Bewährte Methoden für die Sicherheit für Windows-Instances

Wir empfehlen, dass Sie die folgenden bewährten Methoden für die Sicherheit für Ihre Windows-Instances befolgen.

Bewährte Methoden für die Sicherheit

Beachten Sie die folgenden allgemeinen Sicherheitsmaßnahmen für Ihre Windows-Instances:

• Geringster Zugriff — Gewähren Sie Zugriff nur auf vertrauenswürdige und erwartete Systeme und Speicherorte. Dies gilt für alle Microsoft-Produkte wie Active Directory, Microsoft-Geschäftsproduktivitätsserver und Infrastruktur-Services wie Remote Desktop-Dienste, Reverse-Proxy-Server, IIS Webserver usw. Verwenden Sie AWS Funktionen wie EC2 Amazon-Instance-Sicherheitsgruppen, Netzwerkzugriffskontrolllisten (ACLs) und VPC öffentliche/private Amazon-Subnetze, um die Sicherheit über mehrere Standorte in einer Architektur hinweg zu schichten. Innerhalb einer Windows-Instance können Kunden die Windows-Firewall verwenden, um eine weitere defense-in-depth Strategie innerhalb ihrer Bereitstellung zu entwickeln. Installieren Sie nur die Betriebssystemkomponenten und -anwendungen, die für die gewünschte Funktion des Systems erforderlich sind. Konfigurieren Sie Infrastruktur-Services, etwa IIS für die Ausführung unter Servicekonten oder für die Verwendung von Funktionen wie Anwendungspool-Identitäten, um lokal und remote auf Ressourcen in Ihrer gesamten Infrastruktur zuzugreifen.

• Geringste Berechtigung — Bestimmen Sie die Mindestberechtigungen, die Instances und Konten benötigen, um ihre Funktionen auszuführen. Schränken Sie diese Server und Benutzer so ein, dass nur diese definierten Berechtigungen gewährt werden. Verwenden Sie Techniken wie rollenbasierte Zugriffskontrollen, um die Angriffsfläche von Administratorkonten zu reduzieren, und erstellen Sie maximal eingeschränkte Rollen für die Ausführung einer Aufgabe. Verwenden Sie Betriebssystemfunktionen wie Encrypting File System (EFS), NTFS um vertrauliche Daten im Ruhezustand zu verschlüsseln und den Anwendungs- und Benutzerzugriff darauf zu steuern.

• Konfigurationsverwaltung — Erstellen Sie eine Basis-Serverkonfiguration, die up-to-date Sicherheitspatches und hostbasierte Schutz-Suites enthält, die Virenschutz, Anti-Malware, Intrusion Detection/Prevention und Dateiintegritätsüberwachung umfassen. Bewerten Sie jeden Server anhand der aktuell aufgezeichneten Basislinie, um Abweichungen zu identifizieren und zu kennzeichnen. Stellen Sie sicher, dass jeder Server so konfiguriert ist, dass entsprechende Protokoll- und Prüfungsdaten generiert und sicher gespeichert werden.

• Änderungsmanagement — Erstellen Sie Prozesse zur Steuerung von Änderungen an Serverkonfigurationsbasislinien und arbeiten Sie an vollautomatisierten Änderungsprozessen. Nutzen Sie auch JEST Enough Administration (JEA) mit Windows PowerShellDSC, um den administrativen Zugriff auf die minimal erforderlichen Funktionen zu beschränken.

• Patch-Management — Implementieren Sie Prozesse, mit denen das Betriebssystem und die Anwendungen auf Ihren EC2 Instances regelmäßig gepatcht, aktualisiert und gesichert werden.

• Prüfungsprotokolle — Prüfen Sie den Zugriff und alle Änderungen an EC2 Amazon-Instances, um die Serverintegrität zu verifizieren und sicherzustellen, dass nur autorisierte Änderungen vorgenommen werden. Nutzen Sie Funktionen wie Enhanced Logging for IIS, um die Standard-Logging-Funktionen zu verbessern. AWS -Funktionen wie VPC Flow Logs und AWS CloudTrail sind auch für die Prüfung des Netzwerkzugriffs verfügbar, einschließlich erlaubter bzw. abgelehnter Anforderungen bzw. API Anrufe.

