国产成人毛片毛片久久网_国产午夜激无码av毛片不_国产乱对白精彩在线播放_av资源站中文字幕_亚洲男人的天堂网站_国产成 人 综合 亚洲网_中国国产激情一区_少妇一级淫片免费放_亚洲一本大道av久在线播放_免费观看美女裸体网站

為了確保Rackspace在需要時(shí)可以訪問您的服務(wù)器，我們要求您在考慮安全性最佳做法時(shí)不要更改以下配置：

連接到服務(wù)器時(shí)，Rackspace支持通過使用遠(yuǎn)程桌面連接通過端口3389到公共IP地址以用戶機(jī)架身份登錄。

重建現(xiàn)有服務(wù)器或從快照構(gòu)建新服務(wù)器要求啟用管理員登錄，并且Windows防火墻中不阻止端口445。

如果必須更改這些值，請與Rackspace的管理員聯(lián)系，以不影響我們?yōu)槟�提供Fanatical Support®的能力的方式進(jìn)行更改。

本文提供了一些常規(guī)的最佳安全最佳實(shí)踐，當(dāng)您設(shè)置與公共Internet進(jìn)行交互的Microsoft Windows服務(wù)器時(shí)，可以考慮這些最佳實(shí)踐。盡管這些最佳做法通常適用于任何服務(wù)器，但本文專門針對運(yùn)行Windows的Rackspace公共云服務(wù)器。

使用本地防火墻規(guī)則

默認(rèn)情況下，Rackspace公共云服務(wù)器沒有防火墻設(shè)備。對于與沒有防火墻設(shè)備的公共Internet進(jìn)行交互的服務(wù)器，Windows防火墻是服務(wù)器資源和私有數(shù)據(jù)以及任何可以訪問Internet連接的人之間的唯一保護(hù)。

禁用防火墻上的盡可能多的規(guī)則。禁用規(guī)則意味著打開并通過公共接口偵聽的端口較少，這限制了服務(wù)器向試圖獲得訪問權(quán)限的任何人開放的權(quán)限。

對于那些必須打開的端口，可以通過在這些特定規(guī)則中將IP地址列入白名單來限制對服務(wù)器的訪問。即使您的ISP提供隨時(shí)間變化的動態(tài)公共IP地址，也要將您的本地家用或辦公室計(jì)算機(jī)的IP地址添加到白名單中。您可以通過控制臺通過遠(yuǎn)程登錄服務(wù)器并添加新的IP地址，從“控制面板”根據(jù)需要更改防火墻規(guī)則。

通過通過IP地址白名單限制對服務(wù)器的訪問，可以確保需要訪問服務(wù)器的用戶可以訪問服務(wù)器，而不會訪問那些服務(wù)器的用戶則不會受到這些開放端口的阻止。需要在Windows防火墻中打開以在云服務(wù)器上進(jìn)行Web托管的最典型端口如下：

端口服務(wù)

80HTTP-IIS網(wǎng)站或Web應(yīng)用程序

443 HTTPS使用SSL保護(hù)IIS網(wǎng)站或Web應(yīng)用程序

我們建議通過公共接口上的IP地址白名單鎖定以下端口，以限制針對服務(wù)器上通用名稱的帳戶或服務(wù)的暴力攻擊或利用嘗試：

端口描述

3389遠(yuǎn)程桌面連接，用于遠(yuǎn)程登錄到服務(wù)器

21個(gè)FTP為了在本地地理位置和云服務(wù)器之間安全地傳輸數(shù)據(jù)

990 FTPS（Windows）為了在本地地理位置和包含SSL證書的云服務(wù)器之間安全地傳輸數(shù)據(jù)

5000-5050 FTPFTP通訊的被動端口

1433 SQL用于SQL通信的默認(rèn)端口

53個(gè)DNS用于DNS請求的默認(rèn)端口

考慮一下您分享的內(nèi)容

考慮通過文件共享，其他人可以使用哪些數(shù)據(jù)。我們不建議啟用Windows文件共享，因?yàn)樵诜阑饓ι洗蜷_的端口（端口445和139）會使服務(wù)器遭受不必要的連接嘗試。

