Skip to main content
Microsoft Azure Pack: Web Siteleri Güvenlik Geliştirmeleri
 

Uygulama Alanı: Windows Azure Pack

Yükleme sonrasında, diğer en iyi yöntemleri uygulayarak güvenliğinizi geliştirebilirsiniz.Bunlar arasında, IP filtresini yapılandırma ("bloke liste oluşturma" olarak da bilinir), DoS saldırılarına karşı kotalar belirleme ve diğer adımlar bulunur.

Bir hizmet reddi (DoS) saldırısını başlatmanın en kolay yollarından biri saldırıyı hizmetin içinden başlatmak olduğundan, bir IP filtresinin ayarlanması çok önemlidir.Bu nedenle, en azından barındırma hizmet sağlayıcısı, grubu kendisinden bloke listeye almalıdır.

Örneğin, web grubu bir alt ağa dağıtılırsa, bu durumda alt ağ IP adresleri, web sitelerinin gruba geri çağrılmasını ve (örneğin) bir DoS saldırısı başlatmasını önleyecek şekilde filtrelenmelidir.

Kiracı çalışan işlemlerinin Web Sitesi bulutunun içindeki sunuculara karşılık gelen IP adresi aralıklarına erişimini kısıtlamak için IP filtrelemesini Microsoft Azure Pack yönetim portalında veya PowerShell kullanarak yapılandırabilirsiniz.

Yöneticiler için Yönetim Portalında IP filtrelemesini yapılandırmak için aşağıdaki adımları gerçekleştirin:

  1. Portalın sol bölmesinde Web Sitesi Bulutları'nı seçin.

  2. Yapılandırmak istediğiniz web sitesi bulutunu seçin.

  3. Engellenenler Listesi'ni seçin.

  4. Portalın alt kısmındaki komut çubuğunda Ekle öğesini seçin.

  5. Bir IP Adresi Aralığı Girin iletişim kutusunda Başlangıç Adresi ve Bitiş Adresi kutularına bir IP adresi girerek aralığı oluşturun.

  6. İşlemi tamamlamak için onay işaretine tıklayın.

IP filtrelemesini PowerShell kullanarak yapılandırmak için aşağıdaki PowerShell cmdlet'lerini denetleyicide çalıştırın.<start-of-ip-blacklist-range> ve <end-of-ip-blacklist-range> değerini geçerli IP adresleriyle değiştirin.

Add-pssnapin WebHostingSnapin
Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1
Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>

Son olarak, web çalışanı rolünü çalıştırmak üzere yapılandırılmış sunucularda Dinamik WAS Hizmeti'ni (DWASSVC) yeniden başlatın.Yükseltilmiş bir komut isteminden aşağıdaki komutları çalıştırın:

net stop dwassvc
net start dwassvc

Hizmet Reddi (DoS) saldırılarını önlemek için CPU, bellek, bant genişliği ve disk kullanımı ile ilgili kotalar ayarlamanız gerekir.Bu kotalar plan yazmanın bir parçası olarak Yöneticiler için Yönetim Portalı'nda yapılandırılabilir.

Bir planda bu kotalar ayarlandığında ve plana ait bir web sitesi DoS saldırısına ya da kasıtsız bir CPU ani yükselmesine uğradığında, kotalara ulaşıldığında web sitesi durdurulur, böylece saldırı durdurulur.

Bahsedilen kotalar ayrıca gruptan doğan saldırılara karşı faydalıdır.Örneğin, grup içinden yapılan bir kaba parola saldırısı çok fazla CPU zamanı kullanılmasına neden olur ve güçlü parolaların kullanıldığı kabul edildiğinde, parola kırılana kadar CPU kotasına ulaşılır.

Yükleme sonrasındaki en iyi güvenlik yöntemi olarak, Web Sunucusu rolleri için kimlik bilgisi kümelerini, tümü benzersiz olacak biçimde düzenlemeniz gerekir.Yeni, benzersiz hesaplar oluşturduktan sonra, yeni hesapları kullanmak için Yöneticiler için Yönetim Portalı'ndaki kimlik bilgilerini güncelleştirebilirsiniz.

