美團(tuán)云(MOS)提供Windows Server 2008 R2和Windows Server 2012 R2數(shù)據(jù)中心版的云主機(jī)服務(wù)器。由于Windows服務(wù)器市場(chǎng)占有率較高的原因，針對(duì)Windows服務(wù)器的病毒木馬等惡意軟件較多，且容易獲得，技術(shù)門(mén)檻也較低，因此Windows服務(wù)器的安全問(wèn)題需要格外留意。為了安全地使用Windows云主機(jī)，建議應(yīng)用如下幾個(gè)簡(jiǎn)單的安全加固措施。雖然簡(jiǎn)單，但是已足夠防御大部分較常見(jiàn)的安全風(fēng)險(xiǎn)。

一、設(shè)置強(qiáng)密碼

美團(tuán)云Windows服務(wù)器創(chuàng)建后會(huì)給管理員(Administrator)帳號(hào)自動(dòng)生成12位的隨機(jī)密碼，在首次登入Windows服務(wù)器后，建議立即更改密碼。密碼盡量隨機(jī)，要包含數(shù)字，大小寫(xiě)字母和特殊符號(hào)，長(zhǎng)度至少12位?？梢圆捎靡恍┕ぞ?，例如：https://identitysafe.norton.com/password-generator，生成較強(qiáng)的隨機(jī)密碼。并且以后至少每隔3個(gè)月修改一次密碼。

修改密碼的方法為：在管理員成功登入主機(jī)后，按"Ctrl-Alt-Delete"，選擇"修改密碼" (提示：可以通過(guò)美團(tuán)云Web終端登入，點(diǎn)擊右上角的"Ctrl-Al-Delete"按鈕輸入該按鍵組合)

二、開(kāi)啟自動(dòng)系統(tǒng)更新

美團(tuán)云Windows服務(wù)器均已獲得原廠正版授權(quán)，可以開(kāi)啟Windows更新服務(wù)，自動(dòng)更新修補(bǔ)系統(tǒng)漏洞，以避免被惡意攻擊者利用侵入服務(wù)器。請(qǐng)用下面流程檢查是否啟用自動(dòng)更新，如果沒(méi)有啟用，則建議啟用。

Windows Server 2008

點(diǎn)擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 在右側(cè)的面板中，點(diǎn)擊"配置更新" 在彈出的對(duì)話框中，選擇"自動(dòng)安裝更新"

Windows Server 2012

點(diǎn)擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 打開(kāi)服務(wù)器管理器儀表盤(pán)，點(diǎn)擊"配置此本地服務(wù)器" 點(diǎn)擊"Windows更新"后的鏈接 在彈出的窗口，如果未啟用自動(dòng)更新，則顯示如圖所示警示，點(diǎn)擊"啟用自動(dòng)更新"。

三、開(kāi)啟防火墻

美團(tuán)云已經(jīng)提供了防火墻服務(wù)，如果您正在使用美團(tuán)云主機(jī)，可以在美團(tuán)云控制面板使用美團(tuán)云提供的防火墻服務(wù)進(jìn)行防火墻設(shè)置。美團(tuán)云平臺(tái)提供的防火墻是在虛擬機(jī)外部的云平臺(tái)提供了網(wǎng)絡(luò)端口的防火墻功能，配置相對(duì)簡(jiǎn)單宜用。如果其功能滿足需求，建議關(guān)閉Windows系統(tǒng)內(nèi)置的防火墻。否則可以參考以下內(nèi)容設(shè)置Windows內(nèi)置的防火墻。

(提示：為了避免Windows自帶防火墻和云平臺(tái)防火墻功能的沖突，在啟用Windows自帶防火墻后，請(qǐng)將云平臺(tái)的防火墻設(shè)置為"開(kāi)放"。)

