Windowsserver服务器安全配置.pdf

资源描述

word 文档可自由复制编辑毕业设计 (论文)题目：Windows 2008 server 服务器安全配置系（部）：信息工程系专业：计算机网络技术姓名：学号：指导教师：word 文档可自由复制编辑毕业设计（论文）任务书毕业设计（论文）题目:Windows 2008 server 服务器安全配置毕业设计（论文）内容:通过在网上阅读了相关 Windows 2008 server 服务器的内容，用电脑上的虚拟机对2008 server 服务器进行了对 IP 地址、端口和 Web 服务器的相关配置，设置了服务器的相关访问权限，防止非法用户的侵入获取个人信息或者恶意破坏。并且，通过了解了什么是安全策略，巧妙对 Windows Server 2008 系统的组策略功能进行深入挖掘，我们就可以发现许多安全应用秘密，对 2008server 服务器配置部分的安全策略，用来保护Windows 2008 server 服务器的安全。毕业设计（论文）专题部分:利用 Windows Server 2008 系统，我们可以非常轻松地在局域网中搭建属于自己的服务器，以便让安装了其他系统的普通工作站进行随意访问。尽管 Windows Server2008系统的安全性能要比其他系统的安全性能高出许多，不过在局域网环境中，Windows Server2008 仍然存在被其他局域网工作站非法访问的可能。我们可以通过通过配置来加强保护，也可以利用 Windows Server 2008 系统强大的组策略功能，来对相关选项参数进行有效设置。指导教师:签字年月日教研室主任:签字年月日系（部）主任:签字年月日 word 文档可自由复制编辑毕业设计(论文)评语指导教师评语:成绩:指导教师:(签字)年月日评阅人评语:成绩:评阅教师:(签字)年月日 word 文档可自由复制编辑摘要 Windows Server 2008是微软一个服务器操作系统的名称，它继承Windows Server 2003。Windows Server 2008 在进行开发及测试时的代号为Windows Server Longhorn。Windows Server 2008的版本就有好几种，与之前的版本相比，加强了保护力、灵活性，有独特的创新性，在默认状态下，允许所有的用户匿名连接IIS网站，即访问时不需要使用用户名和密码登录。不过，如果对网站的安全性要求高，或网站中有机密信息，就需要对用户限制，禁止匿名访问，而只允许特殊的用户账户才能进行访问。在网站上，通过IP地址限制保护网站，并配置Web服务是网站更加的安全。而且，为了有效保护网络以及服务器系统的安全，Windows Server 2008特意为我们新增加了网络策略服务器功能以及其他多项安全保护措施，利用网络策略功能服务器系统将会强制要求任何一台企图与之连接的普通工作站都要通过特定的网络健康检查，比方说普通工作站中是否安装了防火墙程序，是否及时更新了病毒库内容，是否安装了最新版本的系统补丁程序等，只有当普通工作站符合各种安全检查之后，服务器系统才允许该工作站连接服务器并访问其中的内容;而那些没有通过服务器系统安全检查的普通工作站将会被隔离到另外一个受限网络，或者降低服务器的访问权限。关键词：安全配置访问权限安全策略 word 文档可自由复制编辑 Abstract Windows Server 2008 is the name Microsoft a server operating system,itinherits the Windows Server 2003.Windows Server 2008 in the development and testing of the code named Windows ServerLonghorn.Windows Server version 2008 there are several,compared with the previous version,strengthened the protection force,flexibility,innovativeunique,by default,allowing all users to anonymous connection IIS website,which does not need to use a user