Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Sicherheitsmethoden für Windows-Instanzen
Wir empfehlen Ihnen, diese bewährten Sicherheitsmethoden für Ihre Windows-Instances zu befolgen.
Inhalt
Bewährte Sicherheitsmethoden auf hohem Niveau
Sie sollten sich für Ihre Windows-Instances an die folgenden bewährten Sicherheitsmethoden auf hoher Ebene halten:
-
Geringster Zugriff — Gewähren Sie nur vertrauenswürdigen und erwarteten Systemen und Standorten Zugriff. Dies gilt für alle Microsoft-Produkte wie Active Directory, Microsoft Business Productivity Server und Infrastrukturdienste wie Remote Desktop Services, Reverse-Proxyserver, IIS Webserver und mehr. Verwenden Sie AWS Funktionen wie EC2 Amazon-Instance-Sicherheitsgruppen, Netzwerk-Zugriffskontrolllisten (ACLs) und VPC öffentliche/private Amazon-Subnetze, um die Sicherheit über mehrere Standorte in einer Architektur zu verteilen. Innerhalb einer Windows-Instance können Kunden die Windows-Firewall verwenden, um eine weitere defense-in-depth Strategie innerhalb ihrer Implementierung zu entwickeln. Installieren Sie nur die Betriebssystemkomponenten und -anwendungen, die für die gewünschte Funktion des Systems erforderlich sind. Konfigurieren Sie Infrastrukturdienste so, IIS dass sie beispielsweise unter Dienstkonten ausgeführt werden, oder verwenden Sie Funktionen wie Anwendungspool-Identitäten, um lokal und remote auf Ressourcen in Ihrer Infrastruktur zuzugreifen.
-
Geringste Rechte — Ermitteln Sie die Mindestanzahl an Rechten, die Instanzen und Konten benötigen, um ihre Funktionen auszuführen. Schränken Sie diese Server und Benutzer so ein, dass nur diese definierten Berechtigungen gewährt werden. Verwenden Sie Techniken wie rollenbasierte Zugriffskontrollen, um die Angriffsfläche von Administratorkonten zu reduzieren, und erstellen Sie maximal eingeschränkte Rollen für die Ausführung einer Aufgabe. Verwenden Sie Betriebssystemfunktionen wie Encrypting File System (EFS), NTFS um sensible Daten im Speicher zu verschlüsseln und den Anwendungs- und Benutzerzugriff darauf zu kontrollieren.
-
Konfigurationsmanagement — Erstellen Sie eine grundlegende Serverkonfiguration, die up-to-date Sicherheitspatches und hostbasierte Schutzpakete umfasst, die Virenschutz, Anti-Malware, Erkennung und Verhinderung von Eindringlingen und Überwachung der Dateiintegrität umfassen. Bewerten Sie jeden Server anhand der aktuell aufgezeichneten Basislinie, um Abweichungen zu identifizieren und zu kennzeichnen. Stellen Sie sicher, dass jeder Server so konfiguriert ist, dass entsprechende Protokoll- und Prüfungsdaten generiert und sicher gespeichert werden.
-
Change Management — Erstellen Sie Prozesse zur Kontrolle von Änderungen an den Baselines der Serverkonfiguration und arbeiten Sie auf vollautomatische Änderungsprozesse hin. Nutzen Sie außerdem Just Enough Administration (JEA) mit Windows PowerShellDSC, um den Administratorzugriff auf die minimal erforderlichen Funktionen zu beschränken.
-
Patch-Management — Implementieren Sie Prozesse, die das Betriebssystem und die Anwendungen auf Ihren EC2 Instances regelmäßig patchen, aktualisieren und sichern.
-
Audit-Logs — Überwachen Sie den Zugriff und alle Änderungen an EC2 Amazon-Instances, um die Serverintegrität zu überprüfen und sicherzustellen, dass nur autorisierte Änderungen vorgenommen werden. Nutzen Sie Funktionen wie Enhanced Logging for IIS
, um die Standard-Logging-Funktionen zu verbessern. AWS Funktionen wie VPC Flow Logs AWS CloudTrail sind auch für die Überwachung des Netzwerkzugriffs verfügbar, einschließlich erlaubter bzw. verweigerter Anfragen und API Anrufe.
