系统安全加固Word格式.docx
- 文档编号:20085879
- 上传时间:2023-01-16
- 格式:DOCX
- 页数:45
- 大小:1.30MB
系统安全加固Word格式.docx
《系统安全加固Word格式.docx》由会员分享,可在线阅读,更多相关《系统安全加固Word格式.docx(45页珍藏版)》请在冰豆网上搜索。
5.1IIS服务器24
5.1.1IIS服务器的特性24
5.1.2IIS的正确安装和配置24
5.1.3利用IIS发布站点30
5.2FTP服务器33
5.2.1FTP服务器工作原理33
5.2.2正确安装与配置FTP服务器33
5.2.3FTP站点的维护与管理39
6E-mail服务器配置与管理42
6.1E-mail服务器42
6.2E-mail服务器的安装与配置44
6.2.1安装POP3组件44
6.2.2安装SMTP服务组件45
6.2.3配置POP3服务器46
6.2.4配置SMTP服务器47
6.2.5E-mail服务器验证47
1.1摘要
WindowsServer2003有十分突出的内存管理、磁盘管理和线程管理性能。
它的可管理性较Windows2000有了很大增强,主要体现在各种服务的配置上。
利用“配置您的服务器”和“管理您的服务器”向导,系统管理员可以轻松地进行服务器角色的安装和管理,从而完成各种服务器的安装和配置,其简单、方便、全面非Windows2000可比。
WindowsServer2003已内置了文件服务器、打印服务器、应用程序服务器、邮件服务器、终端服务器、远程访问/VPN服务器、域控制器、DNS服务器、DHCP服务器、流式媒体服务器、WINS服务器、文件服务器等服务器角色,几乎囊括了所有的服务器应用。
利用这些内置的服务器角色,只需简单的几步,即可完成相应服务器的配置。
它不仅改进了Windows2000原有的服务,提高了这些服务的性能和扩充了许多功能,而且还增加了新的服务,如“邮件服务器”。
WindowsServer2003内置了IIS6.0版,较Windows2000中的IIS5.0在可靠性、安全性、可管理性等方面有了长足进步,终使WindowsServer2003成为一个优秀的Web服务平台。
WindowsServer2003在安全上下了大力气,不仅堵完了已发现的所有NT漏洞,而且还重新设计了安全子系统,增加了新的安全认证,改进了安全算法。
应该特别提一下的是WindowsServer2003的关机和重启模块。
在该模块中,WindowsServer2003增加了“关闭事件跟踪程序”选项,让你在关机前选一个原因并给出解释。
关键词:
DHCP服务器 DNS服务器 IIS服务器 邮件服务器
Abstract
WindowsServer2003haveveryprominentmemorymanagement,diskmanagementandthreadmanagementperformance.ItsmanageabilitymoreWindows2000hadtheverybigenhancement,ismainlyreflectedintheallocationofvariousservice.Usingthe"
configureyourserver"
and"
managementofyourserver"
wizard,systemadministratorscaneasilytheroletoinstallandmanage,thusaccomplishingvariousserverinstallationandconfiguration,itssimple,convenient,comprehensivelytheWindows2000comparable.WindowsServer2003hasbuilt-infileservers,toprinttheserver,applicationserver,mailserver,terminalserver,remoteaccess/VPNservers,domaincontroller,DNSserver,aDHCPserver,streamingmediaserver,WINSserverhasbeen,suchasfileserversserverrole,whichaccountsfornearlyalltheserverapplications.Usethesebuilt-inserverrole,bysimplyafewsteps,cancompletethecorrespondingserverconfiguration.ItnotonlyimprovedtheWindows2000originalservice,improvetheserviceperformanceandexpandthemanyfunction,butalsoaddsnewservices,suchas"
mailserver"
.WindowsServer2003built-inIIS6.0edition,moreWindows2000inIIS5.0inreliability,safetyandmanageabilityetchadgreatprogress,andfinallyWindowsServer2003tobecomeanexcellentWebserviceplatform.WindowsServer2003insafefluctuationhard,notonlyblockingoutalltheNTloopholehasbeenfound,butalsoredesignedthesafetysubsystems,addingnewsecuritycertification,improvedsafetyalgorithm.ShouldspecialmentionisWindowsServer2003shutdownandrestartmodule.Inthismodule,WindowsServer2003increased"
closedeventtrackingprogram"
option,letyouinbeforetheshutdownchooseareasonandgivesexplanation.
