Windows Azure Pack: Webhelyek biztonsági fejlesztései

 

Érintett kiadások: Windows Azure Pack

A telepítést követően további ajánlott eljárások alkalmazásával növelheti a biztonságot. Ezek közé tartozik az IP-szűrés konfigurálása (más néven "feketelista"), a kvóták beállítása a DoS-támadások ellen, és egyéb lépések.

IP-szűrés konfigurálása

Az IP-szűrő beállítása nagyon fontos, mert a szolgáltatásmegtagadásos (DoS)-támadások indításának egyik legegyszerűbb módja a támadás maga a szolgáltatáson belüli támadás indítása. Ezért legalább a szolgáltatónak el kell tiltania a farmot önmagától.

Ha például a webfarm egy alhálózaton van üzembe helyezve, akkor az alhálózati IP-címeket szűrni kell, hogy a webhelyek ne hívjanak vissza a farmba, és (például) DoS-támadást indítsanak.

Ha korlátozni szeretné, hogy a bérlői feldolgozó folyamatok hozzáférjenek a webhelyfelhő kiszolgálóinak megfelelő IP-címtartományokhoz, konfigurálhatja az IP-szűrést az Windows Azure Pack felügyeleti portálon vagy a PowerShell használatával.

IP-szűrés konfigurálása a felügyeleti portálon

Az IP-szűrés rendszergazdáknak készült felügyeleti portálon való konfigurálásához hajtsa végre a következő lépéseket:

1. A portál bal oldali ablaktábláján válassza a Webhelyfelhők lehetőséget.

2. Válassza ki a konfigurálni kívánt webhelyfelhőt.

3. Válassza a Tiltólista lehetőséget.

4. A portál alján található parancssávon válassza a Hozzáadás lehetőséget.

5. Az Ip-címtartomány megadása párbeszédpanelen adjon meg egy IP-címet a Start menü Cím és a Zárócím mezőben a tartomány létrehozásához.

6. A művelet befejezéséhez kattintson a pipára.

IP-szűrés konfigurálása a PowerShell használatával

Az IP-szűrés PowerShell használatával történő konfigurálásához futtassa a következő PowerShell-parancsmagokat a vezérlőn. Cserélje le <a start-of-ip-blacklist-range> és <a end-of-ip-blacklist-range> tartományt érvényes IP-címekre.

Add-pssnapin WebHostingSnapin
Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1
Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>

A Dynamic WAS szolgáltatás újraindítása

Végül indítsa újra a Dynamic WAS szolgáltatást (DWASSVC) a webfeldolgozói szerepkör futtatására konfigurált kiszolgálókon. Futtassa a következő parancsokat egy rendszergazdai jogú parancssorból:

net stop dwassvc
net start dwassvc

Kvóták beállítása

A szolgáltatásmegtagadásos (DoS)-támadások megelőzése érdekében kvótákat kell beállítania a processzor- és memóriahasználatra, a sávszélességre és a lemezhasználatra vonatkozóan. Ezek a kvóták a felügyeleti portál rendszergazdák számára szolgáltatásában konfigurálhatók a tervkészítés részeként.

Ha egy terv rendelkezik ezekkel a kvótákkal, és egy, a tervhez tartozó webhely DoS-támadást vagy véletlen processzorhasználati csúcsot szenved, a webhely le lesz állítva a kvóták elérésekor, így leállítja a támadást.

Az említett kvóták a farmon belülről érkező támadások ellen is hasznosak. A farmon belüli találgatásos jelszótámadás például sok processzoridőt használna, és ha erős jelszavakat használna, a processzorkvótát a jelszó feltörése előtt érné el a rendszer.

Külön hitelesítő adatok hozzárendelése minden webhelyszerepkörhöz

A telepítést követően ajánlott biztonsági megoldásként szerkessze a webkiszolgálói szerepkörök hitelesítőadat-készletét, hogy azok mind egyediek legyenek. Az új, egyedi fiókok létrehozása után frissítheti a hitelesítő adatokat a felügyeleti portálon, hogy a rendszergazdák használják az új fiókokat.

A webhelyek kiszolgálói szerepkör hitelesítő adatainak szerkesztése

1. A Rendszergazdáknak felügyeleti portálon kattintson a Webhelyfelhők elemre, majd válassza ki a konfigurálni kívánt felhőt.

