安全是有分量的

国内高防cdn_防cc脚本_解决方案

2021-05-05 12:12栏目:应用

国内高防cdn_防cc脚本_解决方案

无论您是通过代码将数百台Windows服务器部署到云中,还是为小型企业手工构建物理服务器,拥有一个适当的方法来确保一个安全、可靠的环境对成功至关重要。每个人都知道,现成的Windows服务器可能不具备投入生产所需的所有安全措施,尽管微软一直在改进每一个服务器版本的默认配置,UpGuard提供了这个十步检查清单,以确保你的Windows服务器已经足够坚固,可以抵御大多数网络攻击。具体的最佳实践因需要而有所不同,但在将服务器置于internet之前解决这十个方面可以防止最常见的攻击。其中许多是标准建议,适用于任何风格的服务器,而有些则是特定于Windows的,深入研究了一些可以加强Microsoft服务器平台的方法。关于加强Linux服务器的详细信息可以在我们的文章10配置新服务器的基本步骤中找到。 什么为什么?1用户配置保护您的凭据2网络配置建立沟通三。功能和角色配置你不需要加什么4更新安装修补程序漏洞5NTP配置防止时钟漂移6防火墙配置最小化外部足迹7远程访问配置强化远程管理会话8服务配置最小化攻击面9进一步硬化保护操作系统和其他应用程序10记录和监控知道你的系统发生了什么11常见问题解答关于服务器强化的常见问题 1用户配置现代Windows Server版本强制您这样做,但请确保本地管理员帐户的密码重置为安全的密码。此外,尽可能禁用本地管理员。很少有需要此帐户的情况,而且因为它是一个常见的攻击目标,应该完全禁用它,以防止它被利用。有了这个帐户,你需要设置一个管理员帐户来使用。如果服务器是Active Directory(AD)的成员,则可以添加适当的域帐户,也可以创建新的本地帐户并将其放入administrators组中。不管是哪种方式,您可能需要考虑尽可能使用非管理员帐户来处理您的业务,使用相当于Windows sudo的"Run As"请求提升,并在提示时输入管理员帐户的密码。验证本地来宾帐户是否已禁用(如果适用)。没有一个内置帐户是安全的,客人也许是最不安全的,所以只要关上那扇门。仔细检查您的安全组,确保每个人都在他们应该的位置(例如,将域帐户添加到远程桌面用户组)别忘了保护你的密码。使用强密码策略确保服务器上的帐户不会受到危害。如果您的服务器是AD的成员,密码策略将在默认域策略的域级别设置。可以在本地策略编辑器中设置独立服务器。无论哪种方式,一个好的密码策略至少会建立以下内容:复杂性和长度要求-密码必须有多强密码过期-密码的有效期密码历史记录-以前的密码可以重复使用多长时间帐户锁定-帐户挂起之前密码尝试失败的次数旧密码是许多成功的黑客攻击的原因,因此请务必通过定期更改密码来防止这些攻击。2网络配置生产服务器应该有一个静态IP,这样客户机就可以可靠地找到它们。此IP应位于防火墙后面的受保护段中。从命令提示符下使用nslookup配置至少两个DNS服务器以进行冗余和双重检查名称解析。确保服务器在DNS中具有您想要的名称的有效a记录,以及用于反向查找的PTR记录。请注意,日本高防cdn,DNS更改可能需要几个小时才能在internet上传播,微信ddos防御算法,因此应该在正式运行窗口之前建立生产地址。最后,禁用服务器不使用的任何网络服务,例如IPv6。这取决于您的环境,在投入生产之前,这里的任何更改都应该经过良好的测试。三。Windows功能和角色配置Microsoft使用角色和功能来管理操作系统包。角色基本上是为特定目的而设计的特性的集合,因此通常可以在服务器适合的情况下选择角色,然后可以从中自定义特性。有两件同样重要的事情要做:1)确保你需要的一切都安装好了。这可能是.netframework版本或IIS,但如果没有正确的部分,应用程序将无法工作。