Windows Azure 包：网站安全性增强功能

适用于：Windows Azure Pack

安装后，可通过实施其他最佳实践，提高安全性。 其中包括配置 IP 筛选（也称为“加入方块列表”）、设置配额以抵御 DoS 攻击和其他步骤。

配置 IP 筛选

设置 IP 筛选非常重要，因为发起拒绝服务 (DoS) 攻击的一种最简单的方法是从服务自身内部发起攻击。 因此，托管服务提供商最起码应将场列入自身的方块列表。

例如，如果将 Web 场部署到某个子网，则应筛选该子网的 IP 地址，以防网站回调至场中并发起（例如）DoS 攻击。

若要禁止租户的工作进程访问与网站云中的服务器对应的 IP 地址范围，可在 Windows Azure Pack 管理门户中或使用 PowerShell 配置 IP 筛选。

在管理门户中配置 IP 筛选

若要在供管理员使用的管理门户中配置 IP 筛选，请执行以下步骤：

1. 在该门户的左窗格中，选择“网站云”。

2. 选择要配置的网站云。

3. 选择“阻止列表”。

4. 在该门户底部的命令栏中，选择“添加”。

5. 在“输入 IP 地址范围”对话框的“起始地址”和“结束地址”框中，输入 IP 地址以创建该范围。

6. 单击选中标记以完成操作。

使用 PowerShell 配置 IP 筛选

若要使用 PowerShell 配置 IP 筛选，请在控制器上运行以下 PowerShell cmdlet。 将 ip-blacklist-range> 和 end-of-ip-blacklist-range 替换为<有效的 IP 地址。><

Add-pssnapin WebHostingSnapin
Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1
Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>

重新启动动态 WAS 服务

最后，重新启动服务器上经过配置以运行 Web 工作进程角色的动态 WAS 服务 (DWASSVC)。 在提升的命令提示符下运行以下命令：

net stop dwassvc
net start dwassvc

设置配额

若要阻止拒绝服务 (DoS) 攻击，应就 CPU、内存、带宽和磁盘用量设置配额。 可在供管理员使用的管理门户中创作计划的过程中配置这些配额。

当某个计划设置了这些配额，并且属于该计划的网站遭到 DoS 攻击或因疏忽而使 CPU 使用率剧增，则达到这些配额后，该网站将停止运行，并因此停止攻击。

所提到的配额对于抵御来自场内部的攻击也很有用。 例如，来自场内部的暴力密码攻击将占用大量 CPU 时间，而假定使用了强密码，则在可破解密码之前就会耗尽 CPU 配额。

为每个网站角色分配一组单独的凭据

作为安装后的一项安全性最佳实践，应编辑网站角色的凭据集，以使这些凭据全部独一无二。 新建独一无二的帐户后，可在供管理员使用的管理门户中更新凭据以使用新帐户。

若要编辑网站服务器角色凭据，请执行以下操作

1. 在供管理员使用的管理门户中，单击“网站云”，然后选择要配置的云。

2. 单击 “凭据” 。 在“用户名”下，可验证用户名是否在网站角色中独一无二（例如，这些用户名可能都是“Administrator”，这种情况下应更改这些用户名）。

3. 选择其中一个凭据名称 (，例如 管理服务器凭据) ，然后在门户底部的命令栏中单击“ 编辑 ”。

4. 在随后显示的对话框（例如，“更新管理服务器凭据”）中，提供新的用户名和密码。

5. 单击选中标记以完成操作。

6. 重复步骤 3 至 5，直至所有凭据集独一无二。

定期更改（“滚动”）凭据

作为一项安全性最佳实践，最好定期更改（或称“滚动”）凭据。 对于角色服务，最好同时更改用户名和密码，而不要仅更改密码。 同时更改用户名和密码可避免仅更改密码，但更改尚未完全传播到整个环境时产生的“不同步”问题。

同时更改用户名和密码时，这两组凭据在滚动更新过程中均临时可用。 例如，两个断开连接的需要进行身份验证的系统在更改后仍可连接。 当新凭据就位并且在所有系统上完全发挥作用时，可禁用那组旧凭据。

为 .NET 应用程序定义限制信任配置文件

应为 .NET 应用程序定义限制信任配置文件。 默认情况下，Windows Azure Pack：网站运行在完全信任模式下以尽可能提高应用程序兼容性。 选择最佳的信任级别涉及在安全性与兼容性之间作出权衡。 由于每种使用方案不尽相同，因此您应确定您自己在保护您所处环境中的多租户 Web 服务器方面的最佳实践，并遵照这些最佳实践进行操作。

其他最佳实践

其他最佳实践包括在创建用户帐户时遵守最低权限的原则、将网络涉及面减至最小以及修改系统 ACL 以保护文件系统和注册表。

创建帐户时，请遵守最低权限的原则

创建用户帐户时，将最低权限原则应用于这些用户帐户。 有关详细信息，请参阅 将最低权限的原则应用于 Windows 上的用户帐户。

将网络涉及面减至最小

配置防火墙以将面向 Internet 的服务器的网络涉及面减至最小。 有关高级安全 Windows 防火墙的信息，请参阅以下资源（Windows Server 2008 R2 的参考对于 Windows Server 2012 和 Windows Server 2012 R2 仍有用）。

• Windows Server 2008 R2 分步指南：部署 Windows 防火墙和 IPsec 策略 （Microsoft 文档下载链接）

• Windows Server 2008 R2 防火墙安全性 (WindowsITPro)

• 解决 Windows Server 2012 中高级安全 Windows 防火墙的问题 (TechNet)

修改系统 ACL 以保护文件系统和注册表

以下可下载的实用工具可帮助评估服务器的文件系统和注册表安全设置。

• AccessChk

• AccessEnum

另请参阅

部署 Windows Azure 包：网站