Winserver安全文档
第一部分 服务搭建
服务名称 |
---|
IIS |
DNS |
DHCP |
FTP |
一.IIS服务搭建
作为一台服务器,在搭建服务器前请确保使用静态IP地址。
服务搭建说明
1. 服务配置说明
配置文件 | 作用 |
---|---|
%windir%\system32\inetsrv\config\applicationHost.config (for win2008) | 节点下包含了IIS的“网站”下面的具体网站节点(每一个代表了一个网站节点),在每一个内,其name属性描述了IIS网站节点的显示文本;节点的孙节点的physicalPath属性描述了对应网站在本地驱动器的路径信息。 |
2. IP地址说明
IP地址 | 作用 |
---|---|
192.168.1.53 | 服务器ip地址 |
搭建步骤
-
在开始界面点击控制面板
-
点击 打开或关闭window功能 跳转至服务器管理器
-
选择角色,点击添加角色
-
在选择服务器界面勾选web服务器IIS,完成安装。
-
服务测试
从配置文件可以发现站点的一些信息
二.DNS服务搭建
服务搭建说明
1. 服务配置说明
配置文件 | 作用 |
---|---|
C:\Windows\System32\dns*.dns | 正向解析规则文件 |
C:\Windows\System32\dns*in-addr.arpa.dns | 反向解析规则文件 |
2. IP地址说明
IP地址 | 作用 |
---|---|
192.168.1.53 | DNS服务器ip地址 |
192.168.1.54 | mail.flynn.com |
192.168.1.55 | www.flynn.com |
192.168.1.56 | ftp.flynn.com |
搭建步骤
-
在添加服务器角色窗口中选择服务器角色,勾选DNS服务器,并完成安装。
-
安装好之后,在开始界面打开DNS管理器
-
首先创建正向解析(域名->IP)
-
这里创建的是主DNS,选择主要区域
-
输入需要解析的域名
-
观察C:\Windows\System32\dns 目录
-
继续创建区域
-
再次观察目录,发现多了一个dns后缀文件
-
在dns管理器选择刚刚创建的区域flynn.com,右击选择新建主机
-
根据需要创建正向解析规则
tip:这里值得一提的是这个PTR,如果勾选,那么将会自动创建该主机的反向解析。为了实验效果,这里不勾选。
创建好三个主机后的配置文件 -
正向解析验证,发现正向解析已经成功
-
现在来创建反向解析区域
-
选择主要区域,ipv4地址,选择区域,这里需要解析的ip都是192.168.1.X网段的,所以名称中ip为1.168.192
-
在dns管理器选择刚刚创建的区域1.168.192.in_addr,右击选择新建指针
-
一个一个的把解析规则录入
-
反向解析验证,发现全部成功
三.DHCP服务搭建
服务搭建说明
1. IP地址说明
IP地址 | 作用 |
---|---|
192.168.1.53 | DHCP服务器IP地址 |
搭建步骤
- 在添加角色界面,选择服务器角色,勾选DHCP服务器
- 设置DNS,这里填写本机ip
- 选择不需要WINS
- 暂时不添加作用域
- 根据需要启用ipv6地址,这里不需要,完成安装。
- 创建作用域,在开始中找到DHCP管理
- 在ipv4中新建作用域
- 创建名称
9. 定义分配的IP地址
10. 定义租用时间
11. 配置DHCP选项
- 完成创建
- DHCP验证
打开一个靶机,连接到192.168.1.0网段,采用动态获取ip地址,发现获取到了刚刚指定的IP地址段
四.FTP服务搭建
服务搭建说明
1. IP地址说明
IP地址 | 作用 |
---|---|
192.168.1.53 | FTP服务器IP地址 |
搭建步骤
-
添加角色服务,在服务器管理界面,右击web服务器IIS角色,选择添加角色服务
-
在选择角色服务界面,找到FTP服务,并勾选完成安装
-
在开始界面打开IIS服务管理器,发现已经有FTP相关设置。
-
现在开始搭建FTP服务,在IIS管理界面,右击网站,选择添加FTP站点
-
输入一个好记的名字,和FTP本地文件路径
-
配置IP地址,SSL证书暂不配置
-
根据实际情况创建用户和相关权限
-
刷新一下页面,发现创建成功
-
FTP功能测试,需要注意的是,如果在创建FTP站点时指定了IP地址则必须使用对应的IP,in the case 本地地址是无法连接服务的。
