一篇文章之后,我将翻译该文章。

虚拟机

我们将设置最佳实践,以保护Windows Azure虚拟机免受各种威胁。

1)设置密码,使其成为强密码

2018.clip_image002_4C197077

3482.clip_image004_52604705

注意:黑客很容易猜出诸如p @ assword1,password @ 1之类的密码。您可以在Coco的网站上找到强密码示例。

更新:出于安全原因,我们不建议使用Windows Azure门户中其他站点使用的相同密码。

2)创建虚拟机时,选择一个不常见的随机名称。

6648.image_735D143C

注意:我们选择的名称易于记忆,但不要使用简单的用户名,例如ADMSQLVM。为了安全起见,请勿在门户网站中使用通用名称。

3)更改端口(3389)以进行远程连接。如果将其保留为默认设置,它将很容易连接到黑客。

8371.clip_image008_71A2EDD8

7128.clip_image010_1151C7A1

更新:门户现在生成一个随机端口,而不是分配远程连接默认值(3389)。

4) 仅允许来自特定IP的远程连接。 (如果未设置,则可能会失去与VM的连接)如果由于某种原因而失去了本地环境(作为虚拟网络的一部分)的连接,为IP /子网范围创建一个虚拟网络,以便您可以旋转并连接到该网络,并将该范围添加到此处的白名单。连接到虚拟网络中的VM。

6116.clip_image012_232E5B6E

0358.clip_image014_297531FC

有关更多信息: 防火墙规则属性页:“作用域”选项卡

5)设置审核事件,监视失败的登录尝试并阻止IP地址。

  1. 失败的登录事件设置审核像46254648 ,一组提醒,从事件日志条目提取IP,并添加防火墙规则来运行一个批处理文件,阻止它。计划任务。
  2. 似乎有许多第三方工具可以自动阻止这些IP地址。我遇到的一个是RDP Guard。 http://rdpguard.com/

Windows Server 2008 R2中的安全性和保护

Windows Server 2012中的安全性和保护

6)经常更改密码,不要对所有虚拟机使用相同的密码。

7)建立密码策略以减少对认证字典和暴力攻击的脆弱性。请设置和管理密码策略。

  1. 您需要一个强密码。严格的密码策略必须包括最小密码长度,并使用字母数字和特殊字符。
  2. 使用密码短语的要求适用。密码短语也必须包含字符数,也必须包含潜在特殊字符的最低要求。
  3. 它通过要求包含数字和特殊大写字母,小写字母(例如标点符号)的长密码来强制执行密码复杂性要求。这有助于减轻字典攻击的威胁。
  4. 强制执行密码有效期。
  5. 对最终用户帐户使用帐户锁定策略。
  6. 支持禁用管理员帐户。
  7. 保留密码历史记录,但不要如上所述存储实际的密码。
  8. 请使用您的电子邮件来分发密码或作为密码重置过程的一部分。与其通过电子邮件传递用户凭据,不如考虑另一种方法,该方法允许用户在UI中标识自己(例如,机密)并使用另一种方式来重置密码。让我们。

8)运行Best Practices Analyzer,并采取适当的措施修复该工具报告的安全问题

5732.clip_image016_1B36B90C

9)禁用自动更新,或者从补丁程序角度确保虚拟机不是最新的。

10)请对可用于Windows Azure虚拟机的市场上最合适的防病毒/入侵检测软件进行评级。

翻译
http://blogs.msdn.com/b/narahari/archive/2013/02/05/security-best-practices-for-windows-azure.aspx

天蓝色 Windows 互联网 服务器 安全 黑客