美團(tuán)云(MOS)提供Windows Server 2008 R2和Windows Server 2012 R2數(shù)據(jù)中心版的云主機(jī)服務(wù)器。由于Windows服務(wù)器市場占有率較高的原因，針對Windows服務(wù)器的病毒木馬等惡意軟件較多，且容易獲得，技術(shù)門檻也較低，因此Windows服務(wù)器的安全問題需要格外留意。為了安全地使用Windows云主機(jī)，建議應(yīng)用如下幾個簡單的安全加固措施。雖然簡單，但是已足夠防御大部分較常見的安全風(fēng)險。

一、設(shè)置強(qiáng)密碼

　　美團(tuán)云Windows服務(wù)器創(chuàng)建后會給管理員(Administrator)帳號自動生成12位的隨機(jī)密碼，在首次登入Windows服務(wù)器后，建議立即更改密碼。密碼盡量隨機(jī)，要包含數(shù)字，大小寫字母和特殊符號，長度至少12位。可以采用一些工具，例如：https://identitysafe.norton.com/password-generator，生成較強(qiáng)的隨機(jī)密碼。并且以后至少每隔3個月修改一次密碼。

　　修改密碼的方法為：在管理員成功登入主機(jī)后，按"Ctrl-Alt-Delete"，選擇"修改密碼" (提示：可以通過美團(tuán)云Web終端登入，點(diǎn)擊右上角的"Ctrl-Al-Delete"按鈕輸入該按鍵組合)

二、開啟自動系統(tǒng)更新

　　美團(tuán)云Windows服務(wù)器均已獲得原廠正版授權(quán)，可以開啟Windows更新服務(wù)，自動更新修補(bǔ)系統(tǒng)漏洞，以避免被惡意攻擊者利用侵入服務(wù)器。請用下面流程檢查是否啟用自動更新，如果沒有啟用，則建議啟用。

　　Windows Server 2008

　　點(diǎn)擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 在右側(cè)的面板中，點(diǎn)擊"配置更新" 在彈出的對話框中，選擇"自動安裝更新"

　　Windows Server 2012

　　點(diǎn)擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 打開服務(wù)器管理器儀表盤，點(diǎn)擊"配置此本地服務(wù)器" 點(diǎn)擊"Windows更新"后的鏈接 在彈出的窗口，如果未啟用自動更新，則顯示如圖所示警示，點(diǎn)擊"啟用自動更新"。

三、開啟防火墻

　　美團(tuán)云已經(jīng)提供了防火墻服務(wù)，如果您正在使用美團(tuán)云主機(jī)，可以在美團(tuán)云控制面板使用美團(tuán)云提供的防火墻服務(wù)進(jìn)行防火墻設(shè)置。美團(tuán)云平臺提供的防火墻是在虛擬機(jī)外部的云平臺提供了網(wǎng)絡(luò)端口的防火墻功能，配置相對簡單宜用。如果其功能滿足需求，建議關(guān)閉Windows系統(tǒng)內(nèi)置的防火墻。否則可以參考以下內(nèi)容設(shè)置Windows內(nèi)置的防火墻。

　　(提示：為了避免Windows自帶防火墻和云平臺防火墻功能的沖突，在啟用Windows自帶防火墻后，請將云平臺的防火墻設(shè)置為"開放"。)

　　如果Windows服務(wù)器購買了公網(wǎng)帶寬，則會有一個帶公網(wǎng)IP地址的網(wǎng)卡與公網(wǎng)對接。用戶可以訪問這個IP地址訪問部署在主機(jī)上的服務(wù)。但是與此同時，惡意攻擊者也可能利用系統(tǒng)漏洞，通過這個公網(wǎng)IP侵入你的服務(wù)器。此時，除了要開啟自動更新及時修復(fù)系統(tǒng)漏洞外，還建議開啟Windows server的防火墻，減少直接暴露在公網(wǎng)的端口，降低危險端口暴露在公網(wǎng)的風(fēng)險。并且，對于遠(yuǎn)程桌面(TCP 3389)等用于管理目的的服務(wù)端口，最好設(shè)置允許訪問的IP白名單，以盡量減少被惡意掃描的風(fēng)險。

　　(提示，建議通過美團(tuán)云控制臺的Web終端來配置防火墻，以防止配置過程中出現(xiàn)誤操作，導(dǎo)致遠(yuǎn)程桌面連接關(guān)閉。)

開啟Windows防火墻的步驟如下：

　　Windows server 2008

　　點(diǎn)擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 在右側(cè)的面板中，點(diǎn)擊"轉(zhuǎn)到Windows防火墻" 在左側(cè)的樹狀列表中，鼠標(biāo)右鍵點(diǎn)擊"高級安全Windows防火墻" 在彈出的對話框中，選擇"公用配置文件"葉簽，確定"防火墻狀態(tài)"為"開啟"，點(diǎn)擊"確定"關(guān)閉對話框

　　開啟防火墻后，為了不影響遠(yuǎn)程桌面的訪問，需要確保允許遠(yuǎn)程桌面的訪問，方法為：

　　在左側(cè)的樹狀列表中，展開"高級安全Windows防火墻"，點(diǎn)擊"入站規(guī)則"，在中間的規(guī)則列表中，查看"遠(yuǎn)程桌面(TCP-In)"是否開啟。如果沒有開啟，選中該規(guī)則，點(diǎn)擊右側(cè)的"啟用規(guī)則"開啟