为了确保Rackspace在需要时可以访问您的服务器,我们要求您在考虑安全性最佳做法时不要更改以下配置:
连接到服务器时,Rackspace支持通过使用远程桌面连接通过端口3389到公共IP地址以用户机架身份登录。
重建现有服务器或从快照构建新服务器要求启用管理员登录,并且Windows防火墙中不阻止端口445。
如果必须更改这些值,请与Rackspace的管理员联系,以不影响我们为您提供Fanatical Support®的能力的方式进行更改。
本文提供了一些常规的最佳安全最佳实践,当您设置与公共Internet进行交互的Microsoft Windows服务器时,可以考虑这些最佳实践。尽管这些最佳做法通常适用于任何服务器,但本文专门针对运行Windows的Rackspace公共云服务器。
使用本地防火墙规则
默认情况下,Rackspace公共云服务器没有防火墙设备。对于与没有防火墙设备的公共Internet进行交互的服务器,Windows防火墙是服务器资源和私有数据以及任何可以访问Internet连接的人之间的唯一保护。
禁用防火墙上的尽可能多的规则。禁用规则意味着打开并通过公共接口侦听的端口较少,这限制了服务器向试图获得访问权限的任何人开放的权限。
对于那些必须打开的端口,可以通过在这些特定规则中将IP地址列入白名单来限制对服务器的访问。即使您的ISP提供随时间变化的动态公共IP地址,也要将您的本地家用或办公室计算机的IP地址添加到白名单中。您可以通过控制台通过远程登录服务器并添加新的IP地址,从“控制面板”根据需要更改防火墙规则。
通过通过IP地址白名单限制对服务器的访问,可以确保需要访问服务器的用户可以访问服务器,而不会访问那些服务器的用户则不会受到这些开放端口的阻止。需要在Windows防火墙中打开以在云服务器上进行Web托管的最典型端口如下:
端口服务
80HTTP-IIS网站或Web应用程序
443 HTTPS使用SSL保护IIS网站或Web应用程序
我们建议通过公共接口上的IP地址白名单锁定以下端口,以限制针对服务器上通用名称的帐户或服务的暴力攻击或利用尝试:
端口描述
3389远程桌面连接,用于远程登录到服务器
21个FTP为了在本地地理位置和云服务器之间安全地传输数据
990 FTPS(Windows)为了在本地地理位置和包含SSL证书的云服务器之间安全地传输数据
5000-5050 FTPFTP通讯的被动端口
1433 SQL用于SQL通信的默认端口
53个DNS用于DNS请求的默认端口
考虑一下您分享的内容
考虑通过文件共享,其他人可以使用哪些数据。我们不建议启用Windows文件共享,因为在防火墙上打开的端口(端口445和139)会使服务器遭受不必要的连接尝试。
一些客户使用其服务器托管后台软件,例如QuickBooks,PeachTree,Microsoft Office(远程桌面会话的Outlook)或其他第三方软件解决方案。有时,客户希望配置映射的网络驱动器,以允许他们通过本地计算机上的驱动器号轻松地将数据从本地计算机移动到云服务器。但是,我们不建议您这样做。您的服务器仅与最弱密码一样安全。
此外,请注意允许用户下载并安装在服务器上的软件。安装的每个软件包都会增加服务器受到攻击的风险。
密码政策
如前所述,无论您是否已为云服务器配置了硬件防火墙,服务器的安全性仅与可以访问该服务器的最弱密码一样安全。请按照以下提示输入密码:
使用至少8到10个字符的强密码,包括大写和小写字母,数字和特殊字符(如!,#,$和%)。分配简单的密码可能非常危险,尤其是对于可通过公共Internet访问的云服务器而言。
设置每个用户密码的有效期。尽管必须定期记住新密码很不方便,但是这种做法可以使您的数据更安全。
因为我们的构建后自动化过程取决于管理员的默认用户帐户,所以我们不建议您在运行Windows的云服务器上更改此用户名。
请注意谁可以通过管理员帐户访问服务器。如果多个用户需要对服务器的管理员访问权限,请创建具有管理员访问权限的多个帐户。通过查找特定的用户帐户来跟踪日志文件中的用户比尝试破译管理员帐户下的多个日志文件条目要容易得多。
