系统安全加固.docx
《系统安全加固.docx》由会员分享,可在线阅读,更多相关《系统安全加固.docx(45页珍藏版)》请在冰豆网上搜索。
系统安全加固
目录
1.1摘要2
1.2概述4
2WindowsServer2003安装4
2.1准备工作4
2.2安装过程4
3DNS服务器配置与管理12
3.1DNS服务器工作原理12
3.2DNS服务器安装与配置14
3.2.1连接网络14
3.2.2安装DNS服务15
3.2.3配置DNS服务器15
3.2.4DNS设置后的验证16
4DHCP服务器配置与管理17
4.1DHCP服务概述17
4.2DHCP服务工作原理17
4.2.1DHCP地址租约17
4.2.2DHCP分配IP地址信息过程18
4.3DHCP服务器的安装与配置20
4.3.1安装DHCP服务20
4.3.2授权DHCP服务器20
4.3.3配置DHCP作用域21
4.3.4DHCP设置后的验证23
5WEB服务器安装配置与管理24
5.1IIS服务器24
5.1.1IIS服务器的特性24
5.1.2IIS的正确安装和配置24
5.1.3利用IIS发布站点30
5.2FTP服务器33
5.2.1FTP服务器工作原理33
5.2.2正确安装与配置FTP服务器33
5.2.3FTP站点的维护与管理39
6E-mail服务器配置与管理42
6.1E-mail服务器42
6.2E-mail服务器的安装与配置44
6.2.1安装POP3组件44
6.2.2安装SMTP服务组件45
6.2.3配置POP3服务器46
6.2.4配置SMTP服务器47
6.2.5E-mail服务器验证47
1.1摘要
WindowsServer2003有十分突出的内存管理、磁盘管理和线程管理性能。
它的可管理性较Windows2000有了很大增强,主要体现在各种服务的配置上。
利用“配置您的服务器”和“管理您的服务器”向导,系统管理员可以轻松地进行服务器角色的安装和管理,从而完成各种服务器的安装和配置,其简单、方便、全面非Windows2000可比。
WindowsServer2003已内置了文件服务器、打印服务器、应用程序服务器、邮件服务器、终端服务器、远程访问/VPN服务器、域控制器、DNS服务器、DHCP服务器、流式媒体服务器、WINS服务器、文件服务器等服务器角色,几乎囊括了所有的服务器应用。
利用这些内置的服务器角色,只需简单的几步,即可完成相应服务器的配置。
它不仅改进了Windows2000原有的服务,提高了这些服务的性能和扩充了许多功能,而且还增加了新的服务,如“邮件服务器”。
WindowsServer2003内置了IIS6.0版,较Windows2000中的IIS5.0在可靠性、安全性、可管理性等方面有了长足进步,终使WindowsServer2003成为一个优秀的Web服务平台。
WindowsServer2003在安全上下了大力气,不仅堵完了已发现的所有NT漏洞,而且还重新设计了安全子系统,增加了新的安全认证,改进了安全算法。
应该特别提一下的是WindowsServer2003的关机和重启模块。
在该模块中,WindowsServer2003增加了“关闭事件跟踪程序”选项,让你在关机前选一个原因并给出解释。
关键词:
DHCP服务器 DNS服务器 IIS服务器 邮件服务器
Abstract
WindowsServer2003haveveryprominentmemorymanagement,diskmanagementandthreadmanagementperformance.ItsmanageabilitymoreWindows2000hadtheverybigenhancement,ismainlyreflectedintheallocationofvariousservice.Usingthe"configureyourserver"and"managementofyourserver"wizard,systemadministratorscaneasilytheroletoinstallandmanage,thusaccomplishingvariousserverinstallationandconfiguration,itssimple,convenient,comprehensivelytheWindows2000comparable.WindowsServer2003hasbuilt-infileservers,toprinttheserver,applicationserver,mailserver,terminalserver,remoteaccess/VPNservers,domaincontroller,DNSserver,aDHCPserver,streamingmediaserver,WINSserverhasbeen,suchasfileserversserverrole,whichaccountsfornearlyalltheserverapplications.Usethesebuilt-inserverrole,bysimplyafewsteps,cancompletethecorrespondingserverconfiguration.ItnotonlyimprovedtheWindows2000originalservice,improvetheserviceperformanceandexpandthemanyfunction,butalsoaddsnewservices,suchas"mailserver".WindowsServer2003built-inIIS6.0edition,moreWindows2000inIIS5.0inreliability,safetyandmanageabilityetchadgreatprogress,andfinallyWindowsServer2003tobecomeanexcellentWebserviceplatform.WindowsServer2003insafefluctuationhard,notonlyblockingoutalltheNTloopholehasbeenfound,butalsoredesignedthesafetysubsystems,addingnewsecuritycertification,improvedsafetyalgorithm.ShouldspecialmentionisWindowsServer2003shutdownandrestartmodule.Inthismodule,WindowsServer2003increased"closedeventtrackingprogram"option,letyouinbeforetheshutdownchooseareasonandgivesexplanation.