keywords:
DHCPserverDNSserverIISservermailserver
1.2概述
随着计算机互联网的发展,网络应用的普及,网络规模、网上计算机数量均呈指数型增长,在人们享受到网络的方便快捷的同时,各种各样的攻击和病毒也更加猖狂,网络的安全防护越发重要。
本文档主要说明在安全防护中基于windows平台的加固策略。
当前版本适用于WindowsNT系列,主要以Windows2003为主来。
安全加固配置中部分加固配置可以考虑使用安全模板来实现,以减轻工作量。
2WindowsServer2003安装
2.1准备工作
1.准备好WindowsServer2003企业版安装光盘。
2.记录安装文件的产品密匙(安装序列号)。
3.安装前请备份硬盘中有用的数据。
4.安装windowsServer2003企业版的系统最低配置要求
133-MHz或速度更快的处理器;
要求最小为128MBRAM;
64GB(适用于基于Itanium的64位版本的PC);
最小1.5GB的可用硬盘空间。
2.2安装过程
1.用光盘启动系统:
重新启动系统并把光驱设为第一启动盘,保存设置并重启。
将2003安装光盘放入光驱,重新启动电脑。
2.安装WindowsServer2003企业版
光盘自启动后,如无意外即可见到安装界面。
图2-1
全中文提示,要现在安装Windows,请按ENTER,按回车键。
图2-2
许可协议,这里没有选择的余地,按“F8”。
这里用“向下或向上”方向键选择安装系统所用的分区,我这里使用的是虚拟机的虚拟磁盘,所以没有别的选择,只有一项,这里点回车向下进行。
这里,我用“上移”箭头键选择“用NTFS文件系统格式化磁盘分区”。
回车后出现格式化的警告。
格式化分区完成后,创建要复制的文件列表,跟接着开始复制系统文件。
图2-3
文件复制完后,安装程序开始初始化Windows配置。
初始化Windows配置完成后,系统将在15秒后重新启动。
这部分安装程序已经完成,系统将会自动重新启动,将控制权从安装程序转移给系统。
这时我们只需等待系统重启。
重新启动后,出现下图所示。
安装过程中,根据提示进行一些设置。
图2-4
首先是区域和语言设置选用默认值就可以了,直接点“下一步”按钮。
图2-5
这里输入你想好的姓名(用户名)和单位,点“下一步”按钮,输入安装序列号
图2-6
曰期和时间设置不用讲,选北京时间,点“下一步”继续安装,以后就不用参与了,系统会自动完成全过程。
安装完成后自动重新启动,出现启动画面,然后出现欢迎画面。
图2-7
上图中,需要按组合键“Ctrl+Alt+Delete”才能继续启动。
按组合键“Ctrl+Alt+Delete”后继续启动,出现登陆画面。
输入密码后回车,继续启动进入桌面,第一次启动后自动运行“管理您的服务器”向导。
图2-8
关闭该窗口后即见到Windows
2003的桌面。
3DNS服务器配置与管理
3.1DNS服务器工作原理
DNS是基于客户机/服务器模式运行的。
在这种模型中,DNS服务器上有一个数据库,其中保存着DNS名称空间中名称和IP地址的映射关系,DNS服务器利用这个数据库为客户端提供名称解析服务,这个数据库在DNS中被称为区域。
DNS客户机会向DNS服务器发出名称解析的查询请求,以获取有关DNS名称空间中FQDN名和IP地址的映射关系。
如果这台DNS服务器的数据库不负责存储客户端所查询的名称和IP地址的映射关系,这台服务器会向其它的DNS服务器发出查询,直到获得客户端请求的名称和IP地址的映射关系为止。
查询有递归查询和迭代查询两种类型,其查询过程如图5-1所示。
图5-1 DNS查询过程
(1)客户机向本地DNS服务器发送一个递归查询请求,要求得到所对应的IP地址。
