English | 简体中文 | 繁體中文 | Русский язык | Français | Español | Português | Deutsch | 日本語 | 한국어 | Italiano | بالعربية
Meituan Cloud (MOS) fournit Windows Server 2008 R2et Windows Server 2012 R2Serveurs d'ordinateurs cloud de centre de données. En raison de la forte part de marché des serveurs Windows, il y a beaucoup de virus, chevaux de Troie et autres logiciels malveillants pour les serveurs Windows, et ils sont faciles à obtenir, avec un seuil technique faible. Par conséquent, la sécurité des serveurs Windows nécessite une attention particulière. Pour utiliser en toute sécurité les serveurs cloud Windows, il est recommandé d'appliquer plusieurs mesures de renforcement de sécurité simples. Bien que simples, elles suffisent à défendre contre la plupart des risques de sécurité courants.
Première partie : Définir un mot de passe fort
Les serveurs d'ordinateurs cloud Meituan Cloud créent automatiquement un compte administrateur (Administrator) après la création du serveur Windows.12bits de mot de passe aléatoire, après la première connexion au serveur Windows, il est recommandé de changer le mot de passe immédiatement. Le mot de passe doit être le plus aléatoire possible, inclure des chiffres, des lettres majuscules et minuscules et des caractères spéciaux, et la longueur doit être au moins12bits. Vous pouvez utiliser certains outils, par exemple : https://identitysafe.norton.com/password-generator, générer un mot de passe aléatoire fort. Et à l'avenir, au moins toutes les3mois pour changer le mot de passe.
La méthode de modification du mot de passe est : après que l'administrateur est connecté avec succès à l'hôte, appuyez sur "Ctrl-Alt-Supprimer", sélectionnez "Modifier le mot de passe" (conseil : vous pouvez vous connecter au terminal Web de Meituan Cloud, cliquez sur le coin supérieur droit "Ctrl-Al-Tapez "Supprimer" bouton et entrer cette combinaison de touches)
Deuxième partie : Activer la mise à jour du système automatique
Les serveurs Windows de Meituan Cloud sont tous autorisés par le fabricant, ils peuvent activer le service de mise à jour Windows, mettre à jour automatiquement les vulnérabilités du système pour éviter d'être utilisés par des pirates malveillants pour pénétrer dans le serveur. Veuillez suivre le processus suivant pour vérifier si la mise à jour automatique est activée, et si elle n'est pas activée, il est recommandé de l'activer.
Windows Server 2008
Cliquez sur l'icône "Gestionnaire de serveurs" dans la barre des tâches, cliquez sur "Configurer les mises à jour" dans le panneau de droite. Dans la boîte de dialogue qui s'ouvre, sélectionnez "Installer automatiquement les mises à jour".
Windows Server 2012
Cliquez sur l'icône "Gestionnaire de serveurs" dans la barre des tâches pour ouvrir le tableau de bord du gestionnaire de serveurs, cliquez sur "Configurer ce serveur local", cliquez sur le lien après "Mises à jour Windows". Dans la fenêtre qui s'ouvre, si l'auto-mise à jour n'est pas activée, une alerte comme celle indiquée dans l'image s'affiche, cliquez sur "Activer la mise à jour automatique".
Troisième : Activer le pare-feu
Meituan Cloud a fourni le service de pare-feu. Si vous utilisez un hôte Meituan Cloud, vous pouvez utiliser le service de pare-feu fourni par Meituan Cloud dans le panneau de contrôle Meituan Cloud pour configurer le pare-feu. Le pare-feu fourni par la plate-forme Meituan Cloud est une fonctionnalité de pare-feu de port réseau fournie à l'extérieur de la machine virtuelle sur la plate-forme cloud, la configuration est relativement simple et facile à utiliser. Si ses fonctionnalités répondent à vos besoins, il est recommandé de désactiver le pare-feu intégré du système Windows. Sinon, vous pouvez vous référer aux contenus suivants pour configurer le pare-feu intégré de Windows.
(Avis : pour éviter les conflits entre les fonctionnalités du pare-feu intégré de Windows et du pare-feu de la plate-forme cloud, après avoir activé le pare-feu intégré de Windows, veuillez définir le pare-feu de la plate-forme cloud sur "Ouvert".)