  1. Yöneticiler için Yönetim Portalında, Web Sitesi Bulutları'na tıklayın ve ardından yapılandırmak istediğiniz bulutu seçin.

  2. Kimlik Bilgileri'ne tıklayın.Kullanıcı Adı altında, kullanıcı adlarının Web Sitesi rolleri arasında benzersiz olup olmadığını doğrulayabilirsiniz (örneğin, hepsi 'Yönetici' olabilir, bu durumda değiştirilmelidir).

  3. Kimlik bilgisi adlarından birini seçin (örneğin, Yönetim Sunucusu Kimlik Bilgisi) ve ardından portalın altındaki komut çubuğunda Düzenle'ye tıklayın.

  4. Açılan iletişim kutusunda (örneğin, Yönetim Sunucusu Kimlik Bilgisini Güncelle) yeni bir kullanıcı adı ve parola belirtin.

  5. İşlemi tamamlamak için onay işaretine tıklayın.

  6. Tüm kimlik bilgisi kümeleri benzersiz olana kadar 3 ile 5 arasındaki adımları yineleyin.

En iyi güvenlik yöntemi olarak, kimlik bilgilerinin düzenli olarak değiştirilmesi (veya "döndürülmesi") iyi bir fikirdir.Rol hizmetleri için yalnızca parolanın değil, aynı anda hem kullanıcı adının hem de parolanın değiştirilmesi daha iyidir.Hem kullanıcı adının hem de parolanın değiştirilmesi, yalnızca parolanın değiştirildiği, ancak değişikliğin ortama tamamen yayılmadığı durumlarda oluşabilen "eşitlenmedi" sorununu önler.

Hem kullanıcı adını hem de parolayı değiştirdiğinizde, her iki kimlik bilgileri kümesi de geçiş işlemi sırasında geçici olarak kullanılabilir.Örneğin, bağlantısı kesilmiş ve kimlik doğrulamasına ihtiyaç duyan iki sistem, değişiklikten sonra hala bağlanabilir.Yeni kimlik tüm sistemlerde yerinde ve tam çalışır durumda olduğunda eski kümeyi devre dışı bırakabilirsiniz.

.NET uygulamaları için sınırlayıcı bir güven profili tanımlamanız gerekir.Varsayılan olarak, Microsoft Azure Pack: Web Siteleri mümkün olan en geniş uygulama uyumluluğunu sağlamak için Tam Güven modunda çalışır.En iyi güven düzeyinin seçilmesi güvenlik ile uyumluluktan birinden ödün vermeyi içerir.Her kullanım senaryosu farklı olduğu için, ortamınızdaki çok kiracılı web sunucularının güvenliğini sağlarken kendi en iyi yöntemlerinizi izleyin.

Diğer En İyi Yöntemler, kullanıcı hesabı oluştururken en düşük öncelik ilkesini kullanmayı, ağ yüzey alanınızı en aza indirmeyi ve dosya sisteminizi ve kayıt defterinizi korumak için sistem ACL'lerini değiştirmeyi içerir.

Kullanıcı hesapları oluştururken en düşük öncelik ilkesini uygulayın.Daha fazla bilgi için bkz. Windows'taki Kullanıcı Hesaplarına En Düşük Öncelik İlkesini Uygulama.

Güvenlik duvarınızı, Internet'e yönelik sunucuların ağ yüzey alanını en aza indirecek şekilde yapılandırın.Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı hakkında bilgi için aşağıdaki kaynaklara bakın (Windows Server 2008 R2 referansları Windows Server 2012 ve Windows Server 2012 R2 için hala faydalıdır).

Aşağıdaki indirilebilir yardımcı programlar bir sunucunun dosya sistemini ve kayıt defteri güvenlik ayarlarını değerlendirmeye yardımcı olabilir.