name and password toaccess.However,if the security requirements of the web site,any confidential information or web sites,you need to user limit,prohibition ofanonymous access,and only allow users access to a special account.On the site,through the IP address restriction site protection,and configure the Web service is the site more secure.Moreover,in order to protect the safety of network and server system,Windows Server 2008 specially for our new added network policy serverfunctions and a number of other security measures,using the networkfunction of strategies will require any server system is a commonworkstation to connected to network health examination of the specific,for example common workstation whether to install a firewall program,whether to update the virus database content,is the latest version of the system patch installed,only when ordinary workstations with varioussafety inspection,the server system to allow the station to connect to the server and access its contents;and those who will be ordinaryworkstation server system safety inspection did not pass by isolation to alimited network,or reduce the server access permissions.Keyword:security configuration access security policy word 文档可自由复制编辑目录前言.1 一、2008server 服务器简介.2 1.1 版本.2 1.2 更强的控制力.3 1.3 增强的保护.3 1.4 灵活性.4 1.5 自修复系统.4 1.6 并行 Session 创建.4 1.7 快速关机服务.5 1.8 核心事务管理器.5 1.9 测试版本.5 1.10 创新特性.5 二、在 2008server 服务器上安全配置.7 2.1 安全配置 IP 地址和端口.7 2.2 配置主目录.8 2.3 访问权限和安全.10 2.4 安全配置 Web 服务.14 三、安全策略保证系统安全.19 3.1 Windows Server 2008 系统安全.19 3.2 Win 2008 系统安全交给组策略保证.22 3.3 设置网络策略让访问 Win 2008 更安全.24 3.4 让 Win 2008 系统安全更上一层楼.26 3.5 聚焦 Win 2008 终端服务安全问题.29 3.6 封堵隐私漏洞守卫 Win 2008 系统安全.32 结论.36 结束语.37 参考文献.38 word 文档可自由复制编辑前言 Windows Server 2008 是专为强化下一代网络、应用程序和 Web 服务的功能而设计，是有史以来最先进的 Windows Server操作系统。拥有 Windows Server 2008，即可在企业中开发、提供和管理丰富的用户体验及应用程序，提供高度安全的网络基础架构，提高和增加技术效率与价值。