搜索
第4章系统安全防御配置第4章系统安全防御配置4.1概述4.2IIS的基本配置实验4.3IIS的访问限制配置实验4.4基于SSL的安全证书服务实验4.5Windows基本安全评估MBSA的使用4.6小结第4章系统安全防御配置4.1概述操作系统安全是走好网络安全之路的第一步。从安全的角度来说,各种操作系统都或多或少地存在漏洞,有的漏洞可能还没有被发现。这些没被发现的漏洞严重地威胁着用户的安全,但是它们又可以通过自身修复系统来减小危害。第4章系统安全防御配置IIS(InternetInformationServer,互联网信息服务)是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)中发布信息成了一件很容易的事。IIS内置在Windows2000、WindowsXPProfessional和WindowsServer2003中一起发行,但在普遍使用的WindowsXPHome版本上并没有IIS,需要重新安装和运行。第4章系统安全防御配置作为Microsoft战略技术保护计划(StrategicTechnologyProtectionProgram)的一部分,并为了直接满足用户对于可识别安全方面的常见配置错误的简便方法的需求,Microsoft开发了Microsoft基准安全分析器(MBSA)。第4章系统安全防御配置4.2IIS的基本配置实验在进行IIS服务安全配置之前,首先要安装IIS并运行,然后建立自己的Web服务器,最后对相关安全进行必要的配置。1.实验目的了解IIS的作用;掌握IIS的添加和运行,并能够配置IIS之Web服务器。2.实验环境基于WindowsXP或Windows2003等的操作系统;系统安装盘一张。第4章系统安全防御配置3.实验内容1) IIS的添加和运行(1)进入“控制面板”,依次选择“添加/删除程序→添加/删除Windows组件”,将“Internet信息服务(IIS)”前的“√”去掉(如有),重新勾选后按提示操作即可完成IIS组件的添加,如图4.1所示。用这种方法添加的IIS组件中包括Web、FTP、NNTP和SMTP等全部四项服务。第4章系统安全防御配置图4.1IIS的添加第4章系统安全防御配置(2)当IIS添加成功之后,再进入“开始→程序→管理工具→Internet服务管理器”,以打开IIS管理器,对于有“已停止”字样的服务,均在其上单击鼠标右键,选择“启动”选项来开启。第4章系统安全防御配置2)建立第一个Web站点本机的IP地址为192.168.0.1,自己的网页放在“D:\MyWeb”目录下,网页的首页文件名为Index.htm,现在想根据这些条件建立自己的Web服务器。对于此Web站点,我们可以用现有的“默认Web站点”做相应的修改后,就可以轻松实现。(1)输入IP地址。打开IIS服务,在“默认Web站点”选项上单击右键,选择“属性”选项。在“默认网站属性”设置界面中,选择“网站”窗口,在“IP地址”对话框中输入本机IP地址“192.168.0.1”,如图4.2所示。第4章系统安全防御配置图4.2输入网站IP地址第4章系统安全防御配置(2)修改主目录。转到“主目录”窗口,再在“本地路径”文本框中输入(或单击【浏览】按钮选择)自己网页所在的目录“D:\MyWeb”,如图4.3所示。图4.3输入主目录第4章系统安全防御配置(3)添加首页文件名。转到“文档”窗口,再点击【添加】按钮,根据提示在“默认文档名”后输入自己网页的首页文件名“Index.htm”,如图4.4所示。第4章系统安全防御配置图4.4添加默认文档第4章系统安全防御配置(4)效果的测试。打开IE浏览器,在地址栏输入“192.168.0.1”之后再按【回车】键,此时就能够调出你自己网页的首页,则说明设置成功。