Meilleures pratiques de sécurité Windows Server\nLIMITATION DE RESPONSABILITÉ POUR LES CLIENTS DES OPÉRATIONS GÉRÉES\nPour vous assurer que Rackspace a accès à votre serveur en cas de besoin, nous vous demandons\nne modifiez pas les configurations suivantes, car vous considérez les meilleures pratiques de sécurité:
"},{"id":"text-2","type":"text","heading":"","plain_text":"Lors de la connexion à votre serveur, Rackspace Support se connecte en tant qu’utilisateur. grille en utilisant Connexion Bureau à distance à l’adresse IP publique sur le port 3389.","html":"Lors de la connexion à votre serveur, Rackspace Support se connecte en tant qu’utilisateur. grille en utilisant Connexion Bureau à distance à l’adresse IP publique sur le port 3389.
"},{"id":"text-3","type":"text","heading":"","plain_text":"La reconstruction de serveurs existants ou la création d'un nouveau serveur à partir d'un instantané nécessite que les connexions administrateur soient activées et que le port 445 ne soit pas bloqué dans le pare-feu Windows.","html":"La reconstruction de serveurs existants ou la création d'un nouveau serveur à partir d'un instantané nécessite que les connexions administrateur soient activées et que le port 445 ne soit pas bloqué dans le pare-feu Windows.
"},{"id":"text-4","type":"text","heading":"","plain_text":"Si vous devez modifier ces valeurs, contactez un administrateur de Rackspace pour que le\nchangements d'une manière qui n'a pas d'incidence sur notre capacité à vous fournir Fanatique\nSoutien®.","html":"Si vous devez modifier ces valeurs, contactez un administrateur de Rackspace pour que le\nchangements d'une manière qui n'a pas d'incidence sur notre capacité à vous fournir Fanatique\nSoutien®.
"},{"id":"text-5","type":"text","heading":"","plain_text":"Cet article fournit certaines des meilleures pratiques de sécurité générales à prendre en compte lorsque vous configurez un\nServeur Microsoft Windows qui interagit avec Internet public. Bien que ces meilleurs\npratiques s’appliquent à n’importe quel serveur en général, cet article traite spécifiquement de Rackspace\nServeurs Cloud publics sous Windows.\nUtiliser les règles de pare-feu locales\nPar défaut, les serveurs Rackspace Public Cloud ne disposent pas d'un pare-feu. Pour les serveurs qui\nsans passer par un pare-feu, le pare-feu Windows est le seul à pouvoir interagir avec Internet\nprotection entre vos ressources de serveur et vos données privées et quiconque avec\naccès à une connexion Internet.\nDésactivez autant de règles que possible sur le pare-feu. La désactivation des règles signifie que moins de ports\nsont ouvertes et à l’écoute via l’interface publique, ce qui limite l’exposition du serveur aux\ntoute personne essayant d'y accéder.\nPour les ports devant être ouverts, limitez l'accès au serveur en ajoutant des adresses IP à la liste blanche.\ndans ces règles spécifiques. Ajoutez l'adresse IP de votre ordinateur à la maison ou au bureau local à\nla liste blanche, même si votre fournisseur de services Internet fournit des adresses IP publiques dynamiques qui changent\ntemps. Vous pouvez modifier les règles de pare-feu selon vos besoins à partir de Cloud Control.\nPanneau en se connectant au serveur à distance via la console et en ajoutant une nouvelle adresse IP.\nEn limitant l’accès au serveur via la liste blanche d’adresses IP, vous pouvez vous assurer que les utilisateurs\nqui ont besoin d’accéder au serveur, mais ceux qui ne sont pas bloqués de ceux qui sont ouverts\nles ports. Les ports les plus courants devant être ouverts dans le pare-feu Windows pour le Web\nl'hébergement sur un serveur cloud sont les suivants:","html":"Cet article fournit certaines des meilleures pratiques de sécurité générales à prendre en compte lorsque vous configurez un\nServeur Microsoft Windows qui interagit avec Internet public. Bien que ces meilleurs\npratiques s’appliquent à n’importe quel serveur en général, cet article traite spécifiquement de Rackspace\nServeurs Cloud publics sous Windows.\nUtiliser les règles de pare-feu locales\nPar défaut, les serveurs Rackspace Public Cloud ne disposent pas d'un pare-feu. Pour les serveurs qui\nsans passer par un pare-feu, le pare-feu Windows est le seul à pouvoir interagir avec Internet\nprotection entre vos ressources de serveur et vos données privées et quiconque avec\naccès à une connexion Internet.\nDésactivez autant de règles que possible sur le pare-feu. La désactivation des règles signifie que moins de ports\nsont ouvertes et à l’écoute via l’interface publique, ce qui limite l’exposition du serveur aux\ntoute personne essayant d'y accéder.\nPour les ports devant être ouverts, limitez l'accès au serveur en ajoutant des adresses IP à la liste blanche.\ndans ces règles spécifiques. Ajoutez l'adresse IP de votre ordinateur à la maison ou au bureau local à\nla liste blanche, même si votre fournisseur de services Internet fournit des adresses IP publiques dynamiques qui changent\ntemps. Vous pouvez modifier les règles de pare-feu selon vos besoins à partir de Cloud Control.\nPanneau en se connectant au serveur à distance via la console et en ajoutant une nouvelle adresse IP.\nEn limitant l’accès au serveur via la liste blanche d’adresses IP, vous pouvez vous assurer que les utilisateurs\nqui ont besoin d’accéder au serveur, mais ceux qui ne sont pas bloqués de ceux qui sont ouverts\nles ports. Les ports les plus courants devant être ouverts dans le pare-feu Windows pour le Web\nl'hébergement sur un serveur cloud sont les suivants:
"},{"id":"text-6","type":"text","heading":"","plain_text":"Port\nUn service","html":"Port\nUn service
"},{"id":"text-7","type":"text","heading":"","plain_text":"80\nHTTP – Sites IIS ou application Web","html":"80\nHTTP – Sites IIS ou application Web
