Meilleures pratiques de sécurité Windows Server – Serveur d’impression

Meilleures pratiques de sécurité Windows Server LIMITATION DE RESPONSABILITÉ POUR LES CLIENTS DES OPÉRATIONS GÉRÉES Pour vous assurer que Rackspace a accès à votre serveur en cas de besoin, nous vous demandons ne modifiez pas les configurations suivantes, car vous considérez les meilleures pratiques de sécurité:

Lors de la connexion à votre serveur, Rackspace Support se connecte en tant qu’utilisateur. grille en utilisant Connexion Bureau à distance à l’adresse IP publique sur le port 3389.

La reconstruction de serveurs existants ou la création d'un nouveau serveur à partir d'un instantané nécessite que les connexions administrateur soient activées et que le port 445 ne soit pas bloqué dans le pare-feu Windows.

Si vous devez modifier ces valeurs, contactez un administrateur de Rackspace pour que le changements d'une manière qui n'a pas d'incidence sur notre capacité à vous fournir Fanatique Soutien®.

Cet article fournit certaines des meilleures pratiques de sécurité générales à prendre en compte lorsque vous configurez un Serveur Microsoft Windows qui interagit avec Internet public. Bien que ces meilleurs pratiques s’appliquent à n’importe quel serveur en général, cet article traite spécifiquement de Rackspace Serveurs Cloud publics sous Windows. Utiliser les règles de pare-feu locales Par défaut, les serveurs Rackspace Public Cloud ne disposent pas d'un pare-feu. Pour les serveurs qui sans passer par un pare-feu, le pare-feu Windows est le seul à pouvoir interagir avec Internet protection entre vos ressources de serveur et vos données privées et quiconque avec accès à une connexion Internet. Désactivez autant de règles que possible sur le pare-feu. La désactivation des règles signifie que moins de ports sont ouvertes et à l’écoute via l’interface publique, ce qui limite l’exposition du serveur aux toute personne essayant d'y accéder. Pour les ports devant être ouverts, limitez l'accès au serveur en ajoutant des adresses IP à la liste blanche. dans ces règles spécifiques. Ajoutez l'adresse IP de votre ordinateur à la maison ou au bureau local à la liste blanche, même si votre fournisseur de services Internet fournit des adresses IP publiques dynamiques qui changent temps. Vous pouvez modifier les règles de pare-feu selon vos besoins à partir de Cloud Control. Panneau en se connectant au serveur à distance via la console et en ajoutant une nouvelle adresse IP. En limitant l’accès au serveur via la liste blanche d’adresses IP, vous pouvez vous assurer que les utilisateurs qui ont besoin d’accéder au serveur, mais ceux qui ne sont pas bloqués de ceux qui sont ouverts les ports. Les ports les plus courants devant être ouverts dans le pare-feu Windows pour le Web l'hébergement sur un serveur cloud sont les suivants:

Port Un service

80 HTTP – Sites IIS ou application Web

443 HTTPS Sécurisez les sites IIS ou les applications Web avec SSL

Nous vous recommandons de verrouiller les ports suivants via l'adresse IP liste blanche sur l'interface publique pour limiter les attaques par force brute ou Tentatives d’exploitation sur des comptes ou des services portant un nom commun sur le serveur:

Port La description

3389 Connectivité Bureau à distance, pour la connexion à distance au serveur

21 FTP Pour le transfert sécurisé de données entre des emplacements géographiques locaux et le serveur cloud

990 FTPS (Windows) Pour le transfert sécurisé de données entre des emplacements géographiques locaux et le serveur cloud intégrant un certificat SSL