第4章系统安全防御配置4.3IIS的访问限制配置实验IIS作为当今流行的Web服务器之一,提供了强大的Internet和Intranet服务功能。如何加强IIS的安全机制,建立一个高安全性能的Web服务器,已成为IIS设置中不可忽视的重要组成部分。IIS设置包括操作员设置、目录安全性设置等。第4章系统安全防御配置1.实验目的了解Windows下IIS服务的安全体系;掌握IIS服务安全配置的方法。2.实验环境基于WindowsXP或Windows2003等的操作系统,需要安装有IIS。第4章系统安全防御配置3.实验内容在本实验中,需要对网站进行IIS安全配置。站点基本安全配置的具体步骤如下:第1步:在图4.2所示“默认网站属性”对话框中,点击日志记录中的【属性】按钮,打开“扩充日志记录属性”对话框,选中“当文件大小达到”选项,输入“10”,单击【浏览】按钮,选择日志存放路径,如图4.5所示。第4章系统安全防御配置图4.5常规属性设置第4章系统安全防御配置第2步:单击“扩充的属性”命令,勾选“发送字节数”、“接收字节数”、“所花时间”选项,单击【确定】按钮,如图4.6所示。第4章系统安全防御配置图4.6设置“扩充的属性”第4章系统安全防御配置第3步:单击图4.2中的“操作员”命令,单击【添加】按钮,如图4.7所示,输入要添加的Web站点操作员,然后点击【确定】、【应用】按钮。第4章系统安全防御配置图4.7添加Web站点操作员第4章系统安全防御配置第4步:单击图4.2中的“目录安全性”命令,单击匿名访问和验证控制中的【编辑】按钮,如图4.8所示。去掉“匿名访问”的勾选,单击【确定】按钮,如图4.9所示。第4章系统安全防御配置图4.8“目录安全性”主界面第4章系统安全防御配置图4.9验证方法设置第4章系统安全防御配置第5步:在图4.8中,单击“IP地址及域名限制”中的【编辑】按钮。弹出如图4.10所示对话框,选中“拒绝访问”选项,单击【添加】按钮。第4章系统安全防御配置图4.10IP地址及域名控制设置第4章系统安全防御配置第6步:在弹出的“授权以下访问”对话框中选中“一组计算机”选项,在网络标识栏输入172.16.1.0,在子网掩码栏输入254.254.254.0,单击【确定】按钮,如图4.11所示。这表示只有这一组主机可以访问本网站。第4章系统安全防御配置图4.11输入一组计算机IP地址第4章系统安全防御配置第7步:在图4.7所示窗口中选中“性能”页,选中“限制网站可以使用的网络带宽”选项和“网站连接”下的“连接限制为”选项,分别输入1000和500,表示网站限制最大带宽为1000M/S,网站连接限制为500,如图4.12所示。单击【确定】按钮,回到主界面。关于IIS的基本安全设置已完成,有兴趣的读者可以尝试其他设置。第4章系统安全防御配置图4.12IIS性能设置第4章系统安全防御配置4.4基于SSL的安全证书服务实验服务器证书是服务器的一个电子ID,服务器可执行两个重要的功能来确保通信的安全:为用户标识自己和加密传送到这些用户的信息。SSL加密需要一个服务器证书被绑定到网站中,该证书包含有密钥,在网站和请求安全信息的用户间建立一个安全连接时,需要用到这些密钥。第4章系统安全防御配置客户端的证书和服务端的证书是等价的。客户证书是一个数字ID,该ID用来向Web服务器标识一个客户,并且可让服务器使用客户证书映射。客户证书映射将一个客户的证书映射为一个Windows用户帐号,并且可以自动认证和允许带有这些证书和正确帐号的用户进行访问。第4章系统安全防御配置SSL(SecuritySocketLayer)全称是安全套接字协议层,它位于HTTP协议层和TCP协议层之间,用于建立用户与服务器之间的加密通信,确保所传递信息的安全性,同时SSL安全机制是依靠数字证书来实现的。