Si le serveur Windows a acheté une largeur de bande publique, il y aura une carte réseau avec une adresse IP publique connectée au réseau public. Les utilisateurs peuvent accéder à cet adresse IP pour accéder aux services déployés sur l'hôte. Cependant, à la même époque, les attaquants malveillants peuvent également utiliser les vulnérabilités du système pour pénétrer votre serveur via cette adresse IP publique. À ce moment-là, en plus de cocher la mise à jour automatique pour corriger les vulnérabilités du système à temps, il est recommandé d'activer le pare-feu Windows server pour réduire les ports exposés directement au réseau public, réduire le risque d'exposition des ports dangereux au réseau public. Et, pour le bureau à distance (TCP 3389) etc. utilisés à des fins de gestion, il est préférable de configurer une liste blanche d'IP autorisées pour accéder pour réduire au maximum le risque d'analyse malveillante.
(Avis, il est recommandé de configurer le pare-feu via le terminal Web de la console Meituan Cloud pour éviter les opérations incorrectes pendant le processus de configuration, ce qui pourrait entraîner la fermeture de la connexion de bureau à distance.)
Les étapes pour activer le pare-feu Windows sont les suivantes :
Windows server 2008
Cliquez sur l'icône "Gestionnaire de serveur" dans la barre des tâches, dans le panneau de droite, cliquez sur "Aller à Windows Firewall", dans la liste à puces à gauche, cliquez avec le bouton droit sur "Pare-feu Windows avancé de sécurité", dans la boîte de dialogue qui s'ouvre, sélectionnez l'onglet "Configuration公用", assurez-vous que "Statut du pare-feu" est "Activé", puis cliquez sur "OK" pour fermer la boîte de dialogue
Après avoir activé le pare-feu, pour ne pas affecter l'accès au bureau à distance, il est nécessaire de s'assurer que l'accès au bureau à distance est autorisé, la méthode est la suivante :
Dans la liste à puces à gauche, développez "Pare-feu Windows avancé de sécurité", cliquez sur "Règles entrantes", dans la liste des règles au milieu, vérifiez "Tableau de bureau à distance (TCP-In)" est-il activé. Si non, sélectionnez cette règle et cliquez sur "Activer la règle" à droite pour l'activer
Windows server 2012
Cliquez sur l'icône "Gestionnaire de serveur" dans la barre des tâches pour ouvrir le tableau de bord du gestionnaire de serveur, cliquez sur "Configurer ce serveur local", cliquez sur le lien après "Windows Firewall". Dans la fenêtre qui s'ouvre, cliquez sur l'onglet de gauche "Activer ou désactiver le pare-feu Windows". Dans la boîte de dialogue qui s'ouvre, assurez-vous que "Paramètres de réseau public" sélectionne "Activer le pare-feu Windows", et ne cochez pas les deux cases à cocher en dessous. Cliquez sur "OK" pour fermer la boîte de dialogue
De même, après avoir activé le pare-feu, il est également nécessaire de s'assurer que l'accès à distance de bureau est autorisé, la méthode est la suivante :
Dans l'interface "Windows Firewall", cliquez sur "Paramètres avancés", ouvrez la fenêtre "Windows Firewall Advanced Security" dans le panneau de gauche sélectionnez "Règles entrantes", dans la liste des règles au centre, trouvez "Desktop à distance-Mode utilisateur (TCP-In)" et "Fichier de configuration" est "Commun" des règles. Si elle n'est pas activée, sélectionnez cette règle, cliquez sur "Activer la règle" dans le panneau de droite pour l'activer
Si le service IIS est installé, le système installera et activera automatiquement les règles permettant l'accès80 (HTTP) et443Les règles entrantes des services (HTTPS) n'ont pas besoin de configuration spéciale. Cependant, si un serveur web tiers tel que LAMP est installé, il est nécessaire de l'installer manuellement pour autoriser l'accès80 et443des règles entrantes. Windows 2008/2012La méthode de configuration est la même que celle du paragraphe précédent :
Dans l'interface "Règles entrantes" du pare-feu, cliquez sur "Nouveau règle..." dans la fenêtre contextuelle, sélectionnez "Port", cliquez sur "Suivant" "Cette règle s'applique à TCP ou UDP"63;" sélectionnez "TCP";"Cette règle s'applique à tous les ports locaux ou à un port local spécifique": sélectionnez "Port local spécifique", entrez ""80, 443" cliquez sur "Suivant", sélectionnez "Autoriser la connexion", cliquez sur "Suivant", sélectionnez toutes les cases à cocher, cliquez sur "Suivant", entrez "Web service" dans le nom, cliquez sur "Terminer"