本地DNS服务器是指在该客户端的TCP/IP属性中配置的DNS服务器的IP地址。
(2)本地DNS服务器接收到查询请求后,检查自己的区域数据库。
如果发现数据库中没有对应的记录,本地DNS服务器则向根域DNS服务器发出一个迭代查询请求,要求解析所对应的IP地址。
(3)根域DNS服务器中记录着所有顶级域的DNS服务器的信息,根域DNS服务器将带有.com这一顶级域的DNS服务器的IP地址的响应返回给本地DNS服务器。
(4)本地DNS服务器接收到这个响应后,向.com域的DNS服务器发出迭代查询请求,要求解析所对应的IP地址。
(5).com域的DNS服务器中记录着域中的DNS服务器的信息,.com域的DNS服务器将域的DNS服务器的IP地址作为响应发送给本地DNS服务器。
(6)本地DNS服务器接收到这个响应后,向域的DNS服务器发出迭代查询请求,要求解析所对应的IP地址。
(7)在域的DNS服务中记录着这一FQDN名与其IP地址的对应关系。
此时,它将所对应的IP地址作为响应发送给本地DNS服务器。
(8)本地DNS服务器将得到的IP地址响应发送给客户端,客户端收到这个IP后,即可访问目的计算机。
以上查询过程中,
(1)和(8)两个过程为递归查询,
(2)~(7)为迭代查询。
从客户端查询资源记录的性质上来讲,客户端查询过程分为两种:
正向查询和反向查询。
将客户端请求的名称解析为对应的IP地址称为正向查询;
将客户端请求的IP地址解析为对应的名称称为反向查询。
3.2DNS服务器安装与配置
3.2.1连接网络
按照图5-1所示的拓扑结构,连接好网络。
表5-1网络连接参数
IP地址
子网掩码
首选DNS服务器
DNS服务器
192.168.0.1
255.255.255.0
IIS服务器
192.168.0.2
客户机
192.168.0.x
图5-2 DNS服务器配置拓扑结构图
3.2.2安装DNS服务
如果用户在安装WindowsServer2003时没有安装DNS服务,可仿照实训7-3中所述的DHCP安装步骤来安装DNS服务。
不同的是,配置你的服务器向导中,选择DNS服务器。
3.2.3配置DNS服务器
以下设置均对应于IP地址192.168.0.1的两个域名:
和。
第1步:
打开DNS控制台,依次选择【开始菜单】→【程序】→【管理工具】→【DNS】。
第2步:
建立“com”区域。
依次选择【DNS】→【Win2003(你的服务器名)】→【正向搜索区域】→【右键】→【新建区域】,然后,根据提示选“标准主要区域”、在“名称”处输入“com”,如图5-3所示。
图5-3 建立com域
第3步:
建立“test”域。
依次选择【com】→【右键】→【新建域】,在“键入新域名”处输入“test”。
第4步:
建立“www”主机。
依次选择【test】→【右键】→【新建主机】,在“名称”处输入“www”,在“IP地址”处输入“192.168.0.1”,再按“添加主机”,如图5-4所示。
3.2.4DNS设置后的验证
为了测试所进行的设置是否成功,通常采用WindowsServer2003自带的ping命令来完成,格式如:
pingwww.。
成功的测试如图5-5所示。
图5-4 添加主机图5-5 测试DNS的配置
4DHCP服务器配置与管理
4.1DHCP服务概述
DHCP基于客户/服务器模式。
当DHCP客户端启动时,它会自动与DHCP服务器通信,由DHCP服务器为DHCP客户端提供自动分配IP地址的服务。
安装了DHCP服务软件的服务器称为DHCP服务器,而启用了DHCP功能的客户机称为DHCP客户端。
DHCP服务器是以地址租约的方式为DHCP客户端提供服务的,它有以下两种方式:
