第十二章 綜合項目訓練

第十二章綜合項目訓練

本章描述:本章通過一個中小規(guī)模網(wǎng)絡的WEB服務器的安全加固過程和實現(xiàn)來進行安全的配置，從而實現(xiàn)網(wǎng)站安全訪問,詳細介紹了具體的實施步驟。12.1項目描述

通過一個以企業(yè)為背景的web服務器的實訓，使學生掌握Windows環(huán)境下系統(tǒng)管理和網(wǎng)絡服務配置技術(shù)，學會小型企業(yè)局域網(wǎng)的設計構(gòu)建細節(jié)和實施流程，為構(gòu)建和實施綜合性網(wǎng)絡系統(tǒng)平臺打下基礎。12.2項目分析

項目背景：某電子商務公司是一個領先的電子商務服務公司，創(chuàng)建于1997年，下面擁有董事會、財務部、銷售部、技術(shù)支持部和客戶服務部，員工人數(shù)200人。為了滿足市場的需要，公司決定重新部署企業(yè)網(wǎng)絡公司目前擁有80臺計算機的規(guī)模公司目前網(wǎng)絡環(huán)境。公司申請了一條20MB光纖接入Internet。為了提高公司的知名度，除原來電子商務網(wǎng)站外，還需要一個宣傳企業(yè)的WEB站點。原電子商務網(wǎng)站注冊的域名是,主機名是。web服務器放置在公司機房，網(wǎng)站允許匿名訪問，允許通過Internet和公司內(nèi)部用戶訪問。要求如下：以工作組環(huán)境構(gòu)建局域網(wǎng)，通過在計算機上建立共享文件家，實現(xiàn)資源共享。公司現(xiàn)僅運行一個提供電子商務運營的WEB網(wǎng)站和一臺代理服務器。服務器運行的操作系統(tǒng)是WindowsServer2008企業(yè)版，客戶端主要操作系統(tǒng)為WindowsXPProfessional或者windows7操作系統(tǒng)。要實現(xiàn)此項目，需經(jīng)過如下設置才可以：安裝操作系統(tǒng)與創(chuàng)建域；按部門創(chuàng)建組織單位、管理用戶賬戶及組賬戶；配置域安全策略；配置DNS服務器；安裝與配置DHCP服務器；安裝與配置文件服務器；安裝與配置WEB和FTP站點；安裝與配置代理服務器和VPN服務器。我們僅以WEB服務器為例來進行配置和說明，其他設置請在此章節(jié)不涉及。此WEB服務器的IP地址為0，建立的域名為，兩個WEB服務器訪問的域名分別為和.12.3項目訓練

項目訓練目標：加固WindowsServer2008系統(tǒng)安全，完成WEB服務器的安裝與配置，并在同一個服務器上發(fā)布域名不同的兩個網(wǎng)站,同時限制只有特定的授權(quán)用戶才可以訪問網(wǎng)絡。為了實現(xiàn)WEB服務器按照域名進行訪問，項目訓練的步驟如下:設置windowsServer2008的系統(tǒng)加固安裝和配置WEB服務器安裝和配置DNS服務器客戶端訪問驗證配置設置用戶訪問限制客戶端訪問驗證12.3.1設置WindowsServer2008的系統(tǒng)加固

Windowsserver2008R2基于WIN7操作系統(tǒng)核心,是新一代的操作系統(tǒng)擁有更穩(wěn)定的性能和更好的處理能力。服務器安全是針對操作系統(tǒng)核心進行安全加固和配置,同時是網(wǎng)站服務器安全的運行的一個最基礎的要求,也是配置網(wǎng)站環(huán)境的一個前提。首先安裝網(wǎng)絡操作體統(tǒng)WindowsServer2008，安裝過程與Windows7的安裝基本相同，在此不再截圖。安裝完畢然后按照如下的設置進行系統(tǒng)自身的加固。將服務器上所有的磁盤格式化為

NTFS文件系統(tǒng)。直接在CMD下敲命令：convertc:/fs:ntfs將C盤轉(zhuǎn)為NTFS格式。其他盤以此類推。1：所有盤根目錄只給system和administrators的權(quán)限，其余全部刪除2：設置win2k8的屏幕保護，并選擇在“恢復時顯示登陸屏幕”3：關閉光盤和磁盤的自動播放功能，在“控制面板”中雙擊“自動播放”，在彈出框中取消“為所有媒體和設備使用自動播放”的選擇，點保存。4：刪除系統(tǒng)默認共享，可以使用

netshare命令查看。這些默認共享全部刪除。netsharec$/delnetshared$/delnetsharee$/delnetsharef$/delnetshareipc$/delnetshareadmin$/del

也可以在“服務”中直接禁用“server”服務。5：重命名帳戶Administrator和Guest。禁用Guest賬號，并加一個超級復雜的密碼，密碼可以是復制一段文本進去。禁用SQLDebugger帳號。重命名管理員用戶組Administrators6：創(chuàng)建一個陷阱用戶即創(chuàng)建一個名為“Administrator”的本地用戶，把它的權(quán)限降最低，并且加上一個超過16位的超級復雜密碼。這樣，可以讓哪些HACKER忙一段時間了。7：本地安全策略設置開始菜單—>管理工具—>本地安全策略，進行如下策略的設置：

（1）本地策略——>審核策略

審核策略更改成功失敗

審核登錄事件成功失敗

審核對象訪問失敗

審核過程跟蹤無審核

審核目錄服務訪問失敗

審核特權(quán)使用失敗

審核系統(tǒng)事件成功失敗

審核賬戶登錄事件成功失敗

審核賬戶管理成功失?。?）本地策略——>用戶權(quán)限分配關閉系統(tǒng)：只有Administrators組、其它的全部刪除。通過終端服務允許登陸：只加入Administrators,RemoteDesktopUsers組，