Update-Management

Um optimale Resultate aus der Ausführung von Windows Server auf Amazon sicherzustellenEC2, empfehlen wir Ihnen, den folgenden bewährten Methoden zu folgen:

• Configure Windows Update

• Update drivers

• Use the latest Windows AMIs

• Test performance before migration

• Update launch agents

• Starten Sie Ihre Windows-Instance neu, nachdem Sie Updates installiert haben. Weitere Informationen finden Sie unter Durchführen eines Neustarts Ihrer Instance.

Weitere Informationen über den Upgrade oder die Migration einer Windows-Instance auf eine neuere Version von Windows Server finden Sie unter Aktualisieren einer -Instance EC2 unter Windows Server auf eine neuere Version von Windows.

Konfigurieren Sie Windows Update

Standardmäßig erhalten Instanzen, die von AWS Windows Server aus gestartet werden, AMIs keine Updates über Windows Update.

Aktualisieren von Windows-Treibern

Verwenden Sie auf den gesamten EC2 Windows-Instances die neuesten Treiber, damit auf allen Systemen die neuesten Fehlerbehebungen und Leistungserweiterungen angewendet werden. Je nach Instance-Typ müssen Sie AWS PVENA, Amazon und AWS NVMe Treiber aktualisieren.

• Verwenden Sie SNSThemen, um Informationen über neue Treiber-Releases zu erhalten.

• Verwenden Sie das AWS Systems Manager Automation-Runbook AWSSupport UpgradeWindowsAWSDrivers, um die Updates einfach auf Ihre Instanzen anzuwenden.

Starten Sie Instances mit dem neuesten Windows AMIs

AWS veröffentlicht AMIs jeden Monat neue Windows-Systeme mit den aktuellen Betriebssystem-Patches, Treibern und Start-Agenten. Nutzen Sie die neueste VersionAMI, wenn Sie neue Instances starten oder eigene, benutzerdefinierte Images erstellen.

• Updates für die einzelnen Versionen von AWS Windows AMIs finden Sie im AWS AMIWindows-Versionsverlauf.

• Weitere Informationen zur Verwendung der neuesten verfügbaren AMIs Version finden Sie unter Query for the Latest Windows AMI Using Systems Manager Parameter Store.

• Weitere Informationen zu speziellen Windows-Betriebssystemen, mit AMIs denen Sie Instances für Ihre Datenbank starten können, und zu Anwendungsfällen zur Verbesserung der Richtlinieneinhaltung finden Sie unter Spezialisiertes Windows AMIs in der AWS AMIWindows-Referenz.

Testen der System-/Anwendungsleistung vor der Migration

Die Migration von Unternehmensanwendungen zu AWS kann viele Variablen und Konfigurationen betreffen. Führen Sie immer Tests für die Leistung der EC2 Lösung durch, um Folgendes zu gewährleisten:

• Die Instance-Typen müssen ordnungsgemäß konfiguriert sein, inklusive Instance-Größe, Enhanced Networking und Tenancy (geteilte oder Dedicated).

• Die Instance-Topologie muss für die Workload geeignet sein und bei Bedarf Hochleistungsfunktionen wie Dedicated Tenancy, Platzierungsgruppen, Instance-Speicher-Volumes und Bare-Metal-Instances nutzen.

Aktualisieren von Launch-Agenten

Aktualisieren Sie auf die neueste EC2Launch Launch-Agent-Version von V2, um sicherzustellen, dass aktuelle Verbesserungen auf die gesamte Flotte angewendet werden. Weitere Informationen finden Sie unter Migrieren Sie für EC2Launch Windows-Instances auf Version 2.

Wenn Sie über eine gemischte Flotte verfügen oder wenn Sie die Agenten EC2Launch (Windows Server 2016 und 2019) oder EC2 Config (nur ältere Betriebssysteme) weiterhin verwenden möchten, aktualisieren Sie auf die neuesten Versionen der entsprechenden Agenten.

Automatische Aktualisierungen werden auf den folgenden Kombinationen von Windows-Server-Version und Launch-Agenten unterstützt. Sie können sich in der SSMQuick Setup des Host-Managements -Konsole unter EC2Amazon-Launch-Agenten für automatische Updates anmelden.