keywords:
DHCPserverDNSserverIISservermailserver
1.2概述
随着计算机互联网的发展,网络应用的普及,网络规模、网上计算机数量均呈指数型增长,在人们享受到网络的方便快捷的同时,各种各样的攻击和病毒也更加猖狂,网络的安全防护越发重要。
本文档主要说明在安全防护中基于windows平台的加固策略。
当前版本适用于WindowsNT系列,主要以Windows2003为主来。
安全加固配置中部分加固配置可以考虑使用安全模板来实现,以减轻工作量。
2WindowsServer2003安装
2.1准备工作
1.准备好WindowsServer2003企业版安装光盘。
2.记录安装文件的产品密匙(安装序列号)。
3.安装前请备份硬盘中有用的数据。
4.安装windowsServer2003企业版的系统最低配置要求
133-MHz或速度更快的处理器;要求最小为128MBRAM;64GB(适用于基于Itanium的64位版本的PC);最小1.5GB的可用硬盘空间。
2.2安装过程
1.用光盘启动系统:
重新启动系统并把光驱设为第一启动盘,保存设置并重启。
将2003安装光盘放入光驱,重新启动电脑。
2.安装WindowsServer2003企业版
光盘自启动后,如无意外即可见到安装界面。
图2-1
全中文提示,要现在安装Windows,请按ENTER,按回车键。
图2-2
许可协议,这里没有选择的余地,按“F8”。
这里用“向下或向上”方向键选择安装系统所用的分区,我这里使用的是虚拟机的虚拟磁盘,所以没有别的选择,只有一项,这里点回车向下进行。
这里,我用“上移”箭头键选择“用NTFS文件系统格式化磁盘分区”。
回车后出现格式化的警告。
格式化分区完成后,创建要复制的文件列表,跟接着开始复制系统文件。
图2-3
文件复制完后,安装程序开始初始化Windows配置。
初始化Windows配置完成后,系统将在15秒后重新启动。
这部分安装程序已经完成,系统将会自动重新启动,将控制权从安装程序转移给系统。
这时我们只需等待系统重启。
重新启动后,出现下图所示。
安装过程中,根据提示进行一些设置。
图2-4
首先是区域和语言设置选用默认值就可以了,直接点“下一步”按钮。
图2-5
这里输入你想好的姓名(用户名)和单位,点“下一步”按钮,输入安装序列号
图2-6
曰期和时间设置不用讲,选北京时间,点“下一步”继续安装,以后就不用参与了,系统会自动完成全过程。
安装完成后自动重新启动,出现启动画面,然后出现欢迎画面。
图2-7
上图中,需要按组合键“Ctrl+Alt+Delete”才能继续启动。
按组合键“Ctrl+Alt+Delete”后继续启动,出现登陆画面。
输入密码后回车,继续启动进入桌面,第一次启动后自动运行“管理您的服务器”向导。
图2-8
关闭该窗口后即见到Windows 2003的桌面。
3DNS服务器配置与管理
3.1DNS服务器工作原理
DNS是基于客户机/服务器模式运行的。
在这种模型中,DNS服务器上有一个数据库,其中保存着DNS名称空间中名称和IP地址的映射关系,DNS服务器利用这个数据库为客户端提供名称解析服务,这个数据库在DNS中被称为区域。
DNS客户机会向DNS服务器发出名称解析的查询请求,以获取有关DNS名称空间中FQDN名和IP地址的映射关系。
如果这台DNS服务器的数据库不负责存储客户端所查询的名称和IP地址的映射关系,这台服务器会向其它的DNS服务器发出查询,直到获得客户端请求的名称和IP地址的映射关系为止。
查询有递归查询和迭代查询两种类型,其查询过程如图5-1所示。
图5-1 DNS查询过程
(1)客户机向本地DNS服务器发送一个递归查询请求,要求得到所对应的IP地址。