一些客戶使用其服務(wù)器托管后臺軟件，例如QuickBooks，PeachTree，Microsoft Office（遠(yuǎn)程桌面會話的Outlook）或其他第三方軟件解決方案。有時(shí)，客戶希望配置映射的網(wǎng)絡(luò)驅(qū)動器，以允許他們通過本地計(jì)算機(jī)上的驅(qū)動器號輕松地將數(shù)據(jù)從本地計(jì)算機(jī)移動到云服務(wù)器。但是，我們不建議您這樣做。您的服務(wù)器僅與最弱密碼一樣安全。

此外，請注意允許用戶下載并安裝在服務(wù)器上的軟件。安裝的每個(gè)軟件包都會增加服務(wù)器受到攻擊的風(fēng)險(xiǎn)。

密碼政策

如前所述，無論您是否已為云服務(wù)器配置了硬件防火墻，服務(wù)器的安全性僅與可以訪問該服務(wù)器的最弱密碼一樣安全。請按照以下提示輸入密碼：

使用至少8到10個(gè)字符的強(qiáng)密碼，包括大寫和小寫字母，數(shù)字和特殊字符（如！，＃，$和％）。分配簡單的密碼可能非常危險(xiǎn)，尤其是對于可通過公共Internet訪問的云服務(wù)器而言。

設(shè)置每個(gè)用戶密碼的有效期。盡管必須定期記住新密碼很不方便，但是這種做法可以使您的數(shù)據(jù)更安全。

因?yàn)槲覀兊臉?gòu)建后自動化過程取決于管理員的默認(rèn)用戶帳戶，所以我們不建議您在運(yùn)行Windows的云服務(wù)器上更改此用戶名。

請注意誰可以通過管理員帳戶訪問服務(wù)器。如果多個(gè)用戶需要對服務(wù)器的管理員訪問權(quán)限，請創(chuàng)建具有管理員訪問權(quán)限的多個(gè)帳戶。通過查找特定的用戶帳戶來跟蹤日志文件中的用戶比嘗試破譯管理員帳戶下的多個(gè)日志文件條目要容易得多。

Event Id 4625安全日志或Event Id 1012系統(tǒng)日志中的多個(gè)實(shí)例可能意味著某人正試圖入侵您的服務(wù)器，因?yàn)檫@些事件與登錄嘗試失敗有關(guān)。

對于通過遠(yuǎn)程桌面連接登錄的用戶，請確保他們注銷服務(wù)器以釋放所有使用的資源，而不是簡單地關(guān)閉其RDC窗口，這將使會話在服務(wù)器上保持打開狀態(tài)。

活動目錄

我們通常不鼓勵(lì)在云服務(wù)器上運(yùn)行Active Directory，因?yàn)榉乐谷肭值奈ㄒ环椒ㄊ荳indows防火墻，而Active Directory則將問題引入云服務(wù)器環(huán)境。通常，將Active Directory更好地用于專用服務(wù)器環(huán)境中，在該環(huán)境中服務(wù)器被放置在物理防火墻之后，并且可以通過該防火墻設(shè)備通過VPN隧道進(jìn)行連接。

只有在稱為RackConnect的解決方案中通過硬件防火墻時(shí)，Rackspace才支持VPN。在創(chuàng)建服務(wù)器之前，更容易實(shí)現(xiàn)此物理防火墻設(shè)置，因?yàn)樵谧珜懕疚臅r(shí)，在構(gòu)建過程中將防火墻和服務(wù)器之間的連接過程自動化。物理防火墻的配置速度不如云服務(wù)器，必須通過我們的混合團(tuán)隊(duì)提出要求。有關(guān)物理防火墻和RackConnect的更多信息。

如果您確實(shí)在云服務(wù)器上安裝了Active Directory，我們建議您運(yùn)行兩個(gè)域控制器，以防一個(gè)失�。ㄓ蚩刂破鳟�(dāng)前無法使用映像）。我們還建議鎖定DNS以防止DNS放大攻擊。