Update-Management
Um die besten Ergebnisse zu erzielen, wenn Sie Windows Server auf Amazon ausführenEC2, empfehlen wir Ihnen, die folgenden bewährten Methoden zu implementieren:
-
Starten Sie Ihre Windows-Instance neu, nachdem Sie Updates installiert haben. Weitere Informationen finden Sie unter Durchführen eines Neustarts Ihrer Instance.
Weitere Informationen über den Upgrade oder die Migration einer Windows-Instance auf eine neuere Version von Windows Server finden Sie unter Aktualisieren Sie eine EC2 Windows-Instanz auf eine neuere Version von Windows Server.
Konfigurieren Sie Windows Update
Standardmäßig erhalten Instanzen, die von AWS Windows Server aus gestartet werden, AMIs keine Updates über Windows Update.
Aktualisieren von Windows-Treibern
Sorgen Sie für die neuesten Treiber auf allen EC2 Windows-Instanzen, um sicherzustellen, dass die neuesten Problembehebungen und Leistungsverbesserungen in Ihrer gesamten Flotte angewendet werden. Abhängig von Ihrem Instance-Typ sollten Sie den AWS PVENA, Amazon und die AWS NVMe Treiber aktualisieren.
-
Verwenden Sie SNSThemen, um Updates für neue Treiberversionen zu erhalten.
Starten Sie Instances mit dem neuesten Windows AMIs
AWS veröffentlicht AMIs jeden Monat ein neues Windows, das die neuesten Betriebssystem-Patches, Treiber und Launch-Agents enthält. Sie sollten die neuesten Versionen nutzenAMI, wenn Sie neue Instances starten oder Ihre eigenen benutzerdefinierten Images erstellen.
-
Updates für die einzelnen Versionen von AWS Windows AMIs finden Sie im AWS AMIWindows-Versionsverlauf.
-
Informationen zum Erstellen mit den neuesten verfügbaren AMIs Versionen finden Sie unter Abfragen der neuesten Windows-Version AMI mithilfe des Systems Manager Manager-Parameterspeichers
. -
Weitere Informationen zu speziellen Windows-Betriebssystemen, mit AMIs denen Sie Instances für Ihre Datenbank starten können, und zu Anwendungsfällen zur Verbesserung der Richtlinieneinhaltung finden Sie unter Spezialisiertes Windows AMIs in der AWS AMIWindows-Referenz.
Testen der System-/Anwendungsleistung vor der Migration
Die Migration von Unternehmensanwendungen zu AWS kann viele Variablen und Konfigurationen beinhalten. Testen Sie die EC2 Lösung immer auf Leistung, um sicherzustellen, dass:
-
Die Instance-Typen müssen ordnungsgemäß konfiguriert sein, inklusive Instance-Größe, Enhanced Networking und Tenancy (geteilte oder Dedicated).
-
Die Instance-Topologie muss für die Workload geeignet sein und bei Bedarf Hochleistungsfunktionen wie Dedicated Tenancy, Platzierungsgruppen, Instance-Speicher-Volumes und Bare-Metal-Instances nutzen.
Aktualisieren von Launch-Agenten
Aktualisieren Sie auf den neuesten EC2Launch v2-Agenten, um sicherzustellen, dass die neuesten Verbesserungen in Ihrer gesamten Flotte angewendet werden. Weitere Informationen finden Sie unter Migrieren Sie für EC2Launch Windows-Instances auf Version 2.
Wenn Sie über eine gemischte Flotte verfügen oder die Agents EC2Launch (Windows Server 2016 und 2019) oder EC2 Config (nur ältere Betriebssysteme) weiterhin verwenden möchten, aktualisieren Sie auf die neuesten Versionen der jeweiligen Agenten.
Automatische Aktualisierungen werden auf den folgenden Kombinationen von Windows-Server-Version und Launch-Agenten unterstützt. Sie können sich in der SSMQuick Setup Host Management-Konsole unter Amazon EC2 Launch Agents für automatische Updates entscheiden.
| Windows-Version | EC2Launch v1 | EC2Launch v2 |
|---|---|---|
| 2016 | ✓ | ✓ |
| 2019 | ✓ | ✓ |
| 2022 | ✓ |
-
Weitere Informationen zur Aktualisierung auf EC2Launch Version 2 finden Sie unterInstallieren Sie die neueste Version von EC2Launch v2.
