English | 简体中文 | 繁體中文 | Русский язык | Français | Español | Português | Deutsch | 日本語 | 한국어 | Italiano | بالعربية
美团云(MOS)提供Windows Server 2008 R2和Windows Server 2012 R2数据中心版的云主机服务器。由于Windows服务器市场占有率较高的原因,针对Windows服务器的病毒木马等恶意软件较多,且容易获得,技术门槛也较低,因此Windows服务器的安全问题需要格外留意。为了安全地使用Windows云主机,建议应用如下几个简单的安全加固措施。虽然简单,但是已足够防御大部分较常见的安全风险。
一、设置强密码
美团云Windows服务器创建后会给管理员(Administrator)帐号自动生成12位的随机密码,在首次登入Windows服务器后,建议立即更改密码。密码尽量随机,要包含数字,大小写字母和特殊符号,长度至少12位。可以采用一些工具,例如:https://identitysafe.norton.com/password-generator,生成较强的随机密码。并且以后至少每隔3个月修改一次密码。
修改密码的方法为:在管理员成功登入主机后,按"Ctrl-Alt-Delete",选择"修改密码" (提示:可以通过美团云Web终端登入,点击右上角的"Ctrl-Al-Delete"按钮输入该按键组合)
ثانيًا، قم بتمكين تحديث النظام التلقائي
تم الحصول على جميع خوادم ويندوز في معتمد من قبل الشركة المصنعة، يمكن تشغيل خدمة تحديث ويندوز، تحديث ثغرات النظام تلقائيًا لتجنب استغلالها من قبل المهاجمين الخبيثين. يرجى استخدام العملية التالية لتحقق من تشغيل التحديث التلقائي، إذا لم يتم تمكينه، يُنصح بتمكينه.
Windows Server 2008
انقر على أيقونة "مدير الخادم" في شريط المهام في لوحة القيادة على اليمين، انقر على "تكوين التحديث" في النافذة المنبثقة، اختر "تثبيت التحديث تلقائيًا"
Windows Server 2012
انقر على أيقونة "مدير الخادم" في شريط المهام افتح لوحة تحكم مدير الخادم، انقر على "تكوين هذا الخادم المحلي" انقر على الرابط بعد "تحديث ويندوز" في النافذة المنبثقة، إذا لم يتم تمكين التحديث التلقائي، سيتم عرض تحذير كما هو موضح في الصورة، انقر على "تمكين التحديث التلقائي".
ثالثًا، تفعيل جدار الحماية
يقدم ويمي يون خدمة جدار الحماية، إذا كنت تستخدم خادم ويمي يون، يمكنك استخدام خدمة جدار الحماية التي يقدمها ويمي يون في لوحة تحكم ويمي يون لضبط إعدادات جدار الحماية. يقدم جدار الحماية في منصة ويمي يون هو وظيفة جدار الحماية لمنافذ الشبكة التي تقدمها منصة السحابة خارج الوسائط الافتراضية، ويمكن تكوينه بسهولة واستخدامه بسهولة. إذا كانت وظائفه تفي بالمتطلبات، يُنصح بإغلاق جدار الحماية المدمج في نظام Windows. وإلا يمكن مراجعة المعلومات التالية لتكوين جدار الحماية المدمج في Windows.
(نصيحة: لتجنب تعارض وظائف جدار الحماية المدمج في Windows مع وظائف جدار الحماية في منصة السحابة، يُرجى تعيين جدار الحماية في منصة السحابة على "مفتوح" بعد تفعيل جدار الحماية المدمج في Windows.)
إذا قام المستخدم بشراء نطاق الاتصال العام لخادم Windows، فإنه سيكون هناك بطاقة شبكة تحتوي على عنوان IP عام مرتبط بالاتصال العام. يمكن للمستخدمين الوصول إلى هذا العنوان IP لاستدعاء الخدمات المعدة على الخادم. ولكن في نفس الوقت، يمكن للهجمات السيئة استخدام ثغرات النظام للوصول إلى خادمك عبر هذا العنوان IP العام. في هذه الحالة، بالإضافة إلى فتح تحديث النظام التلقائي لتحسين ثغرات النظام، يُنصح بتفعيل جدار حماية Windows server، لتقليل التعرض المباشر للمنافذ في الشبكة العامة، وتقليل المخاطر المتعلقة بتعرض المنافذ الخطيرة في الشبكة العامة. كما يُنصح بتعيين قائمة البيانات IP المسموح بالوصول لها لمنافذ مثل "جلسة سطح المكتب عن بُعد (TCP 3389)" التي تستخدم لأغراض إدارة، لتحسين منع المخاطر المتعلقة بالاستدعاءات السيئة.