"},{"id":"text-8","type":"text","heading":"","plain_text":"443 HTTPS\nSécurisez les sites IIS ou les applications Web avec SSL","html":"443 HTTPS\nSécurisez les sites IIS ou les applications Web avec SSL
"},{"id":"text-9","type":"text","heading":"","plain_text":"Nous vous recommandons de verrouiller les ports suivants via l'adresse IP\nliste blanche sur l'interface publique pour limiter les attaques par force brute ou\nTentatives d’exploitation sur des comptes ou des services portant un nom commun sur le serveur:","html":"Nous vous recommandons de verrouiller les ports suivants via l'adresse IP\nliste blanche sur l'interface publique pour limiter les attaques par force brute ou\nTentatives d’exploitation sur des comptes ou des services portant un nom commun sur le serveur:
"},{"id":"text-10","type":"text","heading":"","plain_text":"Port\nLa description","html":"Port\nLa description
"},{"id":"text-11","type":"text","heading":"","plain_text":"3389\nConnectivité Bureau à distance, pour la connexion à distance au serveur","html":"3389\nConnectivité Bureau à distance, pour la connexion à distance au serveur
"},{"id":"text-12","type":"text","heading":"","plain_text":"21 FTP\nPour le transfert sécurisé de données entre des emplacements géographiques locaux et le serveur cloud","html":"21 FTP\nPour le transfert sécurisé de données entre des emplacements géographiques locaux et le serveur cloud
"},{"id":"text-13","type":"text","heading":"","plain_text":"990 FTPS (Windows)\nPour le transfert sécurisé de données entre des emplacements géographiques locaux et le serveur cloud intégrant un certificat SSL","html":"990 FTPS (Windows)\nPour le transfert sécurisé de données entre des emplacements géographiques locaux et le serveur cloud intégrant un certificat SSL
"},{"id":"text-14","type":"text","heading":"","plain_text":"5000-5050 FTP\nPorts passifs pour la communication FTP","html":"5000-5050 FTP\nPorts passifs pour la communication FTP
"},{"id":"text-15","type":"text","heading":"","plain_text":"1433 SQL\nPort par défaut utilisé pour la communication SQL","html":"1433 SQL\nPort par défaut utilisé pour la communication SQL
"},{"id":"text-16","type":"text","heading":"","plain_text":"53 DNS\nPort par défaut utilisé pour les requêtes DNS","html":"53 DNS\nPort par défaut utilisé pour les requêtes DNS
"},{"id":"text-17","type":"text","heading":"","plain_text":"Considérez ce que vous partagez\nDéterminez quelles données sont disponibles pour les autres via le partage de fichiers. Nous ne recommandons pas\nactiver le partage de fichiers Windows car les ports ouverts sur le pare-feu (ports\n445 et 139) exposent le serveur à des tentatives de connexion indésirables.\nCertains clients utilisent leurs serveurs pour héberger des logiciels de back-office tels que QuickBooks,\nPeachTree, Microsoft Office (sessions Outlook pour Remote Desktop) ou une autre société tierce\nSolutions logicielles. Parfois, les clients veulent configurer des lecteurs réseau mappés sur\nleur permettre de déplacer facilement les données de leurs ordinateurs locaux vers leur serveur cloud par le biais\nd'une lettre de lecteur sur l'ordinateur local. Cependant, nous ne recommandons pas cette pratique.\nVotre serveur est aussi sécurisé que le mot de passe le plus faible.\nEn outre, faites attention au logiciel que vous autorisez vos utilisateurs à télécharger et à utiliser.\ninstaller sur votre serveur. Chaque progiciel installé augmente l'exposition de votre\nserveur à attaquer.\nPolitique de mot de passe\nQue vous ayez ou non provisionné un serveur cloud avec un pare-feu matériel,\nprécédemment indiqué, votre serveur est aussi sécurisé que le mot de passe le plus faible ayant accès\nà cela. Suivez ces conseils pour les mots de passe:","html":"Considérez ce que vous partagez\nDéterminez quelles données sont disponibles pour les autres via le partage de fichiers. Nous ne recommandons pas\nactiver le partage de fichiers Windows car les ports ouverts sur le pare-feu (ports\n445 et 139) exposent le serveur à des tentatives de connexion indésirables.\nCertains clients utilisent leurs serveurs pour héberger des logiciels de back-office tels que QuickBooks,\nPeachTree, Microsoft Office (sessions Outlook pour Remote Desktop) ou une autre société tierce\nSolutions logicielles. Parfois, les clients veulent configurer des lecteurs réseau mappés sur\nleur permettre de déplacer facilement les données de leurs ordinateurs locaux vers leur serveur cloud par le biais\nd'une lettre de lecteur sur l'ordinateur local. Cependant, nous ne recommandons pas cette pratique.\nVotre serveur est aussi sécurisé que le mot de passe le plus faible.\nEn outre, faites attention au logiciel que vous autorisez vos utilisateurs à télécharger et à utiliser.\ninstaller sur votre serveur. Chaque progiciel installé augmente l'exposition de votre\nserveur à attaquer.\nPolitique de mot de passe\nQue vous ayez ou non provisionné un serveur cloud avec un pare-feu matériel,\nprécédemment indiqué, votre serveur est aussi sécurisé que le mot de passe le plus faible ayant accès\nà cela. Suivez ces conseils pour les mots de passe:
"},{"id":"text-18","type":"text","heading":"","plain_text":"Utilisez des mots de passe forts d'au moins 8 à 10 caractères, y compris des lettres majuscules et minuscules, des chiffres et des caractères spéciaux (tels que!, #, $ Et%). L'attribution de mots de passe simples peut s'avérer extrêmement dangereuse, notamment pour un serveur cloud disponible sur Internet.","html":"Utilisez des mots de passe forts d'au moins 8 à 10 caractères, y compris des lettres majuscules et minuscules, des chiffres et des caractères spéciaux (tels que!, #, $ Et%). L'attribution de mots de passe simples peut s'avérer extrêmement dangereuse, notamment pour un serveur cloud disponible sur Internet.
