




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第十二章综合项目训练
本章描述:本章通过一个中小规模网络的WEB服务器的安全加固过程和实现来进行安全的配置,从而实现网站安全访问,详细介绍了具体的实施步骤。12.1项目描述
通过一个以企业为背景的web服务器的实训,使学生掌握Windows环境下系统管理和网络服务配置技术,学会小型企业局域网的设计构建细节和实施流程,为构建和实施综合性网络系统平台打下基础。12.2项目分析
项目背景:某电子商务公司是一个领先的电子商务服务公司,创建于1997年,下面拥有董事会、财务部、销售部、技术支持部和客户服务部,员工人数200人。为了满足市场的需要,公司决定重新部署企业网络公司目前拥有80台计算机的规模公司目前网络环境。公司申请了一条20MB光纤接入Internet。为了提高公司的知名度,除原来电子商务网站外,还需要一个宣传企业的WEB站点。原电子商务网站注册的域名是,主机名是。web服务器放置在公司机房,网站允许匿名访问,允许通过Internet和公司内部用户访问。要求如下:以工作组环境构建局域网,通过在计算机上建立共享文件家,实现资源共享。公司现仅运行一个提供电子商务运营的WEB网站和一台代理服务器。服务器运行的操作系统是WindowsServer2008企业版,客户端主要操作系统为WindowsXPProfessional或者windows7操作系统。要实现此项目,需经过如下设置才可以:安装操作系统与创建域;按部门创建组织单位、管理用户账户及组账户;配置域安全策略;配置DNS服务器;安装与配置DHCP服务器;安装与配置文件服务器;安装与配置WEB和FTP站点;安装与配置代理服务器和VPN服务器。我们仅以WEB服务器为例来进行配置和说明,其他设置请在此章节不涉及。此WEB服务器的IP地址为0,建立的域名为,两个WEB服务器访问的域名分别为和.12.3项目训练
项目训练目标:加固WindowsServer2008系统安全,完成WEB服务器的安装与配置,并在同一个服务器上发布域名不同的两个网站,同时限制只有特定的授权用户才可以访问网络。为了实现WEB服务器按照域名进行访问,项目训练的步骤如下:设置windowsServer2008的系统加固安装和配置WEB服务器安装和配置DNS服务器客户端访问验证配置设置用户访问限制客户端访问验证12.3.1设置WindowsServer2008的系统加固
Windowsserver2008R2基于WIN7操作系统核心,是新一代的操作系统拥有更稳定的性能和更好的处理能力。服务器安全是针对操作系统核心进行安全加固和配置,同时是网站服务器安全的运行的一个最基础的要求,也是配置网站环境的一个前提。首先安装网络操作体统WindowsServer2008,安装过程与Windows7的安装基本相同,在此不再截图。安装完毕然后按照如下的设置进行系统自身的加固。将服务器上所有的磁盘格式化为
NTFS文件系统。直接在CMD下敲命令:convertc:/fs:ntfs将C盘转为NTFS格式。其他盘以此类推。1:所有盘根目录只给system和administrators的权限,其余全部删除2:设置win2k8的屏幕保护,并选择在“恢复时显示登陆屏幕”3:关闭光盘和磁盘的自动播放功能,在“控制面板”中双击“自动播放”,在弹出框中取消“为所有媒体和设备使用自动播放”的选择,点保存。4:删除系统默认共享,可以使用
netshare命令查看。这些默认共享全部删除。netsharec$/delnetshared$/delnetsharee$/delnetsharef$/delnetshareipc$/delnetshareadmin$/del
也可以在“服务”中直接禁用“server”服务。5:重命名帐户Administrator和Guest。禁用Guest账号,并加一个超级复杂的密码,密码可以是复制一段文本进去。禁用SQLDebugger帐号。重命名管理员用户组Administrators6:创建一个陷阱用户即创建一个名为“Administrator”的本地用户,把它的权限降最低,并且加上一个超过16位的超级复杂密码。这样,可以让哪些HACKER忙一段时间了。7:本地安全策略设置开始菜单—>管理工具—>本地安全策略,进行如下策略的设置:
(1)本地策略——>审核策略
审核策略更改成功失败
审核登录事件成功失败
审核对象访问失败
审核过程跟踪无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件成功失败
审核账户登录事件成功失败
审核账户管理成功失败(2)本地策略——>用户权限分配关闭系统:只有Administrators组、其它的全部删除。通过终端服务允许登陆:只加入Administrators,RemoteDesktopUsers组,
其他全部删除在组策略中,计算机配置
>管理模板
>系统显示“关闭事件跟踪程序”更改为已禁用。
(3)本地策略——>安全选项交互式登陆:不显示最后的用户名启用
网络访问:不允许SAM帐户和共享的匿名枚举启用
网络访问:不允许存储网络身份验证的凭据或
.NETPassports启用
网络访问:可匿名访问的共享全部删除