(نصيحة، يُنصح بتهيئة جدار الحماية عبر واجهة الت终端 في وحدة تحكم ويمي يون عبر الإنترنت لمنع ارتكاب الأخطاء أثناء عملية التكوين، مما يؤدي إلى إغلاق اتصال سطح المكتب عن بُعد.)
خطوات تفعيل جدار حماية Windows كالتالي:
Windows server 2008
انقر على أيقونة "مدير الخوادم" في شريط المهام في لوحة القيادة الجانبية، انقر على "تحويل إلى جدار حماية Windows" في القائمة الجانبية المنطوية، انقر بزر الماوس الأيمن على "جدار حماية Windows المتقدم" في النافذة المنبثقة، اختر علامة تبويب "إعدادات عامة"، تأكد من أن "حالة جدار الحماية" هو "مفعلة"، انقر على "موافق" لإغلاق النافذة
بعد تفعيل جدار الحماية، من أجل عدم التأثير على الوصول إلى سطح المكتب عن بُعد، يجب التأكد من السماح بالوصول إلى سطح المكتب عن بُعد، بطريقة:
في القائمة الجانبية المنطوية، افتح "جدار حماية Windows المتقدم" انقر على "قواعد الدخول" في قائمة القواعد في منتصف اللوحة، قم بمراجعة "جلسة سطح المكتب عن بعد (TCP-In)" لمعرفة ما إذا كانت مفعلة. إذا لم تكن مفعلة، اختر القاعدة، انقر على "تفعيل القاعدة" لتفعيلها
Windows server 2012
انقر على أيقونة "مدير الخوادم" في شريط المهام افتح لوحة تحكم مدير الخوادم، انقر على "تكوين هذا الخادم المحلي" انقر على الرابط بعد "جدار الحماية لـ Windows" في النافذة المنبثقة، انقر على "تفعيل أو إيقاف جدار حماية Windows" في النافذة المنبثقة، تأكد من أن "إعدادات الشبكة العامة" تحتوي على "تفعيل جدار حماية Windows"، ولا تحقق من الخيارات المزدوجة أدناه. انقر على "موافق" لإغلاق النافذة
بالمثل، يجب التأكد من السماح بزيارة دسكتوب عن بعد بعد تفعيل جدار النار، بطريقة كالتالي:
في واجهة "جدار النار لـ Windows"، انقر على "إعدادات متقدمة"، افتح نافذة "جدار النار المتقدمة لـ Windows" المفتوحة، في لوحة القائمة على اليسار اختر "قواعد الدخول"، في قائمة القواعد في الوسط، ابحث عن "دسكتوب عن بعد-نمط المستخدم (TCP-In)"، وتكون "ملف التعريف" لهذه القاعدة "مشارك". إذا لم يتم تفعيلها، اختر القاعدة، انقر على "تفعيل القاعدة"
إذا تم تثبيت خدمة IIS، فإن النظام سيقوم بتثبيت وتفعيل تلقائيًا القواعد الداخلية المسموح لها بخدمات 80 (HTTP) و443 (HTTPS) دون حاجة إلى تكوين خاص. ولكن إذا تم تثبيت خادم الويب الثالثة مثل LAMP، فإنه يجب تثبيت يدويًا القواعد الداخلية المسموح لها بزيارة 80 و443. طريقة تكوين Windows 2008/2012 متشابهة، كالتالي:
في واجهة "قواعد الدخول للجدار الناري"، انقر على "إنشاء قاعدة جديدة..." في نافذة الحوار التي تفتح، اختر "المنفذ"، انقر على "التالي" "هل تطبق هذه القاعدة على TCP أم UDP؟"، اختر "TCP"; "هل تطبق هذه القاعدة على جميع المنافذ المحلية أم منفذ محدد": اختر "منفذ محلى محدد"، في الحقل المطلوب إدخال "80، 443"، انقر على "التالي"، اختر "اسمح الاتصال"، انقر على "التالي"، اختر جميع المربعات المختارة، انقر على "التالي"، في الحقل الاسم قم بإدخال "خدمة الويب"، انقر على "الإتمام"
رابعًا، تفعيل إعداد الأمان المزود لإصدار IE
بعد تفعيل إعداد الأمان المزود لإصدار IE، يمكن للبrowsers IE في الخادم الوصول فقط إلى المواقع المدرجة في القائمة البيضاء. هذا يمكن منع إمكانية إصابة الخادم بالفيروسات أو البرمجيات الخبيثة عند زيارة مدير النظام للمواقع الخبيثة غير المدرجة في القائمة البيضاء. يتم تفعيل هذا الإعداد بشكل افتراضي. إذا لم يتم تفعيله، يُنصح بتفعيله. طريقة التفعيل كالتالي:
