Windows Azure Paketi: Web Siteleri Güvenlik Geliştirmeleri

Şunlar için geçerlidir: Azure Paketi'Windows

Yüklemeden sonra, ek en iyi yöntemleri uygulayarak güvenliğinizi geliştirebilirsiniz. Bunlar IP filtrelemeyi yapılandırmayı ("kara liste" olarak da bilinir), DoS saldırılarına karşı kota ayarlamayı ve diğer adımları içerir.

IP filtrelemeyi yapılandırma

Hizmet reddi (DoS) saldırısı başlatmanın en kolay yollarından biri, saldırıyı hizmetin içinden başlatmak olduğundan, IP filtresi ayarlamak çok önemlidir. Bu nedenle, barındırma hizmeti sağlayıcısı en azından grubu kendi kendine kara listeye almalıdır.

Örneğin, web grubu bir alt ağa dağıtılırsa, web sitelerinin gruba geri çağrı yapmasını ve bir DoS saldırısı başlatmasını önlemek için alt ağ IP adresleri filtrelenmelidir.

Kiracı çalışan işlemlerinin Web Sitesi bulutu içindeki sunuculara karşılık gelen IP adresi aralıklarına erişmesini kısıtlamak için, WINDOWS Azure Paketi yönetim portalında veya PowerShell kullanarak IP filtrelemeyi yapılandırabilirsiniz.

Yönetim Portalı'nda IP filtrelemeyi yapılandırmak için

Yöneticiler için Yönetim Portalı'nda IP filtrelemeyi yapılandırmak için aşağıdaki adımları uygulayın:

1. Portalın sol bölmesinde Web Sitesi Bulutları'nı seçin.

2. Yapılandırmak istediğiniz web sitesi bulutunu seçin.

3. Listeyi Engelle'yi seçin.

4. Portalın alt kısmındaki komut çubuğunda Ekle'yi seçin.

5. Ip Adresi Aralığı Girin iletişim kutusunda, aralığı oluşturmak için Başlangıç Adresi ve Bitiş Adresi kutularına bir IP adresi girin.

6. İşlemi tamamlamak için onay işaretine tıklayın.

PowerShell kullanarak IP filtrelemeyi yapılandırmak için

PowerShell kullanarak IP filtrelemeyi yapılandırmak için denetleyicide aşağıdaki PowerShell cmdlet'lerini çalıştırın. ip-kara liste aralığının> başlangıcı ve ip-kara liste sonu değerlerini geçerli IP adresleriyle değiştirin<.><

Add-pssnapin WebHostingSnapin
Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1
Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>

Dinamik WAS Hizmetini yeniden başlatma

Son olarak, web çalışanı rolünü çalıştırmak üzere yapılandırılmış sunucularda Dinamik WAS Hizmeti'ni (DWASSVC) yeniden başlatın. Yükseltilmiş bir komut isteminden aşağıdaki komutları çalıştırın:

net stop dwassvc
net start dwassvc

Kotaları Ayarla

Hizmet Reddi (DoS) saldırılarını önlemek için CPU, bellek, bant genişliği ve disk kullanımı kotaları ayarlamanız gerekir. Bu kotalar, plan yazma işleminin bir parçası olarak Yöneticiler için Yönetim Portalı'nda yapılandırılabilir.

Bir plan bu kotalara sahip olduğunda ve plana ait bir web sitesinde DoS saldırısı veya yanlışlıkla ANI CPU artışı olduğunda, kotalara ulaşıldığında web sitesi durdurulur ve böylece saldırı durdurulur.

Belirtilen kotalar, grup içinden kaynaklanan saldırılara karşı da yararlıdır. Örneğin, grup içindeki bir deneme yanılma parolası saldırısı çok fazla CPU süresi tüketir ve güçlü parolalar kullanıldığı varsayıldığında, parola bozulmadan önce CPU kotasına ulaşılır.

Her Web Sitesi rolü için ayrı bir kimlik bilgileri kümesi atama

Yüklemeden sonra en iyi güvenlik uygulaması olarak, Web Sunucusu rollerinin kimlik bilgileri kümelerini düzenleyerek bunların tümünün benzersiz olması gerekir. Yeni, benzersiz hesaplar oluşturduktan sonra, Yöneticiler için Yönetim Portalı'nda yeni hesapları kullanacak şekilde kimlik bilgilerini güncelleştirebilirsiniz.