Windows Server 2008 提供了一系列新的和改进的安全技术，这些技术增强了对操作系统的保护，Windows Server 2008 提供了减小内核攻击面的安全创新，因而使服务器环境更安全、更稳定。通过保护关键服务器服务使之免受文件系统、注册表或网络中异常活动的影响，Windows 服务强化有助于提高系统的安全性。在 Windows Server 2008 局域网环境中，许多普通工作站由于没有及时安装系统补丁程序或者没有更新病毒库，导致对应系统可能存在很多安全隐患，当这些工作站尝试访问局域网网络时，可能会给整个网络的安全带来比较大的威胁。这时，我们就可以通过设置 Windows Server 2008 系统的网络策略，来保护服务器系统的安全，禁止危险工作站将网络病毒或木马带入到服务器系统中。word 文档可自由复制编辑一、2008server 服务器简介 Windows Server 2008 是微软一个服务器操作系统的名称，它继承 Windows Server 2003。Windows Server 2008 在进行开发及测试时的代号为Windows Server Longhorn。1.1 版本 Windows Server 2008 发行了多种版本，以支持各种规模的企业对服务器不断变化的需求。Windows Server 2008 有 5 种不同版本，另外还有三个不支持 Windows Server Hyper-V 技术的版本，因此总共有 8 种版本。Windows Server 2008 Standard 是迄今最稳固的 Windows Server 操作系统，其内置的强化 Web 和虚拟化功能，是专为增加服务器基础架构的可靠性和弹性而设计，亦可节省时间及降低成本。其系利用功能强大的工具，让您拥有更好的服务器控制能力，并简化设定和管理工作；而增强的安全性功能则可强化操作系统，以协助保护数据和网路，并可为您的企业提供扎实且可高度信赖的基础。Windows Server 2008 Enterprise 可提供企业级的平台，部署企业关键应用。其所具备的群集和热添加（Hot-Add）处理器功能，可协助改善可用性，而整合的身份管理功能，可协助改善安全性，利用虚拟化授权权限整合应用程序，则可减少基础架构的成本，因此 Windows Server 2008 Enterprise 能为高度动态、可扩充的 IT 基础架构，提供良好的基础。Windows Server 2008 Datacenter 所提供的企业级平台，可在小型和大型服务器上部署具企业关键应用及大规模的虚拟化。其所具备的群集和动态硬件分割功能，可改善可用性，而通过无限制的虚拟化许可授权来巩固应用，可减少基础架构的成本。此外，此版本亦可支持 2 到 64 颗处理器，因此 Windows Server 2008 Datacenter 能够提供良好的基础，用以建立企业级虚拟化和扩充解决方案。Windows Web Server 2008 是特别为单一用途 Web 服务器而设计的系统，而且是建立在下一代 Windows Server 2008 中，坚若磐石之 Web 基础架构功能的基础上，其整合了重新设计架构的 IIS 7.0、ASP.NET 和 Microsoft NET Framework，以便提供任何企业快速部署网页、网站、Web 应用程序和 Web 服务。Windows Server 2008 for Itanium-Based Systems 已针对大型数据库、各种企业和自订应用程序进行优化，可提供高可用性和多达 64 颗处理器的可扩充性，能符合高要求且具关键性的解决方案的需求。Windows HPC Server 2008 是下一代高性能计算（HPC）平台，可提供企业级的工具给高生产力的 HPC 环境，由于其建立于 Windows Server 2008 及 64 位元技术上，因此可有效地扩充至数以千计的处理器，并可提供集中管理控制台，协助您主动监督和维护系统健康状况及稳定性。其所具备的灵活的作业调度功能，可让 Windows 和 Linux 的 HPC 平台间进行整合，亦可支持批量作业以及服务导向架构（SOA）工作负载，而增 word 文档可自由复制编辑强的生产力、可扩充的性能以及使用容易等特色，则可使 Windows HPC Server 2008 成为同级中最佳的 Windows 环境。