"},{"id":"text-19","type":"text","heading":"","plain_text":"Définissez une date d'expiration pour le mot de passe de chaque utilisateur. Bien qu'il soit gênant de devoir mémoriser périodiquement un nouveau mot de passe, cette pratique peut renforcer la sécurité de vos données.","html":"Définissez une date d'expiration pour le mot de passe de chaque utilisateur. Bien qu'il soit gênant de devoir mémoriser périodiquement un nouveau mot de passe, cette pratique peut renforcer la sécurité de vos données.
"},{"id":"text-20","type":"text","heading":"","plain_text":"Parce que nos processus d'automatisation post-build dépendent du compte d'utilisateur par défaut\nd'administrateur, nous ne recommandons pas de changer ce nom d'utilisateur sur vos serveurs de cloud\nsous Windows.\nFaites attention à qui a accès au serveur via le compte administrateur. Si plusieurs\nles utilisateurs ont besoin d'un accès administrateur au serveur, créez plusieurs comptes avec un accès administrateur. Ses\nplus facile de suivre les utilisateurs dans les fichiers journaux en recherchant un compte d'utilisateur spécifique que d'essayer\npour déchiffrer plusieurs entrées de fichier journal sous le compte Administrateur.\nPlusieurs instances de Id d'événement 4625 dans le journal de sécurité ou Id d'événement 1012 dans le système\nLe journal peut signifier que quelqu'un essaie de pirater votre serveur, car ces événements sont\nliées à des tentatives de connexion infructueuses.\nPour les utilisateurs qui se connectent via Remote Desktop Connection, assurez-vous qu'ils se déconnectent.\nle serveur pour libérer toutes les ressources utilisées au lieu de simplement fermer leurs fenêtres RDC,\nce qui laisse la session ouverte sur le serveur.\nActive Directory\nNous déconseillons généralement d’exécuter Active Directory sur un serveur cloud, car le seul\nle pare-feu Windows est une protection contre les intrusions et Active Directory introduit des problèmes\ndans un environnement de serveur cloud. Active Directory est généralement mieux utilisé dans un environnement dédié.\nenvironnement de serveur où les serveurs sont placés derrière des pare-feu physiques et peuvent être\nconnecté via un tunnel VPN via cette appliance de pare-feu.\nRackspace prend en charge un VPN uniquement s’il s’agit d’un pare-feu matériel dans une solution appelée\nRackConnect. Il est plus facile de mettre en œuvre cette configuration de pare-feu physique avant de créer\nserveurs, car, au moment de la rédaction de cet article, le processus qui relie le\nLe pare-feu et les serveurs sont automatisés pendant le processus de construction. Les pare-feu physiques ne sont pas\napprovisionné aussi rapidement que les serveurs cloud et doit être demandé via notre système hybride.\néquipes. Pour plus d'informations sur les pare-feu physiques et RackConnect, voir\nhttp://www.rackspace.com/cloud/hybrid/rackconnect/.\nSi vous installez Active Directory sur un serveur cloud, nous vous recommandons\nvous exécutez deux contrôleurs de domaine en cas d'échec d'un (l’imagerie est actuellement\nindisponible pour les contrôleurs de domaine). Nous vous recommandons également de verrouiller le DNS\nempêcher les attaques par amplification DNS.\nInstances de SQL Server\nPour les serveurs exécutant Microsoft SQL Server, verrouillez le port SQL 1433 pour l'écouter.\nl’interface interne uniquement, de préférence uniquement à l’écoute des connexions à partir d’une liste de\nAdresses IP des autres serveurs devant accéder à SQL Server sur le serveur. Vous pouvez autoriser\nLe port SQL 1433 pour écouter via l’interface publique, mais cette règle doit être limitée à\nles adresses IP des ordinateurs sur lesquels les développeurs se connectent au\nbases de données sur le serveur.\nSi vous ne limitez pas ces connexions au serveur, le port 1433 sera exposé et en dehors de\nles hackers volonté tenter une attaque par force brute sur le serveur via ce port. Ces types de\nLes attaques provoquent un trafic réseau important, ralentissent les performances du serveur et même réduisent les performances.\nsites si un compte important est verrouillé. En limitant l’accès à ce port, ces problèmes\nsont atténués avant de commencer.\nPour les serveurs exécutant les éditions Web SQL Server Standard ou SQL Server, nous recommandons\nconfiguration des plans de maintenance pour vider à plat les données des fichiers de la base de données en direct\nfichiers qui peuvent être sauvegardés sur le serveur et nettoyer les sauvegardes afin qu'elles ne se remplissent pas\nvotre disque dur\nMises à jour Windows\nAssurez-vous que les mises à jour Windows sont activées et tenez compte de l'état de votre serveur –\nassurez-vous que votre système d'exploitation Windows est corrigé. Patch Mardi, qui se produit le deuxième\nMardi de chaque mois en Amérique du Nord, est le jour où Microsoft communique régulièrement\npublie des correctifs de sécurité. Les clients doivent décider de la meilleure façon de mettre en œuvre un correctif\nstratégie qui garde leurs serveurs à jour. Par défaut, les serveurs Rackspace Cloud vérifient\npour les mises à jour entre 2h et 4h tous les jours.