WindowsServer2008的服务搭建与安全加固

第一部分 服务搭建

服务名称
IIS
DNS
DHCP
FTP

一.IIS服务搭建

作为一台服务器,在搭建服务器前请确保使用静态IP地址。

服务搭建说明

1. 服务配置说明  
配置文件作用
%windir%\system32\inetsrv\config\applicationHost.config (for win2008)节点下包含了IIS的“网站”下面的具体网站节点(每一个代表了一个网站节点),在每一个内,其name属性描述了IIS网站节点的显示文本;节点的孙节点的physicalPath属性描述了对应网站在本地驱动器的路径信息。
2. IP地址说明
IP地址作用
192.168.1.53服务器ip地址

搭建步骤

  1. 在开始界面点击控制面板
    在这里插入图片描述

  2. 点击 打开或关闭window功能 跳转至服务器管理器
    在这里插入图片描述

  3. 选择角色,点击添加角色
    在这里插入图片描述

  4. 在选择服务器界面勾选web服务器IIS,完成安装。
    在这里插入图片描述
    在这里插入图片描述

  5. 服务测试
    在这里插入图片描述
    从配置文件可以发现站点的一些信息
    在这里插入图片描述

二.DNS服务搭建

服务搭建说明

1. 服务配置说明
配置文件作用
C:\Windows\System32\dns*.dns正向解析规则文件
C:\Windows\System32\dns*in-addr.arpa.dns反向解析规则文件
2. IP地址说明
IP地址作用
192.168.1.53DNS服务器ip地址
192.168.1.54mail.flynn.com
192.168.1.55www.flynn.com
192.168.1.56ftp.flynn.com

搭建步骤

  1. 在添加服务器角色窗口中选择服务器角色,勾选DNS服务器,并完成安装。
    在这里插入图片描述

  2. 安装好之后,在开始界面打开DNS管理器
    在这里插入图片描述

  3. 首先创建正向解析(域名->IP)
    在这里插入图片描述

  4. 这里创建的是主DNS,选择主要区域
    在这里插入图片描述

  5. 输入需要解析的域名
    在这里插入图片描述

  6. 观察C:\Windows\System32\dns 目录
    在这里插入图片描述

  7. 继续创建区域
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

  8. 再次观察目录,发现多了一个dns后缀文件
    在这里插入图片描述
    在这里插入图片描述

  9. 在dns管理器选择刚刚创建的区域flynn.com,右击选择新建主机
    在这里插入图片描述

  10. 根据需要创建正向解析规则
    在这里插入图片描述
    tip:这里值得一提的是这个PTR,如果勾选,那么将会自动创建该主机的反向解析。为了实验效果,这里不勾选。
    在这里插入图片描述
    创建好三个主机后的配置文件

  11. 正向解析验证,发现正向解析已经成功
    在这里插入图片描述
    在这里插入图片描述

  12. 现在来创建反向解析区域
    在这里插入图片描述

  13. 选择主要区域,ipv4地址,选择区域,这里需要解析的ip都是192.168.1.X网段的,所以名称中ip为1.168.192
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

  14. 在dns管理器选择刚刚创建的区域1.168.192.in_addr,右击选择新建指针
    在这里插入图片描述

  15. 一个一个的把解析规则录入
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

  16. 反向解析验证,发现全部成功
    在这里插入图片描述

三.DHCP服务搭建

服务搭建说明

1. IP地址说明
IP地址作用
192.168.1.53DHCP服务器IP地址

搭建步骤

  1. 在添加角色界面,选择服务器角色,勾选DHCP服务器
    在这里插入图片描述
    在这里插入图片描述
  2. 设置DNS,这里填写本机ip
    在这里插入图片描述
  3. 选择不需要WINS
    在这里插入图片描述
  4. 暂时不添加作用域
    在这里插入图片描述
  5. 根据需要启用ipv6地址,这里不需要,完成安装。
    在这里插入图片描述
    在这里插入图片描述
  6. 创建作用域,在开始中找到DHCP管理
    在这里插入图片描述
  7. 在ipv4中新建作用域
    在这里插入图片描述
  8. 创建名称

在这里插入图片描述
9. 定义分配的IP地址
在这里插入图片描述
在这里插入图片描述
10. 定义租用时间
在这里插入图片描述
11. 配置DHCP选项
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  1. 完成创建
    在这里插入图片描述
    在这里插入图片描述
  2. DHCP验证
    打开一个靶机,连接到192.168.1.0网段,采用动态获取ip地址,发现获取到了刚刚指定的IP地址段
    在这里插入图片描述

四.FTP服务搭建

服务搭建说明

1.  IP地址说明
IP地址作用
192.168.1.53FTP服务器IP地址

搭建步骤

  1. 添加角色服务,在服务器管理界面,右击web服务器IIS角色,选择添加角色服务
    在这里插入图片描述

  2. 在选择角色服务界面,找到FTP服务,并勾选完成安装
    在这里插入图片描述

  3. 在开始界面打开IIS服务管理器,发现已经有FTP相关设置。
    在这里插入图片描述
    在这里插入图片描述

  4. 现在开始搭建FTP服务,在IIS管理界面,右击网站,选择添加FTP站点
    在这里插入图片描述

  5. 输入一个好记的名字,和FTP本地文件路径
    在这里插入图片描述

  6. 配置IP地址,SSL证书暂不配置
    在这里插入图片描述

  7. 根据实际情况创建用户和相关权限
    在这里插入图片描述

  8. 刷新一下页面,发现创建成功
    在这里插入图片描述

  9. FTP功能测试,需要注意的是,如果在创建FTP站点时指定了IP地址则必须使用对应的IP,in the case 本地地址是无法连接服务的。
    在这里插入图片描述

第二部分 服务加固

零. 系统加固

管理员用户

默认会自动创建一个系统管理员账号,即Administrator。许多管理员贪图一时方便,就直接用作自己的账户,因此,许多黑客攻击的服务器的时候总是试图破解Administrator 账户的密码,如果此时密码安全性不高,就很容易被破解。所以,可以更改管理员账户名来避免此类攻击,提高系统安全性,同时创建一个名称为Administrator的普通用户且密码极其复杂。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