Web Siteleri sunucu rolü kimlik bilgilerini düzenlemek için

1. Yöneticiler için Yönetim Portalı'nda Web Sitesi Bulutları'na tıklayın ve yapılandırmak istediğiniz bulutu seçin.

2. Kimlik Bilgileri'ne tıklayın. Kullanıcı Adı altında, kullanıcı adlarının Web Sitesi rolleri arasında benzersiz olup olmadığını doğrulayabilirsiniz (örneğin, bunların tümü 'Yönetici' olabilir, bu durumda değiştirilmesi gerekir).

3. Kimlik bilgileri adlarından birini (örneğin, Yönetim Sunucusu Kimlik Bilgileri) seçin ve portalın en altındaki komut çubuğunda Düzenle'ye tıklayın.

4. Görüntülenen iletişim kutusunda (örneğin, Güncelleştirme Yönetimi Sunucusu Kimlik Bilgileri) yeni bir kullanıcı adı ve parola girin.

5. İşlemi tamamlamak için onay işaretine tıklayın.

6. Tüm kimlik bilgileri kümeleri benzersiz olana kadar 3 ile 5 arasındaki adımları yineleyin.

Kimlik bilgilerini düzenli olarak değiştirme ("roll")

En iyi güvenlik uygulaması olarak, kimlik bilgilerini düzenli olarak değiştirmek (veya "kullanıma almak") iyi bir fikirdir. Rol hizmetleri için, yalnızca parolayı değil, aynı anda hem kullanıcı adını hem de parolayı değiştirmek daha iyidir. Hem kullanıcı adını hem de parolayı değiştirmek, yalnızca parola değiştirildiğinde ortaya çıkabilecek "eşitlenmemiş" sorununu önler, ancak değişiklik ortamın tamamına tamamen yayılmamıştır.

Hem kullanıcı adını hem de parolayı değiştirdiğinizde, geçiş işlemi sırasında her iki kimlik bilgisi kümesi de geçici olarak kullanılabilir. Örneğin, kimlik doğrulaması gerektiren bağlantısı kesilmiş iki sistem, değişiklik sonrasında da bağlanabilir. Yeni kimlik bilgileri hazır olduğunda ve tüm sistemlerde tam olarak çalıştığında, eski kümeyi devre dışı bırakabilirsiniz.

.NET uygulamaları için kısıtlayıcı bir güven profili tanımlama

.NET uygulamaları için kısıtlayıcı bir güven profili tanımlamanız gerekir. Varsayılan olarak Azure Paketi: Web Siteleri Windows mümkün olan en geniş uygulama uyumluluğunu sağlamak için Tam Güven modunda çalışır. En uygun güven düzeyini seçmek için güvenlik ve uyumluluk dengelemesi gerekir. Her kullanım senaryosu farklı olduğundan, ortamınızdaki çok kiracılı web sunucularının güvenliğini sağlamak için kendi en iyi yöntemlerinizi belirlemeniz ve izlemeniz gerekir.

Diğer En İyi Yöntemler

Diğer En İyi Yöntemler kullanıcı hesapları oluştururken en düşük ayrıcalık ilkesini kullanmak, ağ yüzeyi alanınızı en aza indirmek ve dosya sisteminizi ve kayıt defterinizi korumak için sistem ACL'lerini değiştirmektir.

Hesap oluştururken en az ayrıcalık ilkesini kullanın

Kullanıcı hesapları oluştururken, bunlara en az ayrıcalık ilkesini uygulayın. Daha fazla bilgi için bkz. Windows'da Kullanıcı Hesaplarına En Düşük Ayrıcalık İlkesini Uygulama.

Ağ yüzeyi alanınızı simge durumuna küçültme

İnternet'e yönelik sunucularda ağ yüzeyi alanını en aza indirmek için güvenlik duvarınızı yapılandırın. Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı hakkında bilgi için aşağıdaki kaynaklara bakın (Windows Server 2008 R2 başvuruları Windows Server 2012 ve Windows Server 2012 R2 için hala yararlıdır).

• Windows Server 2008 R2 Adım Adım Kılavuz: Windows Güvenlik Duvarı ve IPsec İlkelerini Dağıtma (Microsoft belge indirme bağlantısı)

• Windows Server 2008 R2 Güvenlik Duvarı Güvenliği (WindowsITPro)

• Windows Server 2012'da Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı sorunlarını giderme (TechNet)

Dosya sisteminin ve kayıt defterinin güvenliğini sağlamak için sistem ACL'lerini değiştirme

Aşağıdaki indirilebilir yardımcı programlar, sunucunun dosya sistemini ve kayıt defteri güvenlik ayarlarını değerlendirmeye yardımcı olabilir.

• AccessChk

• AccessEnum

Ayrıca Bkz.

Azure Paketi Windows dağıtma: Web Siteleri