace filtrování IP adres (označované také jako "přidávání na seznam na seznamu na seznamu"), nastavení kvót pro čítače útoků DoS a dalších kroků.

Konfigurace filtrování IP

Nastavení filtru IP adres je velmi důležité, protože jedním z nejjednodušších způsobů spuštění útoku doS (DoS) je spuštění útoku ze samotné služby. Poskytovatel hostitelských služeb by proto měl farmu minimálně přidat na seznam zakázaných.

Pokud je například webová farma nasazená do podsítě, měly by se IP adresy podsítě filtrovat, aby weby nemohly volat zpět do farmy a spustit (například) útok doS.

Pokud chcete omezit přístup k rozsahům IP adres odpovídajícím serverům v cloudu webu, můžete nakonfigurovat filtrování IP adres buď na portálu pro správu sady Azure Pack Windows, nebo pomocí PowerShellu.

Konfigurace filtrování IP na portálu pro správu

Pokud chcete nakonfigurovat filtrování IP adres na portálu pro správu pro správce, proveďte následující kroky:

  1. V levém podokně portálu zvolte Cloudy webů.

  2. Vyberte cloud webu, který chcete nakonfigurovat.

  3. Zvolte seznam blokovaných položek.

  4. Na panelu příkazů v dolní části portálu zvolte Přidat.

  5. V dialogovém okně Zadejte rozsah IP adres zadejte IP adresu do polí Počáteční adresa a Koncová adresa a vytvořte rozsah.

  6. Kliknutím na značku zaškrtnutí operaci dokončete.

Konfigurace filtrování IP adres pomocí PowerShellu

Pokud chcete nakonfigurovat filtrování IP adres pomocí PowerShellu, spusťte na kontroleru následující rutiny PowerShellu. Hodnotu start-of-ip-blacklist-range> a end-of-ip-blacklist-range nahraďte< platnými IP adresami.><

Add-pssnapin WebHostingSnapin
Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1
Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>

Restartování dynamické služby WAS

Nakonec restartujte dynamickou službu WAS (DWASSVC) na serverech nakonfigurovaných tak, aby spouštěla roli webového pracovního procesu. Na příkazovém řádku se zvýšenými oprávněními spusťte následující příkazy:

net stop dwassvc
net start dwassvc

Nastavení kvót

Pokud chcete zabránit útokům doS (DoS), měli byste nastavit kvóty pro využití procesoru, paměti, šířky pásma a disku. Tyto kvóty je možné nakonfigurovat na portálu pro správu pro správce jako součást vytváření plánů.

Pokud má plán nastavené tyto kvóty a web, který patří do plánu, trpí útokem DoS nebo neúmyslným nárůstem procesoru, web se zastaví, jakmile dojde k dosažení kvót, čímž se zastaví útok.

Uvedené kvóty jsou také užitečné proti útokům pocházejícím z farmy. Například útok hrubou silou na heslo z farmy spotřebuje spoustu času procesoru a za předpokladu, že se použijí silná hesla, dosáhne se kvóta procesoru předtím, než by mohlo dojít k přerušení hesla.

Přiřazení samostatné sady přihlašovacích údajů pro jednotlivé role webů

Jako osvědčený postup zabezpečení po instalaci byste měli upravit sady přihlašovacích údajů pro role webového serveru tak, aby byly všechny jedinečné. Po vytvoření nových jedinečných účtů můžete přihlašovací údaje aktualizovat na portálu pro správu pro správce tak, aby používaly nové účty.

Úprava přihlašovacíchúdajůch

  1. Na portálu pro správu pro správce klikněte na Web Site Clouds a pak zvolte cloud, který chcete konfigurovat.

  2. Klikněte na Přihlašovací údaje. V části Uživatelské jméno můžete ověřit, jestli jsou uživatelská jména jedinečná mezi rolemi webu (například mohou být "Správce", v takovém případě by se měly změnit).

  3. Vyberte jeden z názvů přihlašovacích údajů (například přihlašovací údaje serveru pro správu) a potom klikněte na příkaz Upravit na panelu příkazů v dolní části portálu.

  4. V zobrazeném dialogovém okně (například přihlašovací údaje serveru Update Management Server) zadejte nové uživatelské jméno a heslo.

  5. Kliknutím na značku zaškrtnutí operaci dokončete.

  6. Opakujte kroky 3 až 5, dokud nebudou všechny sady přihlašovacích údajů jedinečné.

Pravidelné změny přihlašovacích údajů ("roll")

Osvědčeným postupem zabezpečení je pravidelné změny přihlašovacích údajů (nebo jejich vrácení). U služeb rolí je lepší změnit uživatelské jméno i heslo současně, nejen heslo. Když změníte uživatelské jméno i heslo, vyhnete se problému "mimo synchronizaci", ke kterému může dojít, když se změní jenom heslo, ale změna se v celém prostředí úplně nešísila.

Když změníte uživatelské jméno i heslo, obě sady přihlašovacích údajů jsou během procesu přechodu dočasně dostupné. Například dva odpojené systémy, které je potřeba ověřit, se můžou po změně stále připojovat. Pokud jsou nové přihlašovací údaje zavedeny a plně fungují ve všech systémech, můžete starou sadu zakázat.

Definování omezujícího profilu důvěryhodnosti pro aplikace .NET

U aplikací .NET byste měli definovat omezující profil důvěryhodnosti. Ve výchozím nastavení Windows Azure Pack: Weby běží v režimu plné důvěryhodnosti, aby poskytovaly co nejširší možnou kompatibilitu aplikací. Volba optimální úrovně důvěryhodnosti zahrnuje kompromis mezi zabezpečením a kompatibilitou. Vzhledem k tomu, že každý scénář použití je jiný, měli byste určit a dodržovat vlastní osvědčené postupy při zabezpečení webových serverů s více tenanty ve vašem prostředí.

Další osvědčené postupy

Mezi další osvědčené postupy patří použití zásady nejnižšího oprávnění při vytváření uživatelských účtů, minimalizace oblasti sítě a úprava seznamů ACL systému za účelem ochrany systému souborů a registru.

Při vytváření účtů použijte zásadu nejnižších oprávnění.

Při vytváření uživatelských účtů na ně použijte princip nejnižšího oprávnění. Další informace najdete v tématu Použití zásady nejnižšího oprávnění pro uživatelské účty na Windows.

Minimalizace plochy sítě

Nakonfigurujte bránu firewall tak, aby minimalizovala oblast sítě na internetových serverech. Informace o bráně firewall Windows s pokročilým zabezpečením najdete v následujících zdrojích informací (odkazy na Windows Server 2008 R2 jsou stále užitečné pro Windows Server 2012 a Windows Server 2012 R2).

Úprava seznamů ACL systému pro zabezpečení systému souborů a registru

Následující nástroje ke stažení můžou pomoct vyhodnotit nastavení zabezpečení systému souborů a registru serveru.

Viz také

Nasazení sady Windows Azure Pack: Weby