Event Id 4625安全日志或Event Id 1012系统日志中的多个实例可能意味着某人正试图入侵您的服务器,因为这些事件与登录尝试失败有关。
对于通过远程桌面连接登录的用户,请确保他们注销服务器以释放所有使用的资源,而不是简单地关闭其RDC窗口,这将使会话在服务器上保持打开状态。
活动目录
我们通常不鼓励在云服务器上运行Active Directory,因为防止入侵的唯一方法是Windows防火墙,而Active Directory则将问题引入云服务器环境。通常,将Active Directory更好地用于专用服务器环境中,在该环境中服务器被放置在物理防火墙之后,并且可以通过该防火墙设备通过VPN隧道进行连接。
只有在称为RackConnect的解决方案中通过硬件防火墙时,Rackspace才支持VPN。在创建服务器之前,更容易实现此物理防火墙设置,因为在撰写本文时,在构建过程中将防火墙和服务器之间的连接过程自动化。物理防火墙的配置速度不如云服务器,必须通过我们的混合团队提出要求。有关物理防火墙和RackConnect的更多信息。
如果您确实在云服务器上安装了Active Directory,我们建议您运行两个域控制器,以防一个失败(域控制器当前无法使用映像)。我们还建议锁定DNS以防止DNS放大攻击。
SQL Server实例
对于运行Microsoft SQL Server的服务器,请锁定SQL端口1433以仅侦听内部接口,最好仅侦听来自需要访问服务器上SQL Server的其他服务器的已知IP地址列表中的连接。您可以允许SQL端口1433侦听公共接口,但是此规则必须仅限于开发人员连接到服务器上数据库的计算机的IP地址。
如果您不将这些连接限制到服务器,则端口1433将被暴露,外部黑客将尝试通过该端口对服务器进行蛮力攻击。如果重要帐户被锁定,这些类型的攻击会导致高网络流量,降低服务器性能,甚至关闭站点。通过限制对此端口的访问,这些问题在开始之前得到缓解。
对于运行SQL Server Standard或SQL Server Web版本的服务器,我们建议配置维护计划,以将活动数据库文件中的数据转储到可以从服务器备份的平面文件中,并清理备份,以免它们占用您大量资源。驾驶
Windows更新
确保已启用Windows更新,并注意服务器的状态–确保已修补Windows操作系统。补丁程序星期二发生在北美每月的第二个星期二,是Microsoft定期发布安全补丁程序的日子。客户必须决定如何最好地实施修补策略,以使其服务器保持最新状态。默认情况下,Rackspace Cloud Server每天凌晨2点至凌晨4点检查更新。
服务器备份
设置某种类型的灾难恢复计划。我们提供的一种选择是每晚创建云服务器映像,并将其写入默认情况下保留7天的“云文件”容器中。拍摄服务器快照,并将映像存储在Cloud Files中,以用于创建新服务器实例或从该映像重建现有服务器。
我们还通过Cloud Backups提供文件级备份。我们不建议备份整个C:驱动器,因为锁定的实时文件会导致备份作业出错。此外,Windows系统文件包含在我们提供的基本映像中或服务器拍摄的任何自定义映像中,因此您无需每天备份该数据。我们确实建议备份C:\ inetpub(IIS)目录和任何其他需要备份的用户数据。此外,如果已将SQL Server维护计划配置为将实时数据转储到平面文件中以进行备份,我们建议您也将这些目录包括在备份中。
检查备份作业,以确保它们成功完成并且备份有效。从映像创建新的服务器实例以确保该映像有效,然后从Cloud Backups还原文件以验证可以还原正在备份的数据。
码
暴露给Internet的最后一个攻击面是代码。您和您的开发人员必须确保代码强制执行正确的身份验证和授权。例如,不应以管理员级特权执行Web应用程序。应仔细定义文件授权,并且应用程序上的所有输入均应具有最佳验证,以防止黑客利用Web应用程序并获得服务器的控制权。