1.2 更强的控制力使用 Windows Server 2008，IT 专业人员能够更好地控制服务器和网络基础结构，从而可以将精力集中在处理关键业务需求上。增强的脚本编写功能和任务自动化功能（例如，WindowsPowerShell）可帮助 IT 专业人员自动执行常见 IT 任务。通过服务器管理器进行的基于角色的安装和管理简化了在企业中管理与保护多个服务器角色的任务。服务器的配置和系统信息是从新的服务器管理器控制台这一集中位置来管理的。IT人员可以仅安装需要的角色和功能，向导会自动完成许多费时的系统部署任务。增强的系统管理工具（例如，性能和可靠性监视器）提供有关系统的信息，在潜在问题发生之前向 IT 人员发出警告。在 Windows Server 2008 中，所有的电源管理设置已被组策略启用，这样就提供了潜在地节约了成本。控制电源设置通过组策略可以大量节省公司金钱。比如，你可以通过修改组策略设置中特定电源的设置，或通过使用组策略建立一个定制的电源计划。1.3 增强的保护 Windows Server 2008 提供了一系列新的和改进的安全技术，这些技术增强了对操作系统的保护，为企业的运营和发展奠定了坚实的基础。Windows Server 2008 提供了减小内核攻击面的安全创新（例如 PatchGuard），因而使服务器环境更安全、更稳定。通过保护关键服务器服务使之免受文件系统、注册表或网络中异常活动的影响，Windows服务强化有助于提高系统的安全性。借助网络访问保护(NAP）、只读域控制器(RODC）、公钥基础结构（PKI）增强功能、Windows 服务强化、新的双向 Windows 防火墙和新一代加密支持，Windows Server 2008 操作系统中的安全性也得到了增强。Network Access Protection(NAP）：这是一个新的框架，允许 IT 管理员为网络定义健康要求，并限制不符合这些要求的计算机与网络的通信。NAP 强制执行管理员定义的、用于描述特定组织健康要求的策略。例如，健康要求可以定义为安装操作系统的所有更新，或者安装或更新反病毒或反间谍软件。以这种方式，网络管理员可以定义连接到网络时计算机应具备的基准保护级别。Microsoft BitLocker 在多个驱动器上进行完整卷加密，为您的数据提供额外的安全保护，甚至当系统处于未经授权操作或运行不同的操作系统时间、数据和控制时也能提供安全保护。Read-Only Domain Controller(RODC）：这是 Windows Server 2008 操作系统中的一种新型域控制器配置，使组织能够在域控制器安全性无法保证的位置轻松部署域控制器。RODC 维护给定域中 Active Directory 目录服务数据库的只读副本。在此版本之前，当用户必须使用域控制器进行身份验证，但其所在的分支办公室无法为域控制器 word 文档可自由复制编辑提供足够物理安全性时，必须通过广域网(WAN)进行身份验证。在很多情况下，这不是一个有效的解决方案。通过将只读 Active Directory 数据库副本放置在更接近分支办公室用户的地方，这些用户可以更快地登录，并能更有效地访问网络上的身份验证资源，即使身处没有足够物理安全性来部署传统域控制器的环境。Failover Clustering：这些改进旨在更轻松地配置服务器群集，同时对数据和应用程序提供保护并保证其可用性。通过在故障转移群集中使用新的验证工具，您可以测试系统、存储和网络配置是否适用于群集。凭借 Windows Server 2008 中的故障转移群集，管理员可以更轻松地执行安装和迁移任务，以及管理和操作任务。群集基础结构的改进可帮助管理员最大限度地提高提供给用户的服务的可用性，可获得更好的存储和网络性能，并能提高安全性。1.4 灵活性 Windows Server 2008 的设计允许管理员修改其基础结构来适应不断变化的业务需求，同时保持了此操作的灵活性。它允许用户从远程位置（如远程应用程序和终端服务网关）执行程序，这一技术为移动工作人员增强了灵活性。Windows Server 2008 使用Windows 部署服务(WDS）加速对 IT 系统的部署和维护，使用 Windows Server 虚拟化（WSv）帮助合并服务器。对于需要在分支机构中使用域控制器的组织，Windows Server 2008 提供了一个新配置选项：只读域控制器（RODC），它可以防止在域控制器出现安全问题时暴露用户账户。