2) 卸载所有你不需要的东西。无关的包不必要地扩展了服务器的攻击面,应尽可能删除。对于服务器上安装的不使用的默认应用程序也是如此。服务器的设计应考虑到必要性和剥离精益,以使必要的部分功能尽可能顺利和迅速。4更新安装这似乎不言而喻,但保持服务器安全的最佳方法是保持它的最新状态。这并不一定意味着要掌握前沿技术,在发布更新时立即应用更新,而不需要进行测试,而是要有一个过程来确保在合理的时间内应用更新。大多数被攻击的漏洞都已经存在一年多了,但是关键的更新应该尽快在测试中应用,如果没有问题的话,可以在生产中应用有不同种类的更新:修补程序倾向于解决单个漏洞;汇总是一组解决多个可能相关的漏洞的包,而服务包是对各种漏洞的更新,由几十个或数百个单独的补丁组成。在更新发布后,一定要浏览一下微软的用户论坛,看看其他人对它有什么样的体验。请记住,操作系统的版本也是一种更新,使用多年的服务器版本会使您远远落后于安全曲线。如果生产计划允许,则应在服务器上配置自动更新。不幸的是,l,许多IT部门都缺乏审查和测试每个补丁的人力,这可能导致安装更新时出现停滞。然而,让一个生产系统处于未修补状态比自动更新要危险得多,至少对于关键补丁来说是这样。如果可能的话,更新应该是交错的,这样测试环境就可以提前一周左右收到更新,这样团队就有机会观察他们的行为。可选的更新可以手动完成,因为它们通常解决一些小问题。其他MS软件也可以通过Windows Update进行更新,因此如果运行的是Exchange、SQL或其他MS server技术,请确保启用其他产品的更新。每个应用程序应定期更新并进行测试。5NTP配置仅仅5分钟的时间差将完全中断Windows登录和依赖kerberos安全性的其他各种功能。作为域成员的服务器在加入域时将自动与域控制器同步时间,但独立服务器需要将NTP设置为与外部源同步,以便时钟保持准确。域控制器还应将其时间同步到时间服务器,以确保整个域保持在实际时间的操作范围内。6防火墙配置例如,如果您正在构建一个web服务器,那么您只需要从internet向该服务器打开web端口(80和443)。如果匿名internet客户端可以与其他端口上的服务器进行通信,则会带来巨大且不必要的安全风险。如果服务器有其他功能,如用于管理的远程桌面(RDP),则它们应仅通过VPN连接可用,以确保未经授权的人无法从网络随意利用端口。Windows防火墙是一个不错的内置软件防火墙,允许在操作系统中配置基于端口的流量。在独立服务器上,或任何前面没有硬件防火墙的服务器上,Windows防火墙至少可以通过将攻击面限制在允许的端口上来提供一些针对基于网络的攻击的保护。也就是说,硬件防火墙总是一个更好的选择,宝塔一键安装cc防御系统,因为它将流量卸载到另一个设备上,并提供更多处理流量的选项,让服务器来执行其主要职责。不管你用哪种方法,关键是要把交通限制在必要的路径上。7远程访问配置如上所述,如果您使用RDP,请确保只有在可能的情况下才能通过VPN访问RDP。让它对互联网开放并不能保证你会被黑客攻击,但它确实会让潜在的黑客再次侵入你的服务器。确保RDP仅由授权用户访问。默认情况下,一旦RDP在服务器上启用,服务器cc防御,所有管理员都可以使用它。其他人可以加入远程桌面用户组进行访问,而无需成为管理员。除了RDP之外,其他各种远程访问机制,如Powershell和SSH,如果使用,应该小心地锁定,并且只允许在VPN环境中访问。Telnet根本不应该被使用,因为它以纯文本传递信息,并且在许多方面都非常不安全。FTP也是如此。尽可能使用SFTP或SSH(来自VPN),避免任何未加密的通信。8服务配置Windows server有一组自动启动并在后台运行的默认服务。其中许多是操作系统运行所必需的,但有些是不需要的,如果不使用,应该禁用。遵循与防火墙相同的逻辑,我们希望将att最小化