5000-5050 FTP Ports passifs pour la communication FTP

1433 SQL Port par défaut utilisé pour la communication SQL

53 DNS Port par défaut utilisé pour les requêtes DNS

Considérez ce que vous partagez Déterminez quelles données sont disponibles pour les autres via le partage de fichiers. Nous ne recommandons pas activer le partage de fichiers Windows car les ports ouverts sur le pare-feu (ports 445 et 139) exposent le serveur à des tentatives de connexion indésirables. Certains clients utilisent leurs serveurs pour héberger des logiciels de back-office tels que QuickBooks, PeachTree, Microsoft Office (sessions Outlook pour Remote Desktop) ou une autre société tierce Solutions logicielles. Parfois, les clients veulent configurer des lecteurs réseau mappés sur leur permettre de déplacer facilement les données de leurs ordinateurs locaux vers leur serveur cloud par le biais d'une lettre de lecteur sur l'ordinateur local. Cependant, nous ne recommandons pas cette pratique. Votre serveur est aussi sécurisé que le mot de passe le plus faible. En outre, faites attention au logiciel que vous autorisez vos utilisateurs à télécharger et à utiliser. installer sur votre serveur. Chaque progiciel installé augmente l'exposition de votre serveur à attaquer. Politique de mot de passe Que vous ayez ou non provisionné un serveur cloud avec un pare-feu matériel, précédemment indiqué, votre serveur est aussi sécurisé que le mot de passe le plus faible ayant accès à cela. Suivez ces conseils pour les mots de passe:

Utilisez des mots de passe forts d'au moins 8 à 10 caractères, y compris des lettres majuscules et minuscules, des chiffres et des caractères spéciaux (tels que!, #, $ Et%). L'attribution de mots de passe simples peut s'avérer extrêmement dangereuse, notamment pour un serveur cloud disponible sur Internet.

Définissez une date d'expiration pour le mot de passe de chaque utilisateur. Bien qu'il soit gênant de devoir mémoriser périodiquement un nouveau mot de passe, cette pratique peut renforcer la sécurité de vos données.