1.5 自修复系统从 DOS 时代开始，文件系统出错就意味着相应的卷必须下线修复，而在 Windows Server 2008 中，一个新的系统服务会在后台默默工作，检测文件系统错误，并且可以在无需关闭服务器的状态下自动将其修复。有了这一新服务，在文件系统发生错误的时候，服务器只会暂时停止无法访问的部分数据，整体运行基本不受影响，所以 CHKDSK 基本就可以退休了。1.6 并行 Session 创建如果你有一个终端服务器系统，或者多个用户同时登陆了家庭系统，这些就是Session。在 Windows Server 2008 之前，Session 的创建都是逐一操作的，对于大型系统而言就是个瓶颈，比如周一清晨数百人返回工作的时候，不少人就必须等待 Session初始化。Vista 和 Windows Server 2008 加入了新的 Session 模型，可以同时发起至少 4个，而如果服务器有四颗以上的处理器，还可以同时发起更多。举例来说，如果你家里有一个媒体中心，那各个家庭成员就可以同时在各自的房间里打开媒体终端、同时从Vista 服务器上得到视频流，而且速度不会受到影响。word 文档可自由复制编辑 1.7 快速关机服务 Windows 的一大历史问题就是关机过程缓慢。在 Windows XP 里，一旦关机开始，系统就会开始一个 20 秒钟的计时，之后提醒用户是否需要手动关闭程序，而在 Windows Server 里，这一问题的影响会更加明显。到了 Windows Server 2008，20 秒钟的倒计时被一种新服务取代，可以在应用程序需要被关闭的时候随时、一直发出信号。开发人员开始怀疑这种新方法会不会过多地剥夺应用程序的权利，但他们已经接受了它，认为这是值得的。1.8 核心事务管理器这项功能对开发人员来说尤其重要，因为它可以大大减少甚至消除最经常导致系统注册表或者文件系统崩溃的原因：多个线程试图访问同一资源。在 Vista 核心中也有 KTM 这一新组件，其目的是方便进行大量的错误恢复工作，而且过程几乎是透明的，而 KTM 之所以可以做到这一点，是因为它可以作为事务客户端接入的一个事务管理器进行工作。1.9 测试版本 Windows Web Server 2008 RC0 Web Windows Server 2008 RC0 Enterprise Windows Server 2008 RC0 Standard Edition Windows Server 2008 RC0 Datacenter Windows Server 2008 RC0 for Itanium-based Systems 2008 年 3 月 13 日已在北京发布三款核心应用平台产品：Windows Server 2008、Visual Studio 2008、SQL Server 2008 1.10 创新特性 1.Windows Server 2008、Visual Studio 2008 和 SQL Server 2008 为创建和运行高要求的应用程序提供了一个安全可靠的平台。同时，也为下一代 Web 应用提供了坚实的基础、广泛的虚拟化技术支持以及相关信息的访问能力。进一步改善的安全技术、开发人员对最新平台的支持、改进的管理工具和 Web 工具、灵活的虚拟化解决方案以及相关信息的访问能力，使得广泛的技术解决方案成为可能。为 IPv4 和 IPv6 重新设计的下一代 TCP/IP 协议栈的支持不同性能和连通性的网络环境和技术需求。2.Windows Server 2008 在虚拟化技术及管理方案、服务器核心、安全部件及网络解决方案等方面具有众多令人兴奋的创新性能：通过内置的服务器虚拟化技术，Windows Server 2008 可以帮助企业降低成本，提高硬件利用率，优化基础设施，并提高服务器可用性；通过 Server Core、PowerShell、Windows Deployment Services 以及增强的 word 文档可自由复制编辑联网与集群技术等，Windows Server 2008 为工作负载和应用要求提供功能最为丰富且可靠的 Windows 平台；Windows Server 2008 的操作系统和安全创新，为网络、数据和业务提供网络接入保护、联合权限管理以及只读的域控制器等前所未有的保护，是有史以来最安全的 Windows Server；通过改进的管理、诊断、开发与应用工具，以及更低的基础设施成本。