其他全部刪除在組策略中，計算機配置

>管理模板

>系統(tǒng)顯示“關閉事件跟蹤程序”更改為已禁用。

（3）本地策略——>安全選項交互式登陸：不顯示最后的用戶名啟用

網(wǎng)絡訪問：不允許SAM帳戶和共享的匿名枚舉啟用

網(wǎng)絡訪問:不允許存儲網(wǎng)絡身份驗證的憑據(jù)或

.NETPassports啟用

網(wǎng)絡訪問：可匿名訪問的共享全部刪除

網(wǎng)絡訪問：可匿名訪問的命名管道全部刪除

網(wǎng)絡訪問：可遠程訪問的注冊表路徑全部刪除

網(wǎng)絡訪問：可遠程訪問的注冊表路徑和子路徑全部刪除8：禁止dumpfile的產(chǎn)生系統(tǒng)屬性>高級>啟動和故障恢復把寫入調(diào)試信息改成“無”。

9：禁用不必要的服務?？刂泼姘濞D――管理工具―――服務：把下面的服務全部停止并禁用。TCP/IPNetBIOSHelperServerDistributedLinkTrackingClientMicrosoftSearchPrintSpoolerRemoteRegistryWorkstation10：只開啟需要用的端口，關閉不必要的，以減少攻擊面。以下是常用的端口，用不到的端口一律不要開啟。80：IIS821：FTP3389：遠程3306：Mysql1433：Mssql11：下列系統(tǒng)程序都只給管理員權(quán)限，別的全部刪除。arp.exeattrib.execmd.exe

ftp.exetftp.exenet.exenet1.exenetstat.exeping.exeregedit.exeregsvr32.exetelnet.exexcopy.exeat.exe

所有的*.cpl和*.msc文件也只給管理員權(quán)限。12：打開Windows高級防火墻。設置一些規(guī)則，具體的規(guī)則我們在以后專門的防火墻設置里講一下。13：站點屬性設置：刪除

C:\inetpub目錄更改站點路徑，最好和系統(tǒng)盤分開。在安裝IIS7時，目錄瀏覽功能不用安裝，因為此功能容易爆路徑。

安裝角色時，以最小化角色運行服務器，即只安裝你要用到的角色功能，如果你的服務器沒有ASP的站點，那ASP角色就不需要安裝，這樣可以減少受攻擊的面。

一般給站點目錄權(quán)限為：System完全控制Administrator完全控制Users讀IIS_Iusrs讀、寫

在

IIS8中刪除不常用的映射14：安裝一款殺毒軟件，推薦Mcafee，再配合Windows防火墻，它們倆個應該是一個不錯的組合。應該是

windows2008里面的黃金搭擋了。15：經(jīng)常關注微軟補丁更新情況，一些高危補丁要及時更新。通過以上配置，服務器安全性比原來默認又提升了一級。好了，這節(jié)就寫到這里了。12.3.2安裝和配置WEB服務器

因為IIS(即InternetInformationServer)的方便性和易用性，使它成為最受歡迎的Web服務器軟件之一。但是，IIS的安全性卻一直令人擔憂。如何利用IIS建立一個安全的Web服務器，是很多人關心的話題。要創(chuàng)服務器安全檢測建一個安全可靠的Web服務器，必須要實現(xiàn)Windows2008和IIS的雙重安全，因為IIS的用戶同時也是Windows2008的用戶，并且IIS目錄的權(quán)限依賴Windows的NTFS文件系統(tǒng)的權(quán)限控制，所以保護IIS安全的第一步就是確保Windows2000操作系統(tǒng)的安全，所以要對服務器進行安全加固，以免遭到黑客的攻擊，造成嚴重的后果。相對于windowsserver2003的IIS6來說，windowsserver2008推出的IIS7.0為管理員提供了統(tǒng)一的web平臺，為管理員和開發(fā)人員提供了一個一致的web解決方案。并針對安全方面做了改進，可以減少利用自定義服務器以減少對服務器的攻擊面。下面是WEB服務器的具體安裝和配置的實現(xiàn)過程：在IIS6.0中，在安裝好后并沒有默認的網(wǎng)站，而在IIS7.0中，我們一但安裝成功，系統(tǒng)就會自動綁定我們創(chuàng)建首頁面，安裝完畢后，直接在地址欄輸入http://localhost或者,就可以出現(xiàn)下面的默認微軟加載的文檔，如圖12-3所示，表示W(wǎng)EB服務器成功安裝。12.3.3安裝與配置DNS服務器

DNS服務器在互聯(lián)網(wǎng)的作用是：把域名轉(zhuǎn)換成為網(wǎng)絡可以識別的ip地址。首先，要知道互聯(lián)網(wǎng)的網(wǎng)站都是以一臺服務器的形式存在的，但是我們怎么去到要訪問的網(wǎng)站服務器呢？這就需要給每臺服務器分配IP地址，互聯(lián)網(wǎng)上的網(wǎng)站無窮多，我們不可能記住每個網(wǎng)站的IP地址，這就產(chǎn)生了方便記憶的域名管理系統(tǒng)DNS，他可以把我們輸入的好記的域名轉(zhuǎn)換為要訪問的服務器的IP地址。要實現(xiàn)按域名訪問網(wǎng)站，我們必須安裝和配置DNS服務器。12.3.4客戶端訪問驗證配置

現(xiàn)在從客戶端進行訪問驗證，驗證是必須更改TCP/IP屬性，將IP地址和DNS服務器分別進行設定，DNS服務器為剛設置好的DNS服務器。12.3.6