SQL Server實(shí)例

對于運(yùn)行Microsoft SQL Server的服務(wù)器，請鎖定SQL端口1433以僅偵聽內(nèi)部接口，最好僅偵聽來自需要訪問服務(wù)器上SQL Server的其他服務(wù)器的已知IP地址列表中的連接。您可以允許SQL端口1433偵聽公共接口，但是此規(guī)則必須僅限于開發(fā)人員連接到服務(wù)器上數(shù)據(jù)庫的計(jì)算機(jī)的IP地址。

如果您不將這些連接限制到服務(wù)器，則端口1433將被暴露，外部黑客將嘗試通過該端口對服務(wù)器進(jìn)行蠻力攻擊。如果重要帳戶被鎖定，這些類型的攻擊會導(dǎo)致高網(wǎng)絡(luò)流量，降低服務(wù)器性能，甚至關(guān)閉站點(diǎn)。通過限制對此端口的訪問，這些問題在開始之前得到緩解。

對于運(yùn)行SQL Server Standard或SQL Server Web版本的服務(wù)器，我們建議配置維護(hù)計(jì)劃，以將活動數(shù)據(jù)庫文件中的數(shù)據(jù)轉(zhuǎn)儲到可以從服務(wù)器備份的平面文件中，并清理備份，以免它們占用您大量資源。駕駛

Windows更新

確保已啟用Windows更新，并注意服務(wù)器的狀態(tài)–確保已修補(bǔ)Windows操作系統(tǒng)。補(bǔ)丁程序星期二發(fā)生在北美每月的第二個(gè)星期二，是Microsoft定期發(fā)布安全補(bǔ)丁程序的日子�？蛻舯仨殯Q定如何最好地實(shí)施修補(bǔ)策略，以使其服務(wù)器保持最新狀態(tài)。默認(rèn)情況下，Rackspace Cloud Server每天凌晨2點(diǎn)至凌晨4點(diǎn)檢查更新。

服務(wù)器備份

設(shè)置某種類型的災(zāi)難恢復(fù)計(jì)劃。我們提供的一種選擇是每晚創(chuàng)建云服務(wù)器映像，并將其寫入默認(rèn)情況下保留7天的“云文件”容器中。拍攝服務(wù)器快照，并將映像存儲在Cloud Files中，以用于創(chuàng)建新服務(wù)器實(shí)例或從該映像重建現(xiàn)有服務(wù)器。

我們還通過Cloud Backups提供文件級備份。我們不建議備份整個(gè)C：驅(qū)動器，因?yàn)殒i定的實(shí)時(shí)文件會導(dǎo)致備份作業(yè)出錯(cuò)。此外，Windows系統(tǒng)文件包含在我們提供的基本映像中或服務(wù)器拍攝的任何自定義映像中，因此您無需每天備份該數(shù)據(jù)。我們確實(shí)建議備份C：\ inetpub（IIS）目錄和任何其他需要備份的用戶數(shù)據(jù)。此外，如果已將SQL Server維護(hù)計(jì)劃配置為將實(shí)時(shí)數(shù)據(jù)轉(zhuǎn)儲到平面文件中以進(jìn)行備份，我們建議您也將這些目錄包括在備份中。

檢查備份作業(yè)，以確保它們成功完成并且備份有效。從映像創(chuàng)建新的服務(wù)器實(shí)例以確保該映像有效，然后從Cloud Backups還原文件以驗(yàn)證可以還原正在備份的數(shù)據(jù)。

碼

暴露給Internet的最后一個(gè)攻擊面是代碼。您和您的開發(fā)人員必須確保代碼強(qiáng)制執(zhí)行正確的身份驗(yàn)證和授權(quán)。例如，不應(yīng)以管理員級特權(quán)執(zhí)行Web應(yīng)用程序。應(yīng)仔細(xì)定義文件授權(quán)，并且應(yīng)用程序上的所有輸入均應(yīng)具有最佳驗(yàn)證，以防止黑客利用Web應(yīng)用程序并獲得服務(wù)器的控制權(quán)。