本地DNS服务器是指在该客户端的TCP/IP属性中配置的DNS服务器的IP地址。
(2)本地DNS服务器接收到查询请求后,检查自己的区域数据库。
如果发现数据库中没有对应的记录,本地DNS服务器则向根域DNS服务器发出一个迭代查询请求,要求解析所对应的IP地址。
(3)根域DNS服务器中记录着所有顶级域的DNS服务器的信息,根域DNS服务器将带有.com这一顶级域的DNS服务器的IP地址的响应返回给本地DNS服务器。
(4)本地DNS服务器接收到这个响应后,向.com域的DNS服务器发出迭代查询请求,要求解析所对应的IP地址。
(5).com域的DNS服务器中记录着域中的DNS服务器的信息,.com域的DNS服务器将域的DNS服务器的IP地址作为响应发送给本地DNS服务器。
(6)本地DNS服务器接收到这个响应后,向域的DNS服务器发出迭代查询请求,要求解析所对应的IP地址。
(7)在域的DNS服务中记录着这一FQDN名与其IP地址的对应关系。
此时,它将所对应的IP地址作为响应发送给本地DNS服务器。
(8)本地DNS服务器将得到的IP地址响应发送给客户端,客户端收到这个IP后,即可访问目的计算机。
以上查询过程中,
(1)和(8)两个过程为递归查询,
(2)~(7)为迭代查询。
从客户端查询资源记录的性质上来讲,客户端查询过程分为两种:
正向查询和反向查询。
将客户端请求的名称解析为对应的IP地址称为正向查询;将客户端请求的IP地址解析为对应的名称称为反向查询。
3.2DNS服务器安装与配置
3.2.1连接网络
按照图5-1所示的拓扑结构,连接好网络。
表5-1网络连接参数
IP地址
子网掩码
首选DNS服务器
DNS服务器
192.168.0.1
255.255.255.0
192.168.0.1
IIS服务器
192.168.0.2
255.255.255.0
192.168.0.1
客户机
192.168.0.x
255.255.255.0
192.168.0.1
图5-2 DNS服务器配置拓扑结构图
3.2.2安装DNS服务
如果用户在安装WindowsServer2003时没有安装DNS服务,可仿照实训7-3中所述的DHCP安装步骤来安装DNS服务。
不同的是,配置你的服务器向导中,选择DNS服务器。
3.2.3配置DNS服务器
以下设置均对应于IP地址192.168.0.1的两个域名:
和。
第1步:
打开DNS控制台,依次选择【开始菜单】→【程序】→【管理工具】→【DNS】。
第2步:
建立“com”区域。
依次选择【DNS】→【Win2003(你的服务器名)】→【正向搜索区域】→【右键】→【新建区域】,然后,根据提示选“标准主要区域”、在“名称”处输入“com”,如图5-3所示。
图5-3 建立com域
第3步:
建立“test”域。
依次选择【com】→【右键】→【新建域】,在“键入新域名”处输入“test”。
第4步:
建立“www”主机。
依次选择【test】→【右键】→【新建主机】,在“名称”处输入“www”,在“IP地址”处输入“192.168.0.1”,再按“添加主机”,如图5-4所示。
3.2.4DNS设置后的验证
为了测试所进行的设置是否成功,通常采用WindowsServer2003自带的ping命令来完成,格式如:
pingwww.。
成功的测试如图5-5所示。
图5-4 添加主机图5-5 测试DNS的配置
4DHCP服务器配置与管理
4.1DHCP服务概述
DHCP基于客户/服务器模式。
当DHCP客户端启动时,它会自动与DHCP服务器通信,由DHCP服务器为DHCP客户端提供自动分配IP地址的服务。
安装了DHCP服务软件的服务器称为DHCP服务器,而启用了DHCP功能的客户机称为DHCP客户端。
