Зависимости службы веб-сайтов веб-сайтов пакета Windows Azure

 

Область применения: Windows Пакет Azure

После установки можно усилить безопасность, выполнив дополнительные рекомендации. К ним относится настройка фильтрации по IP-адресам (также называется «список блокировок»), установка квот для предотвращения атак типа «отказ в обслуживании» и прочие действия.

Настройка фильтрации IP

Настройка фильтрации по IP-адресам важна, поскольку один из самых простых способов запуска атаки «отказ в обслуживании» (DoS) — запуск из самой службы. Таким образом, поставщик услуг должен как минимум защитить ферму черным списком от самой себя.

Например, если веб-ферма развернута в подсети, следует фильтровать IP-адреса этой подсети для предотвращения вызовов от веб-сайтов обратно в ферму и запуска, например, атаки типа «отказ в обслуживании».

Чтобы ограничить доступ рабочих процессов клиента к диапазонам IP-адресов, соответствующих серверам внутри облака веб-сайтов, можно настроить IP-фильтрацию либо на портале управления Windows Azure Pack, либо с помощью PowerShell.

Настройка IP-фильтрации на портале управления

Чтобы настроить IP-фильтрацию на портале управления для системных администраторов, выполните следующие шаги.

1. На левой панели портала выберите Облака веб-сайтов.

2. Выберите облако веб-сайтов, которое необходимо настроить.

3. Выберите Список блокировок.

4. На панели команд в нижней части портала выберите Добавить.

5. В диалоговом окне Введите диапазон IP-адресов введите IP-адреса в поля Начальный адрес и Конечный адрес, чтобы создать диапазон.

6. Установите флажок для завершения операции.

Настройка IP-фильтрации с помощью PowerShell

Чтобы настроить IP-фильтрацию с помощью PowerShell, запустите следующие командлеты PowerShell на контроллере. Замените <начальную часть диапазона> ip-blacklist и <end-ip-blacklist-range> допустимыми IP-адресами.

Add-pssnapin WebHostingSnapin
Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1
Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>

Перезапустите службу DWAS

После этого перезапустите службу DWAS на серверах, настроенных для роли рабочего веб-процесса. Выполните следующие команды в командной строке с повышенными привилегиями.

net stop dwassvc
net start dwassvc

Установка квот

Чтобы предотвратить атаки отказа в обслуживании (DoS), необходимо задать квоты на ЦП, память, пропускную способность и использование диска. Эти квоты можно настроить на портале управления для администраторов в процессе создания плана.

Если в плане заданы квоты и веб-сайт, относящийся к плану, подвергается атаке типа «отказ в обслуживании» или случайной повышенной нагрузке на ЦП, он будет остановлен при достижении квоты, а значит, будет остановлена и атака.

Упомянутые квоты также полезны против атак, выполняемых из фермы. Например, атака пароля методом перебора из фермы потребует много времени ЦП, и, если используются надежные пароли, квота ЦП будет достигнута до взлома пароля.

Назначьте разные наборы учетных данных для каждой из ролей веб-сайтов

Для повышения безопасности после установки рекомендуется изменить наборы учетных данных для ролей веб-сервера так, чтобы они были уникальными. После создания новых, уникальных учетных записей можно обновить учетные данные на портале управления для администраторов, чтобы начать использовать новые учетные записи.

Изменение учетных данных роли сервера веб-сайтов

1. На портале управления для администраторов щелкните Облака веб-сайтов и выберите облако, которое необходимо настроить.

2. Нажмите кнопку Учетные данные. В области Имя пользователя можно проверить, уникальны ли имена пользователей среди ролей веб-сайта (например, они все могут быть Administrator — в этом случае их следует изменить).

3. Выберите одно из имен учетных данных (например, учетные данные сервера управления) и нажмите кнопку "Изменить " в строке команд в нижней части портала.

4. В появившемся диалоговом окне (например, Обновление учетных данных сервера управления) введите новые имя пользователя и пароль.

5. Установите флажок для завершения операции.

6. Повторяйте шаги 3–5 до тех пор, пока все наборы учетных данных не будут уникальными.

Изменение («накат») учетных данных через регулярные интервалы

Для повышения безопасности рекомендуется изменять учетные данные через определенные промежутки времени. Для служб ролей желательно изменять как имя пользователя, так и пароль, а не только пароль. Изменение имени пользователя и пароля устраняет проблемы «рассинхронизации», которые иногда возникают, если изменен только пароль и изменение не было полностью распространено в среде.

При изменении и имени пользователя, и пароля оба набора учетных данных оказываются временно доступны в процессе переключения. Например, две отсоединенные системы, для которых требуется проверка подлинности, смогут установить соединение после изменения. Когда новые учетные данные будут задействованы во всех системах, старый набор можно будет отключить.

Определите ограниченный профиль доверия для приложений .NET

Для приложений .NET необходимо определить ограниченный профиль доверия. По умолчанию Microsoft Azure Pack для веб-сайтов работает в режиме полного доверия, чтобы обеспечить максимальную степень совместимости для приложений. Выбор оптимального уровня доверия — это всегда баланс безопасности и совместимости. Поскольку каждый сценарий использования индивидуален, необходимо определить свои принципы безопасности для веб-серверов со многими клиентами в своей среде и следовать им.

Другие рекомендации

В число прочих рекомендаций входит принцип наименьших привилегий при создании учетных записей пользователей, минимизация контактной зоны сети и изменение списков управления доступом (ACL) системы для защиты файловой системы и реестра.

При создании учетных записей используйте принцип наименьших привилегий

При создании учетных записей наделяйте их наименьшими правами доступа. Дополнительные сведения см. в разделе Применение принципа наименьших прав доступа к учетным записям пользователей в Windows.

Минимизация контактной зоны сети

Настройте брандмауэр, чтобы уменьшить контактную зону сети на серверах, подключенных к Интернету. Дополнительные сведения о брандмауэре Windows и режиме повышенной безопасности см. на следующих ресурсах (ссылки для Windows Server 2008 R2 также действительны для Windows Server 2012 и Windows Server 2012 R2).

• Пошаговое руководство для Windows Server 2008 R2: развертывание брандмауэра Windows и политик IPsec (ссылка для скачивания документа Майкрософт)

• Безопасность брандмауэра Windows Server 2008 R2 (WindowsITPro)

• Устранение неполадок брандмауэра Windows в режиме повышенной безопасности в Windows Server 2012 (TechNet)

Изменение списков управления доступом системы для защиты файловой системы и реестра

Следующие загружаемые программы могут помочь оценить параметры безопасности файловой системы и реестра сервера.

• AccessChk

• AccessEnum

См. также:

Развертывание Windows Azure Pack. Веб-сайты