\nSauvegardes de serveur\nConfigurez un type de plan de reprise après sinistre. Une option que nous proposons est de créer un nuage\nimages du serveur tous les soirs et écrivez-les dans vos conteneurs Cloud Files avec une valeur par défaut\nrétention de sept jours. Un instantané du serveur est pris, et l'image est stockée dans\nFichiers Cloud à utiliser pour créer de nouvelles instances de serveur ou reconstruire le serveur existant\nà partir de cette image.\nNous proposons également une sauvegarde au niveau des fichiers via les sauvegardes sur le cloud. Nous ne recommandons pas de soutenir\nl'ensemble de la C: lecteur car les fichiers actifs verrouillés entraînent la sauvegarde du travail de sauvegarde.\ncomplète avec des erreurs. De plus, les fichiers système Windows sont contenus dans la base\nimages fournies par nous ou dans des images personnalisées prises sur les serveurs, vous n’avez donc pas besoin de sauvegarder ces données quotidiennement.\nNous vous recommandons de sauvegarder le C: inetpub (IIS) et toute autre donnée utilisateur devant être sauvegardée.\nEn outre, si des plans de maintenance SQL Server ont été configurés pour vider les données actives dans des fichiers à plat pour\nsauvegardes, nous vous recommandons d'inclure également ces répertoires dans la sauvegarde.\nVérifiez les travaux de sauvegarde pour vous assurer qu'ils sont terminés et que les sauvegardes sont effectuées.\nvalide. Créez une nouvelle instance de serveur à partir d'une image pour vous assurer que l'image est valide, et\nrestaurer un fichier à partir des sauvegardes sur le cloud pour vérifier que les données sauvegardées peuvent être sauvegardées.\nrestauré.\nCode\nLa dernière surface d’attaque exposée à Internet est le code. Toi et\nvos développeurs doivent s'assurer que le code est appliqué correctement\nAuthentification et autorisation. Par exemple, une application Web devrait\nne pas être exécuté avec des privilèges d'administrateur. Autorisation de fichier\ndoivent être soigneusement définis et toutes les entrées de l’application doivent\navoir la meilleure validation possible pour empêcher les pirates d’exploiter la\napplication web et prise de contrôle du serveur.\nLes sites suivants fournissent des informations sur l'amélioration de la sécurité ASP .Net:\nConclusion\nSelon le cas d'utilisation, les clients peuvent disposer d'autres informations plus spécifiques.\ndoit prendre en compte lors de l’utilisation de notre produit Serveurs Cloud pour répondre à leurs besoins.\nbesoins d'hébergement. Cependant, ces recommandations générales constituent un bon départ pour la sécurité lors de la création de serveurs Windows.\nnuage ou autre.","html":"Parce que nos processus d'automatisation post-build dépendent du compte d'utilisateur par défaut\nd'administrateur, nous ne recommandons pas de changer ce nom d'utilisateur sur vos serveurs de cloud\nsous Windows.\nFaites attention à qui a accès au serveur via le compte administrateur. Si plusieurs\nles utilisateurs ont besoin d'un accès administrateur au serveur, créez plusieurs comptes avec un accès administrateur. Ses\nplus facile de suivre les utilisateurs dans les fichiers journaux en recherchant un compte d'utilisateur spécifique que d'essayer\npour déchiffrer plusieurs entrées de fichier journal sous le compte Administrateur.\nPlusieurs instances de Id d'événement 4625 dans le journal de sécurité ou Id d'événement 1012 dans le système\nLe journal peut signifier que quelqu'un essaie de pirater votre serveur, car ces événements sont\nliées à des tentatives de connexion infructueuses.\nPour les utilisateurs qui se connectent via Remote Desktop Connection, assurez-vous qu'ils se déconnectent.\nle serveur pour libérer toutes les ressources utilisées au lieu de simplement fermer leurs fenêtres RDC,\nce qui laisse la session ouverte sur le serveur.\nActive Directory\nNous déconseillons généralement d’exécuter Active Directory sur un serveur cloud, car le seul\nle pare-feu Windows est une protection contre les intrusions et Active Directory introduit des problèmes\ndans un environnement de serveur cloud. Active Directory est généralement mieux utilisé dans un environnement dédié.\nenvironnement de serveur où les serveurs sont placés derrière des pare-feu physiques et peuvent être\nconnecté via un tunnel VPN via cette appliance de pare-feu.\nRackspace prend en charge un VPN uniquement s’il s’agit d’un pare-feu matériel dans une solution appelée\nRackConnect. Il est plus facile de mettre en œuvre cette configuration de pare-feu physique avant de créer\nserveurs, car, au moment de la rédaction de cet article, le processus qui relie le\nLe pare-feu et les serveurs sont automatisés pendant le processus de construction. Les pare-feu physiques ne sont pas\napprovisionné aussi rapidement que les serveurs cloud et doit être demandé via notre système hybride.