DHCP服务器是以地址租约的方式为DHCP客户端提供服务的,它有以下两种方式:
1.限定租期
2.永久租用
4.2DHCP服务工作原理
4.2.1DHCP地址租约
DHCP集中管理IP地址设置,它既可以被配置成为单一子网中的计算机分配lP地址,也可以被配置成为多个子网的计算机分配IP地址,服务器会自动将IP地址配置数据分配给DHCP客户端。
租约(Lease)是由DHCP服务器指定的,客户端计算机可使用指派的IP地址的时间期限。
在租约过期之前,客户端需要续租或者从DHCP服务器得到新的租约。
租约决定了在将分配得到的IP配置信息返还给DHCP服务器并更新其配置信息之前,客户端可以使用它的持续时间。
分配IP地址配置信息的这一过程被称为DHCP租约生成过程;而更新IP地址配置信息的过程被称为DHCP租约更新,整个过程如图7-44所示。
当一个DHCP客户端首次加入到网络中来时,它将向DHCP服务器发出一个要求得到IP地址配置信息的请求。
当DHCP服务器接收到这个请求后,将从网络管理员已经设定的作用域的IP地址范围中选择一个,并将这个IP地址配置信息提交给DHCP客户端。
一旦客户端接受了DHCP服务器为其分配的IP地址配置信息,DHCP服务器将按照指定的时间将该IP地址配置信息以租约的方式提供给客户端。
然后,客户端就可以使用这个IP地址配置信息访问网络了。
图4-1 DHCP地址租约
4.2.2DHCP分配IP地址信息过程
所谓DHCP租约生成过程就是DHCP客户端从DHCP服务器获得IP地址配置信息的过程。
DHCP通过四个步骤将IP地址信息以租约的方式提供给DHCP客户端,这四个步骤是:
DHCP请求、DHCP提供、DHCP选择和DHCP确认(或者拒绝)。
1.DHCP请求
DHCP客户端向网络广播一个DHCPDISCOVER数据包以找到一个可用的DHCP服务器。
所谓DHCPDISCOVER数据包,就是当DHCP客户端首次尝试登录网络并向DHCP服务器请求IP地址信息时所发出的信息。
当客户端计算机启动或者首次初始化TCP/IP设置时,或者当客户端尝试续租其租约而遭到拒绝时(当客户端被从一个网段移动到另一个网段后,它的续租请求将被拒绝),将会开始租约产生过程。
DHCP客户机发送完DHCPDISCOVER消息后,会等待DHCPOFFER消息。
如果DHCP客户机在启动时未能从DHCP服务器接收到DHCPOFFER消息,它就会重试4次(相隔2、4、6、8、16s,加上一个0到1000ms之间的随机时间数)。
如果DHCP客户机经过4次尝试仍没收到DHCPOFFER消息,它将等待5分钟,然后重新开始。
2.DHCP提供
当DHCP服务器接收到DHCP客户端广播的DHCPDISCOVER数据包后,网络中的所有DHCP服务器都会向网络广播一个DHCPFREE数据包。
所谓DHCPFREE数据包,就是DHCP服务器用来将IP地址提供给DHCP客户端的信息。
作出反应的DHCP服务器在收到发出请求的客户端的确认之前,将保留这个IP地址而不会将它提供给其它的客户端。
如果DHCP客户端在发出了四次请求后依然没有得到任何响应,则操作系统将自动为其分配一个范围从到169.254.0.1到169.254.255.254的IP地址,并将子网掩码设为255.255.0.0。
这种自动分配技术确保在一个网段上即使没有可用的DHCP服务器,该网段上的客户端也可以互相通讯。
在这种情况下,DHCP客户端将每隔5分钟进行一次寻找DHCP服务器的尝试。
当DHCP服务器可用时,客户端将得到有效的IP地址,保证它们无论是否处于网段之中都能够与主机进行通讯。
3.DHCP选择
在DHCP客户端接收到服务器的DHCPFREE数据包后,会向网络广播一个DHCPREQUEST数据包。
