Serveur d'impression

Meilleures pratiques de sécurité Windows Server – Serveur d’impression

Le 21 juin 2019 - 11 minutes de lecture

Meilleures pratiques de sécurité Windows Server

LIMITATION DE RESPONSABILITÉ POUR LES CLIENTS DES OPÉRATIONS GÉRÉES

Pour vous assurer que Rackspace a accès à votre serveur en cas de besoin, nous vous demandons
ne modifiez pas les configurations suivantes, car vous considérez les meilleures pratiques de sécurité:

  • Lors de la connexion à votre serveur, Rackspace Support se connecte en tant qu’utilisateur. grille en utilisant Connexion Bureau à distance à l’adresse IP publique sur le port 3389.

  • La reconstruction de serveurs existants ou la création d'un nouveau serveur à partir d'un instantané nécessite que les connexions administrateur soient activées et que le port 445 ne soit pas bloqué dans le pare-feu Windows.

Si vous devez modifier ces valeurs, contactez un administrateur de Rackspace pour que le
changements d'une manière qui n'a pas d'incidence sur notre capacité à vous fournir Fanatique
Soutien
®.


Cet article fournit certaines des meilleures pratiques de sécurité générales à prendre en compte lorsque vous configurez un
Serveur Microsoft Windows qui interagit avec Internet public. Bien que ces meilleurs
pratiques s’appliquent à n’importe quel serveur en général, cet article traite spécifiquement de Rackspace
Serveurs Cloud publics sous Windows.

Utiliser les règles de pare-feu locales

Par défaut, les serveurs Rackspace Public Cloud ne disposent pas d'un pare-feu. Pour les serveurs qui
sans passer par un pare-feu, le pare-feu Windows est le seul à pouvoir interagir avec Internet
protection entre vos ressources de serveur et vos données privées et quiconque avec
accès à une connexion Internet.

Désactivez autant de règles que possible sur le pare-feu. La désactivation des règles signifie que moins de ports
sont ouvertes et à l’écoute via l’interface publique, ce qui limite l’exposition du serveur aux
toute personne essayant d'y accéder.

Pour les ports devant être ouverts, limitez l'accès au serveur en ajoutant des adresses IP à la liste blanche.
dans ces règles spécifiques. Ajoutez l'adresse IP de votre ordinateur à la maison ou au bureau local à
la liste blanche, même si votre fournisseur de services Internet fournit des adresses IP publiques dynamiques qui changent
temps. Vous pouvez modifier les règles de pare-feu selon vos besoins à partir de Cloud Control.
Panneau en se connectant au serveur à distance via la console et en ajoutant une nouvelle adresse IP.

En limitant l’accès au serveur via la liste blanche d’adresses IP, vous pouvez vous assurer que les utilisateurs
qui ont besoin d’accéder au serveur, mais ceux qui ne sont pas bloqués de ceux qui sont ouverts
les ports. Les ports les plus courants devant être ouverts dans le pare-feu Windows pour le Web
l'hébergement sur un serveur cloud sont les suivants:

Port Un service
80 HTTP – Sites IIS ou application Web
443 HTTPS Sécurisez les sites IIS ou les applications Web avec SSL

Nous vous recommandons de verrouiller les ports suivants via l'adresse IP
liste blanche sur l'interface publique pour limiter les attaques par force brute ou
Tentatives d’exploitation sur des comptes ou des services portant un nom commun sur le serveur:

Port La description
3389 Connectivité Bureau à distance, pour la connexion à distance au serveur
21 FTP Pour le transfert sécurisé de données entre des emplacements géographiques locaux et le serveur cloud
990 FTPS (Windows) Pour le transfert sécurisé de données entre des emplacements géographiques locaux et le serveur cloud intégrant un certificat SSL
5000-5050 FTP Ports passifs pour la communication FTP
1433 SQL Port par défaut utilisé pour la communication SQL
53 DNS Port par défaut utilisé pour les requêtes DNS

Considérez ce que vous partagez

Déterminez quelles données sont disponibles pour les autres via le partage de fichiers. Nous ne recommandons pas
activer le partage de fichiers Windows car les ports ouverts sur le pare-feu (ports
445 et 139) exposent le serveur à des tentatives de connexion indésirables.