\néquipes. Pour plus d'informations sur les pare-feu physiques et RackConnect, voir\nhttp://www.rackspace.com/cloud/hybrid/rackconnect/.\nSi vous installez Active Directory sur un serveur cloud, nous vous recommandons\nvous exécutez deux contrôleurs de domaine en cas d'échec d'un (l’imagerie est actuellement\nindisponible pour les contrôleurs de domaine). Nous vous recommandons également de verrouiller le DNS\nempêcher les attaques par amplification DNS.\nInstances de SQL Server\nPour les serveurs exécutant Microsoft SQL Server, verrouillez le port SQL 1433 pour l'écouter.\nl’interface interne uniquement, de préférence uniquement à l’écoute des connexions à partir d’une liste de\nAdresses IP des autres serveurs devant accéder à SQL Server sur le serveur. Vous pouvez autoriser\nLe port SQL 1433 pour écouter via l’interface publique, mais cette règle doit être limitée à\nles adresses IP des ordinateurs sur lesquels les développeurs se connectent au\nbases de données sur le serveur.\nSi vous ne limitez pas ces connexions au serveur, le port 1433 sera exposé et en dehors de\nles hackers volonté tenter une attaque par force brute sur le serveur via ce port. Ces types de\nLes attaques provoquent un trafic réseau important, ralentissent les performances du serveur et même réduisent les performances.\nsites si un compte important est verrouillé. En limitant l’accès à ce port, ces problèmes\nsont atténués avant de commencer.\nPour les serveurs exécutant les éditions Web SQL Server Standard ou SQL Server, nous recommandons\nconfiguration des plans de maintenance pour vider à plat les données des fichiers de la base de données en direct\nfichiers qui peuvent être sauvegardés sur le serveur et nettoyer les sauvegardes afin qu'elles ne se remplissent pas\nvotre disque dur\nMises à jour Windows\nAssurez-vous que les mises à jour Windows sont activées et tenez compte de l'état de votre serveur –\nassurez-vous que votre système d'exploitation Windows est corrigé. Patch Mardi, qui se produit le deuxième\nMardi de chaque mois en Amérique du Nord, est le jour où Microsoft communique régulièrement\npublie des correctifs de sécurité. Les clients doivent décider de la meilleure façon de mettre en œuvre un correctif\nstratégie qui garde leurs serveurs à jour. Par défaut, les serveurs Rackspace Cloud vérifient\npour les mises à jour entre 2h et 4h tous les jours.\nSauvegardes de serveur\nConfigurez un type de plan de reprise après sinistre. Une option que nous proposons est de créer un nuage\nimages du serveur tous les soirs et écrivez-les dans vos conteneurs Cloud Files avec une valeur par défaut\nrétention de sept jours. Un instantané du serveur est pris, et l'image est stockée dans\nFichiers Cloud à utiliser pour créer de nouvelles instances de serveur ou reconstruire le serveur existant\nà partir de cette image.\nNous proposons également une sauvegarde au niveau des fichiers via les sauvegardes sur le cloud. Nous ne recommandons pas de soutenir\nl'ensemble de la C: lecteur car les fichiers actifs verrouillés entraînent la sauvegarde du travail de sauvegarde.\ncomplète avec des erreurs. De plus, les fichiers système Windows sont contenus dans la base\nimages fournies par nous ou dans des images personnalisées prises sur les serveurs, vous n’avez donc pas besoin de sauvegarder ces données quotidiennement.\nNous vous recommandons de sauvegarder le C: inetpub (IIS) et toute autre donnée utilisateur devant être sauvegardée.\nEn outre, si des plans de maintenance SQL Server ont été configurés pour vider les données actives dans des fichiers à plat pour\nsauvegardes, nous vous recommandons d'inclure également ces répertoires dans la sauvegarde.\nVérifiez les travaux de sauvegarde pour vous assurer qu'ils sont terminés et que les sauvegardes sont effectuées.\nvalide. Créez une nouvelle instance de serveur à partir d'une image pour vous assurer que l'image est valide, et\nrestaurer un fichier à partir des sauvegardes sur le cloud pour vérifier que les données sauvegardées peuvent être sauvegardées.\nrestauré.\nCode\nLa dernière surface d’attaque exposée à Internet est le code. Toi et\nvos développeurs doivent s'assurer que le code est appliqué correctement\nAuthentification et autorisation. Par exemple, une application Web devrait\nne pas être exécuté avec des privilèges d'administrateur. Autorisation de fichier\ndoivent être soigneusement définis et toutes les entrées de l’application doivent\navoir la meilleure validation possible pour empêcher les pirates d’exploiter la\napplication web et prise de contrôle du serveur.\nLes sites suivants fournissent des informations sur l'amélioration de la sécurité ASP .Net:\nConclusion\nSelon le cas d'utilisation, les clients peuvent disposer d'autres informations plus spécifiques.\ndoit prendre en compte lors de l’utilisation de notre produit Serveurs Cloud pour répondre à leurs besoins.\nbesoins d'hébergement. Cependant, ces recommandations générales constituent un bon départ pour la sécurité lors de la création de serveurs Windows.\nnuage ou autre.