3.Windows Server 2008 能够高效地提供丰富的 Web 体验和最新网络解决方案。动态硬件分区有助于使 Windows Server 2008 在诸如增加的可靠性和可用性，提升资源管理和按需容量上受益。Windows Server 2008 中改进的故障转移集群（前身为服务器集群，是一组一起工作能使应用程序和服务达到高可用性的独立服务器）的目的是简化集群，使它们更安全，提高集群的稳定性。群集的设置和管理已经编得更为简易。改进了集群中的安全性和网络，并作为一种故障转移群集与存储的方式。在创建一个集群，强烈建议您验证您的配置。验证有助于你确认配置您的服务器，网络和存储，满足一系列故障转移集群的特殊要求。4.作为新一代开发工具，Visual Studio 2008 能帮助开发团队在最新的平台上开发杰出的用户体验，同时，通过进行灵活快速开发实现生产效率新突破，并使开发团队更好地进行协作：从建模到编码和调试，Visual Studio 2008 对编程语言、设计器、编辑器和数据访问功能进行了全面的提升，确保开发人员克服软件开发难题，快速创建互连应用程序；Visual Studio 2008 为开发人员提供了一些新的工具，在最新的平台上快速地构建杰出的、高度人性化用户体验的和互联的应用，这些最新平台包括 Web、Windows Vista、Office 2007、SQL Server 2008、Windows Mobile 和 Windows Server 2008；Microsoft Visual Studio Team System 2008 提供完整的工具套件和统一的开发过程，适用于任何规模的开发团队，帮助所有团队成员提高自身技能，使得开发人员、设计人员、测试人员、架构师和项目经理更好地协同工作，缩短软件或解决方案的交付时间。word 文档可自由复制编辑二、在 2008server 服务器上安全配置 2.1 安全配置 IP 地址和端口 Web 服务器安装完成以后，可以使用默认创建的 Web 站点来发布 Web 网站。不过，如果服务器中绑定有多个 IP 地址，就需要为 Web 站点指定唯一的 IP 地址及端口。1在 IIS 管理器中，右击默认站点，单击快捷菜单中的“编辑绑定”命令，或者在右侧“操作”栏中单击“绑定”，显示如图 2.1-1 所示的“网站绑定”窗口。默认端口为80，使用本地计算机中的所有 IP 地址。2选择该网站，单击“编辑”按钮，显示如图 2.1-2 所示的“编辑网站绑定”窗口，在“IP 地址”下拉列表框中选择欲指定的 IP 地址即可。在“端口”文本框中可以设置Web 站点的端口号，且不能为空。“主机名”文本框用于设置用户访问该 Web 网站时的名称，当前可保留为空。图 2.1-1 所示的“网站绑定”窗口图 2.1-2 所示的“编辑网站绑定”窗口 3.设置完成以后，单击“确定”按钮保存设置，并单击“关闭”按钮关闭即可。此时，在 IE 浏览器的地址栏中输入 Web 服务器的地址，显示如图 2.1-3 所示的窗口，表示可以访问 Web 网站。word 文档可自由复制编辑图 2.1-3 Web 网站 2.2 配置主目录主目录也就是网站的根目录，用于保存 Web 网站的网页、图片等数据，默认路径为“C:Intepubwwwroot”。但是，数据文件和操作系统放在同一磁盘分区中，会存在安全隐患，并可能影响系统运行，因此应设置为其他磁盘或分区。1.打开 IIS 管理器，选择欲设置主目录的站点，在右侧窗格的“操作”选项卡中单击“基本设置”，显示如图 2.2-1 所示的“编辑网站”窗口，在“物理路径”文本框中显示的就是网站的主目录。2.在“物理路径”文本框中输入 Web 站点的新主目录路径，或者单击“浏览”按钮选择，最后单击“确定”按钮保存即可。word 文档可自由复制编辑图 2.2-1“编辑网站”窗口用户访问网站时，通常只需输入网站域名即可，无需输入网页名，实际上此时显示的网页就是默认文档。一般情况下，Web 网站需要至少一个默认文档，当用户使用 IP地址或域名访问且没有输入网页名时，Web 服务器就会显示默认文档的内容。1在 IIS 管理器的左侧树形列表中选择默认站点，在中间窗格显示的默认站点主页中，双击“IIS”选项区域的“默认文档”图标，显示如图 2.2-2 所示的“默认文档”列表。