Certains clients utilisent leurs serveurs pour héberger des logiciels de back-office tels que QuickBooks,
PeachTree, Microsoft Office (sessions Outlook pour Remote Desktop) ou une autre société tierce
Solutions logicielles. Parfois, les clients veulent configurer des lecteurs réseau mappés sur
leur permettre de déplacer facilement les données de leurs ordinateurs locaux vers leur serveur cloud par le biais
d'une lettre de lecteur sur l'ordinateur local. Cependant, nous ne recommandons pas cette pratique.
Votre serveur est aussi sécurisé que le mot de passe le plus faible.

En outre, faites attention au logiciel que vous autorisez vos utilisateurs à télécharger et à utiliser.
installer sur votre serveur. Chaque progiciel installé augmente l'exposition de votre
serveur à attaquer.

Politique de mot de passe

Que vous ayez ou non provisionné un serveur cloud avec un pare-feu matériel,
précédemment indiqué, votre serveur est aussi sécurisé que le mot de passe le plus faible ayant accès
à cela. Suivez ces conseils pour les mots de passe:

  • Utilisez des mots de passe forts d'au moins 8 à 10 caractères, y compris des lettres majuscules et minuscules, des chiffres et des caractères spéciaux (tels que!, #, $ Et%). L'attribution de mots de passe simples peut s'avérer extrêmement dangereuse, notamment pour un serveur cloud disponible sur Internet.

  • Définissez une date d'expiration pour le mot de passe de chaque utilisateur. Bien qu'il soit gênant de devoir mémoriser périodiquement un nouveau mot de passe, cette pratique peut renforcer la sécurité de vos données.

Parce que nos processus d'automatisation post-build dépendent du compte d'utilisateur par défaut
d'administrateur, nous ne recommandons pas de changer ce nom d'utilisateur sur vos serveurs de cloud
sous Windows.

Faites attention à qui a accès au serveur via le compte administrateur. Si plusieurs
les utilisateurs ont besoin d'un accès administrateur au serveur, créez plusieurs comptes avec un accès administrateur. Ses
plus facile de suivre les utilisateurs dans les fichiers journaux en recherchant un compte d'utilisateur spécifique que d'essayer
pour déchiffrer plusieurs entrées de fichier journal sous le compte Administrateur.

Plusieurs instances de Id d'événement 4625 dans le journal de sécurité ou Id d'événement 1012 dans le système
Le journal peut signifier que quelqu'un essaie de pirater votre serveur, car ces événements sont
liées à des tentatives de connexion infructueuses.

Pour les utilisateurs qui se connectent via Remote Desktop Connection, assurez-vous qu'ils se déconnectent.
le serveur pour libérer toutes les ressources utilisées au lieu de simplement fermer leurs fenêtres RDC,
ce qui laisse la session ouverte sur le serveur.

Active Directory

Nous déconseillons généralement d’exécuter Active Directory sur un serveur cloud, car le seul
le pare-feu Windows est une protection contre les intrusions et Active Directory introduit des problèmes
dans un environnement de serveur cloud. Active Directory est généralement mieux utilisé dans un environnement dédié.
environnement de serveur où les serveurs sont placés derrière des pare-feu physiques et peuvent être
connecté via un tunnel VPN via cette appliance de pare-feu.

Rackspace prend en charge un VPN uniquement s’il s’agit d’un pare-feu matériel dans une solution appelée
RackConnect. Il est plus facile de mettre en œuvre cette configuration de pare-feu physique avant de créer
serveurs, car, au moment de la rédaction de cet article, le processus qui relie le
Le pare-feu et les serveurs sont automatisés pendant le processus de construction. Les pare-feu physiques ne sont pas
approvisionné aussi rapidement que les serveurs cloud et doit être demandé via notre système hybride.
équipes. Pour plus d'informations sur les pare-feu physiques et RackConnect, voir
http://www.rackspace.com/cloud/hybrid/rackconnect/.

Si vous installez Active Directory sur un serveur cloud, nous vous recommandons
vous exécutez deux contrôleurs de domaine en cas d'échec d'un (l’imagerie est actuellement
indisponible pour les contrôleurs de domaine). Nous vous recommandons également de verrouiller le DNS
empêcher les attaques par amplification DNS.