2. Kattintson a Hitelesítő adatok elemre. A Felhasználónév területen ellenőrizheti, hogy a felhasználónevek egyediek-e a webhelyszerepkörök között (például mindegyik lehet "Rendszergazda", ebben az esetben módosítani kell őket).

3. Válassza ki a hitelesítő adatok egyikét (például a felügyeleti kiszolgáló hitelesítő adatait), majd kattintson a Szerkesztés gombra a portál alján található parancssávon.

4. A megjelenő párbeszédpanelen (például Az Update Management Server hitelesítő adatai) adjon meg egy új felhasználónevet és jelszót.

5. A művelet befejezéséhez kattintson a pipára.

6. Ismételje meg a 3–5. lépést, amíg az összes hitelesítőadat-készlet egyedi nem lesz.

Hitelesítő adatok rendszeres módosítása

Ajánlott biztonsági gyakorlatként érdemes rendszeresen módosítani (vagy "összesíteni") a hitelesítő adatokat. A szerepkör-szolgáltatások esetében jobb egyszerre módosítani a felhasználónevet és a jelszót, nem csak a jelszót. A felhasználónév és a jelszó módosítása elkerüli a "szinkronizáláson kívüli" problémát, amely akkor fordulhat elő, ha csak a jelszó módosul, de a módosítás nem lett teljesen propagálása a teljes környezetben.

A felhasználónév és a jelszó módosításakor a rendszer ideiglenesen mindkét hitelesítőadat-készletet elérhetővé teszi az átállási folyamat során. Például két, hitelesítésre szoruló leválasztott rendszer továbbra is csatlakozhat a módosítás után. Ha az új hitelesítő adatok minden rendszeren működnek, letilthatja a régit.

Korlátozó megbízhatósági profil definiálása .NET-alkalmazásokhoz

A .NET-alkalmazások esetében meg kell határoznia egy korlátozó megbízhatósági profilt. Alapértelmezés szerint Windows Azure Pack: A webhelyek teljes megbízhatósági módban futnak, hogy a lehető legszélesebb körű alkalmazáskompatibilitást biztosítsák. Az optimális megbízhatósági szint kiválasztása biztonsági és kompatibilitási kompromisszumot is magában foglal. Mivel minden használati forgatókönyv eltérő, saját ajánlott eljárásokat kell meghatároznia és követnie a környezet több-bérlős webkiszolgálóinak biztonságossá tételéhez.

Egyéb ajánlott eljárások

Egyéb ajánlott eljárások közé tartozik a felhasználói fiókok létrehozásakor a minimális jogosultság elve, a hálózati felület minimalizálása, valamint a rendszer ACL-einek módosítása a fájlrendszer és a beállításjegyzék védelme érdekében.

Fiókok létrehozásakor használja a minimális jogosultság elvét

Felhasználói fiókok létrehozásakor alkalmazza rájuk a minimális jogosultság elvét. További információ: A minimális jogosultság elve alkalmazása a felhasználói fiókokra a Windows.

A hálózati felület kis méretűre állítása

Konfigurálja a tűzfalat a hálózati felület minimalizálásához az internetkapcsolattal rendelkező kiszolgálókon. A fokozott biztonságú Windows tűzfalra vonatkozó információkért tekintse meg az alábbi forrásokat (a Windows Server 2008 R2-re vonatkozó hivatkozások továbbra is hasznosak Windows Server 2012 és Windows Server 2012 R2 esetén).

• Windows Server 2008 R2 részletes útmutató: Windows tűzfal- és IPsec-házirendek üzembe helyezése (Microsoft-dokumentum letöltési hivatkozása)

• Windows Server 2008 R2 tűzfalbiztonság (WindowsITPro)

• Windows tűzfal hibaelhárítása speciális biztonsági megoldásokkal a Windows Server 2012 (TechNet) szolgáltatásban

Rendszer ACL-ek módosítása a fájlrendszer és a beállításjegyzék védelméhez

A következő letölthető segédprogramok segíthetnek kiértékelni a kiszolgáló fájlrendszer- és beállításjegyzék-biztonsági beállításait.

• AccessChk

• AccessEnum

Lásd még:

Windows Azure Pack: Webhelyek üzembe helyezése