Lightsail における Windows Server ベースのインスタンスを保護するためのベストプラクティス - Amazon Lightsail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Lightsail における Windows Server ベースのインスタンスを保護するためのベストプラクティス

この記事では、Windows Server を実行する Lightsail インスタンスを使用する際にセキュリティリスクを回避するために役立つヒントやテクニックについて説明します。

Lightsail のパスワードについて

Windows Server ベースのインスタンスを作成するとき、Lightsail は推測しにくい長いパスワードをランダムに生成します。新しいインスタンスではこのパスワードを一意に使用します。デフォルトのパスワードを使用すると、リモートデスクトップ (RDP) を使用してインスタンスにすばやく接続できます。 インスタンスには常に AdministratorLightsail としてログインします。

パスワードの管理

Windows Server ベースのインスタンスのパスワードを覚えやすいものに変更できます。これは、リモートデスクトップクライアントを使用して Lightsail インスタンスにアクセスする場合に役立つ場合があります。生成したパスワードが Lightsail に保存されることはありません。

注記

Lightsail では、ブラウザベースの RDP クライアントに、Lightsail で生成されたパスワードまたは独自のカスタムパスワードを使用できます。カスタムパスワードを使用する場合、ログインするたびにパスワードの入力を求められます。インスタンスにすばやくアクセスする場合、ブラウザベースの RDP クライアントで Lightsail によって生成されたデフォルトパスワードを使用した方が簡単です。

管理者パスワードを安全に変更するには、Windows Server のパスワードマネージャーを使用します。Ctrl + Alt + Del を押し、[パスワードの変更] を選択します。Lightsail にはパスワードが保存されないため、必ずパスワードを記録しておいてください。パスワードを取得する必要がある場合は、以下の「Windows ベースのインスタンスの管理者パスワードを変更する」を参照してください。

パスワードを一意のデフォルトパスワードから変更する場合、必ず強力なパスワードを使用してください。名前や辞書に載っている単語をベースとしたパスワードや、一連の文字の繰り返しは避けてください。

セキュリティパッチ

Windows Server ベースの Lightsail インスタンスを最新のセキュリティパッチで更新された状態に保つことをお勧めします。サーバーが更新をダウンロードおよびインストールするよう設定されていることを確認してください。次の手順では、Windows Server を実行する Lightsail インスタンスで直接これを行う方法について説明します。

  1. Windows Server ベースのインスタンスで、コマンドプロンプトを開きます。

  2. sconfig」と入力し、Enter を押します。

    Windows Update Settings (5 番) はデフォルトで Automatic になっています。

    
            Windows Server 2016 のサーバー設定
  3. 新しい更新プログラムをダウンロードしてインストールするには、6 と入力して Enter キーを押します。

  4. 新しいコマンドウィンドウで「A」と入力して [(A)ll updates (すべての更新)] を検索し、Enter キーを押します。

  5. もう一度「A」と入力して [(A)ll updates (すべての更新)] をインストールし、Enter キーを押します。

    完了したら、インストール結果と詳しい手順が記載されたメッセージが表示されます (該当する場合)。

    
            正常にダウンロードおよび更新された Windows Server 2016 セキュリティパッチ

Windows Server でアカウントロックアウトポリシーを有効にする

ログイン試行に一定回数失敗した場合にアカウントを一時的または永続的に無効にするよう Windows Server を設定できます。たとえば、間違ったパスワードを 3 つ使用してインスタンスにログインしようとした場合にロックアウトすることができます。

詳細については、『Windows Server documentation』の「Account Lockout Policy」を参照してください。

ポートとファイアウォールの設定

デフォルトでは、Windows Server ベースのインスタンスで次のポートを開きます。


        ファイアウォール設定

有効にしたポートは世界中に公開され、ソース IP によって制限することはできません。インスタンスへのアクセスを制限するには、これらのポートを無効にし、インスタンスへのアクセスが必要なときにのみ有効にすることができます。その方法は次のとおりです。

  1. Lightsail で管理するインスタンスを検索し、[管理] を選択します。

  2. [ネットワーキング] を選択します。

  3. インスタンスの [ネットワーキング] ページで、[ルールの編集] を選択します。

  4. ルールの横にあるオレンジ色の [x] を選択することで、RDP/TCP/3389 ルールを削除します。

    
            このルールを削除して RDP ポートを閉じる
  5. [保存] を選択します。