Windows-Version	EC2Launch v1	EC2Launch v2
2016	✓	✓
2019	✓	✓
2022		✓

• Weitere Informationen zum Aktualisieren auf EC2Launch v2 finden Sie unterInstallation der neuesten Version von EC2Launch v2.

• Informationen zur manuellen Aktualisierung finden EC2Config Sie unterInstallieren der neuesten Version von EC2Config.

• Informationen zur manuellen Aktualisierung finden EC2Launch Sie unterInstallieren der neuesten Version von EC2Launch.

Konfigurationsmanagement

Amazon Machine Images (AMIs) bieten eine Erstkonfiguration für eine EC2 Amazon-Instance, die das Windows-Betriebssystem und optionale kundenspezifische Anpassungen wie Anwendungen und Sicherheitskontrollen beinhaltet. Erstellen Sie einen AMI Katalog mit benutzerdefinierten Basislinien für die Sicherheitskonfiguration, um sicherzustellen, dass alle Windows-Instances mit Standardsicherheitskontrollen gestartet werden. Sicherheitsbasislinien können in ein integriertes System integriertAMI, beim Starten einer EC2 -Instance dynamisch per Bootstrapping behandelt oder als Produkt für die einheitliche Verteilung über AWS Service Catalog-Portfolios verpackt werden. Weitere Informationen zum Sichern eines AMI finden Sie unter Bewährte Methoden für die Erstellung eines AMI.

Jede EC2 Amazon-Instance sollte die organisatorischen Sicherheitsstandards einhalten. Installieren Sie keine Windows-Rollen und -Features, die nicht erforderlich sind, und installieren Sie Software zum Schutz vor bösartigem Code (Antivirus-, Antischadsoftware, Exploit-Begrenzung), überwachen Sie die Host-Integrität und führen Sie Angriffserkennungsmaßnahmen durch. Konfigurieren Sie Sicherheitssoftware, um Betriebssystem-Sicherheitseinstellungen zu überwachen und zu verwalten, die Integrität kritischer Betriebssystemdateien zu schützen und Warnungen zu Abweichungen von der Sicherheitsbasis zu erhalten. Erwägen Sie, empfohlene Sicherheitskonfigurations-Benchmarks zu implementieren, die von Microsoft, dem Center for Internet Security (CIS) oder dem National Institute of Standards and Technology (NIST) veröffentlicht wurden. Erwägen Sie, andere Microsoft-Tools für bestimmte Anwendungsserver zu verwenden, z. B. Best Practice Analyzer for SQL Server.

AWS -Kunden können auch Amazon-Inspector-Bewertungen ausführen, um die Sicherheit und Compliance von Anwendungen zu verbessern, die auf EC2 Amazon-Instances bereitgestellt werden. Amazon Inspector prüft Anwendungen automatisch auf Schwachstellen oder Abweichungen von bewährten Methoden und enthält eine Wissensdatenbank aus Hunderten von Regeln, die den gängigen Standards der Sicherheitskonformität (z. B. PCIDSS) und Schwachstellendefinitionen zugeordnet sind. Beispiele für integrierte Regeln sind die Überprüfung, ob die Remote-Root-Anmeldung aktiviert ist oder, ob anfällige Softwareversionen installiert sind. Diese Regeln werden von AWS -Sicherheitsmitarbeitern regelmäßig aktualisiert.

Beim Sichern von Windows-Instances wird empfohlen, Active-Directory-Domain-Services zu implementieren, um eine skalierbare, sichere und verwaltbare Infrastruktur für verteilte Standorte zu ermöglichen. Darüber hinaus empfiehlt es sich, nach dem Starten von Instances über die EC2 Amazon-Konsole oder mit einem EC2 Amazon-Bereitstellungstool wie AWS CloudFormation native Betriebssystemfunktionen wie Microsoft Windows zu verwenden, PowerShell DSC um den Konfigurationsstatus beizubehalten, falls Konfigurationsdrift auftritt.

Änderungsmanagement

Nachdem beim Start anfängliche Sicherheits-Baselines auf EC2 Amazon-Instances angewendet wurden, kontrollieren Sie fortlaufende EC2 Amazon-Änderungen, um die Sicherheit Ihrer virtuellen Maschinen zu wahren. Richten Sie einen Änderungsmanagementprozess ein, um Änderungen an AWS -Ressourcen (wie Sicherheitsgruppen, Routing-Tabellen und NetzwerkACLs) sowie an Betriebssystem- und Anwendungskonfigurationen (z. B. Windows oder Anwendungs-Patching, Software-Upgrades oder Konfigurationsdatei-Updates) zu autorisieren und zu integrieren.

