安裝 Windows Azure Pack:Web Sites 的安全性增強功能
適用于:Windows Azure Pack
安裝完成後,您可以實作其他最佳作法來加強安全性, 包括設定 IP 篩選 (也稱為「列入封鎖清單」)、設定計數 DoS 攻擊的配額及其他步驟等等。
設定 IP 篩選
設定 IP 篩選十分重要,因為發動拒絕服務 (DoS) 攻擊最簡單的方法之一,就是從服務內部發動攻擊。 因此,主機服務提供者一般都會將伺服陣列列入封鎖清單。
例如,如果將 Web 伺服陣列部署到子網路,即應篩選該子網路的 IP 位址,以免呼叫傳入伺服器陣列,使之有機會發動攻擊,例如 DoS 攻擊。
如果要限制租用戶處理序存取網站雲端內之伺服器的對應 IP 位址範圍,可以透過 Windows Azure Pack 管理入口網站或 PowerShell 設定 IP 篩選。
在管理入口網站中設定 IP 篩選
如果要在管理員的管理入口網站中設定 IP 篩選,請執行下列步驟:
在入口網站的左窗格中,選擇 [網站雲端]。
選取要設定的網站雲端。
選取 [封鎖清單]。
按一下入口網站底部之命令列中的 [新增]。
在 [輸入 IP 位址範圍] 對話方塊的 [開始位址] 與 [結束位址] 方塊中輸入 IP 位址,以建立範圍
按一下核取記號以完成操作。
使用 PowerShell 設定 IP 篩選
如果要使用 PowerShell 設定 IP 篩選,請在控制器上執行下列 PowerShell 指令程式。 將start-of-ip-blacklist-range > 和 end-of-ip-blacklist-range 取代 < 為有效的 IP 位址。><
Add-pssnapin WebHostingSnapin
Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1
Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>
重新啟動動態 WAS 服務
最後,請重新啟動設定要執行「Web 背景工作」角色之伺服器上的動態 WAS 服務 (DWASSVC)。 從提升權限的命令提示字元執行下列命令:
net stop dwassvc
net start dwassvc
設定配額
如果想要避開拒絕服務 (DoS) 攻擊,應設定 CPU、記憶體、頻寬與磁碟使用量的配額。 這些配額可以在撰寫方案時,於管理員的管理入口網站中設定。
當方案設定了這些配額之後,如果方案中的網站受到 DoS 攻擊或意外的 CPU 失敗,網站將會在達到配額時停止,藉此停止攻擊。
這些配額也可用來遏止來自伺服陣列內部的攻擊。 例如,來自伺服陣列內部的密碼破解攻擊,會消耗大量 CPU 時間,假設使用的是增強式密碼,則在密碼遭到破解之前,即可以已經達到 CPU 配額。
為每個 Web Sites 角色個別指定一組認證
安裝完成之後,建議您編輯「Web 伺服器」角色的認證集,使所有認證均為唯一的,以確保安全性。 在建立新的專用帳戶之後,您可以在管理員的管理入口網站中更新認證,如此即可使用這些新帳戶。
編輯 Web Sites 伺服器角色認證
在管理員的管理入口網站中,按一下 [網站雲端],然後選擇要設定的雲端。
按一下 [認證] 。 在 [使用者名稱] 底下,您可以檢查使用者名稱在 Web Site 角色中的唯一性 (例如,如果全部都是「管理員」,便須加以變更)。
選取其中一個認證名稱 (,例如管理 伺服器認證) ,然後按一下入口網站底部命令列中的 [ 編輯 ]。
在顯示的對話方塊 (例如 [更新管理伺服器認證]) 中,提供新的使用者名稱及密碼。
按一下核取記號以完成操作。
請重複步驟 3 至 5,使所有認證均為唯一的。
定期變更 (「換用」) 認證
為確保安全,建議定期變更 (或「換用」) 認證。 對於角色服務,建議每次都能變更使用者名稱及密碼,而不光只是變更密碼。 同時變更使用者名稱及密碼可避免只變更密碼,而此變更未傳播到整個環境這類「不同步」問題。
在變更使用者名稱及密碼這段換用期間,新舊兩組認證會暫時並存。 例如,兩個連線中斷但需要驗證的系統在變更之後仍可連線。 當新認證就緒,可以在所有系統上正常運作時,即可停用舊的認證集。
定義 .NET 應用程式的限制信任設定檔
對於 .NET 應用程式,您應定義限制信任設定檔。 Windows Azure Pack: Web Sites 預設會在完全信任模式下執行,以提供最大範圍的應用程式相容性。 選取最佳化信任層級必須在安全性及相容性上取捨。 由於每種使用狀況不同,您應決定最能保障您環境中多租用戶 Web 伺服器之安全的作法。
其他最佳作法
「其他最佳作法」包含如何使用最低權限原則建立使用者帳戶、如何最小化網路何修改系統 ACL 來保護檔案系統與登錄。
使用最低權限原則建立使用者帳戶時,遵循最低權限的原則
使用最低權限原則建立使用者帳戶。 如需詳細資訊,請參閱< 如何在 Windows 上對使用者帳戶套用最低權限原則>。
最小化網路介面區域
設定防火牆組態,以最小化連線到網際網路之伺服器的網路介面區域。 如需具有進階安全性的 Windows 防火牆的資訊,請參閱下列資源 (Windows Server 2008 R2 的資源也適用於 Windows Server 2012 及 Windows Server 2012 R2)。
Windows Server 2008 R2 逐步指南:部署 Windows 防火牆與 IPsec 原則 (Microsoft 文件下載連結)
Windows Server 2008 R2 防火牆安全性 (WindowsITPro)
修改系統 ACL,以保障檔案系統與登錄的安全
您可以下載下列公用程式,協助您評估伺服器之檔案系統與登錄的安全性設定。