第4章系统安全防御配置使用SSL安全机制的通信过程如下:用户与IIS服务器建立连接后,服务器会把数字证书与公共密钥发送给用户,用户端生成会话密钥,并用公共密钥对会话密钥进行加密,然后传递给服务器,服务器端用私人密钥进行解密,这样用户端和服务器端就建立了一条安全通道,只有SSL允许的用户才能与IIS服务器进行通信。SSL网站不同于一般的Web站点,它使用的是HTTPS协议,而不是普通的HTTP协议。因此它的URL(统一资源定位器)格式为“https://网站域名”。第4章系统安全防御配置1.实验目的理解数字证书和SSL通信的原理和过程,学会使用证书安装向导来建立新证书、安装证书的全过程。2.实验环境基于Windows2003等的操作系统,需要安装有IIS。第4章系统安全防御配置3.实验内容1)安装证书服务第1步:安装证书服务之前,要先安装IIS服务,且保证“ActiveServerPages”为允许状态。依次打开“开始”→“程序”→“管理工具”→“计算机管理”,再依次打开“计算机管理”中的“服务和应用程序”→“IIS管理”→“Web服务扩展”,如图4.13所示。“ActiveServerPages”为允许状态。第4章系统安全防御配置图4.13设置“ActiveServerPages”为允许状态第4章系统安全防御配置第2步:要使用SSL安全机制功能,必须要安装Windows2003系统证书服务。依次打开“开始”→“控制面板”→“添加/删除程序”→“添加/删除Windows组件”,在“Windows组件向导”的“组件”栏选中“证书服务”选项,如图4.14所示。第3步:点击【详细信息】按钮,可以看到,该服务有两个子选项“证书服务CA”和“证书服务Web注册支持”。为了方便起见,这两个功能都需要安装,如图4.15所示。第4章系统安全防御配置图4.14安装证书服务第4章系统安全防御配置图4.15证书服务功能第4章系统安全防御配置第4步:点击【确定】按钮之后将返回,再单击【下一步】按钮,会出现“证书颁发机构类型”的选择,这里务必要选择“独立根”,点击【下一步】按钮,如图4.16所示。当然,如果在域中的话,请不要继续阅读,因为这时需要创建的是企业根或者企业从属根。第4章系统安全防御配置图4.16选择“独立根”证书颁发机构类型第4章系统安全防御配置第5步:在弹出的对话框中输入与证书有关的一些信息。这里,在 “此CA的公用名称”栏中输入“cqcc”,如图4.17所示,点击【下一步】按钮继续。第4章系统安全防御配置图4.17输入证书有关信息第4章系统安全防御配置第6步:下面涉及服务器证书的目录等与数据库和日志有关的内容,这里选择默认选项,如图4.18所示,点击【下一步】按钮继续。第4章系统安全防御配置图4.18证书数据库设置第4章系统安全防御配置第7步:在安装过程会提示放入系统安装光盘,选择之后进行安装。安装完毕后,在“控制面板”的“管理工具”中就会多出一个“证书颁发机构”的图标,如图4.19所示。第4章系统安全防御配置图4.19证书颁发机构安装完毕第4章系统安全防御配置2)客户端证书申请第1步:如图4.20所示,运行InternetExplorer浏览器,在地址栏中输入“”,出现证书申请页面,点击“申请一个证书”选项。第4章系统安全防御配置图4.20申请一个证书第4章系统安全防御配置第2步:在“申请一个证书”栏中选择“Web浏览器证书”,如图4.21所示。第3步:填入相关信息,单击【提交】按钮,如图4.22所示。第4步:系统将处理所提交的申请,此过程可能要等待10秒钟左右。建议最好记下申请ID,如图4.23所示。第4章系统安全防御配置图4.21选择Web浏览器证书第4章系统安全防御配置图4.22输入证书有关信息第4章系统安全防御配置图4.23证书申请完成第4章系统安全防御配置3)客户端证书的颁发打开“管理工具”→“证书颁发机构”,选择“挂起的申请”选项,找到刚才申请的客户端证书。右击该证书,在弹出的菜单中选择“颁发”,那么这个证书就会由“挂起的申请”转移到“颁发的证书”状态,如图4.