有 5 种默认文档，分别为 Default.htm、Default.asp、index.htm、index.html和 iisstar.htm。当用户访问时，IIS 会自动按顺序由上至下依次查找与之相对应的文件名。图 2.2-2“默认文档”列表 2.单击右侧“操作”任务栏中的“添加”链接，显示如图 2.2-3 所示的“添加默认文档”窗口，在“名称”文本框中可输入欲添加的默认文档名称。word 文档可自由复制编辑图 2.2-3“添加默认文档”窗口 3单击“确定”按钮，即可添加该默认文档。新添加的默认文档自动排列在最上方，如图 2.2-4 所示，可通过单击右侧“操作”栏中的“上移”和“下移”超级链接来调整各个默认文档的顺序。图 2.2-4 添加的默认文档 2.3 访问权限和安全默认状态下，允许所有的用户匿名连接IIS网站，即访问时不需要使用用户名和密码登录。不过，如果对网站的安全性要求高，或网站中有机密信息，就需要对用户限制，禁止匿名访问，而只允许特殊的用户账户才能进行访问。2.3.1 用匿名访问 1在IIS管理器中，选择欲设置身份验证的Web站点，如图2.3.1-1所示。word 文档可自由复制编辑图2.3.1-1Web站点 2在站点主页窗口中，选择“身份验证”，双击，显示“身份验证”窗口。默认情况下，“匿名身份验证”为“启用”状态，如图2.3.1-2所示。图2.3.1-2“身份验证”窗口 3右击“匿名身份验证”，单击快捷菜单中的“禁用”命令，即可禁用匿名用户访问。2.3.2 使用身份验证在IIS 7.0的身份验证方式中，还提供基本验证、Windows身份验证和摘要身份验证。需要注意的是，一般在禁止匿名访问时，才使用其他验证方法。不过，在默认安装方式下，这些身份验证方法并没有安装。可在安装过程中或者安装完成后手动选择。word 文档可自由复制编辑 1在“服务器管理器”窗口中，展开“角色”节点，选择“Web服务器(IIS)”，单击“添加角色服务”，显示如图2.3.2-1所示的“选择角色服务”窗口。在“安全性”选项区域中，可选择欲安装的身份验证方式。图2.3.2-1“选择角色服务”窗口 2安装完成后，打开IIS管理器，再打开“身份验证”窗口，所经安装的身份验证方式显示在列表中，并且默认均为禁用状态，如图2.3.2-2所示。图2.3.2-2“身份验证”窗口 word 文档可自由复制编辑 2.3.3 通过 IP 地址限制保护网站在IIS中，还可以通过限制IP的方式来增加网站的安全性。通过允许或拒绝来自特定IP地址的访问，可以有效地避免非法用户的访问。不过，这种方式只适合于向特定用户提供Web网站的情况。同样，“IP地址限制”功能也需要手动安装，可在“选择角色服务”窗口中勾选“IP和域限制”复选框以进行安装。设置允许访问的IP地址的操作步骤如下：1.打开IIS管理器，选择欲限制的Web站点，双击“IPv4地址和域限制”图标，显示如图2.3.3-1所示的“IPv4地址和域限制”窗口。图2.3.3-1“IPv4地址和域限制”窗口 2在右侧“操作”任务栏中，单击“添加允许条目”链接，显示如图2.3.3-2所示的“添加允许限制规则”窗口。如果要添加一个IP地址，可点选“特定IPv4地址”单选按钮，并输入允许访问的IP地址即可；如果要添加一个IP地址段，可点选“IPv4地址范围”单选按钮，并输入IP地址及子网掩码即可。图2.3.3-2“添加允许限制规则”窗口 word 文档可自由复制编辑 3单击“确定”按钮，IP地址添加完成。“拒绝访问”与“允许访问”正好相反。通过“拒绝访问”设置将拒绝来自一个IP地址或IP地址段的计算机访问Web站点。不过，已授予访问权限的计算机仍可访问。单击“添加拒绝条目”按钮，在打开的“添加拒绝限制规则”窗口中，添加拒绝访问的IP地址，如图2.3.3-3所示。其操作步骤与“添加允许条目”中相同，这里不再赘述。图2.3.3-3“添加拒绝限制规则”窗口 2.4 安全配置 Web 服务为了保护 Web 网站的安全，防止数据在传输过程中被截获和篡改，可以在 Web 服务器上配置 SSL（Secure Socket Layer，安全套接字层）。SSL 是一种利用证书实现数据加密的技术，HTTP 协议可用来加密传输对安全比较敏感的数据和信息，实现 Web 服务端与 Web 客户端的安全通信。而客户端访问时，则要使用“https:/DNS 域名或 IP 地址”的形式。