Windows Azure Pack: Melhorias de segurança dos web sites

 

Aplica-se a: Windows Azure Pack

Após a instalação, pode melhorar a sua segurança implementando boas práticas adicionais. Estes incluem a configuração da filtragem IP (também conhecida como "lista negra"), definindo quotas para combater os ataques do DoS, e outros passos.

Configurar a filtragem de IPs

A definição de um filtro IP é muito importante porque uma das formas mais fáceis de lançar um ataque de negação de serviço (DoS) é lançar o ataque a partir de dentro do próprio serviço. Por conseguinte, no mínimo, o prestador de serviços de acolhimento deve colocar a exploração na lista negra da própria exploração.

Por exemplo, se a exploração web for implantada numa sub-rede, os endereços IP da sub-rede devem ser filtrados para impedir que os web sites voltem a ligar para a quinta e lançar (por exemplo) um ataque DoS.

Para restringir os processos dos trabalhadores inquilinos de aceder aos intervalos de endereços IP correspondentes aos servidores dentro da nuvem do Web Site, pode configurar a filtragem IP no portal de gestão Windows Azure Pack ou utilizando o PowerShell.

Configurar a filtragem IP no Portal de Gestão

Para configurar a filtragem IP no Portal de Gestão para Administradores, execute os seguintes passos:

1. No painel esquerdo do portal, escolha Nuvens do Web Site.

2. Selecione a nuvem do site que deseja configurar.

3. Escolha a Lista de Blocos.

4. Na barra de comando na parte inferior do portal, escolha Adicionar.

5. No diálogo de alcance de endereço IP , introduza um endereço IP nas caixas 'Endereço's Início e End Address para criar o intervalo.

6. Clique na marca de verificação para completar a operação.

Para configurar a filtragem IP utilizando o PowerShell

Para configurar a filtragem IP utilizando o PowerShell, executar os seguintes cmdlets PowerShell no controlador. Substitua o< intervalo de gama> de primeira lista negra e <a gama> de listas negras por endereços IP válidos.

Add-pssnapin WebHostingSnapin
Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1
Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>

Reiniciar o Serviço Dinâmico WAS

Por fim, reinicie o Serviço Dynamic WAS (DWASSVC) em servidores configurados para executar o papel de trabalhador web. Execute o seguinte comando numa linha de comandos elevada:

net stop dwassvc
net start dwassvc

Definir Quotas

Para evitar ataques de Negação de Serviço (DoS), deverá definir quotas no CPU, memória, largura de banda e utilização de discos. Estas quotas podem ser configuradas no Portal de Gestão para Administradores como parte da autoria do plano.

Quando um plano tem estas quotas definidas e um site pertencente ao plano sofre um ataque DoS ou um pico de CPU inadvertidamente, o web site será interrompido quando as quotas forem alcançadas, impedindo assim o ataque.

As quotas mencionadas são igualmente úteis contra os ataques originários da exploração agrícola. Por exemplo, um ataque de senha bruta de dentro da quinta consumiria muito tempo de CPU e, assumindo que senhas fortes são usadas, a quota do CPU seria alcançada antes que a palavra-passe pudesse ser quebrada.

Atribua um conjunto separado de credenciais para cada função de Web Sites

Como uma melhor prática de segurança após a instalação, deve editar os conjuntos de credenciais para as funções do Web Server para que sejam todos únicos. Depois de criar novas contas únicas, pode atualizar as credenciais no Portal de Gestão para os Administradores utilizarem as novas contas.

Para editar credenciais de função de servidor de servidor de Web Sites

1. No Portal de Gestão de Administradores, clique em Nuvens do Web Site e, em seguida, escolha a nuvem que pretende configurar.

2. Clique em Credenciais. Em Nome de Utilizador, pode verificar se os nomes de utilizador são únicos entre as funções do Web Site (por exemplo, podem ser todos 'Administrador', caso em que devem ser alterados).

3. Selecione um dos nomes credenciais (por exemplo, Credencial do Servidor de Gestão) e, em seguida, clique em Editar na barra de comando na parte inferior do portal.

4. Na caixa de diálogo que aparece (por exemplo, A Atualização Do Servidor Credencial), fornece um novo nome de utilizador e palavra-passe.

5. Clique na marca de verificação para completar a operação.

6. Repita os passos 3 a 5 até que todos os conjuntos de credenciais sejam únicos.

Alterar credenciais ("roll") numa base regular

Como uma boa prática de segurança, é uma boa ideia mudar (ou "rolar") credenciais regularmente. Para os serviços de função, é melhor alterar o nome de utilizador e a palavra-passe ao mesmo tempo, e não apenas a palavra-passe. Alterar tanto o nome de utilizador como a palavra-passe evita o problema "fora de sincronização" que pode ocorrer quando apenas a palavra-passe é alterada, mas a alteração não foi propagada completamente em todo o ambiente.

Quando altera o nome de utilizador e a palavra-passe, ambos os conjuntos de credenciais estão temporariamente disponíveis durante o processo de rollover. Por exemplo, dois sistemas desligados que precisam de autenticar ainda podem ligar-se após a alteração. Quando as novas credenciais estiverem em vigor e funcionarem plenamente em todos os sistemas, pode desativar o conjunto antigo.

Defina um perfil de confiança restritivo para aplicações .NET

Para aplicações .NET, deve definir um perfil de confiança restritivo. Por predefinição, Windows Azure Pack: Web Sites funciona no modo Full Trust para fornecer a compatibilidade de aplicação mais ampla possível. Escolher o nível de confiança ideal envolve uma troca de segurança versus compatibilidade. Como cada cenário de utilização é diferente, você deve determinar e seguir as suas próprias melhores práticas na garantia dos servidores web multi-inquilinos no seu ambiente.

Outras Melhores Práticas

Outras Boas Práticas incluem o uso do princípio do menor privilégio na criação de contas de utilizador, minimizando a área de superfície da sua rede e modificando acLs do sistema para proteger o seu sistema de ficheiros e registo.

Ao criar contas, use o princípio do menor privilégio

Quando criar contas de utilizador, aplique-lhes o princípio do menor privilégio. Para mais informações, consulte aplicar o Princípio do Menor Privilégio às Contas de Utilizador no Windows.

Minimize a área de superfície da sua rede

Configure a sua firewall para minimizar a área de superfície da rede nos servidores virados para a Internet. Para obter informações sobre Windows Firewall com Segurança Avançada, consulte os seguintes recursos (as referências para Windows Server 2008 R2 ainda são úteis para Windows Server 2012 e Windows Server 2012 R2).

• Windows Guia passo a passo do Servidor 2008 R2: Implementação Windows Políticas de Firewall e IPsec (link de descarregamento de documentos da Microsoft)

• Windows Servidor 2008 R2 Firewall Security (WindowsITPro)

• Resolução de problemas Windows Firewall com Segurança Avançada em Windows Server 2012 (TechNet)

Modificar acLs do sistema para proteger o sistema de ficheiros e o registo

Os utilitários que se seguem podem ajudar a avaliar o sistema de ficheiros de um servidor e as definições de segurança do registo.

• AccessChk

• AccessEnum

Consulte também

Implementar Windows Azure Pack: Web Sites