1.限定租期
2.永久租用
4.2DHCP服务工作原理
4.2.1DHCP地址租约
DHCP集中管理IP地址设置,它既可以被配置成为单一子网中的计算机分配lP地址,也可以被配置成为多个子网的计算机分配IP地址,服务器会自动将IP地址配置数据分配给DHCP客户端。
租约(Lease)是由DHCP服务器指定的,客户端计算机可使用指派的IP地址的时间期限。
在租约过期之前,客户端需要续租或者从DHCP服务器得到新的租约。
租约决定了在将分配得到的IP配置信息返还给DHCP服务器并更新其配置信息之前,客户端可以使用它的持续时间。
分配IP地址配置信息的这一过程被称为DHCP租约生成过程;
而更新IP地址配置信息的过程被称为DHCP租约更新,整个过程如图7-44所示。
当一个DHCP客户端首次加入到网络中来时,它将向DHCP服务器发出一个要求得到IP地址配置信息的请求。
当DHCP服务器接收到这个请求后,将从网络管理员已经设定的作用域的IP地址范围中选择一个,并将这个IP地址配置信息提交给DHCP客户端。
一旦客户端接受了DHCP服务器为其分配的IP地址配置信息,DHCP服务器将按照指定的时间将该IP地址配置信息以租约的方式提供给客户端。
然后,客户端就可以使用这个IP地址配置信息访问网络了。
图4-1 DHCP地址租约
4.2.2DHCP分配IP地址信息过程
所谓DHCP租约生成过程就是DHCP客户端从DHCP服务器获得IP地址配置信息的过程。
DHCP通过四个步骤将IP地址信息以租约的方式提供给DHCP客户端,这四个步骤是:
DHCP请求、DHCP提供、DHCP选择和DHCP确认(或者拒绝)。
1.DHCP请求
DHCP客户端向网络广播一个DHCPDISCOVER数据包以找到一个可用的DHCP服务器。
所谓DHCPDISCOVER数据包,就是当DHCP客户端首次尝试登录网络并向DHCP服务器请求IP地址信息时所发出的信息。
当客户端计算机启动或者首次初始化TCP/IP设置时,或者当客户端尝试续租其租约而遭到拒绝时(当客户端被从一个网段移动到另一个网段后,它的续租请求将被拒绝),将会开始租约产生过程。
DHCP客户机发送完DHCPDISCOVER消息后,会等待DHCPOFFER消息。
如果DHCP客户机在启动时未能从DHCP服务器接收到DHCPOFFER消息,它就会重试4次(相隔2、4、6、8、16s,加上一个0到1000ms之间的随机时间数)。
如果DHCP客户机经过4次尝试仍没收到DHCPOFFER消息,它将等待5分钟,然后重新开始。
2.DHCP提供
当DHCP服务器接收到DHCP客户端广播的DHCPDISCOVER数据包后,网络中的所有DHCP服务器都会向网络广播一个DHCPFREE数据包。
所谓DHCPFREE数据包,就是DHCP服务器用来将IP地址提供给DHCP客户端的信息。
作出反应的DHCP服务器在收到发出请求的客户端的确认之前,将保留这个IP地址而不会将它提供给其它的客户端。
如果DHCP客户端在发出了四次请求后依然没有得到任何响应,则操作系统将自动为其分配一个范围从到169.254.0.1到169.254.255.254的IP地址,并将子网掩码设为255.255.0.0。
这种自动分配技术确保在一个网段上即使没有可用的DHCP服务器,该网段上的客户端也可以互相通讯。
在这种情况下,DHCP客户端将每隔5分钟进行一次寻找DHCP服务器的尝试。
当DHCP服务器可用时,客户端将得到有效的IP地址,保证它们无论是否处于网段之中都能够与主机进行通讯。
3.DHCP选择
在DHCP客户端接收到服务器的DHCPFREE数据包后,会向网络广播一个DHCPREQUEST数据包。