2.4.1 创建 SSL 证书由于 SSL 是利用证书实现数据加密传输，因此，若要使用 SSL，必须在 Web 服务器端创建用于 SSL 加密的证书。证书包含了有关服务器的信息，服务器允许客户在共享敏感信息之前对其加以积极识别，Web 服务器只有安装有效服务器证书后才拥有安全通信功能。1在“Internet信息技术(IIS)管理器”窗口中选择服务器名称，在“主页”中的“IIS”区域中双击“服务器证书”图标，显示如图 2.4.1-1 所示的“服务器证书”窗口。在安装 IIS 7.0 时，系统自动创建了一个证书，网络管理员可以直接应用该证书实现 SSL，也可以导入已有证书，或者创建新证书。word 文档可自由复制编辑 2这里，以创建一个自签名证书为例。在“操作”任务栏中单击“创建自签名证书”超级链接，显示如图 2.4.1-2 所示的“创建证书申请”窗口。在“为证书指定一个好记名称”文本框中为新证书设置一个名称。3单击“确定”按钮，自签名证书创建完成，并显示在证书列表中，如图 2.4.1-3所示。4选择新创建的证书，在右侧“操作”栏中单击“查看”链接，显示如图 2.4.1-4所示的“证书”窗口，可以查看该证书的名称、颁发者、颁发给、到期日期和证书哈希等详细信息，单击“确定”按钮。图 2.4.1-1“服务器证书”窗口图 2.4.1-2“创建自签名证书”窗口 word 文档可自由复制编辑图 2.4.1-3 证书创建完成图 2.4.1-4“证书”窗口 2.4.2 创建 SSL 网站当 SSL 证书创建完成以后，即可创建 HTTPS 站点，并启用 SSL 设置。需要注意的是，HTTPS 站点只能在创建 SSL 证书后创建，不能将已创建的 HTTP 站点更改为 HTTPS 站点。1在 IIS 管理器窗口的“连接”栏中，右击“网站”，在快捷菜单中单击“添加网站”命令，显示“添加网站”窗口，设置网站名称、物理路径，在“类型”下拉列表中选择“https”，在“IP 地址”下拉列表中指定 IP 地址，“端口”使用默认的 443 即可；在“SSL 证书”下拉列表中选择该网站欲使用的证书，如图 2.4.2-1 所示。2单击“确定”按钮，HTTPS 网站创建完成，如图 2.4.2-2 所示。3 在 HTTPS 网站主页中，双击“IIS”区域中的“SSL 设置”图标，显示如图 2.4.2-3所示的“SSL 设置”窗口。word 文档可自由复制编辑 4勾选“要求 SSL”复选框，默认启用 40 位数据加密方法。如果勾选“需要 128位 SSL”复选框，则启动 128 位数据加密方法。在“客户证书”选项区域中选择三种证书接受方式，分别如下。忽略：系统默认设置，不接受提供客户端证书，因此安全性最低。接受：启用服务器端的 SSL 设置，并接受客户端证书（若提供），在允许客户端获得内容访问权限之前验证客户端身份。这里选择该项。必需：在接受访问之前要求用户必须提供证书，以验证客户端身份的有效性，安全性最高。设置完成后，在右侧“操作”栏中单击“应用”链接，应用所有设置，如图 2.4.2-4所示。图 2.4.2-1“添加网站”窗口图 2.4.2-2 HTTPS 网站创建完成 word 文档可自由复制编辑图 2.4.2-3“SSL 设置”窗口图 2.4.2-4 应用 SSL 设置 word 文档可自由复制编辑三、安全策略保证系统安全 3.1 Windows Server 2008 系统安全尽管 Windows Server 2008 系统的安全性要领先其他操作系统一大步，不过默认状态下过高的安全级别常常使不少人无法顺利地在 Windows Server 2008 系统环境下进行各种操作，为此许多用户往往会采用手工方法来降低 Windows Server 2008 系统的安全访问级别。可是，一旦降低了安全访问级别，Windows Server 2008 系统遭遇安全攻击的可能性就非常大了;那么如何在安全访问级别不高的情况下，我们仍然能够让 Windows Server 2008 系统安全地运行?要做到这一点，我们可以利用 Windows Server 2008 系统强大的组策略功能，来对相关选项参数进行有效设置!3.1.1 禁止恶意程序“不请自来”在 Windows Server 2008 系统环境中使用 IE 浏览器上网浏览网页内容时，时常会有一些恶意程序不请自来，偷偷下载保存

展开阅读全文