或者直接禁用超级管理员用户,创建一个普通管理员用于平时维护即可。

账户锁定策略

账户锁定策略可以防止暴力破解的攻击方式,所以,很有必要设置账户锁定策略。
开始->运行->secpol.msc (本地安全策略)->安全设置->账户设置->账户锁定策略
复位帐户锁定计数器、账户锁定时间设置为一分钟即可,账户锁定时间不宜设置太长,避免被人恶意攻击而造成自己无法登陆。帐户锁定阀值设置5次即可,不应设置太大。否则起不到好的效果。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

文件存储方式

NTFS

一.IIS服务加固

服务加固说明

服务加固项说明
加固内容作用
设置NET信任级别应用程序的信任级别确定由ASP.NET代码访问安全性(CAS)策略授予的权限。CAS定义了两个信任类别:完全信任和部分信任。具有完全信任权限的应用程序可以访问服务器上的所有资源类型并执行特权操作。具有完全信任的应用程序仅受操作系统的安全设置影响 部分信任定义为小于完全信任的任何信任级别。以部分信任运行的应用程序具有不同级别的操作权限和对资源的访问。例如,通常将存储在网络共享上的应用程序代码的信任级别指定为比存储在本地服务器上的应用程序代码的信任级别低。
IIS管理器用户权限限制可以连接到服务器的用户,配合管理器的权限使用
PKI服务器证书通过加密和数字签名等密码服务及必须的密钥和证书管理实现网络传输的安全

NET信任级别

对不同的站点设置.NET信任级别,可以直接使用命令

	appcmd set config /commit:WEBROOT /section:trust /level: Full | High | Medium | Low | Minimal

在这里插入图片描述
在这里插入图片描述

IIS管理器用户权限

IIS 7.0 支持以下用户验证方法:

  • 匿名访问: 允许用户建立匿名连接。 IIS 服务器以指定的 Guest 帐户登录用户。
  • ASP.NET 模拟 允许应用程序在两个不同的上下文之一中运行:作为用户通过 IIS 进行身份验证的用户或作为你设置的任意帐户。
  • 基本身份验证: 以纯文本形式(未加密的形式)在网络上传输密码。
  • 摘要式身份验证: 仅适用于 Active Directory 帐户,在网络上发送哈希值,而不是纯文本密码。 摘要验证可通过代理服务器和其他防火墙工作,可以在 Web 分布式创作和版本管理 (WebDAV) 目录中使用。 要使用摘要式身份验证,首先必须禁用匿名身份验证。
  • Forms 身份验证 适应公用服务器上的高流量站点或应用程序的身份验证。 表单身份验证可管理客户端注册和应用程序级别的身份验证,而非依赖操作系统提供的身份验证机制。
  • Windows 身份验证: 在 Windows 域上使用身份验证来对客户端连接进行身份验证。

在这里插入图片描述
在这里插入图片描述

PKI 证书

搭建PKI服务,添加证书服务角色
在这里插入图片描述
勾选证书颁发机构
在这里插入图片描述
在这里插入图片描述
选择根CA类型
在这里插入图片描述
根据情况创建私钥或使用现有私钥
在这里插入图片描述
设置私钥加密算法
在这里插入图片描述
设置CA名称和有效期

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
打开IIS管理器,找到服务器证书选项
在这里插入图片描述
点击创建证书申请
在这里插入图片描述
输入服务器相关信息
在这里插入图片描述
选择传输加密方式

在这里插入图片描述
选择一个文件存储申请信息

在这里插入图片描述
完成后,打开浏览器输入PKI服务器地址,inthecase 192.168.1.53/certsrv,点击申请证书
在这里插入图片描述
点击高级证书申请
在这里插入图片描述
选择base编码申请
在这里插入图片描述
打开刚刚在IIS管理器创建的申请文件,将文件内容复制到网页中
在这里插入图片描述

点击提交申请
在这里插入图片描述
打开证书办法机构管理界面
在这里插入图片描述
找到刚刚挂起的申请,选择颁发
在这里插入图片描述
回到浏览器,产看证书申请状态
在这里插入图片描述
下载证书文件

在这里插入图片描述
回到IIS管理器,服务器证书界面,点击完成服务器证书申请

在这里插入图片描述
找到刚刚下载的证书文件,指定一个名称完成证书申请
在这里插入图片描述
在这里插入图片描述

二.FTP服务加固

服务加固说明

服务加固项说明
加固内容作用
ssl加密

加固步骤

  1. 打开IIS管理界面,找到服务器证书
    在这里插入图片描述
    在这里插入图片描述
    找到FTP站点,选择ssl证书设置
    在这里插入图片描述

选择刚刚创建的证书,并勾选需要ssl,保存更改
在这里插入图片描述
实验效果
这时发现登陆不了了
在这里插入图片描述

打开一个靶机,打开一个ftp客户端软件(命令行不支持ssl)自动弹出ssl证书信息
在这里插入图片描述
同意后发现连接成功了
在这里插入图片描述

  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值