Windows Azure Pack: ulepszenia zabezpieczeń witryn internetowych

 

Dotyczy: Windows Azure Pack

Po zakończeniu instalacji można zwiększyć bezpieczeństwo, implementując dodatkowe najlepsze rozwiązania. Obejmują one konfigurowanie filtrowania adresów IP (nazywanego również "czarną listą"), ustawianie limitów przydziału w celu przeciwdziałania atakom doS i innych kroków.

Konfigurowanie filtrowania adresów IP

Ustawienie filtru IP jest bardzo ważne, ponieważ jednym z najprostszych sposobów uruchomienia ataku typu "odmowa usługi" (DoS) jest uruchomienie ataku z poziomu samej usługi. W związku z tym co najmniej dostawca usług hostingowych powinien na liście czarnej listy farmy od samego siebie.

Jeśli na przykład farma internetowa jest wdrożona w podsieci, adresy IP podsieci powinny być filtrowane, aby zapobiec wywołaniu witryn sieci Web z powrotem do farmy i uruchomieniu (na przykład ataku do systemu DoS).

Aby ograniczyć procesy robocze dzierżawy do uzyskiwania dostępu do zakresów adresów IP odpowiadających serwerom w chmurze witryny sieci Web, można skonfigurować filtrowanie adresów IP w portalu administracyjnym Windows Azure Pack lub przy użyciu programu PowerShell.

Aby skonfigurować filtrowanie adresów IP w portalu zarządzania

Aby skonfigurować filtrowanie adresów IP w portalu zarządzania dla administratorów, wykonaj następujące kroki:

1. W okienku po lewej stronie portalu wybierz pozycję Chmury witryn sieci Web.

2. Wybierz chmurę witryn sieci Web, którą chcesz skonfigurować.

3. Wybierz pozycję Lista zablokowanych.

4. Na pasku poleceń w dolnej części portalu wybierz pozycję Dodaj.

5. W oknie dialogowym Wprowadź zakres adresów IP wprowadź adres IP w polach Adres początkowy i Końcowy , aby utworzyć zakres.

6. Kliknij znacznik wyboru, aby ukończyć operację.

Aby skonfigurować filtrowanie adresów IP przy użyciu programu PowerShell

Aby skonfigurować filtrowanie adresów IP przy użyciu programu PowerShell, uruchom następujące polecenia cmdlet programu PowerShell na kontrolerze. Zastąp <ciąg start-of-ip-blacklist-range> i <end-of-ip-blacklist-range> prawidłowymi adresami IP.

Add-pssnapin WebHostingSnapin
Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1
Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>

Uruchom ponownie usługę DYNAMIC WAS

Na koniec uruchom ponownie usługę Dynamic WAS Service (DWASSVC) na serwerach skonfigurowanych do uruchamiania roli internetowego procesu roboczego. W wierszu polecenia z podwyższonym poziomem uprawnień uruchom następujące polecenia:

net stop dwassvc
net start dwassvc

Ustawianie limitów przydziału

Aby zapobiec atakom typu "odmowa usługi" (DoS), należy ustawić limity przydziału procesora CPU, pamięci, przepustowości i użycia dysku. Te limity przydziału można skonfigurować w portalu zarządzania dla administratorów w ramach tworzenia planu.

Jeśli plan ma te limity przydziału i witryna internetowa należąca do planu cierpi na atak DoS lub nieumyślny wzrost użycia procesora CPU, witryna internetowa zostanie zatrzymana po osiągnięciu limitów przydziału, co spowoduje zatrzymanie ataku.

Wymienione limity przydziału są również pomocne w przypadku ataków pochodzących z farmy. Na przykład atak siłowy z poziomu farmy będzie zużywać dużo czasu procesora CPU i przy założeniu, że są używane silne hasła, limit przydziału procesora CPU zostanie osiągnięty, zanim będzie można złamać hasło.

Przypisywanie oddzielnego zestawu poświadczeń dla każdej roli witryny sieci Web

Najlepszym rozwiązaniem w zakresie zabezpieczeń po instalacji jest edytowanie zestawów poświadczeń dla ról serwera sieci Web, aby były one unikatowe. Po utworzeniu nowych, unikatowych kont można zaktualizować poświadczenia w portalu zarządzania dla administratorów, aby używać nowych kont.