所谓DHCPREQUEST数据包,就是DHCP客户端向DHCP服务器发出的请求或者续租其IP地址租约的信息。
DHCP客户端收到DHCPFREE数据包后,就向网络广播一个DHCPREQUEST数据包接受分配。
DHCPREQUEST数据包含有为客户端提供该租约的DHCP服务器标识,这样其它DHCP服务器收到这个数据包后,就会撤销对这个客户端的分配并将分配的IP地址收回用于响应其它客户端的租约请求。
4.DHCP确认(或者拒绝)
最后,在DHCP服务器接收到客户端广播的DHCPREQUEST数据包后,随即向网络广播一个DHCPACK确认数据包。
所谓DHCPACK确认数据包,就是一个DHCP服务器发给DHCP客户端的确认IP地址租约成功生成的信息。
这个信息包含该IP地址的有效租约和其它的IP配置信息。
当DHCP客户端收到该确认后,将使用DHCP服务器提供的IP配置数据初始化TCP/IP,并将TCP/IP协议绑定到网络服务和网络适配器,以使客户端可以在网络上进行通讯。
如果被提供的IP地址不再有效,或者已经被另一台计算机使用,DHCP服务器将发出一个DHCPNAK数据包否决地址的确认。
这时,DHCP客户端必须开始一个新的租约产生过程。
4.2.3DHCP地址租约更新
租约期限是指DHCP客户端在租约更新前可以使用的IP地址租约的时间。
为了确保地址不再使用时不留在分配状态,以及地址重复分配等问题,DHCP服务器在地址分配中设置一个有管理员定义的时间限制,即租约持续时间。
客户端从服务器得到IP地址配置的同时,会得到使用这一配置信息的时间限制,IP配置信息在规定时间内可以合法使用。
在租约过期之前,客户端通常需要向服务器更新指派给它的地址租约。
当租约期满而客户端依然没有更新其地址租约,则DHCP客户端将失去这个地址租约并开始一个DHCP租约更新过程。
DHCP租约更新过程如下:
(1)当租约时间过去一半时,客户机向DHCP服务器发送一个请求,请求更新和延长当前租约。
客户机直接向DHCP服务器发请求,最多可重发三次,分别在4、8和16s时。
如果到达DHCP服务器,服务器就会向客户机发送一个DHCP应答消息,这就更新了租约;如果客户机未能与原DHCP服务器通信,它就等到租约时间过去87.5%后,客户机进入重绑定状态,向任何可用DHCP服务器广播(最多可重试三次,分别在4、8、16s时)一个DHCPDISCOVER消息,用来更新当前IP地址的租约。
(2)如果某台服务器应答一个DHCPOFFER消息,以更新客户机的当前租约,客户机就用服务器提供的信息更新租约并继续工作。
(3)如果租约终止而且没有连接到服务器,客户机必须立即停止使用其租约IP地址。
然后,客户机执行与它初始启动期间相同的过程来获得新的IP地址租约。
4.3DHCP服务器的安装与配置
4.3.1安装DHCP服务
要在网络中实现一台DHCP服务器,需要在一台运行WindowsServer2003操作系统的计算机上安装DHCP服务。
第1步:
在添加DHCP服务器角色之前,需要检查服务器的IP地址配置是否正确,检查登录所用的用户帐户是否有合适的权限。
第2步:
在“管理你的服务器”窗口中,单击【添加或者删除角色】,如图4-2所示。
第3步:
在“配置你的服务器向导”中,选择【DHCPServer】,如图4-3所示。
第4步:
在“新建作用域向导”中,单击【Cancel】,取消建立作用域的操作。
第5步:
在“配置你的服务器向导”中,单击【完成】。
图4-2 添加和删除角色 图4-3 选择DHCP服务器
4.3.2授权DHCP服务器
第1步:
打开DHCP管理控制台。
第2步:
在控制台的树状菜单中,右键单击“管
升级会员 