-
Informationen zur manuellen Aktualisierung finden EC2Config Sie unterInstallieren der neuesten Version von EC2Config.
-
Informationen zur manuellen Aktualisierung finden EC2Launch Sie unterInstallieren der neuesten Version von EC2Launch.
Konfigurationsmanagement
Amazon Machine Images (AMIs) bieten eine Erstkonfiguration für eine EC2 Amazon-Instance, die das Windows-Betriebssystem und optionale kundenspezifische Anpassungen wie Anwendungen und Sicherheitskontrollen umfasst. Erstellen Sie einen AMI Katalog mit benutzerdefinierten Basisinformationen zur Sicherheitskonfiguration, um sicherzustellen, dass alle Windows-Instances mit Standardsicherheitskontrollen gestartet werden. Sicherheitsbasislinien können in ein integriertes System integriertAMI, beim Start einer EC2 Instanz dynamisch mit Bootstrapping versehen oder als Produkt für eine einheitliche Verteilung über AWS Service Catalog-Portfolios verpackt werden. Weitere Informationen zur Sicherung einer finden Sie unter AMI Bewährte Methoden für den Aufbau einer. AMI
Jede EC2 Amazon-Instance sollte den organisatorischen Sicherheitsstandards entsprechen. Installieren Sie keine Windows-Rollen und -Features, die nicht erforderlich sind, und installieren Sie Software zum Schutz vor bösartigem Code (Antivirus-, Antischadsoftware, Exploit-Begrenzung), überwachen Sie die Host-Integrität und führen Sie Angriffserkennungsmaßnahmen durch. Konfigurieren Sie Sicherheitssoftware, um Betriebssystem-Sicherheitseinstellungen zu überwachen und zu verwalten, die Integrität kritischer Betriebssystemdateien zu schützen und Warnungen zu Abweichungen von der Sicherheitsbasis zu erhalten. Erwägen Sie die Implementierung von empfohlenen Benchmarks für die Sicherheitskonfiguration, die von Microsoft, dem Center for Internet Security (CIS) oder dem National Institute of Standards and Technology (NIST) veröffentlicht wurden. Erwägen Sie, andere Microsoft-Tools für bestimmte Anwendungsserver zu verwenden, z. B. den Best Practice Analyzer for SQL Server
AWS Kunden können auch Amazon Inspector-Assessments durchführen, um die Sicherheit und Konformität der auf EC2 Amazon-Instances bereitgestellten Anwendungen zu verbessern. Amazon Inspector bewertet Anwendungen automatisch auf Schwachstellen oder Abweichungen von bewährten Methoden und umfasst eine Wissensdatenbank mit Hunderten von Regeln, die gängigen Sicherheitsstandards (z. B. PCIDSS) und Definitionen von Sicherheitslücken zugeordnet sind. Beispiele für integrierte Regeln sind die Überprüfung, ob die Remote-Root-Anmeldung aktiviert ist oder, ob anfällige Softwareversionen installiert sind. Diese Regeln werden regelmäßig von AWS Sicherheitsforschern aktualisiert.
Beim Sichern von Windows-Instances wird empfohlen, Active-Directory-Domain-Services zu implementieren, um eine skalierbare, sichere und verwaltbare Infrastruktur für verteilte Standorte zu ermöglichen. Darüber hinaus empfiehlt es sich, nach dem Starten von Instances über die EC2 Amazon-Konsole oder mithilfe eines EC2 Amazon-Bereitstellungstools AWS CloudFormation, native Betriebssystemfunktionen wie Microsoft Windows
Änderungsmanagement
Nachdem die ersten Sicherheitsbaselines beim Start auf EC2 Amazon-Instances angewendet wurden, kontrollieren Sie die laufenden EC2 Änderungen von Amazon, um die Sicherheit Ihrer virtuellen Maschinen zu gewährleisten. Richten Sie einen Change-Management-Prozess ein, um Änderungen an AWS Ressourcen (wie Sicherheitsgruppen, Routing-Tabellen und NetzwerkACLs) sowie an Betriebssystem- und Anwendungskonfigurationen (wie Windows- oder Anwendungspatching, Software-Upgrades oder Aktualisierungen von Konfigurationsdateien) zu autorisieren und zu integrieren.