"},{"id":"text-21","type":"text","heading":"","plain_text":"Découvrez ce que Rackspace a à offrir.\nApprendre encore plus","html":"Découvrez ce que Rackspace a à offrir.\nApprendre encore plus
"},{"id":"text-22","type":"text","heading":"","plain_text":"© 2019 Rackspace US, Inc.\nSauf indication contraire, le contenu de ce site est sous licence Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Unported.\n \nVoir les spécificités de la licence et le déni de responsabilité","html":"© 2019 Rackspace US, Inc.\nSauf indication contraire, le contenu de ce site est sous licence Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Unported.\n \nVoir les spécificités de la licence et le déni de responsabilité
"},{"id":"text-23","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"Meilleures pratiques de sécurité Windows Server\nLIMITATION DE RESPONSABILITÉ POUR LES CLIENTS DES OPÉRATIONS GÉRÉES\nPour vous assurer que Rackspace a accès à votre serveur en cas de besoin, nous vous demandons\nne modifiez pas les configurations suivantes, car vous considérez les meilleures pratiques de sécurité:"},{"id":"text-2","heading":"Text","content":"Lors de la connexion à votre serveur, Rackspace Support se connecte en tant qu’utilisateur. grille en utilisant Connexion Bureau à distance à l’adresse IP publique sur le port 3389."},{"id":"text-3","heading":"Text","content":"La reconstruction de serveurs existants ou la création d'un nouveau serveur à partir d'un instantané nécessite que les connexions administrateur soient activées et que le port 445 ne soit pas bloqué dans le pare-feu Windows."},{"id":"text-4","heading":"Text","content":"Si vous devez modifier ces valeurs, contactez un administrateur de Rackspace pour que le\nchangements d'une manière qui n'a pas d'incidence sur notre capacité à vous fournir Fanatique\nSoutien®."},{"id":"text-5","heading":"Text","content":"Cet article fournit certaines des meilleures pratiques de sécurité générales à prendre en compte lorsque vous configurez un\nServeur Microsoft Windows qui interagit avec Internet public. Bien que ces meilleurs\npratiques s’appliquent à n’importe quel serveur en général, cet article traite spécifiquement de Rackspace\nServeurs Cloud publics sous Windows.\nUtiliser les règles de pare-feu locales\nPar défaut, les serveurs Rackspace Public Cloud ne disposent pas d'un pare-feu. Pour les serveurs qui\nsans passer par un pare-feu, le pare-feu Windows est le seul à pouvoir interagir avec Internet\nprotection entre vos ressources de serveur et vos données privées et quiconque avec\naccès à une connexion Internet.\nDésactivez autant de règles que possible sur le pare-feu. La désactivation des règles signifie que moins de ports\nsont ouvertes et à l’écoute via l’interface publique, ce qui limite l’exposition du serveur aux\ntoute personne essayant d'y accéder.\nPour les ports devant être ouverts, limitez l'accès au serveur en ajoutant des adresses IP à la liste blanche.\ndans ces règles spécifiques. Ajoutez l'adresse IP de votre ordinateur à la maison ou au bureau local à\nla liste blanche, même si votre fournisseur de services Internet fournit des adresses IP publiques dynamiques qui changent\ntemps. Vous pouvez modifier les règles de pare-feu selon vos besoins à partir de Cloud Control.\nPanneau en se connectant au serveur à distance via la console et en ajoutant une nouvelle adresse IP.\nEn limitant l’accès au serveur via la liste blanche d’adresses IP, vous pouvez vous assurer que les utilisateurs\nqui ont besoin d’accéder au serveur, mais ceux qui ne sont pas bloqués de ceux qui sont ouverts\nles ports. Les ports les plus courants devant être ouverts dans le pare-feu Windows pour le Web\nl'hébergement sur un serveur cloud sont les suivants:"},{"id":"text-6","heading":"Text","content":"Port\nUn service"},{"id":"text-7","heading":"Text","content":"80\nHTTP – Sites IIS ou application Web"},{"id":"text-8","heading":"Text","content":"443 HTTPS\nSécurisez les sites IIS ou les applications Web avec SSL"},{"id":"text-9","heading":"Text","content":"Nous vous recommandons de verrouiller les ports suivants via l'adresse IP\nliste blanche sur l'interface publique pour limiter les attaques par force brute ou\nTentatives d’exploitation sur des comptes ou des services portant un nom commun sur le serveur:"},{"id":"text-10","heading":"Text","content":"Port\nLa description"},{"id":"text-11","heading":"Text","content":"3389\nConnectivité Bureau à distance, pour la connexion à distance au serveur"},{"id":"text-12","heading":"Text","content":"21 FTP\nPour le transfert sécurisé de données entre des emplacements géographiques locaux et le serveur cloud"},{"id":"text-13","heading":"Text","content":"990 FTPS (Windows)\nPour le transfert sécurisé de données entre des emplacements géographiques locaux et le serveur cloud intégrant un certificat SSL"},{"id":"text-14","heading":"Text","content":"5000-5050 FTP\nPorts passifs pour la communication FTP"},{"id":"text-15","heading":"Text","content":"1433 SQL\nPort par défaut utilisé pour la communication SQL"},{"id":"text-16","heading":"Text","content":"53 DNS\nPort par défaut utilisé pour les requêtes DNS"},{"id":"text-17","heading":"Text","content":"Considérez ce que vous partagez\nDéterminez quelles données sont disponibles pour les autres via le partage de fichiers. Nous ne recommandons pas\nactiver le partage de fichiers Windows car les ports ouverts sur le pare-feu (ports\n445 et 139) exposent le serveur à des tentatives de connexion indésirables.