Parce que nos processus d'automatisation post-build dépendent du compte d'utilisateur par défaut d'administrateur, nous ne recommandons pas de changer ce nom d'utilisateur sur vos serveurs de cloud sous Windows. Faites attention à qui a accès au serveur via le compte administrateur. Si plusieurs les utilisateurs ont besoin d'un accès administrateur au serveur, créez plusieurs comptes avec un accès administrateur. Ses plus facile de suivre les utilisateurs dans les fichiers journaux en recherchant un compte d'utilisateur spécifique que d'essayer pour déchiffrer plusieurs entrées de fichier journal sous le compte Administrateur. Plusieurs instances de Id d'événement 4625 dans le journal de sécurité ou Id d'événement 1012 dans le système Le journal peut signifier que quelqu'un essaie de pirater votre serveur, car ces événements sont liées à des tentatives de connexion infructueuses. Pour les utilisateurs qui se connectent via Remote Desktop Connection, assurez-vous qu'ils se déconnectent. le serveur pour libérer toutes les ressources utilisées au lieu de simplement fermer leurs fenêtres RDC, ce qui laisse la session ouverte sur le serveur. Active Directory Nous déconseillons généralement d’exécuter Active Directory sur un serveur cloud, car le seul le pare-feu Windows est une protection contre les intrusions et Active Directory introduit des problèmes dans un environnement de serveur cloud. Active Directory est généralement mieux utilisé dans un environnement dédié. environnement de serveur où les serveurs sont placés derrière des pare-feu physiques et peuvent être connecté via un tunnel VPN via cette appliance de pare-feu. Rackspace prend en charge un VPN uniquement s’il s’agit d’un pare-feu matériel dans une solution appelée RackConnect. Il est plus facile de mettre en œuvre cette configuration de pare-feu physique avant de créer serveurs, car, au moment de la rédaction de cet article, le processus qui relie le Le pare-feu et les serveurs sont automatisés pendant le processus de construction. Les pare-feu physiques ne sont pas approvisionné aussi rapidement que les serveurs cloud et doit être demandé via notre système hybride. équipes. Pour plus d'informations sur les pare-feu physiques et RackConnect, voir http://www.rackspace.com/cloud/hybrid/rackconnect/. Si vous installez Active Directory sur un serveur cloud, nous vous recommandons vous exécutez deux contrôleurs de domaine en cas d'échec d'un (l’imagerie est actuellement indisponible pour les contrôleurs de domaine). Nous vous recommandons également de verrouiller le DNS empêcher les attaques par amplification DNS. Instances de SQL Server Pour les serveurs exécutant Microsoft SQL Server, verrouillez le port SQL 1433 pour l'écouter. l’interface interne uniquement, de préférence uniquement à l’écoute des connexions à partir d’une liste de Adresses IP des autres serveurs devant accéder à SQL Server sur le serveur. Vous pouvez autoriser Le port SQL 1433 pour écouter via l’interface publique, mais cette règle doit être limitée à les adresses IP des ordinateurs sur lesquels les développeurs se connectent au bases de données sur le serveur. Si vous ne limitez pas ces connexions au serveur, le port 1433 sera exposé et en dehors de les hackers volonté tenter une attaque par force brute sur le serveur via ce port. Ces types de Les attaques provoquent un trafic réseau important, ralentissent les performances du serveur et même réduisent les performances. sites si un compte important est verrouillé. En limitant l’accès à ce port, ces problèmes sont atténués avant de commencer. Pour les serveurs exécutant les éditions Web SQL Server Standard ou SQL Server, nous recommandons configuration des plans de maintenance pour vider à plat les données des fichiers de la base de données en direct fichiers qui peuvent être sauvegardés sur le serveur et nettoyer les sauvegardes afin qu'elles ne se remplissent pas votre disque dur Mises à jour Windows Assurez-vous que les mises à jour Windows sont activées et tenez compte de l'état de votre serveur – assurez-vous que votre système d'exploitation Windows est corrigé. Patch Mardi, qui se produit le deuxième Mardi de chaque mois en Amérique du Nord, est le jour où Microsoft communique régulièrement publie des correctifs de sécurité. Les clients doivent décider de la meilleure façon de mettre en œuvre un correctif stratégie qui garde leurs serveurs à jour. Par défaut, les serveurs Rackspace Cloud vérifient pour les mises à jour entre 2h et 4h tous les jours. Sauvegardes de serveur Configurez un type de plan de reprise après sinistre. Une option que nous proposons est de créer un nuage images du serveur tous les soirs et écrivez-les dans vos conteneurs Cloud Files avec une valeur par défaut rétention de sept jours. Un instantané du serveur est pris, et l'image est stockée dans Fichiers Cloud à utiliser pour créer de nouvelles instances de serveur ou reconstruire le serveur existant à partir de cette image. Nous proposons également une sauvegarde au niveau des fichiers via les sauvegardes sur le cloud. Nous ne recommandons pas de soutenir l'ensemble de la C: lecteur car les fichiers actifs verrouillés entraînent la sauvegarde du travail de sauvegarde. complète avec des erreurs. De plus, les fichiers système Windows sont contenus dans la base images fournies par nous ou dans des images personnalisées prises sur les serveurs, vous n’avez donc pas besoin de sauvegarder ces données quotidiennement. Nous vous recommandons de sauvegarder le C: inetpub (IIS) et toute autre donnée utilisateur devant être sauvegardée. En outre, si des plans de maintenance SQL Server ont été configurés pour vider les données actives dans des fichiers à plat pour sauvegardes, nous vous recommandons d'inclure également ces répertoires dans la sauvegarde. Vérifiez les travaux de sauvegarde pour vous assurer qu'ils sont terminés et que les sauvegardes sont effectuées. valide. Créez une nouvelle instance de serveur à partir d'une image pour vous assurer que l'image est valide, et restaurer un fichier à partir des sauvegardes sur le cloud pour vérifier que les données sauvegardées peuvent être sauvegardées. restauré. Code La dernière surface d’attaque exposée à Internet est le code. Toi et vos développeurs doivent s'assurer que le code est appliqué correctement Authentification et autorisation. Par exemple, une application Web devrait ne pas être exécuté avec des privilèges d'administrateur. Autorisation de fichier doivent être soigneusement définis et toutes les entrées de l’application doivent avoir la meilleure validation possible pour empêcher les pirates d’exploiter la application web et prise de contrôle du serveur. Les sites suivants fournissent des informations sur l'amélioration de la sécurité ASP .Net: Conclusion Selon le cas d'utilisation, les clients peuvent disposer d'autres informations plus spécifiques. doit prendre en compte lors de l’utilisation de notre produit Serveurs Cloud pour répondre à leurs besoins. besoins d'hébergement. Cependant, ces recommandations générales constituent un bon départ pour la sécurité lors de la création de serveurs Windows. nuage ou autre.

Découvrez ce que Rackspace a à offrir. Apprendre encore plus

© 2019 Rackspace US, Inc. Sauf indication contraire, le contenu de ce site est sous licence Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Unported. Voir les spécificités de la licence et le déni de responsabilité

Click to rate this post! [Total: 0 Average: 0]