如果Windows服務(wù)器購(gòu)買了公網(wǎng)帶寬，則會(huì)有一個(gè)帶公網(wǎng)IP地址的網(wǎng)卡與公網(wǎng)對(duì)接。用戶可以訪問(wèn)這個(gè)IP地址訪問(wèn)部署在主機(jī)上的服務(wù)。但是與此同時(shí)，惡意攻擊者也可能利用系統(tǒng)漏洞，通過(guò)這個(gè)公網(wǎng)IP侵入你的服務(wù)器。此時(shí)，除了要開(kāi)啟自動(dòng)更新及時(shí)修復(fù)系統(tǒng)漏洞外，還建議開(kāi)啟Windows server的防火墻，減少直接暴露在公網(wǎng)的端口，降低危險(xiǎn)端口暴露在公網(wǎng)的風(fēng)險(xiǎn)。并且，對(duì)于遠(yuǎn)程桌面(TCP 3389)等用于管理目的的服務(wù)端口，最好設(shè)置允許訪問(wèn)的IP白名單，以盡量減少被惡意掃描的風(fēng)險(xiǎn)。

(提示，建議通過(guò)美團(tuán)云控制臺(tái)的Web終端來(lái)配置防火墻，以防止配置過(guò)程中出現(xiàn)誤操作，導(dǎo)致遠(yuǎn)程桌面連接關(guān)閉。)

開(kāi)啟Windows防火墻的步驟如下：

Windows server 2008

點(diǎn)擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 在右側(cè)的面板中，點(diǎn)擊"轉(zhuǎn)到Windows防火墻" 在左側(cè)的樹(shù)狀列表中，鼠標(biāo)右鍵點(diǎn)擊"高級(jí)安全Windows防火墻" 在彈出的對(duì)話框中，選擇"公用配置文件"葉簽，確定"防火墻狀態(tài)"為"開(kāi)啟"，點(diǎn)擊"確定"關(guān)閉對(duì)話框 開(kāi)啟防火墻后，為了不影響遠(yuǎn)程桌面的訪問(wèn)，需要確保允許遠(yuǎn)程桌面的訪問(wèn)，方法為： 在左側(cè)的樹(shù)狀列表中，展開(kāi)"高級(jí)安全Windows防火墻"，點(diǎn)擊"入站規(guī)則"，在中間的規(guī)則列表中，查看"遠(yuǎn)程桌面(TCP-In)"是否開(kāi)啟。如果沒(méi)有開(kāi)啟，選中該規(guī)則，點(diǎn)擊右側(cè)的"啟用規(guī)則"開(kāi)啟

Windows server 2012

點(diǎn)擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 打開(kāi)服務(wù)器管理器儀表盤(pán)，點(diǎn)擊"配置此本地服務(wù)器" 點(diǎn)擊"Windows防火墻"后的鏈接 在彈出的窗口，點(diǎn)擊左邊攔的"啟用或關(guān)閉Windows防火墻" 在彈出的對(duì)話框，確保"公用網(wǎng)絡(luò)設(shè)置"下選中"啟用Windows防火墻"，并且不要勾選下面的兩個(gè)復(fù)選框。點(diǎn)擊"確定"關(guān)閉對(duì)話框

同樣，啟用防火墻后也需要確保允許遠(yuǎn)程桌面的訪問(wèn)，方法為：

在"Windows防火墻"界面，點(diǎn)擊"高級(jí)設(shè)置"，打開(kāi)的"高級(jí)安全Windows防火墻"窗口 在左邊欄選擇"入站規(guī)則"，在中間規(guī)則列表中，找到"遠(yuǎn)程桌面-用戶模式(TCP-In)"，且"配置文件"為"公用"的規(guī)則。如果沒(méi)有開(kāi)啟，選中該規(guī)則，點(diǎn)擊右側(cè)的"啟用規(guī)則"開(kāi)啟

如果安裝了IIS服務(wù)，則系統(tǒng)會(huì)自動(dòng)安裝并啟用允許80(HTTP)和443(HTTPS)服務(wù)的入站規(guī)則，不需要特殊配置。但是如果安裝了第三方的Web服務(wù)器，例如LAMP，則需要手動(dòng)安裝允許訪問(wèn)80和443的入站規(guī)則。Windows 2008/2012的配置方法相同，如下：