\nCertains clients utilisent leurs serveurs pour héberger des logiciels de back-office tels que QuickBooks,\nPeachTree, Microsoft Office (sessions Outlook pour Remote Desktop) ou une autre société tierce\nSolutions logicielles. Parfois, les clients veulent configurer des lecteurs réseau mappés sur\nleur permettre de déplacer facilement les données de leurs ordinateurs locaux vers leur serveur cloud par le biais\nd'une lettre de lecteur sur l'ordinateur local. Cependant, nous ne recommandons pas cette pratique.\nVotre serveur est aussi sécurisé que le mot de passe le plus faible.\nEn outre, faites attention au logiciel que vous autorisez vos utilisateurs à télécharger et à utiliser.\ninstaller sur votre serveur. Chaque progiciel installé augmente l'exposition de votre\nserveur à attaquer.\nPolitique de mot de passe\nQue vous ayez ou non provisionné un serveur cloud avec un pare-feu matériel,\nprécédemment indiqué, votre serveur est aussi sécurisé que le mot de passe le plus faible ayant accès\nà cela. Suivez ces conseils pour les mots de passe:"},{"id":"text-18","heading":"Text","content":"Utilisez des mots de passe forts d'au moins 8 à 10 caractères, y compris des lettres majuscules et minuscules, des chiffres et des caractères spéciaux (tels que!, #, $ Et%). L'attribution de mots de passe simples peut s'avérer extrêmement dangereuse, notamment pour un serveur cloud disponible sur Internet."},{"id":"text-19","heading":"Text","content":"Définissez une date d'expiration pour le mot de passe de chaque utilisateur. Bien qu'il soit gênant de devoir mémoriser périodiquement un nouveau mot de passe, cette pratique peut renforcer la sécurité de vos données."},{"id":"text-20","heading":"Text","content":"Parce que nos processus d'automatisation post-build dépendent du compte d'utilisateur par défaut\nd'administrateur, nous ne recommandons pas de changer ce nom d'utilisateur sur vos serveurs de cloud\nsous Windows.\nFaites attention à qui a accès au serveur via le compte administrateur. Si plusieurs\nles utilisateurs ont besoin d'un accès administrateur au serveur, créez plusieurs comptes avec un accès administrateur. Ses\nplus facile de suivre les utilisateurs dans les fichiers journaux en recherchant un compte d'utilisateur spécifique que d'essayer\npour déchiffrer plusieurs entrées de fichier journal sous le compte Administrateur.\nPlusieurs instances de Id d'événement 4625 dans le journal de sécurité ou Id d'événement 1012 dans le système\nLe journal peut signifier que quelqu'un essaie de pirater votre serveur, car ces événements sont\nliées à des tentatives de connexion infructueuses.\nPour les utilisateurs qui se connectent via Remote Desktop Connection, assurez-vous qu'ils se déconnectent.\nle serveur pour libérer toutes les ressources utilisées au lieu de simplement fermer leurs fenêtres RDC,\nce qui laisse la session ouverte sur le serveur.\nActive Directory\nNous déconseillons généralement d’exécuter Active Directory sur un serveur cloud, car le seul\nle pare-feu Windows est une protection contre les intrusions et Active Directory introduit des problèmes\ndans un environnement de serveur cloud. Active Directory est généralement mieux utilisé dans un environnement dédié.\nenvironnement de serveur où les serveurs sont placés derrière des pare-feu physiques et peuvent être\nconnecté via un tunnel VPN via cette appliance de pare-feu.\nRackspace prend en charge un VPN uniquement s’il s’agit d’un pare-feu matériel dans une solution appelée\nRackConnect. Il est plus facile de mettre en œuvre cette configuration de pare-feu physique avant de créer\nserveurs, car, au moment de la rédaction de cet article, le processus qui relie le\nLe pare-feu et les serveurs sont automatisés pendant le processus de construction. Les pare-feu physiques ne sont pas\napprovisionné aussi rapidement que les serveurs cloud et doit être demandé via notre système hybride.\néquipes. Pour plus d'informations sur les pare-feu physiques et RackConnect, voir\nhttp://www.rackspace.com/cloud/hybrid/rackconnect/.\nSi vous installez Active Directory sur un serveur cloud, nous vous recommandons\nvous exécutez deux contrôleurs de domaine en cas d'échec d'un (l’imagerie est actuellement\nindisponible pour les contrôleurs de domaine). Nous vous recommandons également de verrouiller le DNS\nempêcher les attaques par amplification DNS.\nInstances de SQL Server\nPour les serveurs exécutant Microsoft SQL Server, verrouillez le port SQL 1433 pour l'écouter.\nl’interface interne uniquement, de préférence uniquement à l’écoute des connexions à partir d’une liste de\nAdresses IP des autres serveurs devant accéder à SQL Server sur le serveur. Vous pouvez autoriser\nLe port SQL 1433 pour écouter via l’interface publique, mais cette règle doit être limitée à\nles adresses IP des ordinateurs sur lesquels les développeurs se connectent au\nbases de données sur le serveur.