Instances de SQL Server

Pour les serveurs exécutant Microsoft SQL Server, verrouillez le port SQL 1433 pour l'écouter.
l’interface interne uniquement, de préférence uniquement à l’écoute des connexions à partir d’une liste de
Adresses IP des autres serveurs devant accéder à SQL Server sur le serveur. Vous pouvez autoriser
Le port SQL 1433 pour écouter via l’interface publique, mais cette règle doit être limitée à
les adresses IP des ordinateurs sur lesquels les développeurs se connectent au
bases de données sur le serveur.

Si vous ne limitez pas ces connexions au serveur, le port 1433 sera exposé et en dehors de
les hackers volonté tenter une attaque par force brute sur le serveur via ce port. Ces types de
Les attaques provoquent un trafic réseau important, ralentissent les performances du serveur et même réduisent les performances.
sites si un compte important est verrouillé. En limitant l’accès à ce port, ces problèmes
sont atténués avant de commencer.

Pour les serveurs exécutant les éditions Web SQL Server Standard ou SQL Server, nous recommandons
configuration des plans de maintenance pour vider à plat les données des fichiers de la base de données en direct
fichiers qui peuvent être sauvegardés sur le serveur et nettoyer les sauvegardes afin qu'elles ne se remplissent pas
votre disque dur

Mises à jour Windows

Assurez-vous que les mises à jour Windows sont activées et tenez compte de l'état de votre serveur –
assurez-vous que votre système d'exploitation Windows est corrigé. Patch Mardi, qui se produit le deuxième
Mardi de chaque mois en Amérique du Nord, est le jour où Microsoft communique régulièrement
publie des correctifs de sécurité. Les clients doivent décider de la meilleure façon de mettre en œuvre un correctif
stratégie qui garde leurs serveurs à jour. Par défaut, les serveurs Rackspace Cloud vérifient
pour les mises à jour entre 2h et 4h tous les jours.

Sauvegardes de serveur

Configurez un type de plan de reprise après sinistre. Une option que nous proposons est de créer un nuage
images du serveur tous les soirs et écrivez-les dans vos conteneurs Cloud Files avec une valeur par défaut
rétention de sept jours. Un instantané du serveur est pris, et l'image est stockée dans
Fichiers Cloud à utiliser pour créer de nouvelles instances de serveur ou reconstruire le serveur existant
à partir de cette image.

Nous proposons également une sauvegarde au niveau des fichiers via les sauvegardes sur le cloud. Nous ne recommandons pas de soutenir
l'ensemble de la C: lecteur car les fichiers actifs verrouillés entraînent la sauvegarde du travail de sauvegarde.
complète avec des erreurs. De plus, les fichiers système Windows sont contenus dans la base
images fournies par nous ou dans des images personnalisées prises sur les serveurs, vous n’avez donc pas besoin de sauvegarder ces données quotidiennement.
Nous vous recommandons de sauvegarder le C: inetpub (IIS) et toute autre donnée utilisateur devant être sauvegardée.
En outre, si des plans de maintenance SQL Server ont été configurés pour vider les données actives dans des fichiers à plat pour
sauvegardes, nous vous recommandons d'inclure également ces répertoires dans la sauvegarde.

Vérifiez les travaux de sauvegarde pour vous assurer qu'ils sont terminés et que les sauvegardes sont effectuées.
valide. Créez une nouvelle instance de serveur à partir d'une image pour vous assurer que l'image est valide, et
restaurer un fichier à partir des sauvegardes sur le cloud pour vérifier que les données sauvegardées peuvent être sauvegardées.
restauré.

Code

La dernière surface d’attaque exposée à Internet est le code. Toi et
vos développeurs doivent s'assurer que le code est appliqué correctement
Authentification et autorisation. Par exemple, une application Web devrait
ne pas être exécuté avec des privilèges d'administrateur. Autorisation de fichier
doivent être soigneusement définis et toutes les entrées de l’application doivent
avoir la meilleure validation possible pour empêcher les pirates d’exploiter la
application web et prise de contrôle du serveur.

Les sites suivants fournissent des informations sur l'amélioration de la sécurité ASP .Net:

Conclusion

Selon le cas d'utilisation, les clients peuvent disposer d'autres informations plus spécifiques.
doit prendre en compte lors de l’utilisation de notre produit Serveurs Cloud pour répondre à leurs besoins.
besoins d'hébergement. Cependant, ces recommandations générales constituent un bon départ pour la sécurité lors de la création de serveurs Windows.
nuage ou autre.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.