AWS stellt mehrere Tools zur Verfügung, mit denen Sie Änderungen an AWS Ressourcen verwalten können AWS CloudTrail, darunter AWS Config AWS CloudFormation, AWS Elastic Beanstalk, AWS OpsWorks, und und Management Packs für Systems Center Operations Manager und System Center Virtual Machine Manager. Beachten Sie, dass Microsoft Windows-Patches am zweiten Dienstag im Monat (oder nach Bedarf) veröffentlicht und alle Windows, die von AMIs verwaltet werden, AWS innerhalb von fünf Tagen AWS aktualisiert, nachdem Microsoft einen Patch veröffentlicht hat. Daher ist es wichtig, alle Basisversionen kontinuierlich zu patchenAMIs, AWS CloudFormation Vorlagen und Auto Scaling Scaling-Gruppenkonfigurationen mit den neuesten Versionen AMI IDs zu aktualisieren und Tools zur Automatisierung des laufenden Instanz-Patch-Managements zu implementieren.
Microsoft bietet verschiedene Optionen zum Verwalten von Windows-Betriebssystem- und Anwendungsänderungen. SCCMdeckt beispielsweise den gesamten Lebenszyklus von Änderungen an der Umgebung ab. Wählen Sie Tools aus, die auf die Geschäftsanforderungen zugeschnitten sind und kontrollieren, wie sich Änderungen auf Anwendungs-SLAs, Kapazitäts-, Sicherheits- und Notfallwiederherstellungsverfahren auswirken. Vermeiden Sie manuelle Änderungen und nutzen Sie stattdessen automatisierte Konfigurationsverwaltungssoftware oder Befehlszeilentools wie EC2 Run Command oder Windows, PowerShell um skriptbasierte, wiederholbare Änderungsprozesse zu implementieren. Um diese Anforderung zu erfüllen, verwenden Sie Bastion-Hosts mit erweiterter Protokollierung für alle Interaktionen mit Ihren Windows-Instances, um sicherzustellen, dass alle Ereignisse und Aufgaben automatisch aufgezeichnet werden.
Prüfung und Rechenschaftspflicht für Amazon EC2 Windows-Instances
AWS CloudTrail AWS Config, und AWS-Config-Regeln stellen Funktionen zur Prüfung und Nachverfolgung von Änderungen an AWS
Ressourcen bereit. Konfigurieren Sie Windows-Ereignisprotokolle, um lokale Protokolldateien an ein zentrales Protokollverwaltungssystem zu senden, um Protokolldaten für die Sicherheits- und Betriebsverhaltensanalyse zu führen. Microsoft System Center Operations Manager (SCOM) aggregiert Informationen über Microsoft-Anwendungen, die auf Windows-Instanzen bereitgestellt werden, und wendet vorkonfigurierte und benutzerdefinierte Regelsätze auf der Grundlage von Anwendungsrollen und Diensten an. System Center Management Packs bauen darauf aufSCOM, anwendungsspezifische Überwachungs- und Konfigurationsanleitungen bereitzustellen. Diese Management Packs
Zusätzlich zu den Systemverwaltungstools von Microsoft können Kunden Amazon verwenden, CloudWatch um die CPU Instance-Auslastung, die Festplattenleistung und die Netzwerk-I/O zu überwachen und Host- und Instance-Statusprüfungen durchzuführen. Die Start-Agenten EC2ConfigEC2Launch, und EC2Launch v2 bieten Zugriff auf zusätzliche, erweiterte Funktionen für Windows-Instances. Sie können beispielsweise Windows-System-, Sicherheits-, Anwendungs- und Internet Information Services (IIS) -Protokolle in Logs exportieren, die dann in CloudWatch Amazon-Metriken und -Alarme integriert werden können. CloudWatch Kunden können auch Skripts erstellen, die Windows-Leistungsindikatoren in CloudWatch benutzerdefinierte Amazon-Metriken exportieren.