\nSi vous ne limitez pas ces connexions au serveur, le port 1433 sera exposé et en dehors de\nles hackers volonté tenter une attaque par force brute sur le serveur via ce port. Ces types de\nLes attaques provoquent un trafic réseau important, ralentissent les performances du serveur et même réduisent les performances.\nsites si un compte important est verrouillé. En limitant l’accès à ce port, ces problèmes\nsont atténués avant de commencer.\nPour les serveurs exécutant les éditions Web SQL Server Standard ou SQL Server, nous recommandons\nconfiguration des plans de maintenance pour vider à plat les données des fichiers de la base de données en direct\nfichiers qui peuvent être sauvegardés sur le serveur et nettoyer les sauvegardes afin qu'elles ne se remplissent pas\nvotre disque dur\nMises à jour Windows\nAssurez-vous que les mises à jour Windows sont activées et tenez compte de l'état de votre serveur –\nassurez-vous que votre système d'exploitation Windows est corrigé. Patch Mardi, qui se produit le deuxième\nMardi de chaque mois en Amérique du Nord, est le jour où Microsoft communique régulièrement\npublie des correctifs de sécurité. Les clients doivent décider de la meilleure façon de mettre en œuvre un correctif\nstratégie qui garde leurs serveurs à jour. Par défaut, les serveurs Rackspace Cloud vérifient\npour les mises à jour entre 2h et 4h tous les jours.\nSauvegardes de serveur\nConfigurez un type de plan de reprise après sinistre. Une option que nous proposons est de créer un nuage\nimages du serveur tous les soirs et écrivez-les dans vos conteneurs Cloud Files avec une valeur par défaut\nrétention de sept jours. Un instantané du serveur est pris, et l'image est stockée dans\nFichiers Cloud à utiliser pour créer de nouvelles instances de serveur ou reconstruire le serveur existant\nà partir de cette image.\nNous proposons également une sauvegarde au niveau des fichiers via les sauvegardes sur le cloud. Nous ne recommandons pas de soutenir\nl'ensemble de la C: lecteur car les fichiers actifs verrouillés entraînent la sauvegarde du travail de sauvegarde.\ncomplète avec des erreurs. De plus, les fichiers système Windows sont contenus dans la base\nimages fournies par nous ou dans des images personnalisées prises sur les serveurs, vous n’avez donc pas besoin de sauvegarder ces données quotidiennement.\nNous vous recommandons de sauvegarder le C: inetpub (IIS) et toute autre donnée utilisateur devant être sauvegardée.\nEn outre, si des plans de maintenance SQL Server ont été configurés pour vider les données actives dans des fichiers à plat pour\nsauvegardes, nous vous recommandons d'inclure également ces répertoires dans la sauvegarde.\nVérifiez les travaux de sauvegarde pour vous assurer qu'ils sont terminés et que les sauvegardes sont effectuées.\nvalide. Créez une nouvelle instance de serveur à partir d'une image pour vous assurer que l'image est valide, et\nrestaurer un fichier à partir des sauvegardes sur le cloud pour vérifier que les données sauvegardées peuvent être sauvegardées.\nrestauré.\nCode\nLa dernière surface d’attaque exposée à Internet est le code. Toi et\nvos développeurs doivent s'assurer que le code est appliqué correctement\nAuthentification et autorisation. Par exemple, une application Web devrait\nne pas être exécuté avec des privilèges d'administrateur. Autorisation de fichier\ndoivent être soigneusement définis et toutes les entrées de l’application doivent\navoir la meilleure validation possible pour empêcher les pirates d’exploiter la\napplication web et prise de contrôle du serveur.\nLes sites suivants fournissent des informations sur l'amélioration de la sécurité ASP .Net:\nConclusion\nSelon le cas d'utilisation, les clients peuvent disposer d'autres informations plus spécifiques.\ndoit prendre en compte lors de l’utilisation de notre produit Serveurs Cloud pour répondre à leurs besoins.\nbesoins d'hébergement. Cependant, ces recommandations générales constituent un bon départ pour la sécurité lors de la création de serveurs Windows.\nnuage ou autre."},{"id":"text-21","heading":"Text","content":"Découvrez ce que Rackspace a à offrir.\nApprendre encore plus"},{"id":"text-22","heading":"Text","content":"© 2019 Rackspace US, Inc.\nSauf indication contraire, le contenu de ce site est sous licence Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Unported.\n \nVoir les spécificités de la licence et le déni de responsabilité"},{"id":"text-23","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2019/06/88x31.png"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2019/06/21/meilleures-pratiques-de-securite-windows-server-serveur-dimpression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/06/21/meilleures-pratiques-de-securite-windows-server-serveur-dimpression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/06/21/meilleures-pratiques-de-securite-windows-server-serveur-dimpression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}