AzureDeveloper

使用Azure虚拟机创建一个功能完备的网站 - 配置安全规则

分类: Windows Server ◆ 标签: #Azure #基础 #Windows #.Net #Web ◆ 发布于: 2023-06-15 19:35:23

我们之前通过一些类的配置，已经完成了创建Azure资源，配置Windows Server 2019 Datacenter作为一个Web服务器，添加了自定义的用户，并给用户分配了权限，设置了网站目录的权限，同时我们在服务器上启用了远程管理和远程通过Web Deploy进行发布的组件，这一切都看起来很美好，我们已经可以开始进行开发，测试和部署了。

但是等一等，我们清单上是不是还有没有完成的事项？

检查一下清单吧：

安装Web角色和服务
安装Asp.net Core Module
配置用户
创建我们的站点
启动IIS的远程管理
安装Web Deploy
配置Windows Server上的防火墙
配置Azure Virtual Network Security Group
测试远程管理
测试通过MSBuild和Visual Studio远程更新和发布站点

清单里有一个配置防火墙的项目，这提醒我们了，我们必须对于我们远程要管理的机器，考虑它的安全问题。

这一节我们谈谈安全问题。

默认情况下对于操作系统，我们只需要定时更新操作系统，定时打补丁，更新，启用windows防火墙，那么在操作系统这个层面无需太过于担心，交给微软来搞定操作系统的安全性问题，但是作为用户还是需要考虑是否由于管理不当，从而造成安全事故的。虽然我们之前也已经做了一些事情，但是不够。

我们已经按照功能区分了用户的权限，用户只能处理自己能力范围的事情，防火墙默认启用了，我们启用了Azure的安全组，过滤不必要的访问，还能做更多吗？

完全可以！

我们可以：

更改远程服务的默认端口，减少注意力
限制可以远程访问的地址，只允许自己的管理地址访问远程管理服务。

更改远程服务的默认端口

选用windows服务器有一个好处是，安装完操作系统之后，是一个非常干净的系统，除了基本的服务管理工具，基本的服务组件，管理工具，没有其他的任何组件，用户需要按需安装，不要在服务器上安装任何多余的工具或者服务，尤其是允许远程访问和使用的服务，以及工具。

我们这台服务上仅仅启用了web服务，以及远程IIS管理服务，远程桌面连接。

Web服务是公用端口，是无法更改的，但是我们也限制了Web服务仅仅提供Asp.net Core的以及基本的Web服务，其他像CGI, 远程包含服务，统统都关闭了。

更改远程桌面服务的端口

要更改远程桌面的服务端口，我们需要通过更改注册表的值：
依次更改如下两项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

这两项的端口都是3389, 更改为你喜欢的端口数字，例如9999, 改完之后，重启该服务，或者直接重启服务器。