本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Lightsail 上保护 Windows 服务器实例
<a name="best-practices-for-securing-windows-based-lightsail-instances"></a>

在本文中，我们提供了一些提示和技巧，以帮助您在使用运行 Windows Server 的 Lightsail 实例时避免安全风险。

## 关于 Lightsail 密码
<a name="best-practices-windows-security-about-passwords"></a>

当你创建基于 Windows 服务器的实例时，Lightsail 会随机生成一个难以猜测的长密码。请仅在新实例上使用该密码。您可以使用默认密码通过远程桌面 (RDP) 快速连接到您的实例。您始终以**管理员**身份登录您的 Lightsail 实例。

## 管理密码
<a name="best-practices-windows-security-password-management"></a>

您可以在基于 Windows Server 的实例上更改密码。如果您想使用远程桌面客户端来访问您的 Lightsail 实例，这可能会很有用。Lightsail 从不存储你生成的密码。

**注意**  
您可以在 Lightsail 中使用基于浏览器的 RDP 客户端，也可以使用 LightSail 生成的密码或自己的自定义密码。如果使用自定义密码，每次登录时，将会提示您输入密码。如果您想快速访问您的实例，则在基于浏览器的 RDP 客户端上使用 LightSail 生成的默认密码会更容易。

可以使用 Windows Server 密码管理器安全地更改您的密码。请按 `Ctrl` \$1 `Alt` \$1 `Del`，然后选择 **Change a password (更改密码)**。请务必记录您的密码，因为 Lightsail 不会存储您的密码。如果您需要找回密码，请参阅以下内容：[更改基于 Windows 的实例的管理员密码](use-non-default-key-with-windows-based-instance-in-lightsail.md)。

如果将密码更改为非默认唯一密码，请务必使用增强密码。应避免使用基于名称或词典单词的密码，或者避免使用具有重复字符序列的密码。

## 安全修补
<a name="best-practices-windows-security-security-patching"></a>

我们建议使用最新的安全补丁更新基于 Windows 服务器的 Lightsail 实例。请确保配置您的服务器以下载并安装更新。以下过程告诉你如何直接在运行 Windows Server 的 Lightsail 实例上执行此操作。

1. 在基于 Windows Server 的实例上，打开命令提示符。

1. 键入 `sconfig`，然后按 `Enter`。

   默认情况下，Windows Update 设置 (编号 5) 为 `Automatic`。  
![\[Windows Server 2016 中的服务器配置\]](http://docs.aws.amazon.com/zh_cn/lightsail/latest/userguide/images/configure-server-windows-based-lightsail.png)

1. 要下载并安装新的更新，请键入 `6`，然后按 `Enter`。

1. 键入 `A` 以在新命令窗口中搜索 **(A)ll updates (所有更新)**，然后按 `Enter`。

1. 再次键入 `A` 以安装**所有更新**，然后按 `Enter`。

   在完成后，将显示一条消息，其中包含安装结果和更多说明 (如果适用)。  
![\[已成功下载并更新 Windows Server 2016 安全补丁\]](http://docs.aws.amazon.com/zh_cn/lightsail/latest/userguide/images/download-install-updates-configure-server-windows-based-lightsail.png)

## 在 Windows Server 中启用账户锁定策略
<a name="best-practices-windows-security-enable-lockout"></a>

您可以配置 Windows Server，以便在达到一定数量的失败登录尝试时临时或无限期地禁用账户。例如，您可以锁定尝试使用三个失败密码登录到实例的用户。

有关更多信息，请参阅 [Windows Server 文档](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx) 中的*账户锁定策略*。

## 端口和防火墙设置
<a name="best-practices-windows-security-ports-firewall"></a>

默认情况下，我们在基于 Windows Server 的实例上打开以下端口。

![\[防火墙设置\]](http://docs.aws.amazon.com/zh_cn/lightsail/latest/userguide/images/windows-ports-firewall-open-by-default.png)


您启用的端口将向外部环境公开，而无法按源 IP 进行限制。要限制访问您的实例，您可以禁用这些端口，而仅在需要访问您的实例时启用这些端口。方法如下：

1. **在 Lightsail 中找到你要管理的实例，然后选择管理。**

1. 选择**联网**。

1. 在您实例的**联网**页面中，选择**编辑规则**。

1. 选择 RDP/TCP/3389 规则旁边的橙色“x”以删除该规则。  
![\[删除该规则以关闭 RDP 端口\]](http://docs.aws.amazon.com/zh_cn/lightsail/latest/userguide/images/windows-ports-firewall-delete-rdp-port.png)

1. 选择**保存**。