第二部分 服务加固
零. 系统加固
管理员用户
默认会自动创建一个系统管理员账号,即Administrator。许多管理员贪图一时方便,就直接用作自己的账户,因此,许多黑客攻击的服务器的时候总是试图破解Administrator 账户的密码,如果此时密码安全性不高,就很容易被破解。所以,可以更改管理员账户名来避免此类攻击,提高系统安全性,同时创建一个名称为Administrator的普通用户且密码极其复杂。
或者直接禁用超级管理员用户,创建一个普通管理员用于平时维护即可。
账户锁定策略
账户锁定策略可以防止暴力破解的攻击方式,所以,很有必要设置账户锁定策略。
开始->运行->secpol.msc (本地安全策略)->安全设置->账户设置->账户锁定策略
复位帐户锁定计数器、账户锁定时间设置为一分钟即可,账户锁定时间不宜设置太长,避免被人恶意攻击而造成自己无法登陆。帐户锁定阀值设置5次即可,不应设置太大。否则起不到好的效果。
文件存储方式
NTFS
一.IIS服务加固
服务加固说明
服务加固项说明
加固内容 | 作用 |
---|---|
设置NET信任级别 | 应用程序的信任级别确定由ASP.NET代码访问安全性(CAS)策略授予的权限。CAS定义了两个信任类别:完全信任和部分信任。具有完全信任权限的应用程序可以访问服务器上的所有资源类型并执行特权操作。具有完全信任的应用程序仅受操作系统的安全设置影响 部分信任定义为小于完全信任的任何信任级别。以部分信任运行的应用程序具有不同级别的操作权限和对资源的访问。例如,通常将存储在网络共享上的应用程序代码的信任级别指定为比存储在本地服务器上的应用程序代码的信任级别低。 |
IIS管理器用户权限 | 限制可以连接到服务器的用户,配合管理器的权限使用 |
PKI服务器证书 | 通过加密和数字签名等密码服务及必须的密钥和证书管理实现网络传输的安全 |
NET信任级别
对不同的站点设置.NET信任级别,可以直接使用命令
appcmd set config /commit:WEBROOT /section:trust /level: Full | High | Medium | Low | Minimal
IIS管理器用户权限
IIS 7.0 支持以下用户验证方法:
- 匿名访问: 允许用户建立匿名连接。 IIS 服务器以指定的 Guest 帐户登录用户。
- ASP.NET 模拟 允许应用程序在两个不同的上下文之一中运行:作为用户通过 IIS 进行身份验证的用户或作为你设置的任意帐户。
- 基本身份验证: 以纯文本形式(未加密的形式)在网络上传输密码。
- 摘要式身份验证: 仅适用于 Active Directory 帐户,在网络上发送哈希值,而不是纯文本密码。 摘要验证可通过代理服务器和其他防火墙工作,可以在 Web 分布式创作和版本管理 (WebDAV) 目录中使用。 要使用摘要式身份验证,首先必须禁用匿名身份验证。
- Forms 身份验证 适应公用服务器上的高流量站点或应用程序的身份验证。 表单身份验证可管理客户端注册和应用程序级别的身份验证,而非依赖操作系统提供的身份验证机制。
- Windows 身份验证: 在 Windows 域上使用身份验证来对客户端连接进行身份验证。
PKI 证书
搭建PKI服务,添加证书服务角色
勾选证书颁发机构
选择根CA类型
根据情况创建私钥或使用现有私钥
设置私钥加密算法
设置CA名称和有效期
打开IIS管理器,找到服务器证书选项
点击创建证书申请
输入服务器相关信息
选择传输加密方式
选择一个文件存储申请信息
完成后,打开浏览器输入PKI服务器地址,inthecase 192.168.1.53/certsrv,点击申请证书
点击高级证书申请
选择base编码申请
打开刚刚在IIS管理器创建的申请文件,将文件内容复制到网页中
点击提交申请
打开证书办法机构管理界面
找到刚刚挂起的申请,选择颁发
回到浏览器,产看证书申请状态
下载证书文件
回到IIS管理器,服务器证书界面,点击完成服务器证书申请
找到刚刚下载的证书文件,指定一个名称完成证书申请
二.FTP服务加固
服务加固说明
服务加固项说明
加固内容 | 作用 |
---|---|
ssl | 加密 |
加固步骤
- 打开IIS管理界面,找到服务器证书
找到FTP站点,选择ssl证书设置
选择刚刚创建的证书,并勾选需要ssl,保存更改
实验效果
这时发现登陆不了了
打开一个靶机,打开一个ftp客户端软件(命令行不支持ssl)自动弹出ssl证书信息
同意后发现连接成功了