本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 上的安全 Windows Server 執行個體 Lightsail
<a name="best-practices-for-securing-windows-based-lightsail-instances"></a>

我們在這篇文章中提供提示與秘訣，協助您在使用執行 Windows Server 之 Lightsail 執行個體時迴避安全風險。

## 關於 Lightsail 密碼
<a name="best-practices-windows-security-about-passwords"></a>

當您建立以 Windows Server 為基礎的執行個體時，Lightsail 將隨機產生難以猜測的長密碼。您可以唯一使用此密碼與您的新執行個體。您可以使用預設密碼與遠端桌面 (RDP) 快速連接至您的執行個體。您可以隨時以 **Administrator (管理員)** 身分登入您的 Lightsail 執行個體。

## 管理您的密碼
<a name="best-practices-windows-security-password-management"></a>

您可以在以 Windows Server 為基礎的執行個體上變更密碼。如果您想使用遠端桌面用戶端存取您的 Lightsail 執行個體，這將會很有用。Lightsail 永遠不會存放您產生的密碼。

**注意**  
您可以使用 Lightsail 產生的密碼或您自己的自訂密碼，搭配使用 Lightsail 中以瀏覽器為基礎的 RDP 用戶端。如果您使用自訂密碼，系統將會在您每次登入時提示您輸入您的密碼。如果您要快速存取您的執行個體，使用 Lightsail 產生的預設密碼搭配以瀏覽器為基礎的 RDP 用戶端會比較簡單。

使用 Windows Server 密碼管理工具安全地變更您的密碼。按 `Ctrl` \$1 `Alt` \$1 `Del`，然後選擇 **Change a password** (變更密碼)。請務必記下您的密碼，因為 Lightsail 不會存放您的密碼。如果需要擷取密碼，請參閱下列內容：[變更以 Windows為基礎的執行個體的管理員密碼](use-non-default-key-with-windows-based-instance-in-lightsail.md)。

如果您要變更此唯一的預設密碼，請務必使用強式密碼。您應該避免使用姓名、字典字詞或重複的字元序列來設定密碼。

## 安全性修補程式
<a name="best-practices-windows-security-security-patching"></a>

建議您確保以 Windows Server 為基礎的 Lightsail 執行個體持續更新至最新的安全修補程式。請確定您的伺服器已設定為下載並安裝更新。下列程序告訴您如何直接在您執行 Windows Server 的 Lightsail 執行個體上執行此作業。

1. 在您以 Windows Server 為基礎的執行個體上開啟命令提示字元。

1. 輸入 `sconfig`，然後按 `Enter`。

   預設的 Windows 更新設定 (第 5 項) 為 `Automatic`。  
![\[Windows Server 2016 中的伺服器組態\]](http://docs.aws.amazon.com/zh_tw/lightsail/latest/userguide/images/configure-server-windows-based-lightsail.png)

1. 若要下載並安裝新的更新，請輸入 `6`，然後按下 `Enter`。

1. 在新的命令視窗中輸入 `A` 來搜尋 **(A)ll updates (全部更新)**，然後按下 `Enter`。

1. 再次輸入 `A` 以安裝 **(A)ll updates (全部更新)**，然後按下 `Enter`。

   完成後，您會看到包含安裝結果和更多指示的訊息 (如果適用)。  
![\[成功下載和更新 Windows Server 2016 安全性修補程式\]](http://docs.aws.amazon.com/zh_tw/lightsail/latest/userguide/images/download-install-updates-configure-server-windows-based-lightsail.png)

## 在 Windows Server 中啟用帳戶鎖定政策
<a name="best-practices-windows-security-enable-lockout"></a>

您可以設定 Windows Server 在嘗試登入失敗達到特定次數時，暫時或無限期停用帳戶。例如，您可以鎖定使用三個錯誤密碼嘗試登入執行個體的使用者。

如需詳細資訊，請參閱 *Windows Server 文件*中的[帳戶鎖定政策](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx)。

## 連接埠和防火牆設定
<a name="best-practices-windows-security-ports-firewall"></a>

在預設情況下，我們會在以 Windows Server 為基礎的執行個體上開放以下連接埠。

![\[防火牆設定\]](http://docs.aws.amazon.com/zh_tw/lightsail/latest/userguide/images/windows-ports-firewall-open-by-default.png)


您啟用的連接埠將向全世界公開，而且無法依據來源 IP 施加限制。若要限制存取您的執行個體，您可以關閉這些連接埠，而且只在您需要存取執行個體時才啟用這些連接埠。方法如下：

1. 在 Lightsail 中尋找您要管理的執行個體，然後選擇 **Manage** (管理)。

1. 選擇 **Networking** (聯網)。

1. 在您執行個體的 **Networking** (聯網) 頁面上，選擇 **Edit rules** (編輯規則)。

1. 選擇規則旁的橘色「x」以刪除 RDP/TCP/3389 的規則。  
![\[刪除此規則以關閉 RDP 連接埠\]](http://docs.aws.amazon.com/zh_tw/lightsail/latest/userguide/images/windows-ports-firewall-delete-rdp-port.png)

1. 選擇 **Save** (儲存)。