Windows Azure Pack: Säkerhetsförbättringar för webbplatser

 

Gäller för: Windows Azure Pack

Efter installationen kan du förbättra säkerheten genom att implementera ytterligare metodtips. Dessa inkluderar att konfigurera IP-filtrering (kallas även "svartlistning"), ange kvoter för att motverka DoS-attacker och andra steg.

Konfigurera IP-filtrering

Det är mycket viktigt att ange ett IP-filter eftersom ett av de enklaste sätten att starta en DoS-attack (Denial of Service) är att starta attacken inifrån själva tjänsten. Därför bör värdtjänstleverantören åtminstone svartlista servergruppen från sig själv.

Om webbgruppen till exempel distribueras till ett undernät bör undernätets IP-adresser filtreras för att förhindra att webbplatser anropar tillbaka till servergruppen och startar (till exempel) en DoS-attack.

Om du vill begränsa klientarbetsprocesser från att komma åt IP-adressintervallen som motsvarar servrar i webbplatsmolnet kan du konfigurera IP-filtrering antingen i Windows Azure Pack-hanteringsportalen eller med hjälp av PowerShell.

Konfigurera IP-filtrering i hanteringsportalen

Utför följande steg för att konfigurera IP-filtrering i hanteringsportalen för administratörer:

1. I den vänstra rutan i portalen väljer du Webbplatsmoln.

2. Välj det webbplatsmoln som du vill konfigurera.

3. Välj Blocklista.

4. I kommandofältet längst ned i portalen väljer du Lägg till.

5. I dialogrutan Ange ett IP-adressintervall anger du en IP-adress i rutorna Startadress och Slutadress för att skapa intervallet.

6. Klicka på bockmarkeringen för att slutföra åtgärden.

Konfigurera IP-filtrering med hjälp av PowerShell

Om du vill konfigurera IP-filtrering med hjälp av PowerShell kör du följande PowerShell-cmdletar på kontrollanten. Ersätt <start-of-ip-blacklist-range> och <end-of-ip-blacklist-range> med giltiga IP-adresser.

Add-pssnapin WebHostingSnapin
Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1
Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>

Starta om dynamic WAS-tjänsten

Starta slutligen om DYNAMIC WAS Service (DWASSVC) på servrar som konfigurerats för att köra webbarbetsrollen. Kör följande kommando från en kommandorad med förhöjd behörighet:

net stop dwassvc
net start dwassvc

Ange kvoter

För att förhindra DoS-attacker (Denial of Service) bör du ange kvoter för processor-, minnes-, bandbredds- och diskanvändning. Dessa kvoter kan konfigureras i hanteringsportalen för administratörer som en del av planredigeringen.

När en plan har dessa kvoter inställda och en webbplats som tillhör planen drabbas av en DoS-attack eller en oavsiktlig CPU-topp, stoppas webbplatsen när kvoterna nås, vilket stoppar attacken.

De kvoter som nämns är också användbara mot attacker som kommer från servergruppen. Till exempel skulle ett brutet lösenordsangrepp inifrån servergruppen förbruka mycket CPU-tid, och förutsatt att starka lösenord används, skulle CPU-kvoten nås innan lösenordet kan brytas.

Tilldela en separat uppsättning autentiseringsuppgifter för varje webbplatsroll

Som bästa praxis för säkerhet efter installationen bör du redigera autentiseringsuppsättningarna för webbserverrollerna så att alla är unika. När du har skapat nya unika konton kan du uppdatera autentiseringsuppgifterna i hanteringsportalen så att administratörer kan använda de nya kontona.

Så här redigerar du autentiseringsuppgifter för serverrollen för webbplatser

1. I hanteringsportalen för administratörer klickar du på Webbplatsmoln och väljer sedan det moln som du vill konfigurera.

2. Klicka på Autentiseringsuppgifter. Under Användarnamn kan du kontrollera om användarnamnen är unika bland webbplatsrollerna (till exempel kan alla vara "administratör", i så fall bör de ändras).

3. Välj ett av namnen på autentiseringsuppgifterna (till exempel Hanteringsserverautentiseringsuppgifter) och klicka sedan på Redigera i kommandofältet längst ned i portalen.

4. I dialogrutan som visas (till exempel Uppdateringshanteringsserverautentiseringsuppgifter) anger du ett nytt användarnamn och lösenord.

5. Klicka på bockmarkeringen för att slutföra åtgärden.

6. Upprepa steg 3 till och med 5 tills alla autentiseringsuppsättningar är unika.

Ändra autentiseringsuppgifter ("roll") regelbundet

Som bästa praxis för säkerhet är det en bra idé att regelbundet ändra (eller "rulla"). För rolltjänsterna är det bättre att ändra både användarnamn och lösenord samtidigt, inte bara lösenordet. Om du ändrar både användarnamnet och lösenordet undviker du det "osynkroniserade" problemet som kan uppstå när endast lösenordet ändras, men ändringen har inte spridits helt i hela miljön.

När du ändrar både användarnamn och lösenord är båda uppsättningarna med autentiseringsuppgifter tillfälligt tillgängliga under övergången. Två frånkopplade system som behöver autentisera kan till exempel fortfarande ansluta efter ändringen. När de nya autentiseringsuppgifterna är på plats och fungerar fullt ut på alla system kan du inaktivera den gamla uppsättningen.

Definiera en restriktiv förtroendeprofil för .NET-program

För .NET-program bör du definiera en restriktiv förtroendeprofil. Som standard Windows Azure Pack: Webbplatser körs i läget Fullständigt förtroende för att ge bredast möjliga programkompatibilitet. Att välja den optimala förtroendenivån innebär en kompromiss mellan säkerhet och kompatibilitet. Eftersom varje användningsscenario skiljer sig åt bör du bestämma och följa dina egna metodtips för att skydda webbservrar för flera klientorganisationer i din miljö.

Andra metodtips

Andra metodtips är att använda principen om lägsta behörighet när du skapar användarkonton, minimerar nätverksytan och ändrar system-ACL:er för att skydda filsystemet och registret.

När du skapar konton använder du principen om lägsta behörighet

När du skapar användarkonton tillämpar du principen om lägsta behörighet för dem. Mer information finns i Tillämpa principen om lägsta behörighet på användarkonton på Windows.

Minimera nätverkets yta

Konfigurera brandväggen för att minimera nätverksytan på internetuppkopplade servrar. Information om Windows Brandvägg med avancerad säkerhet finns i följande resurser (referenserna för Windows Server 2008 R2 är fortfarande användbara för Windows Server 2012 och Windows Server 2012 R2).

• Windows Server 2008 R2 Stegvis guide: Distribuera Windows brandväggs- och IPsec-principer (nedladdningslänk för Microsoft-dokument)

• Windows Server 2008 R2 Firewall Security (WindowsITPro)

• Felsöka Windows brandvägg med avancerad säkerhet i Windows Server 2012 (TechNet)

Ändra system-ACL:er för att skydda filsystemet och registret

Följande nedladdningsbara verktyg kan hjälpa dig att utvärdera en servers filsystem och registersäkerhetsinställningar.

• AccessChk

• AccessEnum

Se även

Distribuera Windows Azure Pack: Webbplatser