在上一篇文章之后,我将翻译该文章。
虚拟机
我们将设置最佳实践,以保护Windows Azure虚拟机免受各种威胁。
1)设置密码,使其成为强密码 。
注意:黑客很容易猜出诸如p @ assword1,password @ 1之类的密码。您可以在Coco的网站上找到强密码示例。
更新:出于安全原因,我们不建议使用Windows Azure门户中其他站点使用的相同密码。
2)创建虚拟机时,选择一个不常见的随机名称。
注意:我们选择的名称易于记忆,但不要使用简单的用户名,例如ADMSQLVM。为了安全起见,请勿在门户网站中使用通用名称。
3)更改端口(3389)以进行远程连接。如果将其保留为默认设置,它将很容易连接到黑客。
更新:门户现在生成一个随机端口,而不是分配远程连接默认值(3389)。
4) 仅允许来自特定IP的远程连接。 (如果未设置,则可能会失去与VM的连接)如果由于某种原因而失去了本地环境(作为虚拟网络的一部分)的连接,为IP /子网范围创建一个虚拟网络,以便您可以旋转并连接到该网络,并将该范围添加到此处的白名单。连接到虚拟网络中的VM。
有关更多信息: 防火墙规则属性页:“作用域”选项卡
5)设置审核事件,监视失败的登录尝试并阻止IP地址。
- 失败的登录事件设置审核像4625 , 4648 ,一组提醒,从事件日志条目提取IP,并添加防火墙规则来运行一个批处理文件,阻止它。计划任务。
- 似乎有许多第三方工具可以自动阻止这些IP地址。我遇到的一个是RDP Guard。 http://rdpguard.com/
Windows Server 2008 R2中的安全性和保护
6)经常更改密码,不要对所有虚拟机使用相同的密码。
7)建立密码策略以减少对认证字典和暴力攻击的脆弱性。请设置和管理密码策略。
- 您需要一个强密码。严格的密码策略必须包括最小密码长度,并使用字母数字和特殊字符。
- 使用密码短语的要求适用。密码短语也必须包含字符数,也必须包含潜在特殊字符的最低要求。
- 它通过要求包含数字和特殊大写字母,小写字母(例如标点符号)的长密码来强制执行密码复杂性要求。这有助于减轻字典攻击的威胁。
- 强制执行密码有效期。
- 对最终用户帐户使用帐户锁定策略。
- 支持禁用管理员帐户。
- 保留密码历史记录,但不要如上所述存储实际的密码。
- 请使用您的电子邮件来分发密码或作为密码重置过程的一部分。与其通过电子邮件传递用户凭据,不如考虑另一种方法,该方法允许用户在UI中标识自己(例如,机密)并使用另一种方式来重置密码。让我们。
8)运行Best Practices Analyzer,并采取适当的措施修复该工具报告的安全问题
9)禁用自动更新,或者从补丁程序角度确保虚拟机不是最新的。
10)请对可用于Windows Azure虚拟机的市场上最合适的防病毒/入侵检测软件进行评级。
翻译
http://blogs.msdn.com/b/narahari/archive/2013/02/05/security-best-practices-for-windows-azure.aspx