第十二章 综合项目训练

第十二章综合项目训练

本章描述:本章通过一个中小规模网络的WEB服务器的安全加固过程和实现来进行安全的配置，从而实现网站安全访问,详细介绍了具体的实施步骤。12.1项目描述

通过一个以企业为背景的web服务器的实训，使学生掌握Windows环境下系统管理和网络服务配置技术，学会小型企业局域网的设计构建细节和实施流程，为构建和实施综合性网络系统平台打下基础。12.2项目分析

项目背景：某电子商务公司是一个领先的电子商务服务公司，创建于1997年，下面拥有董事会、财务部、销售部、技术支持部和客户服务部，员工人数200人。为了满足市场的需要，公司决定重新部署企业网络公司目前拥有80台计算机的规模公司目前网络环境。公司申请了一条20MB光纤接入Internet。为了提高公司的知名度，除原来电子商务网站外，还需要一个宣传企业的WEB站点。原电子商务网站注册的域名是,主机名是。web服务器放置在公司机房，网站允许匿名访问，允许通过Internet和公司内部用户访问。要求如下：以工作组环境构建局域网，通过在计算机上建立共享文件家，实现资源共享。公司现仅运行一个提供电子商务运营的WEB网站和一台代理服务器。服务器运行的操作系统是WindowsServer2008企业版，客户端主要操作系统为WindowsXPProfessional或者windows7操作系统。要实现此项目，需经过如下设置才可以：安装操作系统与创建域；按部门创建组织单位、管理用户账户及组账户；配置域安全策略；配置DNS服务器；安装与配置DHCP服务器；安装与配置文件服务器；安装与配置WEB和FTP站点；安装与配置代理服务器和VPN服务器。我们仅以WEB服务器为例来进行配置和说明，其他设置请在此章节不涉及。此WEB服务器的IP地址为0，建立的域名为，两个WEB服务器访问的域名分别为和.12.3项目训练

项目训练目标：加固WindowsServer2008系统安全，完成WEB服务器的安装与配置，并在同一个服务器上发布域名不同的两个网站,同时限制只有特定的授权用户才可以访问网络。为了实现WEB服务器按照域名进行访问，项目训练的步骤如下:设置windowsServer2008的系统加固安装和配置WEB服务器安装和配置DNS服务器客户端访问验证配置设置用户访问限制客户端访问验证12.3.1设置WindowsServer2008的系统加固

Windowsserver2008R2基于WIN7操作系统核心,是新一代的操作系统拥有更稳定的性能和更好的处理能力。服务器安全是针对操作系统核心进行安全加固和配置,同时是网站服务器安全的运行的一个最基础的要求,也是配置网站环境的一个前提。首先安装网络操作体统WindowsServer2008，安装过程与Windows7的安装基本相同，在此不再截图。安装完毕然后按照如下的设置进行系统自身的加固。将服务器上所有的磁盘格式化为

NTFS文件系统。直接在CMD下敲命令：convertc:/fs:ntfs将C盘转为NTFS格式。其他盘以此类推。1：所有盘根目录只给system和administrators的权限，其余全部删除2：设置win2k8的屏幕保护，并选择在“恢复时显示登陆屏幕”3：关闭光盘和磁盘的自动播放功能，在“控制面板”中双击“自动播放”，在弹出框中取消“为所有媒体和设备使用自动播放”的选择，点保存。4：删除系统默认共享，可以使用

netshare命令查看。这些默认共享全部删除。netsharec$/delnetshared$/delnetsharee$/delnetsharef$/delnetshareipc$/delnetshareadmin$/del

也可以在“服务”中直接禁用“server”服务。5：重命名帐户Administrator和Guest。禁用Guest账号，并加一个超级复杂的密码，密码可以是复制一段文本进去。禁用SQLDebugger帐号。重命名管理员用户组Administrators6：创建一个陷阱用户即创建一个名为“Administrator”的本地用户，把它的权限降最低，并且加上一个超过16位的超级复杂密码。这样，可以让哪些HACKER忙一段时间了。7：本地安全策略设置开始菜单—>管理工具—>本地安全策略，进行如下策略的设置：