网络访问:可匿名访问的命名管道全部删除
网络访问:可远程访问的注册表路径全部删除
网络访问:可远程访问的注册表路径和子路径全部删除8:禁止dumpfile的产生系统属性>高级>启动和故障恢复把写入调试信息改成“无”。
9:禁用不必要的服务。控制面板―――管理工具―――服务:把下面的服务全部停止并禁用。TCP/IPNetBIOSHelperServerDistributedLinkTrackingClientMicrosoftSearchPrintSpoolerRemoteRegistryWorkstation10:只开启需要用的端口,关闭不必要的,以减少攻击面。以下是常用的端口,用不到的端口一律不要开启。80:IIS821:FTP3389:远程3306:Mysql1433:Mssql11:下列系统程序都只给管理员权限,别的全部删除。arp.exeattrib.execmd.exe
ftp.exetftp.exenet.exenet1.exenetstat.exeping.exeregedit.exeregsvr32.exetelnet.exexcopy.exeat.exe
所有的*.cpl和*.msc文件也只给管理员权限。12:打开Windows高级防火墙。设置一些规则,具体的规则我们在以后专门的防火墙设置里讲一下。13:站点属性设置:删除
C:\inetpub目录更改站点路径,最好和系统盘分开。在安装IIS7时,目录浏览功能不用安装,因为此功能容易爆路径。
安装角色时,以最小化角色运行服务器,即只安装你要用到的角色功能,如果你的服务器没有ASP的站点,那ASP角色就不需要安装,这样可以减少受攻击的面。
一般给站点目录权限为:System完全控制Administrator完全控制Users读IIS_Iusrs读、写
在
IIS8中删除不常用的映射14:安装一款杀毒软件,推荐Mcafee,再配合Windows防火墙,它们俩个应该是一个不错的组合。应该是
windows2008里面的黄金搭挡了。15:经常关注微软补丁更新情况,一些高危补丁要及时更新。通过以上配置,服务器安全性比原来默认又提升了一级。好了,这节就写到这里了。12.3.2安装和配置WEB服务器
因为IIS(即InternetInformationServer)的方便性和易用性,使它成为最受欢迎的Web服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器,是很多人关心的话题。要创服务器安全检测建一个安全可靠的Web服务器,必须要实现Windows2008和IIS的双重安全,因为IIS的用户同时也是Windows2008的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。相对于windowsserver2003的IIS6来说,windowsserver2008推出的IIS7.0为管理员提供了统一的web平台,为管理员和开发人员提供了一个一致的web解决方案。并针对安全方面做了改进,可以减少利用自定义服务器以减少对服务器的攻击面。下面是WEB服务器的具体安装和配置的实现过程:在IIS6.0中,在安装好后并没有默认的网站,而在IIS7.0中,我们一但安装成功,系统就会自动绑定我们创建首页面,安装完毕后,直接在地址栏输入http://localhost或者,就可以出现下面的默认微软加载的文档,如图12-3所示,表示WEB服务器成功安装。12.3.3安装与配置DNS服务器
DNS服务器在互联网的作用是:把域名转换成为网络可以识别的ip地址。首先,要知道互联网的网站都是以一台服务器的形式存在的,但是我们怎么去到要访问的网站服务器呢?这就需要给每台服务器分配IP地址,互联网上的网站无穷多,我们不可能记住每个网站的IP地址,这就产生了方便记忆的域名管理系统DNS,他可以把我们输入的好记的域名转换为要访问的服务器的IP地址。要实现按域名访问网站,我们必须安装和配置DNS服务器。12.3.4客户端访问验证配置
现在从客户端进行访问验证,验证是必须更改TCP/IP属性,将IP地址和DNS服务器分别进行设定,DNS服务器为刚设置好的DNS服务器。12.3.6
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 小学二年级数学上册乘加、乘减习题
- 车辆安全培训知识
- 新人教版高中语文必修5逍遥游 同步练习我夯基 我达标
- 全国新人教高中必修4期末测试卷6
- 人教版一年级下学期数学第4单元试卷《100以内数的认识》试题2
- 公司承包混凝土合同范例
- 个体入股合同范例
- 农村小院合同范本
- 劳保服装买卖合同范例
- 劳务信息合同范例
- 供应商管理控制流程图
- 泥石流勘察设计Word版(共44页)
- 普通生态学15章集合种群及其模型剖析课件
- 第三章 遥感传感器及其成像原理1
- 四年级下册健康成长教案(共26页)
- 义务教育语文课程标准(2022年版)
- 初中物理公式总结大全(最新归纳)
- 建筑制图课件高教第十五章透视
- GB 12268-2012 危险货物品名表(高清版)
- 人员培训质量风险评估报告
- 威索燃烧器中文说明书_图文
评论
0/150
提交评论