Windows Azure Pack: Websites – Sicherheitserweiterungen

Gilt für: Windows Azure Pack

Nach der Installation können Sie die Sicherheit erhöhen, indem Sie zusätzliche bewährte Methoden implementieren. Dazu zählt das Konfigurieren von IP-Filterung (auch bekannt als "auf schwarzer Liste speichern"), das Festlegen von Quoten, um DoS-Angriffe zu kontern, und andere Schritte.

Konfigurieren der IP-Filterung

Das Festlegen eines IP-Filters ist sehr wichtig, da ein Denial-of-Service-Angriff (DoS) besonders einfach innerhalb eines Diensts selbst gestartet werden kann. Deshalb sollte mindestens der Hostingdienstanbieter die selbst Farm auf die schwarze Liste setzen.

Wenn beispielsweise die Webfarm auf einem Subnetz bereitgestellt wird, dann sollten die IP-Adressen des Subnetzes gefiltert werden, um zu verhindern, dass Websites die Farm aufrufen und (zum Beispiel) einen DoS-Angriff starten.

Um zu verhindern, dass Mandantenarbeitsprozesse auf die IP-Adressbereiche entsprechend der Server innerhalb der Website-Cloud zugreifen, können Sie IP-Filterung entweder im Verwaltungsportal des Windows Azure-Pakets oder mithilfe von PowerShell konfigurieren.

So konfigurieren Sie weitere IP-Filterung im Verwaltungsportal

Um IP-Filterung im Verwaltungsportal für Administratoren zu konfigurieren, führen Sie die folgenden Schritte aus:

1. Wählen Sie im linken Bereich eines Portals Website-Clouds aus.

2. Wählen Sie die Website-Cloud aus, die Sie konfigurieren möchten.

3. Wählen Sie Blockierungsliste aus.

4. Klicken Sie in der Befehlsleiste unten im Portal auf Hinzufügen.

5. Geben Sie im Dialogfeld IP-Adressbereich eingeben eine IP-Adresse in den Feldern Anfang Adresse und Ende Adresse ein, um den Bereich zu erstellen.

6. Aktivieren Sie das Kontrollkästchen, um den Vorgang abzuschließen.

So konfigurieren Sie die IP-Filterung mithilfe von PowerShell

Um die IP-Filterung mithilfe von PowerShell zu konfigurieren, führen Sie die folgenden PowerShell-Cmdlets auf dem Controller aus. Ersetzen Sie <start-of-ip-blacklist-range> und <end-of-ip-blacklist-range> durch gültige IP-Adressen.

Add-pssnapin WebHostingSnapin
Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1
Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>

Neustarten des Dynamic WAS Service

Starten Sie schließlich den Dynamic WAS Service (DWASSVC) auf Servern neu, die für die Ausführung der Web-Worker-Rolle konfiguriert sind. Führen Sie die folgenden Befehle in einer Eingabeaufforderung mit erhöhten Rechten aus:

net stop dwassvc
net start dwassvc

Kontingente festlegen

Um DoS-Angriffe (Denial of Service) zu vermeiden, sollten Sie Kontingente für die Verwendung von CPU, Arbeitsspeicher, Bandbreite und Datenträger festlegen. Diese Kontingente können im Verwaltungsportal für Administratoren als Teil der Planerstellung konfiguriert werden.

Wenn ein Plan diese Kontingente festgelegt hat und eine Website, die dem Plan angehört, einen DoS-Angriff oder eine unbeabsichtigte CPU-Spitze erleidet, wird die Website beendet, wenn die Kontingente erreicht sind, und der Angriff somit beendet.

Die Kontingente sind auch bei Angriffen hilfreich, die aus der Farm stammen. Beispielsweise würde ein brutaler Kennwortangriff aus der Farm viel Prozessorzeit belegen, und (falls sichere Kennwörter verwendet werden) wäre das CPU-Kontingent erreicht, bevor das Kennwort geknackt werden könnte.

Zuweisen eines separaten Satz Anmeldeinformationen für jede Websiterolle

Als Best Practice nach der Installation sollten Sie die Anmeldeinformationen für die Webserverrollen bearbeiten, sodass sie alle eindeutig sind. Nachdem Sie die neuen, eindeutigen Konten erstellt haben, können Sie die Anmeldeinformationen im Verwaltungsportal für Administratoren aktualisieren, sodass die neuen Konten verwendet werden.

So bearbeiten Sie Anmeldeinformationen für Website-Serverrollen

1. Klicken Sie im Verwaltungsportal für Administratoren auf Website-Clouds, und wählen Sie dann die Cloud aus, die Sie konfigurieren möchten.