Aby edytować poświadczenia roli serwera lokacji sieci Web

1. W portalu zarządzania dla administratorów kliknij pozycję Chmury witryn sieci Web, a następnie wybierz chmurę, którą chcesz skonfigurować.

2. Kliknij pozycję Poświadczenia. W obszarze Nazwa użytkownika możesz sprawdzić, czy nazwy użytkowników są unikatowe wśród ról witryny sieci Web (na przykład mogą to być wszystkie nazwy "Administrator", w tym przypadku należy je zmienić).

3. Wybierz jedną z nazw poświadczeń (na przykład poświadczenia serwera zarządzania), a następnie kliknij pozycję Edytuj na pasku poleceń w dolnej części portalu.

4. W wyświetlonym oknie dialogowym (na przykład Poświadczenie serwera zarządzania aktualizacjami) podaj nową nazwę użytkownika i hasło.

5. Kliknij znacznik wyboru, aby ukończyć operację.

6. Powtórz kroki od 3 do 5, aż wszystkie zestawy poświadczeń będą unikatowe.

Regularnie zmieniaj poświadczenia ("roll")

Najlepszym rozwiązaniem w zakresie zabezpieczeń jest regularne zmienianie poświadczeń (lub "roll"). W przypadku usług ról lepiej jest zmienić jednocześnie nazwę użytkownika i hasło, a nie tylko hasło. Zmiana zarówno nazwy użytkownika, jak i hasła pozwala uniknąć problemu "braku synchronizacji", który może wystąpić, gdy tylko hasło zostanie zmienione, ale zmiana nie została całkowicie rozpropagowana w całym środowisku.

Po zmianie nazwy użytkownika i hasła oba zestawy poświadczeń są tymczasowo dostępne podczas procesu przerzucania. Na przykład dwa odłączone systemy, które muszą się uwierzytelnić, mogą nadal łączyć się po zmianie. Gdy nowe poświadczenia są stosowane i w pełni działają we wszystkich systemach, można wyłączyć stary zestaw.

Definiowanie restrykcyjnego profilu zaufania dla aplikacji .NET

W przypadku aplikacji .NET należy zdefiniować restrykcyjny profil zaufania. Domyślnie Windows Azure Pack: witryny sieci Web działają w trybie pełnego zaufania, aby zapewnić najszerszą zgodność aplikacji. Wybór optymalnego poziomu zaufania obejmuje kompromis z zabezpieczeniami i zgodnością. Ponieważ każdy scenariusz użycia jest inny, należy określić i postępować zgodnie z własnymi najlepszymi rozwiązaniami w zabezpieczaniu wielodostępnych serwerów internetowych w środowisku.

Inne najlepsze rozwiązania

Inne najlepsze rozwiązania obejmują stosowanie zasady najniższych uprawnień podczas tworzenia kont użytkowników, minimalizowania obszaru powierzchni sieci i modyfikowania list ACL systemu w celu ochrony systemu plików i rejestru.

Podczas tworzenia kont należy użyć zasady najniższych uprawnień

Podczas tworzenia kont użytkowników zastosuj do nich zasadę najniższych uprawnień. Aby uzyskać więcej informacji, zobacz Stosowanie zasady najniższych uprawnień do kont użytkowników na Windows.

Minimalizuj obszar powierzchni sieci

Skonfiguruj zaporę, aby zminimalizować obszar powierzchni sieci na serwerach z Dostępem do Internetu. Aby uzyskać informacje na temat zapory Windows z zabezpieczeniami zaawansowanymi, zobacz następujące zasoby (odwołania do Windows Server 2008 R2 są nadal przydatne w przypadku Windows Server 2012 i Windows Server 2012 R2).

• Windows Server 2008 R2 — przewodnik krok po kroku: wdrażanie zapory Windows i zasad protokołu IPsec (link pobierania dokumentów firmy Microsoft)

• Windows Server 2008 R2 Firewall Security (WindowsITPro)

• Rozwiązywanie problemów z zaporą Windows z zabezpieczeniami zaawansowanymi w usłudze Windows Server 2012 (TechNet)

Modyfikowanie list ACL systemu w celu zabezpieczenia systemu plików i rejestru

Następujące narzędzia do pobrania mogą pomóc w ocenie systemu plików serwera i ustawień zabezpieczeń rejestru.

• AccessChk

• AccessEnum

Zobacz też

Wdrażanie pakietu Windows Azure Pack: witryny sieci Web