Quatrièmement, activer la configuration avancée de sécurité IE
Une fois la configuration avancée de sécurité IE activée, le navigateur IE du serveur ne peut accéder qu'aux sites web de la liste blanche. Cela permet d'éviter efficacement que l'administrateur ne visite accidentellement un site malveillant et infecte le serveur par un virus ou un cheval de Troie. Cette configuration est activée par défaut. Si elle n'est pas activée, il est recommandé de l'activer. La méthode d'activation est la suivante :
Windows server 2008
Cliquez sur l'icône "Gestionnaire de serveur" dans la barre des tâches, dans le panneau de droite de la fenêtre contextuelle, cliquez sur "Configurer l'ESC IE", dans la fenêtre contextuelle pour l'ouvrir/Désactiver cette fonction
Windows server 2012
Cliquez sur l'icône "Gestionnaire de serveur" dans la barre des tâches pour ouvrir le tableau de bord du Gestionnaire de serveur, cliquez sur "Configurer ce serveur local", cliquez sur le lien après "Configurer l'IE en mode sécurisé" dans la fenêtre contextuelle pour l'ouvrir/Désactiver cette fonction
Cinquièmement, installer et activer un logiciel antiviru
De plus, vous pouvez installer et activer un logiciel antivirus en temps réel pour améliorer davantage la sécurité du serveur. Une fois que les logiciels malveillants ont réussi à pénétrer les quatre premières étapes de défense construites, et sont entrés dans le serveur cloud, le logiciel antivirus en temps réel peut empêcher les logiciels malveillants de s'exécuter sur le serveur cloud, garantissant ainsi la sécurité du serveur cloud.
Windows Security Essentials est un outil de sécurité fourni par Microsoft pour Windows 7/Logiciel antivirus gratuit développé pour Vista, peut être utilisé pour protéger Windows Server 2008 R2Version数据中心。
L'installation de Windows Security Essentials est assez simple, il suffit de télécharger et d'exécuter le fichier d'installation à partir du lien ci-dessus, de suivre les étapes du guide pour terminer avec succès.
Windows Server 2012Il n'y a pas beaucoup de logiciels antivirus gratuits disponibles pour la version数据中心. Actuellement, vous pouvez demander à essayer System Center 2012 R2 Configuration Manager, et installez le client antivirus intégré System Center Endpoint Protection.
La méthode d'installation est :
Décompressez le paquet de logiciels téléchargé (actuellement SC2012_R2_SCCM_SCEP.exe), accédez à SMSSETUP/Répertoire CLIENT
Double-cliquez pour exécuter scepinstall, suivez les instructions pour installer progressivement System Center Endpoint Protection.
Le rédacteur en chef du tutoriel Néhémie recommande l'installation d'un serveur indépendant : mcafee 8.8
Sixième partie : architecture de déploiement de service raisonnable
Enfin, une architecture de déploiement de service raisonnable peut réduire les points de risque exposés du site Web Windows Server, augmenter le seuil de sécurité. Les principes à suivre sont :
Principe de rôle unique : un serveur d'ordinateur cloud ne fait qu'une seule chose, ne fournit qu'un seul service. Par exemple, le service de base de données sur un serveur, le serveur Web déployé sur un autre serveur. Cela permet d'évaluer plus précisément si ce serveur a besoin d'une adresse publique, quels ports doivent être ouverts, de sorte que l'adresse publique et les ports soient exposés au minimum, réduisant ainsi les points de risque. Par exemple, le service de base de données n'a généralement pas besoin d'adresse publique, donc il n'est pas nécessaire d'acheter de bande passante publique, ce qui économise non seulement des coûts, mais aussi améliore la sécurité. Le serveur Web ouvre généralement uniquement80/443Port, d'autres ports peuvent être fermés par le pare-feu.
Principe de minimalisme : ne pas activer les services et fonctionnalités non nécessaires, ne pas installer les logiciels non nécessaires, ne pas ouvrir les ports non nécessaires, ne pas acheter de bande passante publique pour les serveurs non nécessaires. Suivre le principe de minimalisme, à la fois économique et écologique, et réduire les risques de sécurité.