2. Klicken Sie auf Anmeldeinformationen. Unter Benutzername können Sie überprüfen, ob die Benutzernamen unter den Websiterollen eindeutig sind (beispielsweise sind alle möglicherweise "Administrator", in diesem Fall sollten sie geändert werden).

3. Wählen Sie einen der Anmeldeinformationsnamen (z. B. Verwaltungsserver-Anmeldeinformationen) aus, und klicken Sie dann unten im Portal auf "Bearbeiten" .

4. Geben Sie im Dialogfeld, das angezeigt wird (beispielsweise Anmeldeinformationen für Verwaltungsserver aktualisieren), einen neuen Benutzernamen und ein Kennwort ein.

5. Aktivieren Sie das Kontrollkästchen, um den Vorgang abzuschließen.

6. Wiederholen Sie die Schritte 3 bis 5, bis alle Anmeldeinformationssätze eindeutig sind.

Regelmäßiges Ändern von Anmeldeinformationen

Als Best Practice wird empfohlen, Anmeldeinformationen regelmäßig zu ändern. Für Rollendienste ist es besser, Benutzernamen und Kennwort gleichzeitig zu ändern, nicht nur das Kennwort. Das Ändern des Benutzernamens und des Kennworts vermeidet das "nicht synchron"-Problem, das auftreten kann, wenn nur das Kennwort geändert wird, aber die Änderung nicht vollständig in der Umgebung weitergegeben wurde.

Wenn Sie Benutzernamen und Kennwort ändern, sind vorübergehend beide Anmeldeinformationssätze während des Rolloverprozesses verfügbar. Beispielsweise können zwei aufgeteilte Systeme, die eine Authentifizierung durchführen müssen, nach der Änderung weiterhin eine Verbindung herstellen. Wenn die neuen Anmeldeinformationen eingesetzt sind und vollständig auf allen Systemen arbeiten, können Sie den alten Satz deaktivieren.

Definieren eines einschränkenden Vertrauenswürdigkeitsprofils für .NET-Anwendungen

Für .NET-Anwendungen sollten Sie ein einschränkendes Vertrauenswürdigkeitsprofil definieren. Standardmäßig wird Windows Azure-Paket: Websites im Modus mit vollständiger Vertrauenswürdigkeit ausgeführt, um die umfangreichste mögliche Anwendungskompatibilität bereitzustellen. Durch Auswählen der optimalen Vertrauensebene wird ein Kompromiss zwischen Sicherheit und Kompatibilität getroffen. Da sich jedes Verwendungsszenario unterscheidet, sollten Sie Ihre eigenen bewährten Methoden ermitteln und diesen folgen, um die Webserver mit mehreren Mandanten in Ihrer Umgebung zu sichern.

Weitere bewährte Methoden

Weiterhin kann das Prinzip der geringsten Rechte verwendet werden, wenn Benutzerkonten erstellt werden, wodurch die Netzwerkoberfläche minimiert wird, und System-ACLs modifiziert werden, um das Dateisystem und die Registrierung zu schützen.

Anwenden des Prinzips der geringsten Rechte beim Erstellen von Benutzerkonten

Wenden Sie beim Erstellen von Benutzerkonten das Prinzip der geringsten Rechte an. Weitere Informationen finden Sie unter Anwenden des Prinzips der geringsten Rechte beim Erstellen von Benutzerkonten unter Windows.

Minimieren der Netzwerkoberfläche

Konfigurieren Sie Ihre Firewall zur Minimierung der Netzwerkoberfläche auf Servern mit Internetzugang. Weitere Informationen zur Windows-Firewall mit erweiterter Sicherheit finden Sie in den folgenden Ressourcen (die Verweise für Windows Server 2008 R2 gelten auch für Windows Server 2012 und Windows Server 2012 R2).

• Schrittweise Anleitung für Windows Server 2008 R2: Bereitstellen von Windows-Firewall und IPsec-Richtlinien (Downloadlink für Microsoft-Dokument)

• Firewallsicherheit für Windows Server 2008 R2 (WindowsITPro)

• Beheben von Problemen mit der Windows-Firewall bei Verwendung der erweiterten Sicherheit in Windows Server 2012 (TechNet)

Ändern der System-ACLs zum Schutz des Dateisystems und der Registrierung

Die folgenden herunterladbaren Hilfsprogramme können helfen, die Sicherheitseinstellungen für das Dateisystem und die Registrierung eines Servers auszuwerten.

• AccessChk

• AccessEnum

Weitere Informationen

Bereitstellen von Windows Azure Pack: Websites