所谓DHCPREQUEST数据包,就是DHCP客户端向DHCP服务器发出的请求或者续租其IP地址租约的信息。
DHCP客户端收到DHCPFREE数据包后,就向网络广播一个DHCPREQUEST数据包接受分配。
DHCPREQUEST数据包含有为客户端提供该租约的DHCP服务器标识,这样其它DHCP服务器收到这个数据包后,就会撤销对这个客户端的分配并将分配的IP地址收回用于响应其它客户端的租约请求。
4.DHCP确认(或者拒绝)
最后,在DHCP服务器接收到客户端广播的DHCPREQUEST数据包后,随即向网络广播一个DHCPACK确认数据包。
所谓DHCPACK确认数据包,就是一个DHCP服务器发给DHCP客户端的确认IP地址租约成功生成的信息。
这个信息包含该IP地址的有效租约和其它的IP配置信息。
当DHCP客户端收到该确认后,将使用DHCP服务器提供的IP配置数据初始化TCP/IP,并将TCP/IP协议绑定到网络服务和网络适配器,以使客户端可以在网络上进行通讯。
如果被提供的IP地址不再有效,或者已经被另一台计算机使用,DHCP服务器将发出一个DHCPNAK数据包否决地址的确认。
这时,DHCP客户端必须开始一个新的租约产生过程。
4.2.3DHCP地址租约更新
租约期限是指DHCP客户端在租约更新前可以使用的IP地址租约的时间。
为了确保地址不再使用时不留在分配状态,以及地址重复分配等问题,DHCP服务器在地址分配中设置一个有管理员定义的时间限制,即租约持续时间。
客户端从服务器得到IP地址配置的同时,会得到使用这一配置信息的时间限制,IP配置信息在规定时间内可以合法使用。
在租约过期之前,客户端通常需要向服务器更新指派给它的地址租约。
当租约期满而客户端依然没有更新其地址租约,则DHCP客户端将失去这个地址租约并开始一个DHCP租约更新过程。
DHCP租约更新过程如下:
(1)当租约时间过去一半时,客户机向DHCP服务器发送一个请求,请求更新和延长当前租约。
客户机直接向DHCP服务器发请求,最多可重发三次,分别在4、8和16s时。
如果到达DHCP服务器,服务器就会向客户机发送一个DHCP应答消息,这就更新了租约;
如果客户机未能与原DHCP服务器通信,它就等到租约时间过去87.5%后,客户机进入重绑定状态,向任何可用DHCP服务器广播(最多可重试三次,分别在4、8、16s时)一个DHCPDISCOVER消息,用来更新当前IP地址的租约。
(2)如果某台服务器应答一个DHCPOFFER消息,以更新客户机的当前租约,客户机就用服务器提供的信息更新租约并继续工作。
(3)如果租约终止而且没有连接到服务器,客户机必须立即停止使用其租约IP地址。
然后,客户机执行与它初始启动期间相同的过程来获得新的IP地址租约。
4.3DHCP服务器的安装与配置
4.3.1安装DHCP服务
要在网络中实现一台DHCP服务器,需要在一台运行WindowsServer2003操作系统的计算机上安装DHCP服务。
在添加DHCP服务器角色之前,需要检查服务器的IP地址配置是否正确,检查登录所用的用户帐户是否有合适的权限。
在“管理你的服务器”窗口中,单击【添加或者删除角色】,如图4-2所示。
在“配置你的服务器向导”中,选择【DHCPServer】,如图4-3所示。
在“新建作用域向导”中,单击【Cancel】,取消建立作用域的操作。
第5步:
在“配置你的服务器向导”中,单击【完成】。
图4-2 添加和删除角色 图4-3 选择DHCP服务器
4.3.2授权DHCP服务器
打开DHCP管理控制台。
在控制台的树状菜单中,右键单击“管
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 系统安全 加固