美團(tuán)云(MOS)提供Windows Server 2008 R2和Windows Server 2012 R2數(shù)據(jù)中心版的云主機(jī)服務(wù)器���。由于Windows服務(wù)器市場(chǎng)占有率較高的原因�����,針對(duì)Windows服務(wù)器的病毒木馬等惡意軟件較多���,且容易獲得����,技術(shù)門(mén)檻也較低����,因此Windows服務(wù)器的安全問(wèn)題需要格外留意。為了安全地使用Windows云主機(jī)���,建議應(yīng)用如下幾個(gè)簡(jiǎn)單的安全加固措施�。雖然簡(jiǎn)單�,但是已足夠防御大部分較常見(jiàn)的安全風(fēng)險(xiǎn)。
一、設(shè)置強(qiáng)密碼
美團(tuán)云Windows服務(wù)器創(chuàng)建后會(huì)給管理員(Administrator)帳號(hào)自動(dòng)生成12位的隨機(jī)密碼�����,在首次登入Windows服務(wù)器后�����,建議立即更改密碼��。密碼盡量隨機(jī),要包含數(shù)字,大小寫(xiě)字母和特殊符號(hào),長(zhǎng)度至少12位。可以采用一些工具��,例如:https://identitysafe.norton.com/password-generator�,生成較強(qiáng)的隨機(jī)密碼。并且以后至少每隔3個(gè)月修改一次密碼。
修改密碼的方法為:在管理員成功登入主機(jī)后�,按"Ctrl-Alt-Delete"�����,選擇"修改密碼" (提示:可以通過(guò)美團(tuán)云Web終端登入,點(diǎn)擊右上角的"Ctrl-Al-Delete"按鈕輸入該按鍵組合)
二、開(kāi)啟自動(dòng)系統(tǒng)更新
美團(tuán)云Windows服務(wù)器均已獲得原廠正版授權(quán)����,可以開(kāi)啟Windows更新服務(wù)����,自動(dòng)更新修補(bǔ)系統(tǒng)漏洞��,以避免被惡意攻擊者利用侵入服務(wù)器。請(qǐng)用下面流程檢查是否啟用自動(dòng)更新�����,如果沒(méi)有啟用����,則建議啟用。
Windows Server 2008
點(diǎn)擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 在右側(cè)的面板中�����,點(diǎn)擊"配置更新" 在彈出的對(duì)話框中�����,選擇"自動(dòng)安裝更新"
Windows Server 2012
點(diǎn)擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 打開(kāi)服務(wù)器管理器儀表盤(pán)�,點(diǎn)擊"配置此本地服務(wù)器" 點(diǎn)擊"Windows更新"后的鏈接 在彈出的窗口��,如果未啟用自動(dòng)更新�����,則顯示如圖所示警示,點(diǎn)擊"啟用自動(dòng)更新"��。
三���、開(kāi)啟防火墻
美團(tuán)云已經(jīng)提供了防火墻服務(wù)�����,如果您正在使用美團(tuán)云主機(jī),可以在美團(tuán)云控制面板使用美團(tuán)云提供的防火墻服務(wù)進(jìn)行防火墻設(shè)置。美團(tuán)云平臺(tái)提供的防火墻是在虛擬機(jī)外部的云平臺(tái)提供了網(wǎng)絡(luò)端口的防火墻功能,配置相對(duì)簡(jiǎn)單宜用����。如果其功能滿足需求�����,建議關(guān)閉Windows系統(tǒng)內(nèi)置的防火墻。否則可以參考以下內(nèi)容設(shè)置Windows內(nèi)置的防火墻����。
(提示:為了避免Windows自帶防火墻和云平臺(tái)防火墻功能的沖突���,在啟用Windows自帶防火墻后��,請(qǐng)將云平臺(tái)的防火墻設(shè)置為"開(kāi)放"��。)
如果Windows服務(wù)器購(gòu)買(mǎi)了公網(wǎng)帶寬,則會(huì)有一個(gè)帶公網(wǎng)IP地址的網(wǎng)卡與公網(wǎng)對(duì)接����。用戶可以訪問(wèn)這個(gè)IP地址訪問(wèn)部署在主機(jī)上的服務(wù)�����。但是與此同時(shí),惡意攻擊者也可能利用系統(tǒng)漏洞���,通過(guò)這個(gè)公網(wǎng)IP侵入你的服務(wù)器。此時(shí)�����,除了要開(kāi)啟自動(dòng)更新及時(shí)修復(fù)系統(tǒng)漏洞外�,還建議開(kāi)啟Windows server的防火墻���,減少直接暴露在公網(wǎng)的端口����,降低危險(xiǎn)端口暴露在公網(wǎng)的風(fēng)險(xiǎn)。并且,對(duì)于遠(yuǎn)程桌面(TCP 3389)等用于管理目的的服務(wù)端口�����,最好設(shè)置允許訪問(wèn)的IP白名單��,以盡量減少被惡意掃描的風(fēng)險(xiǎn)���。