Windows server 2008
انقر على أيقونة "مدير الخادم" في شريط المهام، في لوحة التبديل على اليمين انقر على "تكوين IE ESC"، في نافذة الحوار المفتوحة قم بفتح/إغلاق هذه الوظيفة
Windows server 2012
انقر على أيقونة "مدير الخادم" في شريط المهام مفتاح "مدير الخادم" لفتح لوحة توجيه مدير الخادم، انقر على "تكوين هذا الخادم المحلى"، انقر على الرابط بعد "تكوين إضافات أمان IE"، في نافذة الحوار المفتوحة قم بفتح/إغلاق هذه الوظيفة
خامسًا، تثبيت وتفعيل مكافحة الفيروسات
بالإضافة إلى ذلك، يمكن أيضًا تثبيت وتفعيل مكافحة الفيروسات الحالية لتعزيز أمان الخادم. بمجرد أن ي突破 البرمجيات الخبيثة الخطوات الأربعة الأولى المبني عليها الحاجز، يدخل خادم السحابة، يمكن لمكافحة الفيروسات الحالية منع البرمجيات الخبيثة من تشغيلها في خادم السحابة، مما يضمن أمان خادم السحابة.
Windows Security Essentials هى برنامج مكافحة الفيروسات المجانى الذى طورته شركة مايكروسوفت لـ Windows 7/Vista، ويمكن استخدامه لحماية Windows Server 2008 R2 Datacenter Edition.
تثبيت Windows Security Essentials بسيط للغاية، حيث يكفي تنزيل ملف التثبيت من الرابط المحدد وتشغيله، ثم اتباع الإرشادات في مدير التثبيت لإنجازه بنجاح.
يوجد القليل من برامج مكافحة الفيروسات المتاحة لـ Windows Server 2012 Enterprise Edition (مجانية). يمكنك في الوقت الحالي التقدم بطلب لتجربة System Center 2012 R2 Configuration Manager، وتثبيت مكافحة الفيروسات المدمج معها System Center Endpoint Protection.
طريقة التثبيت هي:
بعد تحميل حزمة البرامج، قم بإخراجها من العبوة (الاسم الحالي هو SC2012_R2_SCCM_SCEP.exe)، ثم انتقل إلى مجلد SMSSETUP/CLIENT
انقر مرتين على scepinstall لبدء التثبيت، ثم اتبع الإرشادات بشكل تدريجي لتحميل System Center Endpoint Protection.
يُنصح محرر دروس النفخ باستخدام خادم مستقل: mcafee 8.8
الجزء السادس: تصميم هيكل الخدمات المناسب
في النهاية، يمكن لتصميم هيكل الخدمات المناسب تقليل نقاط الضعف المفتوحة للخدمات على موقع Windows Server، ورفع مستوى الحماية. يجب اتباع المبادئ التالية:
مبدأ دورة واحدة: قم بجعل خادم السحابة يعمل على مهمة واحدة فقط، يقدم خدمة واحدة فقط. على سبيل المثال، خدمة قاعدة البيانات على خادم واحد، وخدمة الويب على خادم آخر. بهذا يمكن تقييم هذا الخادم بشكل دقيق لمعرفة ما إذا كان يحتاج إلى عنوان IP عام، وما إذا كان يجب فتح أي موانئ، مما يمكن من تقليل كشف العنوان IP والموانئ العامة، مما يقلل من نقاط الضعف. على سبيل المثال، لا تحتاج خدمة قاعدة البيانات عادة إلى عنوان IP عام، لذا لا تحتاج إلى شراء حزم الاتصال العامة، مما يوفر التكاليف ويجعلها أكثر أمانًا. يمكن لخدمة الويب فتح فقط موانئ 80/443، والباقي يمكن إغلاقها عبر جدار الحماية.
مبدأ التقليل: لا تقم بفتح الخدمات والوظائف التي لا تحتاجها، لا تقم بتثبيت البرامج التي لا تحتاجها، تأكد من عدم فتح الموانئ التي لا تحتاجها، لا تشترِ حزم اتصال عامة إذا لم تكن بحاجة إلى ميزة الشبكة العامة. اتبع مبدأ التقليل، وهو يوفر الطاقة ويقلل من المخاطر الأمنية.