AWS bietet verschiedene Tools zum Verwalten von Änderungen an AWS -Ressourcen, einschließlich AWS CloudTrail, AWS Config AWS CloudFormation, und AWS Elastic Beanstalk, sowie Management Packs für Systems Center Operations Manager und System Center Virtual Machine Manager. Beachten Sie, dass Microsoft jeden zweiten Dienstag im Monat (oder nach Bedarf) Windows-Patches veröffentlicht und alle von AMIs verwalteten Windows-Patches AWS innerhalb von fünf Tagen AWS aktualisiert, nachdem Microsoft einen Patch veröffentlicht hat. Daher ist es wichtig, ständig alle Basislinien zu patchenAMIs, AWS CloudFormation -Vorlagen und Auto Scaling Scaling-Gruppenkonfigurationen mit den neuesten Versionen zu aktualisieren sowie Tools zu implementieren AMIIDs, um das laufende Instance-Patch-Management zu automatisieren.

Microsoft bietet verschiedene Optionen zum Verwalten von Windows-Betriebssystem- und Anwendungsänderungen. SCCMbietet beispielsweise eine vollständige Lebenszyklusabdeckung von Umgebungsänderungen. Wählen Sie Tools aus, die geschäftliche Anforderungen erfüllen und steuern, wie sich Änderungen auf Anwendungs-SLAs, Kapazitäts-, Sicherheits- und Notfallwiederherstellungsverfahren auswirken. Vermeiden Sie manuelle Änderungen und nutzen Sie stattdessen die automatisierte Konfigurationsverwaltungssoftware oder Befehlszeilen-Tools wie EC2 Run Command oder Windows, PowerShell um skriptbasierte, wiederholbare Änderungsprozesse zu implementieren. Um diese Anforderung zu erfüllen, verwenden Sie Bastion-Hosts mit erweiterter Protokollierung für alle Interaktionen mit Ihren Windows-Instances, um sicherzustellen, dass alle Ereignisse und Aufgaben automatisch aufgezeichnet werden.

Prüfung und Rechenschaftspflicht für Amazon EC2 Windows-Instances

AWS CloudTrail AWS Config, und AWS-Config-Regeln stellen Audit- und Änderungsverfolgungsfunktionen für die Prüfung von AWS -Ressourcenänderungen bereit. Konfigurieren Sie Windows-Ereignisprotokolle, um lokale Protokolldateien an ein zentrales Protokollverwaltungssystem zu senden, um Protokolldaten für die Sicherheits- und Betriebsverhaltensanalyse zu führen. Microsoft System Center Operations Manager (SCOM) aggregiert Informationen zu Microsoft-Anwendungen, die auf Windows-Instances bereitgestellt werden, und wendet vorkonfigurierte und benutzerdefinierte Regelsätze basierend auf Anwendungsrollen und -services an. System Center Management Packs bauen SCOM darauf auf, anwendungsspezifische Überwachungs- und Konfigurationsrichtlinien bereitzustellen. Diese Management Packs unterstützen Windows Server Active Directory, SharePoint Server 2013, Exchange Server 2013, Lync Server 2013, SQL Server 2014 und viele weitere Server und Technologien.

Zusätzlich zu den Microsoft-Systemverwaltungstools können Kunden mit Amazon CloudWatch die CPU Instance-Auslastung, die Festplattenleistung und die Netzwerk-E/A überwachen und Host- und Instance-Statusprüfungen durchführen. Die Start-Agenten EC2ConfigEC2Launch, und EC2Launch v2 bieten Zugriff auf zusätzliche erweiterte Funktionen für Windows-Instances. Beispielsweise können sie Windows-System-, Sicherheits-, Anwendungs- und Internetinformationsdienste (IIS) -Protokolle in -Protokolle exportieren, die dann in CloudWatch Amazon-Metriken und Alarme integriert werden können. CloudWatch Kunden können auch Skripts erstellen, die Windows-Leistungsindikatoren in CloudWatch benutzerdefinierte Amazon--Metriken exportieren.