（1）本地策略——>审核策略

审核策略更改成功失败

审核登录事件成功失败

审核对象访问失败

审核过程跟踪无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件成功失败

审核账户登录事件成功失败

审核账户管理成功失败（2）本地策略——>用户权限分配关闭系统：只有Administrators组、其它的全部删除。通过终端服务允许登陆：只加入Administrators,RemoteDesktopUsers组，

其他全部删除在组策略中，计算机配置

>管理模板

>系统显示“关闭事件跟踪程序”更改为已禁用。

（3）本地策略——>安全选项交互式登陆：不显示最后的用户名启用

网络访问：不允许SAM帐户和共享的匿名枚举启用

网络访问:不允许存储网络身份验证的凭据或

.NETPassports启用

网络访问：可匿名访问的共享全部删除

网络访问：可匿名访问的命名管道全部删除

网络访问：可远程访问的注册表路径全部删除

网络访问：可远程访问的注册表路径和子路径全部删除8：禁止dumpfile的产生系统属性>高级>启动和故障恢复把写入调试信息改成“无”。

9：禁用不必要的服务。控制面板―――管理工具―――服务：把下面的服务全部停止并禁用。TCP/IPNetBIOSHelperServerDistributedLinkTrackingClientMicrosoftSearchPrintSpoolerRemoteRegistryWorkstation10：只开启需要用的端口，关闭不必要的，以减少攻击面。以下是常用的端口，用不到的端口一律不要开启。80：IIS821：FTP3389：远程3306：Mysql1433：Mssql11：下列系统程序都只给管理员权限，别的全部删除。arp.exeattrib.execmd.exe

ftp.exetftp.exenet.exenet1.exenetstat.exeping.exeregedit.exeregsvr32.exetelnet.exexcopy.exeat.exe

所有的*.cpl和*.msc文件也只给管理员权限。12：打开Windows高级防火墙。设置一些规则，具体的规则我们在以后专门的防火墙设置里讲一下。13：站点属性设置：删除

C:\inetpub目录更改站点路径，最好和系统盘分开。在安装IIS7时，目录浏览功能不用安装，因为此功能容易爆路径。

安装角色时，以最小化角色运行服务器，即只安装你要用到的角色功能，如果你的服务器没有ASP的站点，那ASP角色就不需要安装，这样可以减少受攻击的面。

一般给站点目录权限为：System完全控制Administrator完全控制Users读IIS_Iusrs读、写

在

IIS8中删除不常用的映射14：安装一款杀毒软件，推荐Mcafee，再配合Windows防火墙，它们俩个应该是一个不错的组合。应该是

windows2008里面的黄金搭挡了。15：经常关注微软补丁更新情况，一些高危补丁要及时更新。通过以上配置，服务器安全性比原来默认又提升了一级。好了，这节就写到这里了。12.3.2安装和配置WEB服务器

因为IIS(即InternetInformationServer)的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。要创服务器安全检测建一个安全可靠的Web服务器，必须要实现Windows2008和IIS的双重安全，因为IIS的用户同时也是Windows2008的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows2000操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。相对于windowsserver2003的IIS6来说，windowsserver2008推出的IIS7.0为管理员提供了统一的web平台，为管理员和开发人员提供了一个一致的web解决方案。并针对安全方面做了改进，可以减少利用自定义服务器以减少对服务器的攻击面。下面是WEB服务器的具体安装和配置的实现过程：在IIS6.0中，在安装好后并没有默认的网站，而在IIS7.0中，我们一但安装成功，系统就会自动绑定我们创建首页面，安装完毕后，直接在地址栏输入http://localhost或者,就可以出现下面的默认微软加载的文档，如图12-3所示，表示WEB服务器成功安装。12.3.3安装与配置DNS服务器

DNS服务器在互联网的作用是：把域名转换成为网络可以识别的ip地址。首先，要知道互联网的网站都是以一台服务器的形式存在的，但是我们怎么去到要访问的网站服务器呢？这就需要给每台服务器分配IP地址，互联网上的网站无穷多，我们不可能记住每个网站的IP地址，这就产生了方便记忆的域名管理系统DNS，他可以把我们输入的好记的域名转换为要访问的服务器的IP地址。要实现按域名访问网站，我们必须安装和配置DNS服务器。12.3.4客户端访问验证配置

现在从客户端进行访问验证，验证是必须更改TCP/IP属性，将IP地址和DNS服务器分别进行设定，DNS服务器为刚设置好的DNS服务器。12.3.6