在防火墻"入站規(guī)則"界面，點(diǎn)擊右側(cè)"新建規(guī)則..." 在彈出對(duì)話框，選擇"端口"，點(diǎn)擊"下一步" "此規(guī)則應(yīng)用于TCP還是UDP?"，選擇"TCP";"此規(guī)則應(yīng)用于所有本地端口還是特定的端口": 選擇"特定本地端口"，在輸入框中輸入"80, 443"，點(diǎn)擊"下一步" 選擇"允許連接"，點(diǎn)擊"下一步" 選擇所有復(fù)選框，點(diǎn)擊"下一步" 名稱中輸入"Web服務(wù)", 點(diǎn)擊"完成"

四、開(kāi)啟IE增強(qiáng)安全配置

IE的增強(qiáng)安全配置啟用后，服務(wù)器IE瀏覽器只能訪問(wèn)白名單內(nèi)網(wǎng)站。這樣能夠有效避免管理員在服務(wù)器不小心訪問(wèn)惡意站點(diǎn)導(dǎo)致服務(wù)器感染病毒或木馬。該配置默認(rèn)開(kāi)啟。如果沒(méi)有開(kāi)啟，建議開(kāi)啟。開(kāi)啟方法為：

Windows server 2008

點(diǎn)擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 在彈出窗口的右側(cè)面板，點(diǎn)擊"配置IE ESC"，在彈出的對(duì)話框開(kāi)啟/關(guān)閉該功能

Windows server 2012

點(diǎn)擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 打開(kāi)服務(wù)器管理器儀表盤(pán)，點(diǎn)擊"配置此本地服務(wù)器" 點(diǎn)擊"IE增強(qiáng)的安全配置"后的鏈接，在彈出的對(duì)話框開(kāi)啟/關(guān)閉該功能

五、安裝并啟用防毒軟件

更進(jìn)一步地，還可以安裝并啟用實(shí)時(shí)殺毒軟件來(lái)進(jìn)一步提高服務(wù)器的安全性。一旦惡意軟件突破前面四步構(gòu)筑的防線，進(jìn)入了云主機(jī)，實(shí)時(shí)殺毒軟件可以防止惡意軟件在云主機(jī)運(yùn)行，保障云主機(jī)的安全性。

Windows Security Essentials是微軟為Windows 7/Vista開(kāi)發(fā)的免費(fèi)殺毒軟件，可以用于保護(hù)Windows Server 2008 R2數(shù)據(jù)中心版。其下載地址為：

http://windows.microsoft.com/zh-cn/windows/security-essentials-download

Windows Security Essentials安裝比較簡(jiǎn)單，只需要在上述鏈接下載并運(yùn)行安裝文件，逐步完成向?qū)Ь湍茼樌瓿伞?/p>

Windows Server 2012數(shù)據(jù)中心版可用的(免費(fèi))殺毒軟件不多。目前可以申請(qǐng)?jiān)囉肧ystem Center 2012 R2 Configuration Manager，并安裝其附帶的殺毒客戶端System Center Endpoint Protection。其下載地址為：

https://technet.microsoft.com/zh-cn/evalcenter/dn205297.aspx

安裝方法為：

下載軟件包后解壓(目前為SC2012R2SCCM_SCEP.exe)，進(jìn)入SMSSETUP/CLIENT目錄 雙擊執(zhí)行scepinstall，按照提示逐步安裝System Center Endpoint Protection。

六、合理的服務(wù)部署架構(gòu)

最后，合理的服務(wù)部署架構(gòu)能夠減少整個(gè)Windows服務(wù)器站點(diǎn)暴露在外的風(fēng)險(xiǎn)點(diǎn)，提升安全閾值。需要遵循的原則是：

網(wǎng)站名稱：Windows服務(wù)器的基礎(chǔ)安全加固
網(wǎng)頁(yè)URL：http://jinyejixie.com/news31/204131.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)建站、定制網(wǎng)站、全網(wǎng)營(yíng)銷推廣、營(yíng)銷型網(wǎng)站建設(shè)、小程序開(kāi)發(fā)、外貿(mào)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)