安裝 Windows Azure Pack:Web Sites 的安全性增強功能

 

適用於: Windows Azure Pack

安裝完成後,您可以實作其他最佳作法來加強安全性, 包括設定 IP 篩選 (也稱為「列入封鎖清單」)、設定計數 DoS 攻擊的配額及其他步驟等等。

設定 IP 篩選十分重要,因為發動拒絕服務 (DoS) 攻擊最簡單的方法之一,就是從服務內部發動攻擊。 因此,主機服務提供者一般都會將伺服陣列列入封鎖清單。

例如,如果將 Web 伺服陣列部署到子網路,即應篩選該子網路的 IP 位址,以免呼叫傳入伺服器陣列,使之有機會發動攻擊,例如 DoS 攻擊。

如果要限制租用戶處理序存取網站雲端內之伺服器的對應 IP 位址範圍,可以透過 Windows Azure Pack 管理入口網站或 PowerShell 設定 IP 篩選。

如果要在管理員的管理入口網站中設定 IP 篩選,請執行下列步驟:

  1. 在入口網站的左窗格中,選擇 [網站雲端]。

  2. 選取要設定的網站雲端。

  3. 選取 [封鎖清單]。

  4. 按一下入口網站底部之命令列中的 [新增]。

  5. 在 [輸入 IP 位址範圍] 對話方塊的 [開始位址] 與 [結束位址] 方塊中輸入 IP 位址,以建立範圍。

  6. 按一下核取記號以完成操作。

如果要使用 PowerShell 設定 IP 篩選,請在控制器上執行下列 PowerShell 指令程式。 以有效的 IP 位址取代 <IP 封鎖清單範圍的開頭><IP 封鎖清單範圍的結尾>

Add-pssnapin WebHostingSnapin Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1 Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>

最後,請重新啟動設定要執行「Web 背景工作」角色之伺服器上的動態 WAS 服務 (DWASSVC)。 然後透過具有更高權限的命令提示字元執行下列命令:

net stop dwassvc net start dwassvc

如果想要避開拒絕服務 (DoS) 攻擊,應設定 CPU、記憶體、頻寬與磁碟使用量的配額。 這些配額可以在撰寫方案時,於管理員的管理入口網站中設定。

當方案設定了這些配額之後,如果方案中的網站受到 DoS 攻擊或意外的 CPU 失敗,網站將會在達到配額時停止,藉此停止攻擊。

這些配額也可用來遏止來自伺服陣列內部的攻擊。 例如,來自伺服陣列內部的密碼破解攻擊,會消耗大量 CPU 時間,假設使用的是增強式密碼,則在密碼遭到破解之前,即可以已經達到 CPU 配額。

安裝完成之後,建議您編輯「Web 伺服器」角色的認證集,使所有認證均為唯一的,以確保安全性。 在建立新的專用帳戶之後,您可以在管理員的管理入口網站中更新認證,如此即可使用這些新帳戶。

  1. 在管理員的管理入口網站中,按一下 [網站雲端],然後選擇要設定的雲端。

  2. 按一下 [認證]。 在 [使用者名稱] 底下,您可以檢查使用者名稱在 Web Site 角色中的唯一性 (例如,如果全部都是「管理員」,便須加以變更)。

  3. 選取一個認證名稱 (例如 [管理伺服器認證]),然後按一下入口網站底部之命令列中的 [編輯]。

  4. 在顯示的對話方塊 (例如 [更新管理伺服器認證]) 中,提供新的使用者名稱及密碼。

  5. 按一下核取記號以完成操作。

  6. 請重複步驟 3 至 5,使所有認證均為唯一的。

為確保安全,建議定期變更 (或「換用」) 認證。 對於角色服務,建議每次都能變更使用者名稱及密碼,而不光只是變更密碼。 同時變更使用者名稱及密碼可避免只變更密碼,而此變更未傳播到整個環境這類「不同步」問題。

在變更使用者名稱及密碼這段換用期間,新舊兩組認證會暫時並存。 例如,兩個連線中斷但需要驗證的系統在變更之後仍可連線。 當新認證就緒,可以在所有系統上正常運作時,即可停用舊的認證集。

對於 .NET 應用程式,您應定義限制信任設定檔。 Windows Azure Pack: Web Sites 預設會執行完全信任模式,以提供最大範圍的應用程式相容性。 選取最佳化信任層級必須在安全性及相容性上取捨。 由於每種使用狀況不同,您應決定最能保障您環境中多租用戶 Web 伺服器之安全的作法。

「其他最佳作法」包含如何使用最低權限原則建立使用者帳戶、如何最小化網路何修改系統 ACL 來保護檔案系統與登錄。

設定防火牆組態,以最小化連線到網際網路之伺服器的網路介面區域。 如需具有進階安全性的 Windows 防火牆的資訊,請參閱下列資源 (Windows Server 2008 R2 的資源也適用於 Windows Server 2012 及 Windows Server 2012 R2)。

您可以下載下列公用程式,協助您評估伺服器之檔案系統與登錄的安全性設定。

顯示: